各种自然灾害和突发事件都有可能导致企业数据丢失，由此造成系统瘫痪。数据丢失在多数企业看来不可避免。在7月底IT Policy Compliance Group发布的《为什么需要合规性—风险之下的信誉与收入》的最新研究报告中，同样显示了令人担忧的结果：87%的被调查企业未部署适当的法规遵从和IT管理方案以减少数据丢失风险，也就是说，10家企业中就有约9家面临因数据丢失或被盗而导致的财务风险。

数据丢失的代价

这样的财务风险到底有多严重？Gartner Group的数据可谓触目惊心：在经历了数据完全丢失而导致系统停运的企业中，有2/5再也没能恢复运营，余下的企业也有1/3在两年内宣告破产。也就是说，六成企业因数据完全丢失而倒闭。而部分数据丢失或被盗同样会给企业造成损失，但很多企业仍未采取相应措施。

根据该份IT Policy Compliance Group报告显示，这些数据丢失会对企业业务造成巨大影响：公开披露了数据丢失的企业预计将导致其客户量及相关收入降低8%；对于上市企业而言，每股股价会下降8%；平均每丢失一个客户记录便会造成100美元的额外损失。过去两年来，美国公开的数据失窃或丢失事件约为平均每年280起，由于消费者、管理机构及政府对数据泄漏的关注程度不断提高，这一平均值很可能会持续上升。

从3年到42年

但是，报告同样显示了一个令人振奋的结果：如果企业通过实施安全过程与技术控制，至少进行每两周1次的安全监控，就可以大幅降低这些风险。比如，在规模较大的企业中，如果当前的安全运营较为落后，每3年便可能出现1次公开披露的数据丢失。相比之下，业绩最佳的企业已将数据丢失的可能性降低到每42年出现1次。这表明，在法规遵从方面表现出色的企业同时也是数据丢失最少、宕机导致业务中断最少的企业。

赛门铁克公司首席软件工程师，IT Policy Compliance Group执行总裁James Hurley认为，尽管企业中出现数据丢失和业务中断的可能性很大，但仍有许多法规遵从、安全风险及治理方法可极大降低这些事件发生的频率及其影响。

该报告表明，数据丢失及失窃情况最少的企业正在通过提高法规遵从来推动IT安全运营，尤其在IT一般控制、IT安全控制以及过程方面。更值得一提的是，数据丢失情况最少的企业至少每2周便会根据目标对控制对象进行监测和评估。

ISACA及IT Governance Institute国际总裁，注册会计师Everett C. Johnson就表示，具有简明IT控制目标的有效IT管理流程，以及适当的内置IT控制组合可帮助企业制定策略，并以此为参照，进行持续评测。通过创建可评估、可重复的IT遵从项目，企业就能够生成足够的数据，并同时确保安全和高水平遵从。

最佳实践有据可依

根据数据丢失情况最少的企业经验，IT Policy Compliance Group报告提供了供企业参考的最佳实践，帮助它们提高IT遵从效率，降低业务宕机时间，减少数据丢失和失窃。这些方法包括：实施更多、更适当的IT控制；减少控制目标，从而简化对照这些目标进行的交流、评测及报告；针对业绩目标建立更高的标准；鼓励形成IT安全运营的企业文化；至少每两周对照目标进行对安全控制的监控、评估及报告；将更多时间及精力用于实现安全控制的自动化。

对于企业来说，除了增加IT预算用于IT安全控制外，潜在数据丢失情况最少，且IT遵从最好的公司正在重新分配资金，对安全设备及软件进行额外投资，特别是针对自动化控制和流程的监控和评测。

这份报告的结果让Protiviti公司技术风险实践总经理Rocco Grillo非常兴奋。他的担心一度代表了企业的普遍问题：提倡风险控制的人员一直希望得到额外的资源，分配给IT监控和控制领域，但是却经常被企业高管要求证明投资回报率，而这份报告却提供了有力的支持证据，证明了企业相应的安全控制不仅需要保障，而且还是预防数据失窃及丢失必不可少的。