Waarom moet compliance in het bedrijfs-DNA zitten?

04-10-2018 | door: Blogger

Waarom moet compliance in het bedrijfs-DNA zitten?

Automatisering is waarschijnlijk niet het eerste wat in mensen opkomt als ze aan compliance denken. Toch is er zeker een verband. Om succesvol te zijn, moeten bedrijven naadloos kunnen inspelen op nieuwe wet- en regelgeving. Dat is dé manier om problemen en internationale boetes te voorkomen. Het werkt in ieder geval beter dan de ‘ouderwetse’ reactieve houding.

Anticiperen op nieuwe regelgeving is echter makkelijker gezegd dan gedaan. Tussen 2009 en 2012 zijn er in de G20-landen meer dan 50.000 regels voor bedrijven gepubliceerd. Dit aantal steeg in 2015 al tot 50.000 updates en neemt voorlopig niet af. Sterker nog, uit onderzoek blijkt dat de kosten voor financiële instellingen om aan regelgeving te voldoen in 2022 waarschijnlijk zullen verdubbelen. Niet alleen het aantal regels zorgt voor problemen. De omvang en complexiteit van sommige regelgeving kan veel tijdsinvestering vragen. De implementatie van MiFID II is een goed voorbeeld. Deze nieuwe financiële regelgeving wil investeerders beschermen en waarborgen dat financiële markten open en eerlijk zijn. Om dat te bereiken beslaat de regelgeving wel 30.000 pagina’s en 1,7 miljoen paragrafen.

De complexiteit van compliance

De complexiteit voor bedrijven is de laatste jaren sterk toegenomen. Bovendien zijn organisaties, ongeacht hun grootte, steeds vaker wereldwijd actief. De kern van dit succes is de mogelijkheid om snel grote hoeveelheden data naar waardevolle informatie te vertalen. Tegelijkertijd zorgt de digitalisering ervoor dat applicaties heel veel data creëren. Deze data is niet alleen binnen de financiële sector of gezondheidszorg vertrouwelijk. Door de inzet van IoT stijgt ook de hoeveelheid gegevens gigantisch. Op die manier creëren sommige fabrieken elke maand petabytes aan data. Deze ontwikkelingen zorgen voor flinke uitdagingen: hoe kunnen organisaties compliant zijn als data zowel door mensen als door machines gecreëerd wordt? En hoe integreren we deze data en waarborgen tegelijkertijd dat de informatie van gebruikers of consumenten beschermd is?

Het antwoord op deze vragen vereist dat bedrijven zich digitaal aanpassen aan een groeiende hoeveelheid regels, standaarden en processen. Hoe meer we innoveren, hoe kwetsbaarder data is en die risico’s groeien exponentieel als we de data nog beter gaan begrijpen. De nieuwe generatie Chief Information Security Officers (CISO’s) kan dus alleen succesvol functioneren als ze zich volledig focussen op de bescherming van gebruikers- en klantinformatie.

Door de wereldwijde datarevolutie en de wetgeving die zich primair richt op de veiligheid van consumenten en klanten, moeten bedrijven op veel meer fronten strijden. Dit zorgt ervoor dat de meeste senior IT-leiders worstelen met de ontwikkeling en onderhoud van technologiestrategieën die innovatief én compliant zijn. Het idee bestaat zelfs dat deze activiteiten op regionaal en internationaal niveau vertragend werken voor de innovatieve cultuur die technologie juist in gang heeft gezet.

Gaan innovatie en compliance wel samen?

Om concurrerend te blijven, is het zaak dat organisaties in hun sector vooroplopen met klantinzichten, operationele efficiency en innovatie. Aan de andere kant moeten ze altijd voorbereid zijn op cyberaanvallen, klantbehoud en concurrentie van startups. Een ander aandachtspunt is de veranderende regelgeving. Kijk maar naar de retailsector. Retailers willen winkelen voor klanten zo makkelijk mogelijk maken. De CISO moet er echter voor waken dat alle nieuwe opties en technologieën ook veilig zijn en voldoen aan het groeiend aantal digitale regels. Dit alles zonder de functionaliteit van de applicaties te beknotten. Terwijl elke leverancier over AVG (of de Engelse vertaling GDPR) praat, toont dit voorbeeld aan dat een databeveiligingsstrategie belangrijker is dan het naleven van een afzonderlijk compliance-onderdeel.

