Druk van security en compliance

In Thinq (een IBM magazine) lezen we begin 2012 in de security blog een column over Security en Compliance. De teneur van die column is, dat er tegenwoordig tools zijn om rapportages over security en compliance te vergemakkelijken. Maar ik wil het thema Security/Compliance hier wat meer achtergrond geven. In de column wordt gesteld, dat dit thema meer en meer een directie-aangelegenheid wordt. De ondergang van Diginotar bijvoorbeeld veroorzaakt dat. De directeur van SRC Secure Solutions schrijft dit in de securityblog, maar de compliancedruk is maar voor een deel het gevolg van beveiliging. Er is gewoon steeds meer toezicht vanuit internationale organisaties en de eigen lokale (semi-) overheden. Interne en externe auditors vragen allerlei rapporten. ICT moet dat allemaal doen naast het gewone werk. Als ICT vraagt om extra budget om te voldoen aan de compliance-eisen, dan is dat budget er niet.

Een aantal drivers achter deze internationale regelgeving:

– De Sarbanes Oxley-wetgeving kwam na het Enronschandaal.

– Basel 2 laat banken in detail rapporteren over hun risico's.

– Solvency 2 laat verzekeraars in detail rapporteren over hun risico's.

– Europese regelgeving drukt op bedrijven en instellingen.

Nu ik dit schrijf, mei 2012, is er de commotie over de Griekenlandcrisis en een eventuele exit uit de Eurozone van dat land. En je moet concluderen, dat sedert de start van de euro in 2002 het fout gegaan is met de schuldenlanden. Ze kregen een lage rente (gelijk aan die van de solide Noordeuropese landen) en hebben hongerig geleend. En daarmee opgeblazen structuren gecreëerd: in Ierland de financiële sector, in Spanje de bouwsector en in Griekenland het overheidsapparaat. Het waarnemen van die foute ontwikkeling is dus 10 jaar tekort geschoten! Is toegenomen controle en regelgeving weer gebaseerd op de foute ontwikkelingen uit het verleden? Terwijl er geen oog is voor de misstanden, die zich op dit moment aan het ontwikkelen zijn? Het blijft overal en altijd het vakmanschap om de kern van de zaak te zien in plaats van je druk te maken over symptomen en uiterlijkheden....

Al jaren verzorg ik bij het Actuarieel Instituut de module AN2, waarin de informatiestromen in de financiële sector worden beschouwd. In een laatste forumles bespreken we dan de trends, die de cursisten in hun bedrijf waarnemen. En de afgelopen 10 jaar neemt compliance in toenemende mate daarin een rol. De meeste cursisten zijn voortdurend bezig om nieuwe wet- en regelgeving te implementeren in hun bedrijf: rapportage over verzekeringen, nieuwe pensioenregels, woekerpolissen en de implementatie van Solvency 2 (het Europese toezichtskader voor verzekeringen).

Terug naar de column in Thinq. Het punt van deze columnist is, dat er tools nodig zijn die allerlei rapportages makkelijk kunnen ophoesten. “Gelukkig bestaan er hulpmiddelen die meerwerk beperken en terugkerend werk structureel wegautomatiseren. Ze werken bijna allemaal met hetzelfde principe, namelijk door de eigen inrichting te vergelijken met de wijze waarop voorbeeldorganisaties hun securitycompliance hebben ingevuld. Door dit regelmatig te doen en de instellingen aan te passen aan nieuwe regels, kan steeds gemakkelijker worden voldaan aan de regels waarop accountants en auditors controleren.”