Compenserende controle (alternatieve controle)

Een compenserende controle, ook wel alternatieve controle genoemd, is een mechanisme dat wordt ingesteld om te voldoen aan de eis voor een beveiligingsmaatregel die op dit moment te moeilijk of onpraktisch wordt geacht om te implementeren.

In de betaalkaartindustrie (PCI) werden compenserende controles geïntroduceerd in PCI DSS 1.0, om organisaties een alternatief te bieden voor beveiligingseisen waaraan niet kon worden voldaan als gevolg van legitieme technologische of zakelijke beperkingen. Volgens de PCI-raad moeten compenserende controles:

1) voldoen aan de bedoeling en de strengheid van de oorspronkelijk gestelde eis;

2) Biedt een vergelijkbaar niveau van bescherming als de oorspronkelijke vereiste;

3) Gaat "verder dan" andere PCI DSS-vereisten (niet alleen maar voldoen aan andere PCI DSS-vereisten); en

4) evenredig zijn aan het extra risico dat wordt opgelegd door het niet naleven van de oorspronkelijk gestelde eis.

Voorbeelden van compenserende controles voor informatietechnologiebeveiliging zijn:

Segregation of Duties (SoD) - een interne controle die is ontworpen om fouten en fraude te voorkomen door ervoor te zorgen dat ten minste twee personen verantwoordelijk zijn voor de afzonderlijke delen van een taak. Fraude en fouten zijn risico's bij salarisadministratie. Om dat risico te beperken, kan een bedrijf een werknemer verantwoordelijk stellen voor het boekhoudkundige gedeelte van de taak en een andere voor het ondertekenen van de cheques. Scheiding van taken kan echter moeilijk zijn voor bedrijven met een klein personeelsbestand. Compenserende controles kunnen in dit geval bestaan uit het bijhouden en controleren van logboeken en audit trails.

Encryptie - het omzetten van alle elektronische gegevens in cijfertekst en het periodiek wijzigen van cryptografische sleutels kan moeilijk en duur zijn om te implementeren. Zoals vaak het geval is, kunnen meerdere compenserende controles nodig zijn om een beveiliging te bieden die gelijkwaardig is aan die van de controle die wordt vervangen. Compenserende maatregelen in plaats van volledige gegevensversleuteling zijn bijvoorbeeld het gebruik van databankbeveiligingstoepassingen en -diensten, netwerktoegangscontrole (NAC), strategieën ter voorkoming van gegevenslekken en e-mailversleuteling.