Ochrona informacji w firmie a koszty

Przeczytaj także: Pracownicy a polityka bezpieczeństwa

Zabezpieczanie informacji na potrzeby postępowania sądowego rozpoczyna się, gdy firma dowie się o obecnie trwającym lub możliwym w przyszłości postępowaniu lub dochodzeniu.

Średnie koszty zabezpieczania informacji na potrzeby postępowania sądowego w dużych przedsiębiorstwach ze standardowymi procedurami wahały się od 500 000 USD do 9 mln USD. Firmy z najmniej skutecznymi procedurami podały kwoty wydatków równe od 1,5 mln do ponad 28 mln USD rocznie. Z kolei duże firmy o najbardziej skutecznych procedurach zabezpieczania informacji poniosły koszty wynoszące tylko od 120 000 do 2,6 mln USD rocznie. Badanie stowarzyszenia ITPCG pokazało, że firmy o najmniej skutecznych procedurach zabezpieczania informacji na potrzeby postępowania sądowego muszą wydawać ponad dziesięć razy więcej niż podobne firmy stosujące bardziej skuteczne procedury.

„Interesującym i - jak się wydaje - logicznie uzasadnionym wnioskiem jest, że firmy szybciej reagujące na prawne prośby o udostępnienie informacji są tymi samymi firmami, które mają najbardziej skuteczne procesy i procedury, dotyczące zachowania zgodności z przepisami oraz ochrony poufnych danych klientów” — mówi Jim Hurley, dyrektor zarządzający stowarzyszenia ITPCG i główny menedżer ds. badań w firmie Symantec.

W badaniu określono również ilość informacji podlegających prośbom o udostępnienie, które należą do informacji przechowywanych w postaci elektronicznej. Informacje przechowywane w postaci elektronicznej stanowią od 50% do 70% danych w dużych przedsiębiorstwach, od 35% do 50% w firmach średniej wielkości i od 20% do 35% w małych firmach. Wprawdzie większy udział informacji przechowywanych w postaci elektronicznej oznacza większą pewność ich dostępności, kompletności oraz poprawności, jednak te korzyści mają wpływ na obsługę prawnych próśb o udostępnienie tylko wtedy, gdy dane są zindeksowane w sposób umożliwiający ich szybkie wyszukiwanie, ochronę, przechowywanie i pobieranie.

Prawnicy, z którymi rozmawiano podczas opracowywania tego raportu, wskazują, że faktyczne wezwania sądowe stanowią niewielką część prawnych próśb o dane, które mogą spowodować zabezpieczenie informacji na potrzeby postępowania. Badanie porównawcze stowarzyszenia ITPCG, uzupełnione dyskusjami z prawnikami, zawiera najbardziej znaczące odpowiedzi rozmówców na temat strategicznych działań, które powinna podjąć firma w celu poprawy wyników, zmniejszenia opłat za usługi prawne oraz ograniczenia wewnętrznych wydatków na wyszukiwanie, pobieranie i ochronę informacji podlegających prośbom o udostępnienie.

Konkretne procedury informatyczne, które poprawiają wyniki i zmniejszają koszty, to:

• Zidentyfikowanie luk w proceduralnych i technicznych mechanizmach kontrolnych.
• Przekształcenie informacji w format elektroniczny.
• Zinwentaryzowanie i zindeksowanie danych w celu umożliwienia ich szybkiego wyszukiwania.
• Zwiększenie częstotliwości monitorowania i pomiarów.
• Uzupełnienie luk w proceduralnych i technicznych mechanizmach kontrolnych.
• Aktualizacja zasad postępowania i procedur.