Új kutatás a kényes adatok védelméről

Az IT Policy Compliance Group bejelentette, hogy legújabb kutatásának eredménye „Az érzékeny adatok védelmének alapjai” (Core Competencies for Protecting Sensitive Data) címmel elérhető. A világ több mint 450 szervezetétől érkezett válaszokat összefoglaló jelentés megállapítja, hogy 10 szervezet közül csak egy van abban az irigylésre méltó helyzetben, hogy kényes adatai megfelelően védettek. A jelentés az adatvédelem éllovas és sereghajtó cégei közötti különbségeket is elemzi. Bepillantást enged a jobb adatvédelemhez, nagyobb mértékű megfelelőséghez és a versenyelőny megtartásához vezető, bevált módszerekbe. A kutatás egyik legmeglepőbb eredménye a kényes adatok védelme és a hivatalos előírásoknak való megfelelés közötti összefüggésben mutatkozott meg. A kényes adatok védelmében jeleskedő cégek a hivatalos előírásoknak való megfelelés ellenőrzésekor is jó eredményt produkáltak. A kényes adatok legkisebb mértékű elvesztését felmutató szervezetek szinte mindegyikénél (96 százalék) a hivatalos előírásoknak való megfelelés terén is a legkevesebb kijavítandó hiányosságot találták. A legtöbb kényes adatot elvesztett szervezetek többsége (64 százalék) azonos volt azokkal, ahol a hivatalos előírásoknak való megfelelés terén is a legtöbb kijavítandó hiányosságra bukkantak. A jelentésben kimutatott kulcsfontosságú témakörök a szervezeti felépítés és stratégia, az ügyfelek alapos ismerete és a kiváló működés. A legkevesebb kényes adatot elvesztő cégek (az éllovasok) és a legnagyobb adatvesztést elszenvedők (a sereghajtók) elemzésekor látható a kevesebb szabály vagy ellenőrzési cél meghatározásának jelentősége, illetve a jogtalan használatot vagy megváltoztatást megakadályozó, sűrűbb értékelésre és az informatikai változáskezelésre törekvés fontossága. - Az éllovasok átlagosan 30 ellenőrzési célt határoznak meg, és 19 naponta értékelnek. Ezeknél a cégeknél évente legfeljebb két adatvesztés vagy meg nem felelés fordul elő. - A sereghajtók átlagosan 82 ellenőrzési célt határoznak meg, és 230 naponta értékelnek. A sereghajtóknál legalább 13 adatvesztés vagy ?lopás, illetve legalább 22 meg nem felelés fordul elő. „A közelmúltban többször is megmutatkozott, mennyire káros hatással lehet egy adatvesztés a szervezet jó hírnevére és stratégiai céljaira. Fontos biztosítani, hogy az adatvesztés és ?lopás megakadályozása érdekében létezzen kockázatra alapuló irányítás, és hogy ezt az irányítást rendszeresen ellenőrizzék” – mondta Lynn Lawton, CISA, FCA, FIIA, PIIA, FBCS CITP, az ISACA nemzetközi elnöke. „A felmérés eredményei világosan jelzik, hogy a kulcsfontosságú irányítás megválasztása, bevezetése és kommunikálása, valamint hatékonyságának rendszeres értékelése sokkal hasznosabb, és jobb eredményhez vezet, mint az összefüggéstelen, elszigetelt szabályozás bonyolult útvesztőjének folyamatos bővítése.” „A megfelelési követelmények gyors szaporodása és a jó hírnév elvesztésének fokozott kockázata miatt sosem volt sosem volt annyira fontos az ügyfelek és alkalmazottak adatainak, valamint a szellemi tulajdonnak a védelme, mint manapság” – mondta Rocco Grillo, a Protiviti Inc. műszaki kockázati területének ügyvezető igazgatója. „Még ha nem is tudja száz százalékosan garantálni a védelmet az irányítás, a cégeknek az információvédelem és a kockázatkezelés terén az elvárható igyekezettel kell eljárniuk. A biztonságot és a kényes adatok védelmének hatékonyságát biztosító és növelő, bevált programok sokszorosan kifizetődnek az értékes információ elvesztésének vagy ellopásának megakadályozása révén. Azok a napok már elmúltak, amikor a vezetőség kényelmesen hátradőlhetett, és várhatott a krízisre vagy egy közbejövő eseményre, ami majd cselekvésre sarkallja. Ma mindenkinek előre kell cselekednie.” A legkevesebb adatvesztést elszenvedett szervezetek egyben azok a cégek, amelyek legjobban megfelelnek a hivatalos előírásoknak. Ezek a cégek olyan kulcsfontosságú lépéseket tesznek, amelyek nem csupán minimálisra csökkentik az adatvesztést és növelik a megfelelőséget, hanem az adatsértések anyagi következményeit is minimálisra csökkentik (lásd az előző, „Miért kifizetődő a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon” című jelentést), és emellett megtarthatóvá teszik a versenyelőnyt. Ezek a kulcsfontosságú lépések a következők: A szervezeti struktúra és stratégia kialakítása ˇ Világszínvonalú megfelelőségi program bevezetése ˇ A szabályzatok, szabványok és eljárások dokumentálása és karbantartása ˇ A belső irányítás átszervezése, informatikavédelmi és kockázatkezelési funkciók az ügyfelek alapos ismeretének és a működés kiválóságának kihasználásához Az ügyfelek alapos ismerete ˇ A szabályozásgazdák szerepeinek és felelősségi körének meghatározása ˇ Az üzleti és anyagi kockázat felismerése és kezelése ˇ Az alkalmazottak oktatása és a szabályok alóli kivételek kezelése A kiváló működés ˇ A belső ellenőrzés kiterjesztése a legtöbb üzleti funkcióra ˇ Az irányítás célkitűzéseinek kockázatfüggővé tétele ˇ Az irányítási célok számának csökkentése ˇ Mérhető irányítás bevezetése ˇ A folyamatvezérlés önvizsgálata ˇ A műszaki irányítás ellenőrzésének gyakoribbá tétele ˇ Teljes körű informatikai változáskezelő program bevezetése ˇ A jogtalan használat és változtatás megakadályozása az informatikai változások kezelésével Az IT Policy Compliance Group által vizsgált témák a támogató tagok és a rendes tagok információiból, illetve az aktuális kutatás eredményeiből álló kutatási menetrend részét képezik. A mostani jelentés alapjául szolgáló legújabb felmérés 454 szervezet részvételével, 2007 februárja és májusa között zajlott. A jelen kutatás hibahatára plusz-mínusz 4,5 százalék. A felmérésben résztvevő szervezetek többsége (90 százalék) az Egyesült Államokban található. A maradék 10 százalékot többek között ausztráliai, egyesült királyságbeli, francia, ír, japán, kanadai, német és spanyol szervezetek tették ki. Az IT Policy Compliance Group egy új tagsági kategóriát, a tanácsadói tagságot (Advisory Membership) is bejelentette. A tanácsadói tagságot azért hozzák létre, hogy a csoport által vezetendő további kutatásokhoz tanácsot és útbaigazítást adjanak, hozzáférést biztosítsanak egy rövidesen megjelenő webnaplóhoz, munkacsoportokat alakítsanak ki, irányítsák azokat, illetve részt vegyenek bennük. A csoport általános tagsági kategóriájának új neve társult tagság lesz (Associate Membership). Ha további információra van szüksége, illetve ha le akarja tölteni a „Az érzékeny adatok védelmének alapjai” című legfrissebb jelentést, keresse fel a www.ITPolicyCompliance.com webhelyet.