Az IT Policy Compliance Group bejelentette, hogy legújabb kutatásának eredménye „Az érzékeny adatok védelmének alapjai" (Core Competencies for Protecting Sensitive Data) címmel elérhető.

 

Az IT Policy Compliance Group bejelentette, hogy legújabb kutatásának eredménye „Az érzékeny adatok védelmének alapjai" (Core Competencies for Protecting Sensitive Data) címmel elérhető. A világ több mint 450 szervezetétől érkezett válaszokat összefoglaló jelentés megállapítja, hogy 10 szervezet közül csak egy van abban az irigylésre méltó helyzetben, hogy kényes adatai megfelelően védettek. A jelentés az adatvédelem éllovas és sereghajtó cégei közötti különbségeket is elemzi. Bepillantást enged a jobb adatvédelemhez, nagyobb mértékű megfelelőséghez és a versenyelőny megtartásához vezető, bevált módszerekbe. 

A kutatás egyik legmeglepőbb eredménye a kényes adatok védelme és a hivatalos előírásoknak való megfelelés közötti összefüggésben mutatkozott meg. A kényes adatok védelmében jeleskedő cégek a hivatalos előírásoknak való megfelelés ellenőrzésekor is jó eredményt produkáltak. A kényes adatok legkisebb mértékű elvesztését felmutató szervezetek szinte mindegyikénél (96 százalék) a hivatalos előírásoknak való megfelelés terén is a legkevesebb kijavítandó hiányosságot találták. A legtöbb kényes adatot elvesztett szervezetek többsége (64 százalék) azonos volt azokkal, ahol a hivatalos előírásoknak való megfelelés terén is a legtöbb kijavítandó hiányosságra bukkantak.

A jelentésben kimutatott kulcsfontosságú témakörök a szervezeti felépítés és stratégia, az ügyfelek alapos ismerete és a kiváló működés. A legkevesebb kényes adatot elvesztő cégek (az éllovasok) és a legnagyobb adatvesztést elszenvedők (a sereghajtók) elemzésekor látható a kevesebb szabály vagy ellenőrzési cél meghatározásának jelentősége, illetve a jogtalan használatot vagy megváltoztatást megakadályozó, sűrűbb értékelésre és az informatikai változáskezelésre törekvés fontossága.

  • Az éllovasok átlagosan 30 ellenőrzési célt határoznak meg, és 19 naponta értékelnek. Ezeknél a cégeknél évente legfeljebb két adatvesztés vagy meg nem felelés fordul elő.
  • A sereghajtók átlagosan 82 ellenőrzési célt határoznak meg, és 230 naponta értékelnek. A sereghajtóknál legalább 13 adatvesztés vagy ‑lopás, illetve legalább 22 meg nem felelés fordul elő.

„A közelmúltban többször is megmutatkozott, mennyire káros hatással lehet egy adatvesztés a szervezet jó hírnevére és stratégiai céljaira. Fontos biztosítani, hogy az adatvesztés és ‑lopás megakadályozása érdekében létezzen kockázatra alapuló irányítás, és hogy ezt az irányítást rendszeresen ellenőrizzék" – mondta Lynn Lawton, CISA, FCA, FIIA, PIIA, FBCS CITP, az ISACA nemzetközi elnöke. „A felmérés eredményei világosan jelzik, hogy a kulcsfontosságú irányítás megválasztása, bevezetése és kommunikálása, valamint hatékonyságának rendszeres értékelése sokkal hasznosabb, és jobb eredményhez vezet, mint az összefüggéstelen, elszigetelt szabályozás bonyolult útvesztőjének folyamatos bővítése."

A kutatás kimutatta, hogy az irányítás minősége kevésbé fontos, mint a meghatározott kockázatok elleni alkalmassága és az irányítás értékelésének gyakorisága. Azok a szervezetek, amelyek nem vezettek be a kockázatok ellen megfelelő irányítást, és nem értékelik ki elég sűrűn az eljárások és a technika irányítását, nagy valószínűséggel esnek adatvesztés vagy ‑lopás áldozatául. Azoknál a cégeknél fordul elő a legsűrűbben adatvesztés és ‑lopás, ahol nincs ilyen irányítás, vagy csak ritkán ellenőrzik a meglevőt. 

„A megfelelési követelmények gyors szaporodása és a jó hírnév elvesztésének fokozott kockázata miatt sosem volt sosem volt annyira fontos az ügyfelek és alkalmazottak adatainak, valamint a szellemi tulajdonnak a védelme, mint manapság" – mondta Rocco Grillo, a Protiviti Inc. műszaki kockázati területének ügyvezető igazgatója. „Még ha nem is tudja száz százalékosan garantálni a védelmet az irányítás, a cégeknek az információvédelem és a kockázatkezelés terén az elvárható igyekezettel kell eljárniuk. A biztonságot és a kényes adatok védelmének hatékonyságát biztosító és növelő, bevált programok sokszorosan kifizetődnek az értékes információ elvesztésének vagy ellopásának megakadályozása révén. Azok a napok már elmúltak, amikor a vezetőség kényelmesen hátradőlhetett, és várhatott a krízisre vagy egy közbejövő eseményre, ami majd cselekvésre sarkallja. Ma mindenkinek előre kell cselekednie."

Az adatvédelem éllovasainak bevált eljárásai

A legkevesebb adatvesztést elszenvedett szervezetek egyben azok a cégek, amelyek legjobban megfelelnek a hivatalos előírásoknak. Ezek a cégek olyan kulcsfontosságú lépéseket tesznek, amelyek nem csupán minimálisra csökkentik az adatvesztést és növelik a megfelelőséget, hanem az adatsértések anyagi következményeit is minimálisra csökkentik (lásd az előző, „Miért kifizetődő a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon" című jelentést), és emellett megtarthatóvá teszik a versenyelőnyt. Ezek a kulcsfontosságú lépések a következők:

A szervezeti struktúra és stratégia kialakítása

  • Világszínvonalú megfelelőségi program bevezetése
  • A szabályzatok, szabványok és eljárások dokumentálása és karbantartása
  • A belső irányítás átszervezése, informatikavédelmi és kockázatkezelési funkciók az ügyfelek alapos ismeretének és a működés kiválóságának kihasználásához

Az ügyfelek alapos ismerete

  • A szabályozásgazdák szerepeinek és felelősségi körének meghatározása
  • Az üzleti és anyagi kockázat felismerése és kezelése
  • Az alkalmazottak oktatása és a szabályok alóli kivételek kezelése

A működés

  • A belső ellenőrzés kiterjesztése a legtöbb üzleti funkcióra
  • Az irányítás célkitűzéseinek kockázatfüggővé tétele
  • Az irányítási célok számának csökkentése
  • Mérhető irányítás bevezetése
  • A folyamatvezérlés önvizsgálata
  • A műszaki irányítás ellenőrzésének gyakoribbá tétele
  • Teljes körű informatikai változáskezelő program bevezetése
  • A jogtalan használat és változtatás megakadályozása az informatikai változások kezelésével

Az IT Policy Compliance Group által vizsgált témák a támogató tagok és a rendes tagok információiból, illetve az aktuális kutatás eredményeiből álló kutatási menetrend részét képezik. A mostani jelentés alapjául szolgáló legújabb felmérés 454 szervezet részvételével, 2007 februárja és májusa között zajlott. A jelen kutatás hibahatára plusz-mínusz 4,5 százalék. A felmérésben résztvevő szervezetek többsége (90 százalék) az Egyesült Államokban található. A maradék 10 százalékot többek között ausztráliai, egyesült királyságbeli, francia, ír, japán, kanadai, német és spanyol szervezetek tették ki.

Az IT Policy Compliance Group egy új tagsági kategóriát, a tanácsadói tagságot (Advisory Membership) is bejelentette. A tanácsadói tagságot azért hozzák létre, hogy a csoport által vezetendő további kutatásokhoz tanácsot és útbaigazítást adjanak, hozzáférést biztosítsanak egy rövidesen megjelenő webnaplóhoz, munkacsoportokat alakítsanak ki, irányítsák azokat, illetve részt vegyenek bennük. A csoport általános tagsági kategóriájának új neve társult tagság lesz (Associate Membership).

„Az érzékeny adatok védelmének alapjai" című legfrissebb jelentés: http://www.itpolicycompliance.com/ – angolul 

Az IT Policy Compliance Group az informatikai szakembereknek a cégük szabályozási és szabály-megfelelési célkitűzéseinek teljesítésében történő megsegítését szolgáló kutatás és információ létrehozatalának előmozdítását szolgálja. Több vezető szervezet támogatását élvezi, ezek: a Computer Security Institute, a The Institute of Internal Auditors, a Protiviti, az Information Systems Audit and Control Association, az IT Governance Institute és a Symantec Corporation (NASDAQ: SYMC). A csoport tényeken alapuló kutatást végez a szervezetek hasznos informatikai változásait eredményező, legjobban bevált gyakorlat meghatározására. 

 http://www.itpolicycompliance.com/

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük