Een compliance smoke screen is een rookgordijn van papieren regels en vinklijstjes dat organisaties optrekken om te doen alsof ze veilig zijn. Maar in werkelijkheid leidt het vooral af van de échte beveiliging.
Ze roepen dan bijvoorbeeld:
“We voldoen aan ISO 27001, dus alles is onder controle.”
Maar ondertussen is er geen logging, worden kwetsbaarheden niet gepatcht en weet niemand wie toegang heeft tot wat. De nadruk ligt op compliant zijn en dus formeel voldoen aan een norm, maar niet op secure zijn en daadwerkelijk risico’s verkleinen.
Het is theater. Een toneelstukje voor auditors, klanten of bestuurders die gerustgesteld willen worden. Maar een hacker laat zich niet tegenhouden door je policies of je certificaat aan de muur.