IT Policy Compliance Group פרסם את דוח המחקר ההשוואתי האחרון שלו, שכותרתו: "למה תאימות (Compliance) משתלמת: מוניטין והכנסות בסיכון".
סיכון פיננסי
לפי הדוח, תשע מתוך עשר חברות חשופות לסיכון פיננסי מאובדן וגניבת נתונים. סיכונים אלה, העלולים לעלות לארגונים בלקוחות, הכנסות מופחתות, וירידה במחיר מניה, ניתנים להפחתה משמעותית על-ידי הטמעת בקרות ליבה נוהליות וטכניות, וניטור בקרות אלה לפחות פעם בשבועיים.
בקרב ארגונים גדולים יותר, הסבירות של אובדן נתונים הנחשף פומבית הנה פעם בשלוש שנים אם החברה אינה פועלת כיום בתנופה בתחום זה. בניגוד לכך, ארגונים עם התוצאות הטובות ביותר הקטינו את הסבירות של אובדן נתונים לפעם בכל 42 שנים. התוצאות מראות כי הארגונים המצטיינים בתאימות, הן אותן חברות עם השיעור הנמוך ביותר של אובדן נתונים והפרעות עסקיות בעקבות השבתות IT.
"החלק הארי של עסקים ומוסדות ציבור עדיין נאבקים עם שיעור גבוה של תקלות תאימות שנתיות, הבאות לביטוי בהפרעות לעסקים, אובדן נתונים וגניבתם", אומר ג'יימס הארלי, מנהל מחקר בכיר בסימנטק ומנהל ה-IT Policy Compliance Group. "בעוד הסבירות של אובדן נתונים ופגיעות עסקיות המתרחשות בארגון היא פחות עניין של "אם" מאשר "מתי", הרי יש מספר נוהלי תאימות, סיכונים ואחריות, אשר אם יוטמעו כהלכה יפחיתו משמעותית את התדירות והפגיעה של אירועים אלה".
העלות של פריצה לנתונים
לפי מסד נתוני אובדן נתונים של Attrition.org, בארה"ב היו בממוצע 280 אירועים שפורסמו פומבית של גניבת או אובדן נתונים בשנה במהלך השנתיים האחרונות. ממוצע זה צפוי לעלות בהתחשב במיקוד הגובר בפריצות לנתונים על-ידי צרכנים, גופי רגולציה וממשלות.
לפי הדוח האחרון של IT Policy Compliance Group, אובדן נתונים כזה עלול לגרום פגיעה עסקית משמעותית. מחקרים השוואתיים מראים כי ארגונים המתנסים באובדן נתונים המדווח פומבית, מצפים לירידה של 8 אחוזים בלקוחות והכנסות, 8 אחוזים ירידה במחיר המניה לחברות ציבוריות, והוצאה נוספת המגיעה בממוצע ל-100 דולר לרשומת לקוח אבודה לחברות החוות אובדן וגניבת נתונים המתפרסמים פומבית.
נהלים מומלצים ממובילי תאימות
המחקר מראה כי חבורת מצליחות, אלה אם המספר הנמוך ביותר של אובדן וגניבות נתונים, מקדמות מצוינות תפעולית ב-IT על-ידי שיפור תוצאות תאימות, במיוחד בנהלים ובקרות IT כלליים ובקרות אבטחת IT. יש לציין כי המחקרים מראים על שיעור אובדן נתונים הנמוך ביותר בקרב חברות המנטרות ומודדות בקרות מול יעדים בעקביות, לפחות פעם בשבועיים.
"תהליך ניהול IT יעיל עם יעדי בקרת IT, לצד התמהיל הנכון של בקרות IT מובנות, מאפשר לעסקים לקבוע מדיניות ולמדוד מול מדיניות זאת באופן קונסיסטנטי", אומר רו"ח אוורט ג'ונסון, נשיא בינלאומי של ה-IT Governance Institute ו-ISACA. "על-ידי יצירת תוכנית ציות IT ניתנת למדידה וחוזרת על עצמה, עסקים מסוגלים לייצר נתונים כהלכה, ולהבטיח רמה גבוהה של תאימות".
על בסיס מה שעובד בקרב ארגונים עם רמות אובדן נתונים הנמוכות ביותר, דוח ה-IT Policy Compliance Group מזהה נהלים אשר יסייעו לעסקים בשיפור תוצאות ציות IT, הפחתת השבתות עסקיות, והפחתת אובדן וגניבת נתונים.
צעדים אלה כוללים: הטמעת יותר בקרות IT מתאימות, צמצום מספר יעדי בקרות, וכך להקל על תקשורת, מדידה ודיווח מולן, קביעת סטנדרטים גבוהים עבור יעדי ביצועים, עידוד תרבות של מצוינות תפעולית ב-IT, ביצוע של ניטור, מדידות ודיווח של בקרות מול יעדים לפחות פעם בשבועיים והקצאת יותר תקציב לאוטומציית בקרות.
בנוסף להוצאת אחוזים גבוהים יותר של תקציב ה-IT על בקרות אבטחת IT, החברות עם השיעור הנמוך ביותר של אובדן נתונים הנחשף פומבית והמספר הנמוך ביותר של תקלות תאימות, מקצות מחדש כספים ועוברות מהוצאה על חוזים חיצוניים למימון נוסף של ציוד ותוכנה, במיוחד כאלה המיועדים למיכון הניטור והמדידה של בקרות ונהלים.