Главная страница - Исследования в области безопасности

Новое исследование показывает, как минимизировать потери данных, контролируя соблюдение правил



Корпорация Symantec распространила информацию о том, что организация IT Policy Compliance Group выпустила новый аналитический отчет, озаглавленный «Почему важно соблюдать правила безопасности: под угрозой репутация и доходы» (Why Compliance Pays: Reputations and Revenues at Risk). Согласно отчету, девять из десяти фирм подвержены финансовому риску из-за потери и кражи данных. Эти риски, которые грозят организациям потерей заказчиков, сокращением доходов и даже снижением стоимости акций, можно значительно уменьшить, внедрив средства процедурного и технического контроля и проверяя эти средства как минимум раз в две недели.

Среди тех крупных предприятий, которые отличаются медлительностью, получившие огласку случаи потери данных могут происходить раз в три года. Напротив, организациям, добившимся наилучших результатов, удается уменьшить вероятность потери данных до одного такого случая за 42 года. Исследования показывают, что организации, в которых правила и нормативы соблюдаются, демонстрируют минимальный уровень потерь данных и нарушений работы из-за простоя ИТ-систем.

«Подавляющее большинство предприятий и государственных учреждений до сих пор страдает от высокого уровня нарушений правил безопасности, что наносит ущерб бизнесу и приводит к потерям и кражам данных, — говорит старший менеджер по исследованиям Symantec и управляющий директор IT Policy Compliance Group Джеймс Херли (James Hurley). — Хотя опасность потери данных и нарушения работы не исключена ни для одной организации – это вопрос не столько “если”, сколько “когда”, – существует ряд приемов для гарантирования соблюдения правил безопасности, снижения риска и оптимального руководства, которые при правильном применении могут значительно уменьшить частоту подобных событий и ослабить их последствия».

Цена утечки данных

База данных инцидентов потери информации, которую ведет Atspanition.org, показывает, что в последние два года в США ежегодно регистрировалось в среднем почти 280 случаев кражи или потери данных, ставших достоянием гласности. Учитывая усиление внимания к случаям утечки данных со стороны потребителей, регулирующих органов и государственных ведомств, можно предположить, что эта средняя цифра увеличится. Исследования показывают также, что организации, пережившие случаи потери или кражи данных, ставшие достоянием гласности, могут рассчитывать на сокращение уровня заказчиков и доходов на 8%; их акции, если это компании открытого типа, могут на столько же понизиться в цене, а дополнительные расходы таких организаций в среднем составляют по $100 на каждую потерянную запись о клиенте.

Практические советы от лидеров в области соблюдения правил безопасности

Исследование показывает, что успешные фирмы, меньше всех пострадавшие от потери и кражи данных, добиваются блестящих результатов в области ИТ, улучшая показатели соблюдения правил безопасности, особенно в части общих средств управления ИТ и средств управления и процедур ИТ-безопасности. Еще важнее то, что минимальные потери данных испытывают те фирмы, которые регулярно — как минимум раз в две недели — контролируют свои показатели и сопоставляют их с целевыми.

«Эффективный процесс руководства ИТ наряду с лаконичными целями и правильным сочетанием встроенных средств управления ИТ позволяет предприятиям согласованным образом устанавливать правила и измерять степень их соблюдения, — говорит Эверетт С. Джонсон (Everett C. Johnson), дипломированный бухгалтер, президент международного отделения ISACA и Института управления ИТ. — Создавая программу соблюдения ИТ-правил с измеримыми и повторяемыми показателями, предприятия получают возможность адекватно создавать информацию и гарантировать высокий уровень безопасности».

Основываясь на опыте организаций с минимальным уровнем случаев потери данных, IT Policy Compliance Group выводит в своем отчете практические меры, помогающие предприятиям улучшить результаты соблюдения ИТ- правил, сократить простои и уменьшить уровень потери и кражи данных. В число этих мер входят:

  • Внедрение большего количества и более подходящих инструментов контроля ИТ
  • Сокращение количества целей контроля, что упростит процессы информирования, измерений и отчетности
  • Установление более высоких стандартов для целевых показателей
  • Поощрение высокой производственной культуры в сфере ИТ
  • Выполнение процедур контроля, измерения и составления отчетов по поставленным целям как минимум раз в две недели
  • Ассигнование дополнительных ресурсов на автоматизацию процессов контроля

Кроме расходования большего процента ИТ-бюджета на контроль за соблюдением правил ИТ-безопасности, фирмы с минимальным числом случаев потери данных, не ставших достоянием гласности, и минимальным числом нарушений правил и нормативов перераспределяют средства от внешних контрактов на дополнительное оборудование и программное обеспечение, специально предназначенное для автоматизации процессов контроля и измерений.

«Сторонникам усиленного контроля всегда было трудно обосновать необходимость выделения ресурсов на дополнительные средства контроля. Этот отчет подтверждает, что определенные дополнительные средства контроля не только оправданы, но и обязательны для предотвращения краж и потерь, — говорит управляющий директор отдела технологических рисков компании Protiviti Рокко Грилло (Rocco Grillo). — К тому же отчет связывает надежность систем с соблюдением правил. Это новая точка зрения, однако, как видно из документа, существует очень тесная связь между эффективным контролем и надежностью».

Организация IT Policy Compliance Group, созданная для проведения исследований и пропаганды практических мер, которые помогают ИТ-профессионалам успешно решать задачи соблюдения отраслевых правил и государственных нормативов, объявила также о принятии в свои ряды двух новых членов: ISACA и Института управления ИТ (IT Governance Institute).

За более подробной информацией и последним выпуском отчета Why Compliance Pays: Reputations and Revenues at Risk обращайтесь, пожалуйста, на веб-сайт www.ITPolicyCompliance.com.

www.daily.sec.ru




Похожие по содержанию материалы раздела: Система комплексного управления безопасностью КУБ получила награду на международной выставке EnterEX 2008 Леонид Рейман расскажет Думе о современных технологиях Новая прошивка iPhone взломана перед официальным выходом Центр мониторинга VOCORD VideoWall представлен на выставке «Передовые технологии и оборудование в ЖКХ Подмосковья» Smart Employee ID от ActivIdentity - финалист премии SC Magazine ТПГ «КОМКОМ» наращивает производственные мощности Компания «Вокорд» - участник выставки «Электроника. Транспорт 2008» Почему пожарная, а не охранно-пожарная система? В Москве все больше городских камер слежения 40% процентов блоггеров рискуют остаться без работы Компания «Вокорд» - победитель конкурса перспективных разработок в области транспортной электроники «Зеленый свет» Большая собака на службе у Терминатора. Военные роботы становятся все больше похожи на живых существ Новые объективы в камерах видеонаблюдения Germikom -FX и –RX Чудо-ошейник читает мысли вслух "Лаборатория Касперского" и РАО "ЕЭС России" подписали соглашение о реализации совместной стратегической программы "Защита информационных систем энергетической отрасли России". Зарегистрировать фирму можно будет через Интернет Компания SafeLine подвела итоги 8-ой Конференции Партнеров группы компаний «Информзащита» Скрытое наблюдение: обучение как ролевая игра Создатель WWW рассказал о том, каким будет интернет через 5 лет

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация