3. Compliance-Vorgaben helfen, Sicherheit zu messen
Lacey: "Das stimmt. Ich stelle immer wieder einen direkten Zusammenhang zwischen der Zahl der vorgeschriebenen Audits und dem Sicherheitsniveau fest."
Stiennon: "Offensichtlich nicht. Ein Unternehmen kann extrem sicher sein, aber trotzdem nicht compliant. Umgekehrt gilt das ebenso."
Yeomans: "Compliance-Vorgaben helfen nicht immer. Sie schaffen eine vernünftige Basis für Sicherheit und vereinfachen die Rechtfertigung des Security-Budgets. Aber manchmal führt gerade die Nichteinhaltung der Vorschriften zu mehr Sicherheit. Oft ist es auch teurer als nötig, die Regelungen zu befolgen."
Johnson: "Es gibt für gewöhnlich viele Möglichkeiten, die geltenden Standards zu erfüllen - nach meinen Erfahrungen sind nicht alle gleichermaßen sicher. Die Regulierungsbehörden versuchen zunehmend, spezifische Anforderungen festzulegen. Das wird insofern schwierig, als sie oft keine Ahnung von Security haben."
Pescatore: "Völlig daneben. Schauen Sie sich den Sarbanes-Oxley Act an. Wir sagen unseren Kunden immer: Schützt euer Business, schützt eure Kunden und kümmert euch erst dann um die Compliance."