Így védhetők a kényes adatok

A jelentés az adatvédelem éllovas és sereghajtó cégei közötti különbségeket is elemzi. Bepillantást enged a jobb adatvédelemhez, nagyobb mértékű megfelelőséghez és a versenyelőny megtartásához vezető, bevált módszerekbe. A kutatás egyik legmeglepőbb eredménye a kényes adatok védelme és a hivatalos előírásoknak való megfelelés közötti összefüggésben mutatkozott meg. A kényes adatok védelmében jeleskedő cégek a hivatalos előírásoknak való megfelelés ellenőrzésekor is jó eredményt produkáltak. A kényes adatok legkisebb mértékű elvesztését felmutató szervezetek szinte mindegyikénél (96 százalék) a hivatalos előírásoknak való megfelelés terén is a legkevesebb kijavítandó hiányosságot találták. A legtöbb kényes adatot elvesztett szervezetek többsége (64 százalék) azonos volt azokkal, ahol a hivatalos előírásoknak való megfelelés terén is a legtöbb kijavítandó hiányosságra bukkantak.

A jelentésben kimutatott kulcsfontosságú témakörök a szervezeti felépítés és stratégia, az ügyfelek alapos ismerete és a kiváló működés. A legkevesebb kényes adatot elvesztő cégek (az éllovasok) és a legnagyobb adatvesztést elszenvedők (a sereghajtók) elemzésekor látható a kevesebb szabály vagy ellenőrzési cél meghatározásának jelentősége, illetve a jogtalan használatot vagy megváltoztatást megakadályozó, sűrűbb értékelésre és az informatikai változáskezelésre törekvés fontossága.

• Az éllovasok átlagosan 30 ellenőrzési célt határoznak meg, és 19 naponta értékelnek. E cégeknél évente legfeljebb két adatvesztés vagy meg nem felelés fordul elő.
• A sereghajtók átlagosan 82 ellenőrzési célt határoznak meg, és 230 naponta értékelnek. A sereghajtóknál legalább 13 adatvesztés vagy  lopás, illetve legalább 22 meg nem felelés fordul elő.

A kutatás kimutatta: az irányítás minősége kevésbé fontos, mint a meghatározott kockázatok elleni alkalmassága és az irányítás értékelésének gyakorisága. Azok a szervezetek, amelyek nem vezettek be a kockázatok ellen megfelelő irányítást, és nem értékelik ki elég sűrűn az eljárások és a technika irányítását, nagy valószínűséggel esnek adatvesztés vagy  lopás áldozatául. Azoknál a cégeknél fordul elő a legsűrűbben adatvesztés és  lopás, ahol nincs ilyen irányítás, vagy csak ritkán ellenőrzik a meglevőt.  

A legkevesebb adatvesztést elszenvedett szervezetek egyben azok a cégek, amelyek legjobban megfelelnek a hivatalos előírásoknak. Ezek a cégek olyan kulcsfontosságú lépéseket tesznek, amelyek nem csupán minimálisra csökkentik az adatvesztést és növelik a megfelelőséget, hanem az adatsértések anyagi következményeit is minimálisra csökkentik, és emellett megtarthatóvá teszik a versenyelőnyt. Ezek a kulcsfontosságú lépések:

A szervezeti struktúra és stratégia kialakítása

• világszínvonalú megfelelőségi program bevezetése
• a szabályzatok, szabványok és eljárások dokumentálása és karbantartása
• a belső irányítás átszervezése, informatikavédelmi és kockázatkezelési funkciók az ügyfelek alapos ismeretének és a működés kiválóságának kihasználásához

Az ügyfelek alapos ismerete

• a szabályozásgazdák szerepeinek és felelősségi körének meghatározása
• az üzleti és anyagi kockázat felismerése és kezelése
• az alkalmazottak oktatása és a szabályok alóli kivételek kezelése

A kiváló működés

• a belső ellenőrzés kiterjesztése a legtöbb üzleti funkcióra
• az irányítás célkitűzéseinek kockázatfüggővé tétele
• az irányítási célok számának csökkentése
• mérhető irányítás bevezetése
• a folyamatvezérlés önvizsgálata
• a műszaki irányítás ellenőrzésének gyakoribbá tétele
• teljes körű informatikai változáskezelő program bevezetése
• a jogtalan használat és változtatás megakadályozása az informatikai változások kezelésével

Az IT Policy Compliance Group az informatikai szakembereknek a cégük szabályozási és szabálymegfelelési céljainak teljesítésében történő megsegítését szolgáló kutatás és információ létrehozatalának előmozdítását szolgálja. Több vezető szervezet támogatását élvezi, ezek: a Computer Security Institute, a The Institute of Internal Auditors, a Protiviti, az Information Systems Audit and Control Association, az IT Governance Institute és a Symantec Corporation. A csoport tényeken alapuló kutatást végez a szervezetek hasznos informatikai változásait eredményező, legjobban bevált gyakorlat meghatározására.