Technologieleveranciers erkennen het spanningsveld tussen compliance en innovatie. Los van de verplichte beveiliging kan regelgeving serieus zand in de motor van een bedrijf strooien. Een situatie die het best te vergelijken is met gas geven in een auto en tegelijk op de rem trappen.

Een andere mindset

Het is de uitdaging om compliant aan de regelgeving te zijn en tegelijkertijd flexibele business-applicaties te bouwen en marktstrategieën te innoveren. Dat is mogelijk als cyber hygiëne belangrijker wordt dan cyber security. Cyber hygiëne omvat vijf principes gericht op bedrijfsinformatie en de waarde ervan. Iedereen weet inmiddels dat een security update na een aanval niet effectief is. Zeker niet nu hackers volop profiteren van automatisering, machine learning en artificial intelligence (AI). Een reactieve beveiligingsaanpak zonder de hygiëne-aanpak is dan nutteloos. Veel CISO’s zijn ervan overtuigd dat reactieve cyber security dood is. Het is tijd om het tijdperk van cyber hygiëne te omarmen. In deze wereld integreren bedrijven beveiliging vanaf de start in het ontwerpproces van hun producten en systemen. Tegelijkertijd maakt de snelle groei van het aantal regels de ‘brandweeraanpak’ voor compliance op de lange termijn onhoudbaar. Bedrijven moeten van een tactische insteek overstappen naar een strategische aanpak. Het is zaak dat ze gaan samenwerken met organisaties die de onvermijdelijke overstap van hardware gebaseerde beveiliging naar software defined beveiligde netwerken al hebben gezet.

Altijd meteen compliant

Het concept van cyber hygiëne draait om continuïteit, niet om de eindoplossing. Organisaties moeten compliance altijd direct in hun IT-systemen opnemen. Dit voorkomt giswerk en gedoe, en waarborgt dat bij een audit alle data aanwezig en correct is. Deze consistente aanpak werkt al zeer goed bij de Britse mediareus Sky. Dit bedrijf loopt jaren voor op de recente GDPR-regels. Sky wilde geen reactieve GDPR-strategie omdat ze al een consistente databeveiligingsstrategie gebruikten. Dit voorbeeld onderstreept dat een holistische aanpak voor databeveiliging op basis van een cyber hygiëne cultuur zeer effectief is.

De investeringen voor de vroege integratie van compliance-eisen in de levenscyclus van producten of services verdienen zich op meerdere vlakken terug. Bijvoorbeeld met een lager risico op boetes, en niet in de laatste plaats, een flinke tijdsbesparing omdat achteraf repareren niet langer nodig is. Bedrijven kunnen het zich niet veroorloven om deze aanpak te negeren. Zeker nu de wetgever probeert de digitalisering bij te houden en artificial intelligence en machine learning beter worden in het nabootsen van menselijke hackers. Hoe meer data we produceren, hoe interessanter het wordt om deze af te tappen. Organisaties worden steeds transparanter en de opties om op elk apparaat overal en altijd te werken blijven toenemen. Dit is weer een extra risico voor compliance en regulering.

Achteroverleunen en alleen minimale maatregelen nemen om aan nieuwe wet- en regelgeving te voldoen, is geen optie meer. Bedrijven moeten regelgeving overbodig maken en integriteit en eigenaarschap zijn daarbij onmisbare onderdelen. Compliance draait meer dan ooit om het gevoel van wederzijds respect voor menselijke informatie. En moet onmiskenbaar een deel zijn van uw bedrijfs-DNA.

Door: Leon de Werker (foto), Senior Regional Director Benelux bij VMware

Terug naar nieuws overzicht
Security