相信最近城中的熱門話題,必定是各個大小公營及私營機構的資料失竊事件,體積無論細小如USB 記憶棒 (俗稱 〝手指〞) ,或大如電腦伺服器 (Server) ,都遇上同樣的遺失事件,究竟是人為失當、還是機構管治的問題?造成的損失是否不可避免還是可以預防?資訊科技部門的角色是什麼?
最近城中的資料遺失事件如雨後春筍,受影響的機構及人數越來越多,其實這類事件並非香港獨有,根據美國身份竊盜資源中心(Identity Theft Resource Center,ITRC)公布的資料,2007年身份資料遺失案件多達446件,比2006年的312件多出40%。
ITRC亦根據資料遺失的產業分類,包括金融業、一般商業、軍事/ 政府機構、教育機構及健康醫 療產業等,發現2007年金融業身份資料遺失件數為31件,佔7%;一般商業有129件,佔28.9%;教育機構有111件,佔24.9%;軍事/ 政府機構有110件,佔24.7%;健康醫療產業有65件,佔14.6%。不過,當中以商業資料遺失所影響的紀錄最多,總計影響了82.6%的紀錄筆數。
去年,IT Policy Compliance Group發表了標竿研究報告《為何企業需要花費於法規遵循上:面臨信譽及營收的風險》-(Why Compliance Pays: Reputations and Revenues at Risk)。根據這份報告,有90% 的公司暴露在資料遺失與遭竊的財務風險下。 藉由實際執行核心的程序及技術控制項並以至少兩個星期一次的頻率來監控這些控制項,則機構即可大幅降低客戶成本增加、營收降低,甚至是股價下滑等風險。
根據報告中資料顯示,在大型企業中,若其目前的營運績效屬較為落後者,則該公司的公開揭露資料遺失機率大約是每3年一次。相反地,成效最佳的組織則可將資料遺失的機率降至為每42年一次。從標竿評比數據顯示,在法規遵循有著卓越表現的組織即為最不會遺失資料的公司,也是業務最不受IT停機影響的公司。
大多數企業與政府機構每年仍受困於高比率的法規遵循缺失,而導致營運中斷、資料遺失及竊取。然而,在機構中發生資料遺失及營運中斷的機率是時間點的問題,如果事前能正確導入一些法規遵循、風險及治理實務,將可大幅降低這些事件的發生率及所造成的影響。
根據Attrition.org資料遺失資料庫(Data Loss Database)的數據顯示,近兩年來,美國每年平均約有280被公開揭露之資料竊取或遺失的事件。這個平均值將會持續攀升,而使消費者、主管機關與政府對資料破壞的重視日益增加。
IT Policy Compliance Group亦報告,這些遺失可能造成重大的業務衝擊。標竿評比數據顯示,公開報告資料遺失的組織預計有8%的客戶及營收損失、若是上市公司則股價下滑8%。而遭受公開揭露資料遺失及竊取的公司,每遺失一筆客戶紀錄則平均會衍生100美元的額外財務支出。
研究顯示最少發生資料遺失、失竊的這些成功機構,在IT方面追求卓越的表現,其方法是改善法規遵循結果,尤其在IT一般控管及IT安全控管及程序方面。值得注意的是,標竿評比數據顯示,最少發生資料遺失的機構至少以每兩星期一次的頻率來持續監督與衡量實際控管與原設定目標之差異。
一套有效的IT治理程序與精確的IT控管目標相結合,再加上企業內建妥適的IT控管組合,可讓企業得以一致性的方式設定政策以及衡量政策的基準。藉由建立可衡量與可重複的IT法規遵循計畫,企業將能夠適當產出資料並確保法規遵循有極佳表現。
希望各個機構多加留意及認真處理資訊方面的管治,以防止資料遺失事件再度發生。
(刋登於資本一週) - 2008年5月17日
