At være compliant er ikke det samme som at være sikker

– Compliance vs. sikkerhed

Af Jesper Helbrandt, IFCR

 

Det er en livsfarlig misforståelse, vi ofte møder, uanset hvilken compliancestandard vi taler om. Misforståelsen går på, at compliance er lig med sikkerhed. Problemet er, at rigtig mange organisationer tror, at det er det samme. Ofte er compliance meget kompliceret og arbejdskrævende og kommer derfor til at fylde så meget, at man helt glemmer at fokusere på sikkerhed.

For at skære det helt ud i pap, så fortæller compliance intet om sikkerhedsniveauet – det er dybest set bare et øjebliksbillede af, hvordan et udsnit af dit sikkerhedsprogram opfylder et specifikt sæt afgrænsede sikkerhedskrav på et givet tidspunkt.

Det er derfor vigtigt at forstå, at for virkelig at beskytte følsomme data skal man både have et passende sikkerhedsprogram på plads OG samtidig være compliant. Uden et omfattende og dynamisk sikkerhedsprogram, i samspil med en solid plan for compliance, er der en betydelig risiko for at blive kompromitteret. For at holde hele dit netværksmiljø beskyttet mod de it-kriminelle, der dagligt angriber din organisation, kræver det et omfattende sikkerhedsprogram, der strækker sig langt ud over almindelige compliancekrav.

 

Sikkerhed og compliance er IKKE det samme
Sikkerhed og compliance spiller to meget forskellige roller. De rigtige cybersikkerhedsforanstaltninger beskytter dine informationer og data mod cybertrusler ved at kontrollere, hvordan disse oplysninger bruges, opbevares og transmitteres. På den anden side er compliance en rapporteringsfunktion, der viser, hvordan et udsnit af dit sikkerhedsprogram opfylder specifikke sikkerhedsstandarder, som er fastlagt af myndigheder eller organisationer.

 

Compliance skal være et biprodukt af et solidt

sikkerhedsprogram, ikke kilden til det.

 

Pas på “Checkbox-mentalitet”
Overholdelse af complianceregler vil aldrig dække alle dine behov for tilstrækkelig sikkerhed. I rigtig mange organisationer og i særdeleshed blandt compliancetunge organisationer hersker der en “checkbox-mentalitet”, som ofte desværre resulterer i utilstrækkelig sikkerhed. Hvorfor er det sådan? Det skyldes, at compliance kun sikrer, at et specifikt sæt krav, der kun sjældent ændrer sig (typisk kun en gang om året), er på plads. Hvilket jo umuligt kan holde trit med de konstante ændringer, der sker dagligt i sikkerhedsverdenen.

For virkelig at beskytte sig mod det voksende antal sofistikerede trusler skal organisationer hæve sikkerhedsniveauet og udvikle en overordnet holistisk tilgang, der integrerer alle de nødvendige kontroller med hinanden for at skabe et sammenhængende sikkerhedsprogram. Der er intet complianceprogram, der på nogen måde opfylder dette og giver den nødvendige beskyttelse.

 

Brug ikke compliance som din sikkerhedsplan
At bruge et compliancekrav som grundlag for et sikkerhedsprogram er en anden meget udbredt fejl. Et effektivt cybersikkerhedsprogram skal bygges fra bunden og være baseret på en organisations behov. Fokusering på compliance først vil være en kæmpe misforståelse. Compliance skal være et biprodukt af et solidt sikkerhedsprogram, ikke kilden til det.

 

Læs også artiklen “De to mest almindelige årsager til at virksomheder bliver hacket”