Raport, zamówiony przez firmę McAfee i przygotowany przez Dr. Jonathana Liebenaua, starszego wykładowcę w zakresie systemów informatycznych na Wydziale Zarządzania London School of Economics (LSE), sugeruje, że przedsiębiorstwa mają trudności z zapewnianiem sobie zasobów niezbędnych, by zachować zgodność z odpowiednimi lokalnymi przepisami. Opracowanie zatytułowane „Międzynarodowe perspektywy praktyki w dziedzinie bezpieczeństwa informacji” ostrzega, że reputacja przedsiębiorstwa może ucierpieć w wyniku przepisów dotyczących ujawniania informacji wprowadzonych niedawno w USA i których wprowadzenie jest rozważane w innych krajach.

Trudno dostępna wiedza

Raport pokazuje także, że wiele firm korzysta z bardzo niewielkiej liczby specjalistów, którzy potrafią zarządzać ryzykiem informatycznym i rozumieją zagadnienia zgodności z przepisami. Gdy przedsiębiorstwo z jakichś powodów traci tych ludzi, często trudno jest mu ich zastąpić – nie tylko za pośrednictwem rynku pracy, ale i przez outsourcing.

Wymuszone ujawnienie a reputacja

Najlepszym chyba przykładem bezpośredniego związku pomiędzy zabezpieczeniami informatycznymi, a strategicznymi funkcjami biznesowymi jest wymóg publicznego informowania o naruszeniu bezpieczeństwa. Wymóg ten obowiązuje w prawodawstwie amerykańskim od 2004 r., ale stwarza on poważne zagrożenie dla reputacji firmy i ciągłości prowadzenia biznesu. Niedawne badanie przeprowadzone przez amerykański Instytut Ponemon wykazało, że jedna trzecia (34%) klientów zmieniłaby swój bank po zaledwie jednym przypadku naruszenia jego zabezpieczeń.

Dr Liebenau zaobserwował, że w połowie 2006 r. Informacje o naruszeniu zabezpieczeń w USA pojawiały się z częstością od 8 do 10 zdarzeń na tydzień. Jak dotąd, przypadki naruszenia zabezpieczeń dotyczyły niemal 94 milionów rekordów zawierających poufne dane osobowe.

„Obowiązkowe informowanie o naruszeniach zabezpieczeń będzie miało dalekosiężne implikacje dla zarządzania reputacją przedsiębiorstw” — mówi Dr Jonathan Liebenau, starszy wykładowca w zakresie systemów informatycznych na Wydziale Zarządzania London School of Economics (LSE). „Praktyka zgłaszania naruszeń, obecnie powszechna w USA i szybko rozszerzająca się na niektóre regiony świata, będzie miała wpływ na sposób myślenia jednostek i całych firm o obchodzeniu się z informacjami w ogólności, a ochronie reputacji w szczególności”.

Wzrost ryzyka?

Co ciekawe, wymogi prawne dotyczące ujawniania naruszeń zabezpieczeń mogą zwiększać ryzyko dotyczące bezpieczeństwa, jako że obawy dotyczące zgodności z przepisami, wytycznymi i standardami przeważają nad potrzebami związanymi z rzeczywistym bezpieczeństwem firmy. Ponadto koszty monitorowania i zachowywania zgodności z przepisami mogą skutkować brakiem zasobów w obszarze zwalczania rzeczywistych zagrożeń dla bezpieczeństwa.