Is het wettelijk verplicht stellen van goede beveiligingspraktijken een goede zaak?

Onlangs heeft de staat New York stappen ondernomen om de eerste cyberbeveiligingsverordening van het land aan te nemen, die financiële organisaties in New York expliciet vertelt wat ze in hun beveiligingsprogramma moeten doen. Een overzicht hiervan kunt u lezen in het artikel, " Volledige werkgelegenheid voor CISO's in New York ."

De belangrijkste vraag die ik heb is of het zin heeft de details van een beveiligingsprogramma wettelijk vast te leggen in plaats van organisaties toe te staan programma's op te zetten die voldoen aan de zakelijke behoeften en de risicotolerantie van hun organisaties.

Voordat ik die vraag beantwoord, wil ik eerst zeggen dat de richtlijnen in de verordening volgens mij over het algemeen zinvol zijn. In feite zijn het praktijken die de meeste beveiligingsprofessionals als onderdeel van hun standaardwerkwijzen zouden hebben. Het is echter een beetje vreemd dat twee technologiegebieden - multifactorauthenticatie en encryptie - expliciet worden genoemd om te worden opgenomen, terwijl de andere gebieden voor beveiligingscontrole op een zeer hoog niveau worden gehouden. Nogmaals, niet dat multifactor authenticatie en encryptie slechte gebieden zijn om op te focussen, maar waarom zijn deze opgenomen en andere belangrijke beveiligingscontroles, zoals e-mailbeveiliging, webbeveiliging, anti-virus, identiteitsbeheer, en vele andere beveiligingscategorieën?

Nu terug naar de hoofdvraag van deze blog: is het wettelijk verplicht stellen van specifieke beveiligingspraktijken een goede zaak? Mijn mening is nee. Maar moeten toezichthouders cyberbeveiliging beschouwen als onderdeel van hun toezichthoudende verantwoordelijkheden? Ja, als onderdeel van hun visie op het risicobeheerprogramma van de organisatie. Uiteindelijk zijn organisaties verantwoordelijk voor hun eigen risicobeheerprogramma's en voor de vraag hoeveel risico ze kunnen tolereren en hoe ze dat risico het beste kunnen beperken.

Net zoals toezichthouders andere aspecten van de bedrijfspraktijken van een organisatie niet in detail regisseren, zouden zij dat ook niet moeten doen voor hun praktijken op het gebied van cyberrisicobeheer. Er zijn gewoon te veel mogelijkheden voor onbedoelde gevolgen. Mijn ervaring is bijvoorbeeld dat hoe gedetailleerder de regelgeving is, het niet alleen overweldigend wordt voor de CISO die deze moet implementeren, maar dat er ook een grotere kans is dat het beveiligingsprogramma verandert in een checklistprogramma en niet in een programma dat gericht is op risicobeheer.