Ook al klinkt het woord zeer technisch en ingewikkeld, eenvoudig gezegd betekent "compliant" handelen niets meer dan het naleven van de toepasselijke wetten, gangbare industrienormen of vrijwillige verbintenissen - met andere woorden, handelen "volgens de regels". De term compliance wordt in alle economische sectoren gebruikt, daarom spreken we in de IT-wereld over "IT-compliance" om de context te verduidelijken. Compliance wordt vaak verwaarloosd in de dagelijkse bedrijfsvoering, en overeenkomstige regels zijn er meestal alleen in grotere bedrijven. In het geval van een datalek, bijvoorbeeld, kunnen bedrijfseigenaren worden geconfronteerd met zware sancties als het incident kan worden toegeschreven aan niet-compliant praktijken.
Waarom is IT-compliance belangrijk?
Bedrijven die klantgegevens opslaan en verwerken, zijn onderworpen aan strenge voorschriften over hoe deze gegevens moeten worden beveiligd en in welke context ze mogen worden gebruikt en doorgegeven. Zoals op alle gebieden van de rechtspraak geldt: onwetendheid is geen excuus. Het probleem is dat de naleving van de wet in het hele bedrijf moet worden gewaarborgd en door alle werknemers moet worden omarmd: een keten is immers maar zo sterk als de zwakste schakel. Om juridische problemen en waarschuwingen te voorkomen, moeten bedrijven IT-compliance-richtlijnen (policies) opstellen die bindend zijn voor alle werknemers. Vervolgens is het belangrijk om de naleving ervan binnen het bedrijf te controleren en af te dwingen. Dit is de enige manier om IT met succes te beschermen en een adequaat niveau van gegevensbeveiliging te handhaven.
De wettelijke bepalingen zijn zeer uitgebreid en verschillen per land, bedrijfstak en type bedrijf. Zo moeten telecommunicatieaanbieders niet alleen passende maatregelen nemen om de verspreiding van malware tegen te gaan, maar zijn zij ook verplicht aanvallen op hun infrastructuur te melden. Als zij niet voldoen aan de verplichting om deze aanvallen te melden, kunnen zij in Nederland in de lage categorie een boete krijgen van maximaal tien miljoen euro of als dat meer is 2% van de wereldwijde jaaromzet, in de hoge categorie een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Alle bedrijven die persoonsgegevens van hun klanten verzamelen, opslaan en verwerken, moeten technische maatregelen nemen om ongeoorloofde toegang tot hun telecommunicatie- en gegevensverwerkingssystemen te voorkomen. Als klantgegevens door ontbrekende of ontoereikende IT-compliance-maatregelen in verkeerde handen vallen of zonder toestemming van de betrokkenen voor onbedoelde doeleinden worden misbruikt, voorziet de Autoriteit Persoonsgegevens boetes. Bovendien kunnen de getroffen klanten recht hebben op schadevergoeding.
Wie moet aandacht besteden aan IT-compliancebeleid?
In principe is de bedrijfsleiding verantwoordelijk voor het toezicht op de naleving van de wettelijke voorschriften binnen hun bedrijf. Natuurlijk kan zij deze verantwoordelijkheid ook delegeren aan iemand die de regelgeving in de sector kent en weet welke technische maatregelen noodzakelijk en gepast zijn. Daarom wordt deze taak, indien beschikbaar, vaak toegewezen aan de IT-afdeling of -beheerder, die vervolgens het IT-compliancebeleid ontwikkelt in coördinatie met het bedrijfsmanagement. Vervolgens wordt een beleidsbeheersysteem opgezet om de naleving van dit beleid te controleren. Het is vaak moeilijk voor bedrijven om te bepalen welke wetten specifiek van toepassing zijn op hun bedrijfstak en branche. Professionele IT-beveiligingsdienstverleners - zoals G DATA - kunnen helpen uw eigen compliance-eisen af te stemmen op de relevante wetten en eisen.
