Dit jaar heeft het Digital Trust Center (DTC) al zo’n 30.000 waarschuwingen voor digitale dreigingen verstuurd. Maar wordt daar ook wat mee gedaan? Een sterke basis voor security en compliance (S&C) is van het grootste belang in het moderne digitale landschap. Toch is het nog te vaak bijzaak in plaats van chefsache. Dat moet nu echt eens gaan veranderen.

Al jarenlang is informatiebeveiliging een nagedachte. Soms komt dat door zuinigheid, een andere keer omdat time-to-market belangrijker is. Hoe dan ook zet het zowel security- als compliance-professionals op een één-nul achterstand. Zolang bijvoorbeeld security by design niet de standaard is, blijft het voor deze specialisten dweilen met de kraan open.

De opkomst van generatieve AI illustreert deze uitdaging perfect. Eind 2022 sprong vrijwel iedere organisatie op deze nieuwe technologie in de vorm van ChatGPT. Maar na een periode van ongebreideld AI-gebruik trapten organisaties zoals de Rabobank snel weer op de rem. Want wat blijkt: als mensen blind afgaan op de output van ChatGPT ontstaan er kwetsbaarheden in code of advocaten die niet-bestaande jurisprudentie in rechtszaken gebruiken. En in het kader van compliance is het niet oké dat notulen van directievergaderingen of andere gevoelige informatie zomaar aan een ander bedrijf worden overhandigd – wat in feite gebeurt wanneer je de open versie van ChatGPT gebruikt. Toch zijn er nog maar weinig bedrijven die hun AI-beleid hierop aanpassen.

Voorbij de hype

In technologiekeuzes is de stem van security en compliance vaak nog niet terug te vinden. 

Idealiter evalueert een securityprofessional van tevoren ‘veelbelovende’ oplossingen, om te valideren dat ze daadwerkelijk waarde bieden en niet leiden tot extra complexiteit, kosten en risico’s. Een compliance-professional heeft een soortgelijke taak: zorgen dat er geen slapende waakhonden wakker worden gemaakt door onbezonnen gebruik van nieuwe technologieën. Denk bijvoorbeeld aan richtlijnen zoals NIS2 en de CRA. Compliance-professionals moeten zorgen dat een organisatie op pragmatische wijze aan deze richtlijnen kan voldoen, zonder dat de dienstverlening een klap krijgt.

De stem van securityspecialisten en complianceprofessionals is niet zo onbezorgd of optimistisch als een directie misschien zou willen, maar het is wel pragmatische input die serieus moet worden genomen. Beide rollen temperen de hype rond nieuwe trends, zodat organisaties weloverwogen keuzes kunnen maken. Maar dan moeten zowel security als compliance aan het begin worden aangehaakt én de middelen krijgen om hun werk te doen. Dat betekent een stem in de directiekamer plus een nauwe samenwerking met de inkopers van verschillende afdelingen. En voldoende budgetallocatie voor security – zo’n 15% is een goed begin.

Geld is natuurlijk niet alles: u moet er wel de goede keuzes mee maken. Als er gekozen moet worden, prioriteer dan investeringen die de data beter beveiligen. Geef security en compliance dan ook de ruimte om de nodige checks en balances in te richten. Alleen op die manier kunt u ervoor zorgen dat onnodige kwetsbaarheden en risico’s worden vermeden en nieuwe technologieën daadwerkelijk waarde toevoegen.

Wilt u van gedachten wisselen over dit onderwerp? Neem contact op met Sander Heinhuis.

Deze blog verscheen eerder op AG Connect.

Geplaatst door

Sander Heinhuis

Sander Heinhuis is Security & Compliance Director bij PQR