Kompromitacja firmy audytorskiej z „wielkiej piątki” – Ernst&Young na pewno przyprawiła o ból głowy wielu managerów decydujących o doborze zewnętrznych firm, wykonujących audyt w ich przedsiębiorstwach. Skoro nie można zaufać wielkim i sprawdzonym markom z miedzynarodową renomą – to komu?
Ernst&Young – światowej renomy firma świadcząca usługi w zakresie doradztwa podatkowego straciła dane 243.000 klientów serwisu Hotels.com, dla którego wykonywała audyt. Skradzione dane zawierały między innymi numery kart kredytowych pracowników takich firm jak Sun Microsystems, IBM, Cisco oraz Nokia.
Wpadka E&Y z pewnością nie spowoduje nagłego odwrotu dużych korporacji od usług świadczonych przez takie firmy jak Deloitte czy PriceWaterhouseCoopers. Ale czy nie zmieni się nasze stereotypowe myślenie, że duży i znany oznacza lepszy? Zapewne umowy zawierane między korporacjami a największymi audytorami zawierają klauzule precyzujące prawne i finansowe konsekwencje wypłynięcia poufnych danych klientów, ale jeśli weźmiemy pod uwagę wartość skradzionych informacji i skalę problemów z jaką boryka się teraz serwis Hotels.com, to trudno mówić o wymiernym zadośćuczynieniu.
Audyt wykonywany przez E&Y dotyczył wprawdzie kwestii księgowych ale jak na firmę, która oferuje również usługi z zakresu bezpieczeństwa IT i doradztwa w zarządzaniu ryzykiem informatycznym, taki przypadek nie powinien mieć miejsca.
Ciężko powiedzieć, by brak wiedzy pracowników firmy audytorskiej o tym, że idąc na lunch powinni zabierać z samochodu laptopa na którym są dane warte miliony wpisuje się w lansowane przez firmę slogany.
Całe zdarzenie można by nazwać wypadkiem przy pracy. I takie uzasadnienie przedstawiłyby zapewne służby PR firmy, gdyby nie fakt, że podobny wypadek miał już miejsce w historii firmy i to w tym roku. Scenariusz podobny – kradzież laptopa, utrata poufnych danych – jak widać nie każdy uczy się na własnych błędach.
Ale przecież szewc bez butów chodzi – nie pierwszy raz firma uznawana za autorytet w danej dziedzinie została ukarana za zaniedbania… właśnie w koronnej dla siebie dyscyplinie. Można tu przywołać liczne znane przypadki firm zajmujących się bezpieczeństwem sieci, którym podmieniono ich własne strony www. O ile w przypadku małych rodzimych firm w takich przypadkach wystarczyła zmiana nazwy firmy, tak w przypadku E&Y zabieg taki jest niemożliwy – zadziałają za to na pewno sztabowcy z działu PR, którzy z przejęciem w głosie ogłoszą, że zawinił „czynnik ludzki” a dokładnie jeden pracownik, który – co podkreślą – nie działał zgodnie z przyjętą w firmie kulturą pracy. Wszystko wróci do normy. Ale ta ‘norma’ jest czymś bardzo umownym, pozorny bowiem stan równowagi trwał będzie do kolejnego incydentu który wywoła podobną dyskusję.
Tym razem hipokryzja i rutyna osób które odpowiadają za bezpieczeństwo innych została surowo ukarana. Szkoda jednak, że nieodpowiedzialność i brak wyobraźni jednej osoby z E&Y oznacza dla serwisu Hotels.com utrate zaufania większości klientów.