Hoe bewaak ik IT compliance?
Oplossingen voor beleidsbeheer die onder andere regelen welke rechten medewerkers hebben op het netwerk of op hun pc's en mobiele apparaten, kunnen zeer nuttig zijn bij het afdwingen van compliance-eisen. Een IT-beheerder kan beleidsbeheer gebruiken om bijvoorbeeld te bepalen dat er geen USB-opslagmedia mogen worden gebruikt op laptops of dat de database met klantgegevens alleen mag worden bekeken door bepaalde gebruikersgroepen en alleen op het interne netwerk van het bedrijf. Persoonlijke apparaten die werknemers in het bedrijf gebruiken ("Bring Your Own Device" of "BYOD") moeten ook in aanmerking worden genomen bij de implementatie van IT-compliance. Effectief beheer van mobiele apparaten is één manier om dit probleem op de juiste manier aan te pakken. Als bijvoorbeeld een smartphone met interne bedrijfsgegevens verloren gaat, kunnen alle gegevens op het betreffende apparaat op afstand worden gewist.
Een andere mogelijk nuttige oplossing is ISO 19600-certificering in combinatie met de invoering van een compliance managementsysteem. In het geval van een incident heeft een bedrijf bewijs dat er voldoende maatregelen zijn genomen om schade te voorkomen.
Welke functies moet een oplossing voor beleidsbeheer bieden?
Om het beleid van uw bedrijf effectief te kunnen handhaven, moet een oplossing voor beleidsbeheer bijvoorbeeld apparaatcontrole mogelijk maken. Hierdoor kunnen IT-beheerders voorkomen dat werknemers USB-sticks of andere externe schijven op bedrijfscomputers gebruiken. Het voorkomt bedreigingen zoals een netwerkpenetratie veroorzaakt door een malware USB-stick die door een aanvaller op het bedrijfsterrein is geplaatst. Het voorkomt ook dat gevoelige bedrijfsgegevens worden gekopieerd vanaf eindpunten die opzettelijk zijn geïsoleerd van het netwerk.
Een ander belangrijk onderdeel van beleidsbeheer is applicatiecontrole door middel van blacklisting of whitelisting. Hiermee kunt u aangeven welke applicaties werknemers mogen installeren of starten op bedrijfscomputers. Zo wordt voorkomen dat informatie via bijvoorbeeld instant messengers ongemerkt het netwerk uit wordt gesmokkeld.
Policy management moet het ook mogelijk maken om individuele websites te blokkeren voor werknemers om de veiligheid van endpoints te garanderen. Tot slot moet een solide policy management oplossing beheerders in staat stellen om aan te geven hoe lang individuele gebruikers of groepen gebruik mogen maken van het internet.
Welke uitdagingen kunnen zich voordoen bij de uitvoering van IT-compliancebeleid?
Bij de handhaving van IT-compliancevoorschriften moet erop worden gelet dat de rechten van werknemers niet worden geschonden. Apparaten van werknemers mogen bijvoorbeeld niet lukraak worden doorzocht op bedrijfsgegevens als dit het risico met zich meebrengt dat persoonlijke informatie wordt onthuld. Daarnaast moeten werknemers zelf bijdragen aan IT-compliance door ze bewust te maken van gegevensbescherming.
Ook bij de selectie van IT-middelen voor het waarborgen van IT-conformiteit moet zorgvuldig te werk worden gegaan. Het is raadzaam een beveiligingsoplossing te kiezen die op betrouwbare wijze voorkomt dat derden, zoals buitenlandse inlichtingendiensten, toegang krijgen. De softwareproducten van G DATA worden strikt in Duitsland onderzocht en ontwikkeld. Daarom voldoen de beveiligingsoplossingen aan de strenge wetten voor gegevensbescherming in Duitsland en de EU en bevatten ze geen backdoors voor geheime diensten.
from Simon Weiss
Online editor