Новое исследование IT Policy Compliance Group
Корпорация Symantec распространила информацию о том, что организация IT Policy Compliance Group выпустила новый аналитический отчет, озаглавленный "Почему важно соблюдать правила безопасности: под угрозой репутация и доходы" (Why Compliance Pays: Reputations and Revenues at Risk). Согласно отчету, девять из десяти фирм подвержены финансовому риску из-за потери и кражи данных. Эти риски, которые грозят организациям потерей заказчиков, сокращением доходов и даже снижением стоимости акций, можно значительно уменьшить, внедрив средства процедурного и технического контроля и проверяя эти средства как минимум раз в две недели.
Среди тех крупных предприятий, которые отличаются медлительностью, получившие огласку случаи потери данных могут происходить раз в три года. Напротив, организациям, добившимся наилучших результатов, удается уменьшить вероятность потери данных до одного такого случая за 42 года. Исследования показывают, что организации, в которых правила и нормативы соблюдаются, демонстрируют минимальный уровень потерь данных и нарушений работы из-за простоя IT-систем.
База данных инцидентов потери информации, которую ведет Attrition.org, показывает, что в последние два года в США ежегодно регистрировалось в среднем почти 280 случаев кражи или потери данных, ставших достоянием гласности. Учитывая усиление внимания к случаям утечки данных со стороны потребителей, регулирующих органов и государственных ведомств, можно предположить, что эта средняя цифра увеличится. Исследования показывают также, что организации, пережившие случаи потери или кражи данных, ставшие достоянием гласности, могут рассчитывать на сокращение уровня заказчиков и доходов на 8%; их акции, если это компании открытого типа, могут на столько же понизиться в цене, а дополнительные расходы таких организаций в среднем составляют по $100 на каждую потерянную запись о клиенте.
Исследование показывает, что фирмы, меньше всех пострадавшие от потери и кражи данных, добиваются блестящих результатов в области IT, улучшая показатели соблюдения правил безопасности, особенно в части общих средств управления IT и средств управления и процедур IT-безопасности. Еще важнее то, что минимальные потери данных испытывают те фирмы, которые регулярно - как минимум раз в две недели - контролируют свои показатели и сопоставляют их с целевыми.
Основываясь на опыте организаций с минимальным уровнем случаев потери данных, IT Policy Compliance Group выводит в своем отчете практические меры, помогающие предприятиям улучшить результаты соблюдения IT-правил, сократить простои и уменьшить уровень потери и кражи данных. В число этих мер входят:
· Внедрение большего количества и более подходящих инструментов контроля IT.
· Сокращение количества целей контроля, что упростит процессы информирования, измерений и отчетности.
· Установление более высоких стандартов для целевых показателей
· Поощрение высокой производственной культуры в сфере IT.
· Выполнение процедур контроля, измерения и составления отчетов по поставленным целям как минимум раз в две недели.
· Ассигнование дополнительных ресурсов на автоматизацию процессов контроля.
Кроме расходования большего процента IT-бюджета на контроль за соблюдением правил IT-безопасности, фирмы с минимальным числом случаев потери данных, не ставших достоянием гласности, и минимальным числом нарушений правил и нормативов перераспределяют средства от внешних контрактов на дополнительное оборудование и программное обеспечение, специально предназначенное для автоматизации процессов контроля и измерений.
Среди тех крупных предприятий, которые отличаются медлительностью, получившие огласку случаи потери данных могут происходить раз в три года. Напротив, организациям, добившимся наилучших результатов, удается уменьшить вероятность потери данных до одного такого случая за 42 года. Исследования показывают, что организации, в которых правила и нормативы соблюдаются, демонстрируют минимальный уровень потерь данных и нарушений работы из-за простоя IT-систем.
База данных инцидентов потери информации, которую ведет Attrition.org, показывает, что в последние два года в США ежегодно регистрировалось в среднем почти 280 случаев кражи или потери данных, ставших достоянием гласности. Учитывая усиление внимания к случаям утечки данных со стороны потребителей, регулирующих органов и государственных ведомств, можно предположить, что эта средняя цифра увеличится. Исследования показывают также, что организации, пережившие случаи потери или кражи данных, ставшие достоянием гласности, могут рассчитывать на сокращение уровня заказчиков и доходов на 8%; их акции, если это компании открытого типа, могут на столько же понизиться в цене, а дополнительные расходы таких организаций в среднем составляют по $100 на каждую потерянную запись о клиенте.
Исследование показывает, что фирмы, меньше всех пострадавшие от потери и кражи данных, добиваются блестящих результатов в области IT, улучшая показатели соблюдения правил безопасности, особенно в части общих средств управления IT и средств управления и процедур IT-безопасности. Еще важнее то, что минимальные потери данных испытывают те фирмы, которые регулярно - как минимум раз в две недели - контролируют свои показатели и сопоставляют их с целевыми.
Основываясь на опыте организаций с минимальным уровнем случаев потери данных, IT Policy Compliance Group выводит в своем отчете практические меры, помогающие предприятиям улучшить результаты соблюдения IT-правил, сократить простои и уменьшить уровень потери и кражи данных. В число этих мер входят:
· Внедрение большего количества и более подходящих инструментов контроля IT.
· Сокращение количества целей контроля, что упростит процессы информирования, измерений и отчетности.
· Установление более высоких стандартов для целевых показателей
· Поощрение высокой производственной культуры в сфере IT.
· Выполнение процедур контроля, измерения и составления отчетов по поставленным целям как минимум раз в две недели.
· Ассигнование дополнительных ресурсов на автоматизацию процессов контроля.
Кроме расходования большего процента IT-бюджета на контроль за соблюдением правил IT-безопасности, фирмы с минимальным числом случаев потери данных, не ставших достоянием гласности, и минимальным числом нарушений правил и нормативов перераспределяют средства от внешних контрактов на дополнительное оборудование и программное обеспечение, специально предназначенное для автоматизации процессов контроля и измерений.