Procedury zabezpieczania informacji
Firmy o mało skutecznych procedurach wydają ponad dziesięć razy więcej od firm ze skutecznymi procedurami zabezpieczania informacji na potrzeby postępowania sądowego.
Stowarzyszenie IT Policy Compliance Group (ITPCG) opublikowało swój najnowszy raport zawierający testy porównawcze, zatytułowany „Improving Results for the Legal Custody of Information” (Poprawa skuteczności zabezpieczenia informacji na potrzeby postępowania sądowego). W wyniku rozmów przeprowadzonych z 235 firmami odkryto, że koszty związane z zabezpieczaniem informacji na potrzeby postępowania sądowego istotnie się różnią i zależą od wielkości firmy oraz skuteczności obowiązujących w firmie procedur zabezpieczenia informacji. Zabezpieczanie informacji na potrzeby postępowania sądowego rozpoczyna się, gdy firma dowie się o obecnie trwającym lub możliwym w przyszłości postępowaniu lub dochodzeniu.
Średnie koszty zabezpieczania informacji na potrzeby postępowania sądowego w dużych przedsiębiorstwach ze standardowymi procedurami wahały się od 500 000 USD do 9 mln USD. Firmy z najmniej skutecznymi procedurami podały kwoty wydatków równe od 1,5 mln do ponad 28 mln USD rocznie. Z kolei duże firmy o najbardziej skutecznych procedurach zabezpieczania informacji poniosły koszty wynoszące tylko od 120 000 do 2,6 mln USD rocznie. Badanie stowarzyszenia ITPCG pokazało, że firmy o najmniej skutecznych procedurach zabezpieczania informacji na potrzeby postępowania sądowego muszą wydawać ponad dziesięć razy więcej niż podobne firmy stosujące bardziej skuteczne procedury.
„Interesującym i – jak się wydaje – logicznie uzasadnionym wnioskiem jest, że firmy szybciej reagujące na prawne prośby o udostępnienie informacji są tymi samymi firmami, które mają najbardziej skuteczne procesy i procedury, dotyczące zachowania zgodności z przepisami oraz ochrony poufnych danych klientów” — mówi Jim Hurley, dyrektor zarządzający stowarzyszenia ITPCG i główny menedżer ds. badań w firmie Symantec.
W badaniu określono również ilość informacji podlegających prośbom o udostępnienie, które należą do informacji przechowywanych w postaci elektronicznej. Informacje przechowywane w postaci elektronicznej stanowią od 50% do 70% danych w dużych przedsiębiorstwach, od 35% do 50%
w firmach średniej wielkości i od 20% do 35% w małych firmach. Wprawdzie większy udział informacji przechowywanych w postaci elektronicznej oznacza większą pewność ich dostępności, kompletności oraz poprawności, jednak te korzyści mają wpływ na obsługę prawnych próśb
o udostępnienie tylko wtedy, gdy dane są zindeksowane w sposób umożliwiający ich szybkie wyszukiwanie, ochronę, przechowywanie i pobieranie.
Prawnicy, z którymi rozmawiano podczas opracowywania tego raportu, wskazują, że faktyczne wezwania sądowe stanowią niewielką część prawnych próśb o dane, które mogą spowodować zabezpieczenie informacji na potrzeby postępowania. Badanie porównawcze stowarzyszenia ITPCG, uzupełnione wieloma szczegółowymi dyskusjami z prawnikami, zawiera najbardziej znaczące odpowiedzi rozmówców na temat strategicznych działań, które powinna podjąć firma w celu poprawy wyników, zmniejszenia opłat za usługi prawne oraz ograniczenia wewnętrznych wydatków
na wyszukiwanie, pobieranie i ochronę informacji podlegających prośbom o udostępnienie.
Konkretne procedury informatyczne, które poprawiają wyniki i zmniejszają koszty, to:
• Zidentyfikowanie luk w proceduralnych i technicznych mechanizmach kontrolnych.
• Przekształcenie informacji w format elektroniczny.
• Zinwentaryzowanie i zindeksowanie danych w celu umożliwienia ich szybkiego wyszukiwania.
• Zwiększenie częstotliwości monitorowania i pomiarów.
• Uzupełnienie luk w proceduralnych i technicznych mechanizmach kontrolnych.
• Aktualizacja zasad postępowania i procedur.
Najbardziej przydatne technologie, poprawiające wyniki przy najniższych wydatkach to:
• Tworzenie kopii zapasowych i archiwizacja.
• Narzędzia do rejestracji i konwersji danych.
• Narzędzia do indeksowania danych i zapisów.
• Narzędzia do obsługi przechowywania i usuwania zapisów.
• Narzędzia do szkolenia pracowników.
Wypowiedzi przedstawicieli firm członkowskich stowarzyszenia ITPCG
„Według raportu właściwe zarządzanie technologiami informatycznymi, obejmujące zarządzanie danymi oraz dbanie o aktualność zasad postępowania i procedur, pomaga firmie w skutecznym
i dokładnym spełnieniu wymagań prawnych” — mówi Everett Johnson, biegły rewident, poprzedni prezes stowarzyszenia ISACA. „Zdecydowane zarządzanie technologiami informatycznymi pomaga kierownictwu w optymalnym wykorzystaniu zasobów informatycznych, zwiększa zaufanie do informacji pochodzących z systemów informatycznych oraz zmniejsza ryzyko związane z technologią — wszystkie te efekty mają zasadnicze i coraz większe znaczenie w świetle wniosków raportu, mówiących o ilości czasu przeznaczanego przez działy informatyczne na obsługę wezwań sądowych”.
„Odpowiednie gromadzenie i późniejsze traktowanie wymaganych przepisami danych umożliwia firmie uniknięcie zarzutów niszczenia dokumentów oraz zaoszczędzenie istotnych kwot, a także pomaga chronić pracowników, klientów i samą firmę” — twierdzi Lily Bi, należąca do stowarzyszeń CIA, CISA, dyrektor ds. procedur technicznych stowarzyszenia Institute of Internal Auditors. „Strategiczne działania podjęte na podstawie tych wniosków z badania mogą być wartościowe dla wewnętrznych organów kontrolnych, próbujących zmniejszyć ryzyko i usprawnić procedury obowiązujące w tym obszarze”.
Informacje o badaniu
Najnowsze testy porównawcze, które stanowiły podstawę dla tego raportu, zostały przeprowadzone w 235 wybranych firmach. Większość firm (90%), które wzięły udział w badaniach, ma swoją siedzibę w Stanach Zjednoczonych. Pozostałe 10% znajduje się w innych państwach (m.in. Australia, Brazylia, Kanada, Francja, Niemcy, Irlandia, Japonia, Holandia, Polska, Singapur, Hiszpania, Zjednoczone Emiraty Arabskie, Wielka Brytania).
(red)
Zaloguj się Logowanie