Compliance specialisten letten er op dat bedrijven zich aan de regels houden en dat die regels ook up-to-date zijn. Voor bijvoorbeeld beursgenoteerde ondernemingen en financials zijn deze professionals onmisbaar en ook verplicht. Waar maakt deze groep zich zorgen over als het gaat om de IT?
CO kijkt ook naar de keten
Die vraag is door Complianceweek aan de lezers gesteld. De groep die de vragenlijst kreeg was met 145 niet bijzonder groot. Toch is de uitkomst bruikbaar voor iedereen die IT diensten levert aan grote ondernemers of aan partijen die daarmee samenwerken. Doordat compliance officers (CO’s) steeds vaker naar een hele keten kijken, voelen die toeleveranciers namelijk ook de druk toenemen zich aan de regels te houden.
Het overgrote deel van de CO’s is van mening dat hun bedrijf in staat is hackers weg te houden van bedrijfskritische data. Het deel dat dit denkt maakte 93 procent van de onderzoeksgroep uit. Iedere IT leverancier zal bij het zien van die score al begrijpen dat hier iets mis gaat.
Men waant zich behoorlijk veilig, maar er zijn wel zorgen. Een op de drie vreest de dag van een succesvolle ransomware aanval. Dat is meer dan de twintig procent die bang is voor een boete van de toezichthouder omdat de compliance regels overtreden zijn. Gevraagd naar de impact van een supplychain attack (lees: SolarWinds en Kaseya) blijkt andermaal dat deze groep niet uit IT experts bestaat. Men snapt het gevaar, maar is tegelijk van mening dat het niet aan een CO is daar speciaal aandacht aan te besteden.
Procedures en regels
Een CO kijkt naar de bekende procedures en regels. Dat daarbij steeds vaker naar de keten met toeleveranciers en afnemers wordt gekeken wil nadrukkelijk niet zeggen dat ze pro-actief handelen of wijzen op nieuwe risico’s. Compliance specialisten maken zich zorgen om heel andere zaken dan of iedereen direct alle zero day gaten dicht. Dat een CO bij een toeleverancier controleert of de klantdata wel veilig is opgeborgen zegt dus in principe niets of het netwerk deel van de IT security in orde is. En precies dat deel is voor onder andere supplychain aanvallen een geliefd doelwit.