A megfelelés ellenőrzése minimalizálhatja az adatvesztést

Az IT Policy Compliance Group (Informatikai Szabálymegfelelési Csoport) bejelentette, hogy „Miért kifizetődő a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon” címmel elérhető a legújabb kutatásukról szóló jelentés. A jelentés szerint tíz közül kilenc cégnél pénzügyi kockázatot jelent az adatvesztés és az adatlopás. Az ilyen veszélyek, amelyek ügyfelek elvesztését, csökkenő bevételt vagy akár a részvényárfolyam csökkenését is okozhatják, jelentősen csökkenthetők, ha alapvető eljárási és műszaki felügyeletet vezetnek be, és ezt a felügyeletet legalább kéthetente ellenőrzik. A nagy cégeknél a nyilvánosságra kerülő adatvesztés valószínűsége háromévenként egy, ha a cég a lemaradók közé tartozik. A legjobb eredményt felmutató szervezeteknek ezzel szemben sikerült kitolniuk az adatvesztés esélyét 42 évenként egyre. A teljesítmény-felmérés azt mutatja, hogy a szabályoknak leginkább megfelelően működő cégeknél a legkevesebb az adatvesztés és az informatikai rendszerek leállásából eredő üzleti zavar. „A vállalatok és a közintézmények legnagyobb része a szabályoknak való megfelelés terén még mindig évekre való lemaradással küzd, aminek az üzletmenetben bekövetkező zavar, adatvesztés és adatlopás a következménye” – mondta James Hurley, a Symantec Corp. kutatásvezetője és az IT Policy Compliance Group ügyvezető igazgatója. „Bár az adatvesztés és az üzletmenet zavarának bekövetkezése inkább csak idő kérdése, számos olyan megfelelőségi, kockázatkezelési és irányítási módszer van, amelyekkel, ha jól alkalmazzák őket, jelentősen csökkenthető az ilyen események gyakorisága és következményeik súlyossága.” Az Attrition.org adatvesztési adatbázisa (Data Loss Database) szerint az Egyesült Államokban az elmúlt két évben évente átlagosan közel 280 nyilvánosságra került adatlopás vagy adatvesztés történt. Ez az átlagérték valószínűleg tovább nő, és ezáltal egyre jobban ráirányul a fogyasztók, a törvényhozás és a kormányzat figyelme az adatvesztésre. Az IT Policy Compliance Group legújabb jelentése szerint ezeknek az adatvesztéseknek jelentős az üzleti hatása. A felmérések azt mutatják, hogy a nyilvánosságra került adatvesztést elszenvedett szervezetek nyolc-nyolcszázaléknyi veszteségre számíthatnak a vevőik számában, bevételükben és (a nyílt részvénykereskedelemben részt vevő cégeknél) a részvényárfolyamban, a közzétett, elvesztett és ellopott adatok esetén pedig ezen felül minden egyes elvesztett fogyasztói adatnál még átlagosan 100 dollár kiadással kell számolniuk. A felmérés kimutatta, hogy a legkevesebb adatvesztést és adatlopást elszenvedett, sikeres cégeknél az informatika kiváló működését a megfelelőségi eredményeknek különösen az általános informatikai irányítás, valamint az informatikabiztonsági irányítás és eljárások terén történő javításával alapozzák meg. Még figyelemre méltóbb, hogy a felmérés azoknál a cégeknél mutatta ki a legkevesebb adatvesztést, amelyek következetesen, legalább kéthetente ellenőrzik az irányítás helyes működését. „A hatékony, tömör informatikavezérlési célokkal rendelkező informatikai irányítási folyamat és a jól összeállított, beépített informatikai irányítás lehetővé teszi, hogy a vállalatok következetes szabályokat állíthassanak fel, és azok betartását következetesen ellenőrizhessék“ – mondta Everett C. Johnson okleveles könyvvizsgáló, az ISACA és az IT Governance Institute nemzetközi elnöke. „Egy lemérhető és megismételhető informatikai megfelelőségi program megteremtésével a vállalatok megfelelően hozhatnak létre adatokat, és biztosíthatják a magas szintű szabálymegfelelést.” Az IT Policy Compliance Group jelentése a vállalatokat informatikai megfelelőségük javításában, az üzlet leállásának, az adatvesztés és az adatlopás csökkentésében segítő módszerekről tájékoztatja a legkevesebb adatvesztést elszenvedett szervezeteknél bevált módszerek alapján. Ezek a lépések az alábbiak: - Erősebb és helyénvaló informatikai irányítás bevezetése - Az ellenőrzési célok csökkentése, érthetőbbé tétele, ezek alapján történő felmérés és jelenté - A teljesítménycélok magasabbra tétel - Az informatika kiváló működésének serkentése - Az irányítás legalább kéthetente végrehajtott ellenőrzése, felmérése és erről jelentés készítése - Nagyobb ráfordítás az irányítás automatizálására Azok a cégek, amelyeknél a legkevesebb a nyilvánosságra nem került, lappangó adatvesztés és a szabályoknak való megfelelés hiányossága, az informatikavédelmi irányításra az informatikai költségvetésből fordított nagyobb hányad mellett a külső szerződésekre fordított kiadásokból – elsősorban az irányítás és az eljárások ellenőrzésének és felmérésének automatizálása céljára szolgáló – berendezések és szoftverek beszerzésére csoportosítanak át pénzt. „Az ellenőrzés támogatóitól mindig igazolást követeltek a további ellenőrzésre fordítandó források kiutalásának igazolására. Ebben a jelentésben olyan bizonyítékokat közölnek, amelyek alapján a kellő kiegészítő ellenőrzés nem csupán jogos, hanem egyenesen elengedhetetlen az adatlopás és adatvesztés megelőzése érdekében” – mondta Rocco Grillo, a Protiviti Inc. gyakorlati műszaki kockázatok részlegének ügyvezető igazgatója. „A jelentés a rendszer rugalmasságát is összekapcsolja a megfelelőséggel. Ez újszerű látásmód, bár, amint a tanulmány rámutat, a hatékony ellenőrzés és a rugalmasság között komoly kapcsolat van.” Az IT Policy Compliance Group, amelyet a teljesítmény kutatására és az informatikai szakembereknek a szabályozás és a törvényi megfelelőség feladatkörében a jól bevált gyakorlat elterjesztésével történő segítésére hoztak létre, két új tag, az ISACA és az IT Governance Institute belépését is bejelentette. Ha további információra van szüksége, illetve ha le akarja tölteni a „Miért kifizetődő a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon” című legfrissebb jelentést, keresse fel a www.ITPolicyCompliance.com webhelyet!