报告:信息安全和审计管理成本控制存在巨大潜力

  • 时间:
  • 浏览:5
  • 来源:5分3D-5分6合平台_5分6合网投平台

IT Policy Compliance Group最新报告:在安全预算相等的情況下,某些公司可能性数据丢失而产生的成本竟比其同行高出149倍

30009年3月2日,IT Policy Compliance Group发布了题为《加强管理信息安全与审计可改善业绩》的最新基准研究报告。该报告在对全球23000多家企业进行调查后得出结论,可能性当前全球经济危机所带来的负面影响,68%的企业在信息安全方面投入明显匮乏。该报告并肩指出,对大多数公司来说,若在信息安全与审计管理最佳实践方面持续增加投入可使其获得超过3000%的经济回报。

 

这俩由计算机安全学精(Computer Security Institute)、国际外部审计师学精(The institute of Internal Auditors)、甫瀚公司(Protiviti)、国际信息系统审计与控制学精(ISACA)、IT治理学精(IT Governance Institute)以及赛门铁克并肩支持的新研究报告主要探讨了以下内容:基于风险的因此 以成效为导向的信息安全预算辦法 ;促进业务和财务风险管理的IT实践;IT审计方面的支出大幅度降低。

       

赛门铁克首席研究经理兼IT Policy Compliance Group总经理Jim Hurley指出:“正如购买免赔保险一样,所有公司都希望都还可不都可以 将客户数据被盗所产生的财务风险和损失或IT系统中断而意味着的业务损失控制在一定范围之内,因此 ,该研究结果表明,可能性一家公司的损失承受度非常之低,要是即便在小处着眼加以改进,也将带来极高的经济回报。”

最关键的业务风险

在IT可能性带来的各种风险中,各公司将以下三项列为最关键的业务风险:敏感信息的保密性;IT信息、资产和控制的完整性性;IT服务的可用性。IT PCG报告利用现有的评判基准,针对这两种风险对公司绩效的影响进行评估,该基准调查的主要结果可分为三类:

最差结果:19%的公司每年经历15次以上的数据丢失或被盗事件,3000小时以上因IT故障带来的业务中断,15种以上不符合IT审计要求的匮乏。

正常结果:68%的公司运营水平“正常”,每年经历3-15次数据丢失或被盗事件,7-79小时以上因IT故障带来的业务中断,3-15种以上不符合IT审计要求的匮乏。

最佳结果:只有13%的公司获得最佳的结果,每年经历3次以下的数据丢失或被盗事件,因IT故障带来的业务中断在7小时以内,3种以下不符合IT审计要求的匮乏。那先 公司每年从那先 方面获得的经济回报为22%至30000%不等。

 

令人意外的是,表现最差和表现最好者之间造成差异的主要意味着并不安全预算的2个。事实上,参与调查者安全预算的差异微乎其微,归根结底还是如保使用那先 预算。根据本次报告,获得最佳结果、大慨经济损失的组织所采用的最佳实践主要有以下两种:

·高级管理团队参与管理风险

·选用风险优先级,改善控制,使流程自动化

·对控制和风险不断进行评估

·采用技术控制、政策和IT变化管理

·实施综合汇报制度

财务表现

调查表明,与那先 IT风险相关的财务结果几乎与IT管理那先 风险所实施的最佳实践完整性对应。毫无现象,采用最佳实践的公司所经历的财务损失成本与频率完整性时会最低。而获得最差结果的公司则浪费了越多的成本,其因数据丢失和被盗所损失的成本大慨全年收入的9.6%,因业务中断所损失的成本几乎大慨全年收入的3%。

在收入达3000亿美元的公司范围内,获得最差结果的企业,其数据丢失或被窃及业务中断所带来的总成本竟高达3.29亿美元,而实施了最佳实践的企业所损失的总成本仅为2220万美元–比前者低149倍。

    

Jim Hurley表示:“企业都还可不都可以 能选用坐等紧急情況经常出现时被迫重新选用优先级;可能性大伙儿儿都还可不都可以 能预先决定,部署那先 已被行业证实的最佳实践以实现最佳利益。”

研究并肩发现,实际上那先 拥有最佳结果的公司在审计费用和支出方面比某些企业低35%至52%。对于那先 公司来说,合理调整用于降低风险、损失和审计费用的支出所带来的经济回报与公司都还可不都可以 承担的损失相比要高出30000-30000,000%。

来自IT Policy Compliance Group成员的观点

IT治理学精IT风险不得劲行动小组成员Brian Barnier说:“这俩报告清楚地表明,公司可从安全性、可用性和某些IT相关业务风险的有效管理中受益,包括主动下载COBIT(信息及相关技术的控制目标)框架等最佳实践,帮助企业采取具体辦法 有效降低风险,使IT价值最大化。”

        

甫瀚公司(Protiviti) 负责信息安全和数据隐私实践的总经理Rocco Grillo说:“IT Policy Compliance Group的研究揭示,那先 致力于改善自己IT安全风险管理的公司将得到各种实惠,包括降低财务风险地处率以及节省IT监管审计费用和支出等,IT PCG的发现使业内推断的最佳实践获得了肯定:那先 采用自上而下的管理辦法 、拥有专人管理和监督业务经营的组织有着最具成本效益、最全面的信息安全计划。”

关于此项研究

IT Policy Compliance Group研究的内容基准来源于其支持机构、顾问机构以及集团外部成员的调查计划以及某些机构调查的主要发现。此报告中最新的基准制定来自于30008年9月到12月间对734家独立并具备资格的组织的调查。所有参与最新基准制定的734家组织皆来自北美洲,其中多数(95%)来自美国。23000家参与组织中大主次(95%)来自美国。某些10%的组织则分别来自欧洲、拉丁美洲、中东、亚洲和亚太地区的国家。