Voor iedere besluitvormer een S&C-engeltje op de schouder

Al jarenlang is informatiebeveiliging een nagedachte. Soms komt dat door zuinigheid, een andere keer omdat time-to-market belangrijker is. Hoe dan ook zet het zowel security- als compliance-professionals op een één-nul achterstand. Zolang bijvoorbeeld security by design niet de standaard is, blijft het voor deze specialisten dweilen met de kraan open.

De opkomst van generatieve AI illustreert deze uitdaging perfect. Eind 2022 sprong vrijwel iedere organisatie op deze nieuwe technologie in de vorm van ChatGPT. Maar na een periode van ongebreideld AI-gebruik trapten organisaties zoals de Rabobank snel weer op de rem. Want wat blijkt: als mensen blind afgaan op de output van ChatGPT krijg je kwetsbaarheden in code of advocaten die niet-bestaande jurisprudentie in rechtszaken gebruiken. En in het kader van compliance is het niet oké dat notulen van directievergaderingen of andere gevoelige informatie zomaar aan een ander bedrijf worden overhandigd – wat je bijvoorbeeld in feite doet wanneer je de open versie van ChatGPT gebruikt . Toch zijn er nog maar weinig bedrijven die hun AI-beleid hierop aanpassen.

Voorbij de hype

In technologiekeuzes is de stem van security en compliance vaak nog niet terug te vinden. Idealiter evalueert een securityprofessional van tevoren ‘veelbelovende’ oplossingen, om te valideren dat ze daadwerkelijk waarde bieden en niet leiden tot extra complexiteit, kosten en risico’s. Een compliance-professional heeft een soortgelijke taak: zorgen dat er geen slapende waakhonden wakker worden gemaakt door onbezonnen gebruik van nieuwe technologieën. Denk bijvoorbeeld aan richtlijnen zoals NIS2 en de CRA. Compliance-professionals moeten zorgen dat een organisatie op pragmatische wijze aan deze richtlijnen kan voldoen, zonder dat de dienstverlening een klap krijgt.

De stem van securityspecialisten en complianceprofessionals is niet zo onbezorgd of optimistisch als een directie misschien zou willen, maar het is wel pragmatische input die je serieus moet nemen. Beide rollen temperen de hype rond nieuwe trends, zodat organisaties weloverwogen keuzes kunnen maken. Maar dan moeten zowel security als compliance aan het begin worden aangehaakt én de middelen krijgen om hun werk te doen. Dat betekent een stem in de directiekamer plus een nauwe samenwerking met de inkopers van verschillende afdelingen. En voldoende budgetallocatie voor security – zo’n 15% is een goed begin.

Geld is natuurlijk niet alles: je moet er wel de goede keuzes mee maken. Als je moet kiezen, prioriteer dan investeringen die je data beter beveiligen. Geef security en compliance dan ook de ruimte om de nodige checks en balances in te richten. Alleen op die manier kun je ervoor zorgen dat onnodige kwetsbaarheden en risico’s worden vermeden en nieuwe technologieën daadwerkelijk waarde toevoegen.

Verder praten over dit onderwerp? Neem contact op met Sander Heinhuis, CISO bij PQR.