01 августа 2007
Symantec News Release
Новое исследование показывает, как минимизировать потери данных, контролируя соблюдение правил Исследование IT Policy Compliance Group обнаружило, что 87% организаций не выполняет надлежащих процедур по соблюдению правил и управлению ИТ, способствующих
– Корпорация Symantec распространила информацию о том, что организация IT Policy Compliance Group выпустила новый аналитический отчет, озаглавленный «Почему важно соблюдать правила безопасности: под угрозой репутация и доходы» (Why Compliance Pays: Reputations and Revenues at Risk).
Согласно отчету, девять из десяти фирм подвержены финансовому риску из-за потери и кражи данных. Эти риски, которые грозят организациям потерей заказчиков, сокращением доходов и даже снижением стоимости акций, можно значительно уменьшить, внедрив средства процедурного и технического контроля и проверяя эти средства как минимум раз в две недели.
Среди тех крупных предприятий, которые отличаются медлительностью, получившие огласку случаи потери данных могут происходить раз в три года. Напротив, организациям, добившимся наилучших результатов, удается уменьшить вероятность потери данных до одного такого случая за 42 года. Исследования показывают, что организации, в которых правила и нормативы соблюдаются, демонстрируют минимальный уровень потерь данных и нарушений работы из-за простоя ИТ-систем.
"Подавляющее большинство предприятий и государственных учреждений до сих пор страдает от высокого уровня нарушений правил безопасности, что наносит ущерб бизнесу и приводит к потерям и кражам данных, — говорит старший менеджер по исследованиям Symantec и управляющий директор IT Policy Compliance Group Джеймс Херли (James Hurley). — Хотя опасность потери данных и нарушения работы не исключена ни для одной организации – это вопрос не столько "если", сколько "когда", –ществует ряд приемов для гарантирования соблюдения правил безопасности, снижения риска и оптимального руководства, которые при правильном применении могут значительно уменьшить частоту подобных событий и ослабить их последствия".
Цена утечки данных
База данных инцидентов потери информации, которую ведет Attrition.org, показывает, что в последние два года в США ежегодно регистрировалось в среднем почти 280 случаев кражи или потери данных, ставших достоянием гласности. Учитывая усиление внимания к случаям утечки данных со стороны потребителей, регулирующих органов и государственных ведомств, можно предположить, что эта средняя цифра увеличится. Исследования показывают также, что организации, пережившие случаи потери или кражи данных, ставшие достоянием гласности, могут рассчитывать на сокращение уровня заказчиков и доходов на 8%; их акции, если это компании открытого типа, могут на столько же понизиться в цене, а дополнительные расходы таких организаций в среднем составляют по $100 на каждую потерянную запись о клиенте.
Практические советы от лидеров в области соблюдения правил безопасности
Исследование показывает, что успешные фирмы, меньше всех пострадавшие от потери и кражи данных, добиваются блестящих результатов в области ИТ, улучшая показатели соблюдения правил безопасности, особенно в части общих средств управления ИТ и средств управления и процедур ИТ-безопасности. Еще важнее то, что минимальные потери данных испытывают те фирмы, которые регулярно — как минимум раз в две недели — контролируют свои показатели и сопоставляют их с целевыми.
"Эффективный процесс руководства ИТ наряду с лаконичными целями и правильным сочетанием встроенных средств управления ИТ позволяет предприятиям согласованным образом устанавливать правила и измерять степень их соблюдения, — говорит Эверетт С. Джонсон (Everett C. Johnson), дипломированный бухгалтер, президент международного отделения ISACA и Института управления ИТ. — Создавая программу соблюдения ИТ-правил с измеримыми и повторяемыми показателями, предприятия получают возможность адекватно создавать информацию и гарантировать высокий уровень безопасности".
Основываясь на опыте организаций с минимальным уровнем случаев потери данных, IT Policy Compliance Group выводит в своем отчете практические меры, помогающие
предприятиям улучшить результаты соблюдения ИТ- правил, сократить простои и уменьшить уровень потери и кражи данных. В число этих мер входят:
Внедрение большего количества и более подходящих инструментов контроля ИТ
Сокращение количества целей контроля, что упростит процессы информирования, измерений и отчетности
Установление более высоких стандартов для целевых показателей
Поощрение высокой производственной культуры в сфере ИТ
Выполнение процедур контроля, измерения и составления отчетов по поставленным целям как минимум раз в две недели
Ассигнование дополнительных ресурсов на автоматизацию процессов контроля
Кроме расходования большего процента ИТ-бюджета на контроль за соблюдением правил ИТ-безопасности, фирмы с минимальным числом случаев потери данных, не ставших достоянием гласности, и минимальным числом нарушений правил и нормативов перераспределяют средства от внешних контрактов на дополнительное оборудование и программное обеспечение, специально предназначенное для автоматизации процессов контроля и измерений.
