Een A diploma halen, wil nog niet zeggen dat je kunt zwemmen.

In de wereld van informatiebeveiliging is veel aan de hand op het moment. Regeringen over de hele wereld, ook die van ons, onderkennen de noodzaak voor verbeterde informatiebeveiliging en reageren met wetsvoorstellen en regels om ons als burgers te beschermen tegen onheil.

Niet geheel toevallig valt deze tendens samen met  een brede aandacht in de media, denk alleen al aan lektober of de debatten naar aanleiding van het Diginotar debacle, maar ook aan een groot aantal beveiligingsincidenten, waar veel bedrijven de gevolgen van de reputatieschade nog ondervinden.

Veel opdrachtgevers vertellen ons, dat compliancy met wet en regelgeving een hoge prioriteit geniet. Betekent dat dan, dat de overheid ingrijpt, omdat bedrijven en instellingen te lang gewacht hebben met adequaat handelen en het op orde krijgen en houden van hun informatiebeveiliging? In sommige gevallen misschien wel, maar velen werken hard en gestaag, om in een wereld waar  de aanvaller nooit slaapt en alle tijd van de wereld heeft, ervoor te zorgen, dat de informatiebeveiliging de toets der kritiek kan doorstaan.

Het is daarom goed, dat de compliancy aandacht krijgt, maar laten we vooral niet vergeten, dat het voldoen aan een basisregel, nog niet betekent dat je informatiebeveiliging op orde is. Of, zoals de zwemleraar van mijn kinderen placht te zeggen: “Met een A diploma begint het pas, denk nu niet dat je echt kunt zwemmen…”