Miért Kifizetõdõ A Szabályoknak Való Megfelelés: Veszélyben A Jó Hírnév és A Haszon"

Az IT Policy Compliance Group (Informatikai Szabálymegfelelési Csoport) bejelentette, hogy ?Miért kifizetõdõ a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon" címmel elérhetõ a legújabb kutatásukról szóló jelentés.

A jelentés szerint tíz közül kilenc cégnél pénzügyi kockázatot jelent az adatvesztés és az adatlopás. Az ilyen veszélyek, amelyek ügyfelek elvesztését, csökkenõ bevételt vagy akár a részvényárfolyam csökkenését is okozhatják, jelentõsen csökkenthetõk, ha alapvetõ eljárási és mûszaki felügyeletet vezetnek be, és ezt a felügyeletet legalább kéthetente ellenõrzik.

A nagy cégeknél a nyilvánosságra kerülõ adatvesztés valószínûsége háromévenként egy, ha a cég a lemaradók közé tartozik. A legjobb eredményt felmutató szervezeteknek ezzel szemben sikerült kitolniuk az adatvesztés esélyét 42 évenként egyre. A teljesítmény-felmérés azt mutatja, hogy a szabályoknak leginkább megfelelõen mûködõ cégeknél a legkevesebb az adatvesztés és az informatikai rendszerek leállásából eredõ üzleti zavar.

?A vállalatok és a közintézmények legnagyobb része a szabályoknak való megfelelés terén még mindig évekre való lemaradással küzd, aminek az üzletmenetben bekövetkezõ zavar, adatvesztés és adatlopás a következménye" – mondta James Hurley, a Symantec Corp. kutatásvezetõje és az IT Policy Compliance Group ügyvezetõ igazgatója. ?Bár az adatvesztés és az üzletmenet zavarának bekövetkezése inkább csak idõ kérdése, számos olyan megfelelõségi, kockázatkezelési és irányítási módszer van, amelyekkel, ha jól alkalmazzák õket, jelentõsen csökkenthetõ az ilyen események gyakorisága és következményeik súlyossága." Az adatsérülés ára

Az Attrition.org adatvesztési adatbázisa (Data Loss Database) szerint az Egyesült Államokban az elmúlt két évben évente átlagosan közel 280 nyilvánosságra került adatlopás vagy adatvesztés történt. Ez az átlagérték valószínûleg tovább nõ, és ezáltal egyre jobban ráirányul a fogyasztók, a törvényhozás és a kormányzat figyelme az adatvesztésre. Az IT Policy Compliance Group legújabb jelentése szerint ezeknek az adatvesztéseknek jelentõs az üzleti hatása. A felmérések azt mutatják, hogy a nyilvánosságra került adatvesztést elszenvedett szervezetek nyolc-nyolcszázaléknyi veszteségre számíthatnak a vevõik számában, bevételükben és (a nyílt részvénykereskedelemben részt vevõ cégeknél) a részvényárfolyamban, a közzétett, elvesztett és ellopott adatok esetén pedig ezen felül minden egyes elvesztett fogyasztói adatnál még átlagosan 100 dollár kiadással kell számolniuk.

A felmérés kimutatta, hogy a legkevesebb adatvesztést és adatlopást elszenvedett, sikeres cégeknél az informatika kiváló mûködését a megfelelõségi eredményeknek különösen az általános informatikai irányítás, valamint az informatikabiztonsági irányítás és eljárások terén történõ javításával alapozzák meg. Még figyelemre méltóbb, hogy a felmérés azoknál a cégeknél mutatta ki a legkevesebb adatvesztést, amelyek következetesen, legalább kéthetente ellenõrzik az irányítás helyes mûködését.

?A hatékony, tömör informatikavezérlési célokkal rendelkezõ informatikai irányítási folyamat és a jól összeállított, beépített informatikai irányítás lehetõvé teszi, hogy a vállalatok következetes szabályokat állíthassanak fel, és azok betartását következetesen ellenõrizhessék" – mondta Everett C. Johnson okleveles könyvvizsgáló, az ISACA és az IT Governance Institute nemzetközi elnöke. ?Egy lemérhetõ és megismételhetõ informatikai megfelelõségi program megteremtésével a vállalatok megfelelõen hozhatnak létre adatokat, és biztosíthatják a magas szintû szabálymegfelelést."

Az IT Policy Compliance Group jelentése a vállalatokat informatikai megfelelõségük javításában, az üzlet leállásának, az adatvesztés és az adatlopás csökkentésében segítõ módszerekrõl tájékoztatja a legkevesebb adatvesztést elszenvedett szervezeteknél bevált módszerek alapján. Ezek a lépések az alábbiak:

Erõsebb és helyénvaló informatikai irányítás bevezetése
Az ellenõrzési célok csökkentése, érthetõbbé tétele, ezek alapján történõ felmérés és jelenté
A teljesítménycélok magasabbra tétel
Az informatika kiváló mûködésének serkentése
Az irányítás legalább kéthetente végrehajtott ellenõrzése, felmérése és errõl jelentés készítése
Nagyobb ráfordítás az irányítás automatizálására

Azok a cégek, amelyeknél a legkevesebb a nyilvánosságra nem került, lappangó adatvesztés és a szabályoknak való megfelelés hiányossága, az informatikavédelmi irányításra az informatikai költségvetésbõl fordított nagyobb hányad mellett a külsõ szerzõdésekre fordított kiadásokból – elsõsorban az irányítás és az eljárások ellenõrzésének és felmérésének automatizálása céljára szolgáló – berendezések és szoftverek beszerzésére csoportosítanak át pénzt.

?Az ellenõrzés támogatóitól mindig igazolást követeltek a további ellenõrzésre fordítandó források kiutalásának igazolására. Ebben a jelentésben olyan bizonyítékokat közölnek, amelyek alapján a kellõ kiegészítõ ellenõrzés nem csupán jogos, hanem egyenesen elengedhetetlen az adatlopás és adatvesztés megelõzése érdekében" – mondta Rocco Grillo, a Protiviti Inc. gyakorlati mûszaki kockázatok részlegének ügyvezetõ igazgatója. ?A jelentés a rendszer rugalmasságát is összekapcsolja a megfelelõséggel. Ez újszerû látásmód, bár, amint a tanulmány rámutat, a hatékony ellenõrzés és a rugalmasság között komoly kapcsolat van."

Az IT Policy Compliance Group, amelyet a teljesítmény kutatására és az informatikai szakembereknek a szabályozás és a törvényi megfelelõség feladatkörében a jól bevált gyakorlat elterjesztésével történõ segítésére hoztak létre, két új tag, az ISACA és az IT Governance Institute belépését is bejelentette.

A 65 000-nél több tagot számláló ISACA (www.isaca.org ) az informatikai irányítás, ellenõrzés és biztonság világszerte vezetõ, elismert szerve. Az 1969-ben alapított ISACA nemzetközi konferenciákat támogat, kiadja az Information Systems Control Journalt, információrendszer felülvizsgálati nemzetközi szabványokat hoz létre, valamint a kezdetek óta több mint 50 000 szakember által megszerzett, világszerte elismert CISA, illetve a 2002-ben történt megalapítása óta 6500 szakember által megszerzett CISM minõsítést kezeli.

Az IT Governance Institute (ITGI) (http://www.itgi.org ) létrehozója az ISACA volt 1998-ban. Célja a vállalati informatika irányításának és ellenõrzésének érdekében történõ nemzetközi együttgondolkodás és szabványosítás elõsegítése. Az ITGI szülötte az immár 4.1 változatánál tartó Control Objectives for Information and related Technology (COBIT) és a Val IT. Emellett eredeti kutatásokat és esettanulmányokat kínál a vállalatvezetõségek és igazgatótanácsok informatikai irányítási kötelezettségei terén történõ megsegítésére.

Az IT Policy Compliance Group az informatikai szakembereknek a cégük szabályozási és szabálymegfelelési célkitûzéseinek teljesítésében történõ megsegítését szolgáló kutatás és információ létrehozatalának elõmozdítását szolgálja. Több vezetõ szervezet tagjaiból áll, ezek: a Computer Security Institute, a The Institute of Internal Auditors, a Protiviti, az Information Systems Audit and Control Association, az IT Governance Institute és a Symantec Corporation (NASDAQ: SYMC). A csoport tényeken alapuló kutatást végez a szervezetek informatikai megfelelésének jobbítását eredményezõ, legjobban bevált gyakorlat meghatározására.