"Сторонникам усиленного контроля всегда было трудно обосновать необходимость выделения ресурсов на дополнительные средства контроля. Этот отчет подтверждает, что определенные дополнительные средства контроля не только оправданы, но и обязательны для предотвращения краж и потерь, — говорит управляющий директор отдела технологических рисков компании Protiviti Рокко Грилло (Rocco Grillo). — К тому же отчет связывает надежность систем с соблюдением правил. Это новая точка зрения, однако, как видно из документа, существует очень тесная связь между эффективным контролем и надежностью".
Организация IT Policy Compliance Group, созданная для проведения исследований и пропаганды практических мер, которые помогают ИТ-профессионалам успешно решать задачи соблюдения отраслевых правил и государственных нормативов, объявила также о принятии в свои ряды двух новых членов: ISACA и Института управления ИТ (IT Governance Institute).
За более подробной информацией и последним выпуском отчета Why Compliance Pays: Reputations and Revenues at Risk обращайтесь, пожалуйста, на веб-сайт
www.ITPolicyCompliance.com.
Информация об ISACA
Организация ISACA (www.isaca.org), в которую входят свыше 65 тыс. членов из более чем 140 стран, является признанным мировым лидером в области управления, контроля, обеспечения безопасности и страхования ИТ. Основанная в 1969 году, ISACA проводит международные конференции, издает журнал Information Systems Control Journal, разрабатывает международные стандарты по контролю и управлению информационными системами и присваивает специалистам всемирно уважаемое звание CISA, которое с момента его основания получили свыше 50 тыс. профессионалов, а также новое звание CISM, которое с момента его введения в 2002 году получили 6500 профессионалов.
Институт управления ИТ
Институт управления ИТIT (Governance Institute – ITGI,
http://www.itgi.org) основан организацией ISACA в 1998 году для развития международного подхода и стандартов в области контроля и управления информационными технологиями на предприятиях. ITGI разработал документ "Цели управления информационными и связанными с ними технологиями" (Control Objectives for Information and related Technology - COBIT), который в настоящее время опубликован в версии 4.1, и "Принципы управления инвестициями в IT для достижения бизнес-целей" (Val IT) и предлагает оригинальные исследования и практические примеры, помогающие руководителям предприятий и советам директоров исполнять свои обязанности по руководству ИТ.
IT Policy Compliance Group
Организация IT Policy Compliance Group проводит исследования и предоставляет информацию, которая помогает профессионалам по ИТ-безопасности обеспечить соблюдение правил и нормативов на своих предприятиях. В ее состав входит ряд ведущих учреждений и фирм, в том числе Институт защиты компьютерной информации (Computer Security Institute), Институт внутренних аудиторов (The Institute of Internal Auditors), Protiviti, Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association), Институт управления ИТ (IT Governance Institute) и Symantec Corporation. Организация проводит исследования, основанные на достоверных фактах, с целью определения практических приемов, приводящих к улучшению результатов предприятий по соблюдению ИТ-правил и нормативов. За более подробной информацией обращайтесь, пожалуйста, на веб-сайт
www.ITPolicyCompliance.com.
О корпорации Symantec
Корпорация Symantec — мировой лидер по разработке и продаже программного обеспечения инфраструктуры, которое позволяет предприятиям и индивидуальным пользователям обрести уверенность в мире, где все связаны друг с другом. Компания помогает заказчикам защитить свою инфраструктуру, информацию и контакты, предлагая программное обеспечение и услуги, устраняющие риски для безопасности, доступности, соблюдения нормативных требований и производительности. Штаб-квартира Symantec расположена в Купертино, штат Калифорния, США. Корпорация имеет представительства в 40 странах. За более подробной информацией обращайтесь, пожалуйста, на веб-сайт
www.symantec.com.