Minder is meer: hoe Anove helpt uw personeelskosten op het gebied van compliance te verlagen
By Anove
In het ISACA-artikel „The Compensation Trap“ wordt gesteld dat veel beveiligings- en compliance-teams vastlopen in een vicieuze cirkel waarbij er personeel wordt toegevoegd om het gebrek aan verantwoordelijkheid in de eerste verdedigingslinie te „compenseren“, terwijl de resultaten niet evenredig verbeteren. Het artikel beschrijft cyberbeveiliging als een „hardnekkig probleem“ dat niet kan worden „opgelost“ door er simpelweg meer middelen tegenaan te gooien.
Een belangrijke valkuil is de compensatieval: beveiligingsprofessionals doen (en jagen op) operationeel werk dat eigenlijk bij IT en de business-eigenaren hoort – patchen is het gegeven voorbeeld – wat leidt tot inefficiëntie en afhankelijkheid van individuen. Het voorgestelde alternatief is: verschuif de verantwoordelijkheid naar de mensen die eigenaar zijn van het proces, maak het meetbaar via KPI's, en geef hen de middelen via opleiding en tools zodat ze het repetitieve werk zelf kunnen automatiseren. Het document benadrukt ook “delegeren, delegeren, delegeren”: veel beveiligings- en risicowerkzaamheden kunnen worden geïntegreerd in normale IT- en bedrijfscycli (levering, architectuur, leveranciersbeheer), waarbij het beveiligingsmanagement stuurt, traint en monitort – en niet micromanaget.
Hoe dit aansluit bij ANOVE (vermindering van compliance-personeel)
ANOVE brengt deze ideeën in de praktijk door handmatig, personeelsintensief compliance-werk te vervangen door continue, geautomatiseerde assurance:
- Geautomatiseerde verzameling van bewijsmateriaal uit systemen die al in de omgeving aanwezig zijn (bijv. beveiligingstools, monitoring, ticketing), waardoor het “achter de feiten aanlopen” en spreadsheetwerk wordt verminderd – zodat compliance schaalbaar is zonder extra personeel.
- Duidelijke verantwoordelijkheid + KPI’s: ANOVE zet wettelijke vereisten om in rolgebaseerde acties en meetbare resultaten, waardoor de verantwoordelijkheid van de eerste lijn wordt versterkt in plaats van dat de tweede lijn “het werk doet”.
- Continue monitoring versus audits op een bepaald moment: houdt de effectiviteit van de controles zichtbaar en rapporteerbaar, in lijn met de oproep in het artikel om leiding te geven via doelen, verantwoordelijkheden en voortdurende monitoring in plaats van meer personeel aan te nemen.
Netto-effect: minder handmatige controles, minder escalaties en een kleiner team kan een hogere zekerheid handhaven.
Oorspronkelijke bron: ISACA Netherlands Chapter