Hi ha hagut molts rumors sobre el govern mandat de compliment de la normativa en els últims anys com a resultat dels volums de les regulacions excessivament confusa i amenaçant inquietant. Les empreses se'ls diu que ha de controlar l'accés a les dades, especificar i proporcionar justificació perquè puguin accedir a quin tipus d'informació. També ha d'haver proves i prova documentada que les dades no es pot accedir per personal no autoritzat. No obstant això, fins on jo sé, no existeixen documents oficials que assenyalen o recomanar com s'ha de fer. Sembla que fins als administradors de sistemes d'informació de cada empresa o organització per esbrinar com. Però després d'una auditoria o una ordre de la cort podria determinar si els procediments van ser els adequats o digne de multes o sancions.
També hi ha requisits de retenció de dades ambigus que semblen posar de forma automàtica moltes petites empreses en situació de risc, simplement per no tenir els recursos en lloc de suportar la càrrega de la retenció a llarg termini de dades. A més de la retenció, ha d'haver també un mitjà de descobriment de dades ràpida. Això es torna extremadament problemàtic quan la gestió empresarial del programari del sistema ha estat desenvolupat per tercers proveïdors. Periòdicament, les noves versions del programari que es publiquen no són capaços d'accedir directament a les dades retingudes per les versions anteriors del programari. Es podria pensar llavors que seria fins als proveïdors de programari per a proporcionar un mitjà per al descobriment de dades, però que podria estar inclinat a cobrar honoraris exorbitants per fer-ho. O hi pot haver un procés de conversió que podria posar en dubte la integritat i l'autenticitat o la puresa històrica de les dades.
Una altra qüestió que afecta a la retenció de dades és que els canvis tecnològics i els avenços en els materials i metodologies de conservació de dades. Per exemple, les dades poden haver estat emmagatzemades a la cinta constantment des de fa anys, però després les unitats de cinta fallen i han de ser reemplaçats amb nous i tecnològicament diferents unitats que no són capaços de llegir les velles gravacions. Per descomptat, una còpia de seguretat completa de les dades existents es realitza en els nous mitjans de comunicació i tot està bé fins que hi hagi una sol · licitud de les dades tal com existia en una data molt anterior a la conversió, o que impliqui els arxius que havien estat esborrades abans d'aquesta data i pot es troba només en les còpies de seguretat de cinta que no poden ser llegits per l'equip existent.
El xifrat de dades presenta un altre dilema en termes de descobriment de dades. Els algorismes de xifrat i les claus no sempre estan gestionats pel personal de Tecnologies de la Informació. Les persones poden protegir amb contrasenya els seus propis documents i xifrar els seus propis correus electrònics, de manera que els intents de descobriment de dades extremadament difícil.
Les petites empreses tenen dificultats per complir amb les regulacions, i pot ser forçat a sortir dels negocis en lloc de gastar els recursos i esforços per posar-les en pràctica. Així que en un moment en què l'economia està patint, les ocupacions són pocs, la desocupació és alt, i tant les empreses grans i petites estan lluitant, al llarg de les regulacions del govern ve a tancar negocis més petits i posar a més persones sense feina.
A l'altre costat de la moneda, però, han sorgit nous negocis que ofereix per ajudar altres empreses tamisar a través de les qüestions de compliment normatiu. I això està bé per a algunes empreses grans i mitjanes empreses i fins i tot algunes companyies petites. Però encara hi ha una gran quantitat de petites empreses i la lluita que simplement no poden justificar la despesa d'alguna cosa que mai pot ser que necessiti. Per descomptat, es podria dir que sobre l'assegurança, també. I això podria ser vist com un tipus d'assegurança. Però en algun moment cal traçar la línia d'algunes de les despeses de negoci només perquè pugui mantenir la seva viabilitat.
Hi ha una gran diferència entre el foment de la governança responsable de dades amb recomanacions per a la implementació reeixida, i la imposició de reglaments i requisits amb penes severes en cas d'incompliment. He estat informat que existeixen aquestes normes, però he estat molt difícil trobar una base do-it-yourself kit per a les petites empreses per aconseguir el compliment, o almenys tenir una millor idea del que s'ha de fer.
De vegades em pregunto si els que l'escriptura i la definició de les regulacions en realitat volen les empreses a fracassar les auditories de compliment, perquè els reguladors poden beneficiar de les multes que imposen.
Tracy Henness
