Módszerek kényes adatok védelméhez

forrás Prim Online, 2008. január 2. 14:45

Az IT Policy Compliance Group bejelentette, hogy legújabb kutatásának eredménye „Az érzékeny adatok védelmének alapjai” (Core Competencies for Protecting Sensitive Data) címmel elérhető. A világ több mint 450 szervezetétől érkezett válaszokat összefoglaló jelentés megállapítja, hogy 10 szervezet közül csak egy van abban az irigylésre méltó helyzetben, hogy kényes adatai megfelelően védettek. A jelentés az adatvédelem éllovas és sereghajtó cégei közötti különbségeket is elemzi. Bepillantást enged a jobb adatvédelemhez, nagyobb mértékű megfelelőséghez és a versenyelőny megtartásához vezető, bevált módszerekbe.

A kutatás egyik legmeglepőbb eredménye a kényes adatok védelme és a hivatalos előírásoknak való megfelelés közötti összefüggésben mutatkozott meg. A kényes adatok védelmében jeleskedő cégek a hivatalos előírásoknak való megfelelés ellenőrzésekor is jó eredményt produkáltak. A kényes adatok legkisebb mértékű elvesztését felmutató szervezetek szinte mindegyikénél (96 százalék) a hivatalos előírásoknak való megfelelés terén is a legkevesebb kijavítandó hiányosságot találták. A legtöbb kényes adatot elvesztett szervezetek többsége (64 százalék) azonos volt azokkal, ahol a hivatalos előírásoknak való megfelelés terén is a legtöbb kijavítandó hiányosságra bukkantak.

A jelentésben kimutatott kulcsfontosságú témakörök a szervezeti felépítés és stratégia, az ügyfelek alapos ismerete és a kiváló működés. A legkevesebb kényes adatot elvesztő cégek (az éllovasok) és a legnagyobb adatvesztést elszenvedők (a sereghajtók) elemzésekor látható a kevesebb szabály vagy ellenőrzési cél meghatározásának jelentősége, illetve a jogtalan használatot vagy megváltoztatást megakadályozó, sűrűbb értékelésre és az informatikai változáskezelésre törekvés fontossága.

·    Az éllovasok átlagosan 30 ellenőrzési célt határoznak meg, és 19 naponta értékelnek. Ezeknél a cégeknél évente legfeljebb két adatvesztés vagy meg nem felelés fordul elő.
·    A sereghajtók átlagosan 82 ellenőrzési célt határoznak meg, és 230 naponta értékelnek. A sereghajtóknál legalább 13 adatvesztés vagy ‑lopás, illetve legalább 22 meg nem felelés fordul elő.

„A közelmúltban többször is megmutatkozott, mennyire káros hatással lehet egy adatvesztés a szervezet jó hírnevére és stratégiai céljaira. Fontos biztosítani, hogy az adatvesztés és ‑lopás megakadályozása érdekében létezzen kockázatra alapuló irányítás, és hogy ezt az irányítást rendszeresen ellenőrizzék” – mondta Lynn Lawton, CISA, FCA, FIIA, PIIA, FBCS CITP, az ISACA nemzetközi elnöke. „A felmérés eredményei világosan jelzik, hogy a kulcsfontosságú irányítás megválasztása, bevezetése és kommunikálása, valamint hatékonyságának rendszeres értékelése sokkal hasznosabb, és jobb eredményhez vezet, mint az összefüggéstelen, elszigetelt szabályozás bonyolult útvesztőjének folyamatos bővítése.”

A kutatás kimutatta, hogy az irányítás minősége kevésbé fontos, mint a meghatározott kockázatok elleni alkalmassága és az irányítás értékelésének gyakorisága. Azok a szervezetek, amelyek nem vezettek be a kockázatok ellen megfelelő irányítást, és nem értékelik ki elég sűrűn az eljárások és a technika irányítását, nagy valószínűséggel esnek adatvesztés vagy ‑lopás áldozatául. Azoknál a cégeknél fordul elő a legsűrűbben adatvesztés és ‑lopás, ahol nincs ilyen irányítás, vagy csak ritkán ellenőrzik a meglevőt.

„A megfelelési követelmények gyors szaporodása és a jó hírnév elvesztésének fokozott kockázata miatt sosem volt sosem volt annyira fontos az ügyfelek és alkalmazottak adatainak, valamint a szellemi tulajdonnak a védelme, mint manapság” – mondta Rocco Grillo, a Protiviti Inc. műszaki kockázati területének ügyvezető igazgatója. „Még ha nem is tudja száz százalékosan garantálni a védelmet az irányítás, a cégeknek az információvédelem és a kockázatkezelés terén az elvárható igyekezettel kell eljárniuk. A biztonságot és a kényes adatok védelmének hatékonyságát biztosító és növelő, bevált programok sokszorosan kifizetődnek az értékes információ elvesztésének vagy ellopásának megakadályozása révén. Azok a napok már elmúltak, amikor a vezetőség kényelmesen hátradőlhetett, és várhatott a krízisre vagy egy közbejövő eseményre, ami majd cselekvésre sarkallja. Ma mindenkinek előre kell cselekednie.”

Az adatvédelem éllovasainak bevált eljárásai

A legkevesebb adatvesztést elszenvedett szervezetek egyben azok a cégek, amelyek legjobban megfelelnek a hivatalos előírásoknak. Ezek a cégek olyan kulcsfontosságú lépéseket tesznek, amelyek nem csupán minimálisra csökkentik az adatvesztést és növelik a megfelelőséget, hanem az adatsértések anyagi következményeit is minimálisra csökkentik (lásd az előző, „Miért kifizetődő a szabályoknak való megfelelés: veszélyben a jó hírnév és a haszon” című jelentést), és emellett megtarthatóvá teszik a versenyelőnyt.


Ezek a kulcsfontosságú lépések a következők:


A szervezeti struktúra és stratégia kialakítása

·    Világszínvonalú megfelelőségi program bevezetése
·    A szabályzatok, szabványok és eljárások dokumentálása és karbantartása
·    A belső irányítás átszervezése, informatikavédelmi és kockázatkezelési funkciók az ügyfelek alapos ismeretének és a működés kiválóságának kihasználásához

Az ügyfelek alapos ismerete

·    A szabályozásgazdák szerepeinek és felelősségi körének meghatározása
·    Az üzleti és anyagi kockázat felismerése és kezelése
·    Az alkalmazottak oktatása és a szabályok alóli kivételek kezelése

A kiváló működés


·    A belső ellenőrzés kiterjesztése a legtöbb üzleti funkcióra
·    Az irányítás célkitűzéseinek kockázatfüggővé tétele
·    Az irányítási célok számának csökkentése
·    Mérhető irányítás bevezetése
·    A folyamatvezérlés önvizsgálata
·    A műszaki irányítás ellenőrzésének gyakoribbá tétele
·    Teljes körű informatikai változáskezelő program bevezetése
·    A jogtalan használat és változtatás megakadályozása az informatikai változások kezelésével