21 december 2006
Het automatiseren van IT beveiligingsfuncties samen met frequente auditing van gegevensbeveiliging en -authenticiteit verbetert compliance, zo geeft een onderzoek van de IT Policy Compliance Group aan. De organisaties die het meest succesvol zijn in het voldoen aan compliance-eisen besteden $1 aan ICT-beveiliging van iedere $30.000 omzet of beschikbaar budget. Het geld daaraan besteed is meer waard dan de adviezen van dure consultants en andere ingehuurde dienstverleners. Die conclusie trekt de groep in het laatste rapport over de relatie tussen compliance en beveiligingsuitgaven. De groep, vorig jaar gevormd door het Computer Security Institute, het Institute of Internal Auditors en Symantec en voorheen bekend onder de naam Security Compliance Counsel, begon het onderzoek met de veronderstelling dat grotere organisaties meer middelen hadden om ieder complianceproject aan te pakken. Hoewel dit uiteraard waar is, waren ze uiterst verrast te moeten concluderen dat grotere organisaties niet noodzakelijkerwijze beter presteerden dan hun kleinere conculega's, daar waar het gaat om daadwerkelijk compliance te bereiken, zo zegt Jim Hurley, directeur van de IT Policy Compliance groep en onderzoeksdirecteur bij Symantec.
'It's not a matter of resources, it's what you do with them', zo zegt Hurley. Niets heeft de investeringen in IT-beveiligingsprodukten en diensten zo gestimuleerd de afgelopen jaren dan de noodzaak om compliant te zijn aan de vloed aan nieuwe reguleringen die de verschillende regeringen bedenken. Alleen al in Noord-Amerika zijn sinds 1981 114.000 nieuwe regels bedacht en ingevoerd, zo zegt Adam Losner, financieel directeur bij Securities Industry Automation Corp, waaronder zeer vergaande regels als de Health Information Portability and Accountability Act, Sarbanes Oxley, Gramm-Leach-Bliley en binnenkort de vernieuwde Federal Rules of Civil Procedure, waarin bedrijven worden gedwongen electronisch opgeslagen informatie, die kan dienen bij de civiele rechtspraak, beter te beheren. Met name de Sarbanes Oxley Act heeft consequenties tot ver buiten de Verenigde Staten. Het onderzoek, waarin het investeringsgedrag van 876 organisaties is onderzocht, constateert dat de meest succesvolle bedrijven als het gaat om compliance 1 $ investeren in IT beveiliging op iedere $30.000 aan omzet of budget, afhankelijk van de organisatie. De achterblijvende organisaties investeren slechts $1 of $90.000 omzet. Slechts 11 % van de onderzochte organisaties rapporteerden dat zij minder dan drie compliance problemen hadden ondervonden in het afgelopen jaar. Rond de 70 % van de bedrijven ervaart tussen de drie en 15 compliance problemen jaarlijks, terwijl de rest meer dan 100 IT-compliance afwijkingen in een enkel jaar moest corrigeren. Een situatie die tot hoge boetes kan leiden en in ieder geval investeringen in andere belangrijke IT projecten verlaagt omdat complianceprojecten voorrang krijgen. Hurley zegt dat 'a good rule of thumb for compliance spending is to allocate more than 10% of the overall IT budget on security systems, including configuration change management systems, as well as auditing, monitoring, and reporting tools. Other helpful investments include software for managing IT security policies, standards, controls, and documentation'. Een andere sleutel voor het succesvol bereiken van compliance is frequente auditing. Degenen die de beveiliging van hun systemen maandelijks auditen waren veel succesvoller in het bereiken van compliance dan die organisaties die slechts een keer per jaar een audit uitvoerden. Volgens Hurley zijn organisaties dan ook 'better served spending their security dollars on hardware and software such as configuration and change management applications, antivirus, user-access control systems, and reporting tools, which facilitate more frequent audits, rather than spending the money to hire more contractors and outside services'. Organisaties met de minste complianceproblemen besteden 9 % meer op de automatisering van audit functies en 11 % minder aan ingehuurde diensten. Buiten kijf staat daarnaast dat 'IT leadership' een belangrijk ingrediënt is bij het bereiken en handhaven van compliance. 'At the board level, executives want to know their level of risk related to compliance, so chief information security officers, chief privacy officers, and chief risk officers have to be able to connect spending on IT security with meeting the demands of various regulations', zegt Rocco Grillo, directeur van de beveiligingspraktijk bij Protiviti, die onlangs officieel lid werd van de IT Policy Compliance Group.