CUPERTINO, Kalifornie – 18. července 2007 – Sdružení IT Policy Compliance Group dnes oznámilo dostupnost zprávy o jejím nejnovějším srovnávacím průzkumu, nazvané „Why Compliance Pays: Reputations and Revenues at Risk“ (Proč se vyplácí soulad s předpisy: ohrožení pověsti a výnosů). Jak se uvádí ve zprávě, devět z deseti firem je vystaveno hrozbě finančních ztrát v důsledku ztráty nebo krádeže dat. Tato rizika, která mohou organizaci přivodit ztrátu zákazníků, snížení výnosů a dokonce i pokles ceny akcií, je možno podstatně omezit zavedením základních procedurálních a technických kontrolních mechanismů a jejich sledováním alespoň jednou za dva týdny.
Pokud větší organizace nevyvíjejí potřebnou činnost, dojde u nich pravděpodobně jednou za tři roky ke ztrátě dat, o níž proniknou informace na veřejnost. Naproti tomu v organizacích s nejlepšími výsledky se pravděpodobnost ztráty dat snížila na jeden výskyt za 42 roky. Srovnávací testy ukazují, že v organizacích, které vynikají v souladu s předpisy, dochází také k nejnižšímu počtu případů ztráty dat a k nejnižšímu počtu případů přerušení činnosti v důsledku prostoje IT.
„Převážná většina podniků a veřejných institucí se stále potýká s vysokou mírou nedostatků v souladu s předpisy, které jsou příčinou přerušení činnosti a ztráty a krádeže dat,“ řekl James Hurley, vedoucí manažer průzkumů, společnost Symantec Corp. a výkonný ředitel sdružení IT Policy Compliance Group. „Pravděpodobnost výskytu ztráty dat nebo přerušení činnosti v organizaci je spíše otázkou „kdy“ než „zda“, ale existuje několik postupů v oblasti souladu s předpisy, rizik a řízení, které, pokud jsou správně používány, mohou podstatně omezit četnost těchto událostí a jejich dopad.“
Cena za narušení dat
Podle databáze Data Loss Database na serveru Attrition.org došlo v USA v minulých dvou letech v průměru téměř ke 280 zveřejněných případů krádeže nebo ztráty dat ročně. Tato průměrná hodnota se bude pravděpodobně zvyšovat vzhledem k rostoucímu zájmu spotřebitelů, regulačních orgánů a vládních institucí o případy narušení dat. Podle nejnovější zprávy sdružení IT Policy Compliance Group mohou mít tyto ztráty významný obchodní dopad. Srovnávací testy ukazují, že organizace, ve kterých došlo k veřejně oznámené ztrátě dat, očekávají 8% pokles počtu zákazníků a výnosů, 8% pokles ceny akcií v případě veřejně obchodovaných firem a další výdaje v průměrné výši 100 USD na každý ztracený záznam o zákazníkovi u firem, ve kterých došlo ke zveřejněné ztrátě nebo krádeži dat.
Doporučené postupy od nejlepších společností v oblasti souladu s předpisy Průzkum ukazuje, že úspěšné firmy, tj. firmy s nejnižším počtem ztrát a krádeží dat, zlepšují provoz IT zlepšováním výsledků v oblasti souladu s předpisy, zejména zlepšováním obecných kontrolních mechanismů IT a kontrolních mechanismů a postupů zabezpečení IT. Ještě významnější je, že srovnávací testy ukazují nejméně ztrát dat u firem, které důsledně alespoň jednou za dva týdny sledují a hodnotí kontrolní mechanismy a porovnávají je se stanovenými cíli.
„Efektivní proces řízení IT se stručnými cíli řízení IT spolu s vhodnou kombinací vestavěných kontrolních mechanismů IT umožňuje organizacím konzistentně nastavit zásady a měřit jejich dodržování,“ řekl Everett C. Johnson, CPA, mezinárodní president sdružení ISACA a neziskové organizace IT Governance Institute. „Organizace, které vytvoří měřitelný a opakovatelný program pro zajištění souladu IT s předpisy, jsou schopny předkládat postačující data a zajistit vysokou úroveň souladu s předpisy.“ Zpráva sdružení IT Policy Compliance Group vychází z toho, co se osvědčilo u organizací s nejmenším počtem případů ztráty dat, a identifikuje postupy, které organizacím pomohou zlepšit výsledky v oblasti souladu IT s předpisy, omezit prostoje a snížit počet případů ztráty a krádeže dat. Mezi tyto kroky patří:
- Zavedení většího počtu vhodných kontrolních mechanismů IT
- Zjednodušení cílů řízení, takže se snáze sdělují, hodnotí a vykazuje jejich plnění
- Zavedení vyšších standardů pro cíle týkající se výkonu
- Podpora optimalizace provozu IT
- Sledování a hodnocení kontrolních mechanismů a jejich porovnávání s cíli alespoň jednou za dva týdny
- Zvýšení výdajů na automatizaci kontrolních mechanismů
Kromě toho, že firmy s nejnižším počtem nezveřejněných případů skryté ztráty dat a nejnižším počtem nedostatků v souladu s předpisy vydávají vyšší procento rozpočtu IT na kontrolní mechanismy zabezpečení IT, převádějí také finance dříve vydávané na externí kontrakty na další financování zařízení a softwaru, určeného zejména pro automatizaci sledování a hodnocení kontrolních mechanismů a postupů.
„Na zastánce řízení byl vždy vyvíjen tlak, aby obhájili přidělování prostředků na další kontrolní mechanismy. Tato zpráva poskytuje podpůrné důkazy o tom, že další vhodné kontrolní mechanismy jsou nejen oprávněné, ale také nezbytné k prevenci krádeží a ztrát,“ řekl Rocco Grillo, výkonný ředitel úseku Technology Risk ve společnosti Protiviti Inc. „Zpráva také ukazuje souvislosti mezi odolností systému a souladem s předpisy. Je to nový pohled, ale jak dokument ukazuje, účinné kontrolní mechanismy významně souvisejí s odolností.“
Sdružení IT Policy Compliance Group, které bylo vytvořeno za účelem provádění srovnávacích průzkumů a propagace doporučených postupů, které pomáhají odborníkům v oblasti IT úspěšně řešit problémy souladu se zásadami a předpisy, také oznámilo rozšíření o dva nové členy: sdružení ISACA a neziskovou organizaci IT Governance Institute.
Chcete-li získat další informace a stáhnout nejnovější zprávu o průzkumu nazvanou „Why Compliance Pays: Reputations and Revenues at Risk“, přejděte na adresu www.ITPolicyCompliance.com.
