6 أخطاء الامتثال لتقنية المعلومات يجب تجنبها
نشرت: 2021-12-06هناك ارتفاع كبير في اللوائح المرتبطة بأنظمة تكنولوجيا المعلومات وبيانات المؤسسة. إنه تفويض أن يهتم محترفو تكنولوجيا المعلومات بكل جانب من هذه اللوائح ، وإلا فهناك احتمال وجود آثار مالية كبيرة بسبب عدم الامتثال.
دعونا نقبل حقيقة واحدة مفادها أن الامتثال هو جزء من حياة أي منظمة ، لا سيما تلك القطاعات الصناعية ، التي تخضع للتنظيم بدرجة عالية مثل الخدمات المالية والرعاية الصحية والحكومة. في اللحظة التي نذكر فيها كلمة الامتثال ، يتردد صداها على الفور مع فرق الامتثال والقانونية والمخاطر. ومع ذلك ، هناك مشاركة كبيرة لأقسام تكنولوجيا المعلومات في ضمان الالتزام بامتثال المنظمة.
من المهم أن يكون مدراء تقنية المعلومات وغيرهم من كبار المسؤولين التنفيذيين في مجال التكنولوجيا على دراية جيدة باللوائح والإرشادات المختلفة حول البيانات والخصوصية والأمان والمكونات التنظيمية الأخرى في المشهد التكنولوجي. يمكن لكبار المسؤولين التنفيذيين أن يلعبوا دورًا محوريًا في ضمان عدم الامتثال ، وبالتالي تجنب عقوبة شديدة.
على سبيل المثال ، يتعين على متخصصي تكنولوجيا المعلومات في قطاعات مثل الرعاية الصحية والقطاعات الأخرى التابعة لها ضمان الالتزام بالامتثال لقانون HIPAA ، والذي يضمن أمان وخصوصية بيانات الرعاية الصحية الإلكترونية. ومع ذلك ، فإننا نرى الإطار التنظيمي يزداد تعقيدًا بسبب تطور العديد من الإرشادات التنظيمية الجديدة مثل اللوائح العامة لحماية البيانات في أوروبا (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA).
إلى جانب الولايات المتحدة ، تتبع العديد من البلدان الأخرى بروتوكولات مماثلة باستمرار لضمان حماية بيانات الأفراد. يعد الامتثال والإطار التنظيمي لأنظمة تكنولوجيا المعلومات والشبكات والأجهزة جزءًا لا يتجزأ من أي مؤسسة. لقد جعل هذا الأمر بالتأكيد مصدر قلق كبير لرؤساء تقنية المعلومات في جميع أنحاء العالم. في الواقع ، قدرت الأبحاث التي أجرتها وكالة Gartner الرائدة أن أكثر من 75٪ من المعلومات الشخصية ستغطيها قوانين الخصوصية العالمية بحلول نهاية عام 2023.
وبالتالي ، يتعين على مدراء تقنية المعلومات التأكد من اتباعهم لإجراءات معينة وتجنب الأخطاء التي تؤدي إلى عدم الامتثال. فيما يلي بعض أخطاء الامتثال لتكنولوجيا المعلومات التي يجب تجنبها:
1. اعتبار المدقق الخاص بك خصمًا
عندما يبدأ المدققون والمقيمون في التشكيك في مبادرات تكنولوجيا المعلومات في مؤسسة ما وتأثيرها على الامتثال ، فمن الطبيعي تمامًا أن يتخذ مدراء تقنية المعلومات وغيرهم من كبار المسؤولين التنفيذيين في مجال التكنولوجيا موقفًا دفاعيًا. سيبدأ هؤلاء المدققون في التعليق على عملية تفكيرك. هذا يخلق احتكاكًا بين الاثنين ، والذي لن يؤدي إلى أي مكان.
وبالتالي ، فمن المستحسن دائمًا إجراء مناقشة بناءة وجهاً لوجه ، وفهم منظور هؤلاء المدققين ومحاولة العمل بشكل متماسك لجعل البيئة أفضل. خلاصة القول هي أن الجميع يعملون لتحقيق نفس الهدف ، بما في ذلك أولئك الذين وضعوا إرشادات الامتثال هذه ؛ الهدف هو إرساء الشفافية والمساءلة. إذا بدأ مدراء تقنية المعلومات في تبني عمليات التدقيق الداخلية هذه وعملوا بطريقة تعاونية مع المراجعين ، فهناك احتمال كبير لمعالجة بروتوكولات الامتثال هذه بسهولة.
2. التعامل مع الاستثناءات أو بالأحرى سوء التعامل معها
مثلما تحتوي كل قاعدة أو دليل إرشادي على بعض الاستثناءات ، هناك أيضًا مجموعة من الاستثناءات للامتثال في إطار عمل تكنولوجيا المعلومات. نادرًا ما يحدث أن يتم اتباع كل شخص بنسبة 100٪ حتى النقطة. تتغير الأشياء بسبب التغيرات في سيناريوهات الأعمال وتأثير العميل. ومن ثم ، فمن المفيد دائمًا تنفيذ عملية لإدارة الاستثناءات حول امتثال تكنولوجيا المعلومات.
يبدأ بتوثيق أشياء بسيطة مثل ما يتم اتباعه ولماذا يمكن أن يكون هناك تعارض محتمل مع الامتثال الحالي. هل تتخذ المنظمة خطوات إضافية للالتزام بأهداف الامتثال؟ هل لدى المنظمة قاعدة تجاوز دائمة بطبيعتها ، أم ستخضع للمراقبة والموافقات قبل تنفيذها؟ هذه بعض الأسئلة ذات الصلة التي يتعين على المنظمات طرحها وتوثيقها ومراقبتها بشكل منتظم وألا تنفر منها أو تأخذ مثل هذه الاستثناءات كأمر مسلم به.
عندما يتم تجاوز قاعدة ، يجب أن يكون هناك تفسير مناسب لأن هناك خطرًا محتملاً متضمنًا عند تجاوز هذه القواعد.
3. فشل استعداد الفريق
تمامًا مثل مجالات تكنولوجيا المعلومات الأخرى ، حتى في حالة التوافق ، يمكن أن يتسبب نقص المهارات والخبرة والمعرفة المناسبة في حدوث مشكلات خطيرة. للحصول على إستراتيجية قوية حول الامتثال لتكنولوجيا المعلومات ، من المهم أن يكون لديك فريق قوي. يحتاج مدراء تقنية المعلومات إلى التأكد من أن الفريق يتعلم باستمرار ويحسن نفسه في عملية الالتزام بالامتثال التنظيمي لتكنولوجيا المعلومات. إن وجود مثل هذا النهج سيساعد تكنولوجيا المعلومات والفرق على تحسين كفاءتهم إلى حد كبير.
لا مفر من أن الامتثال لتكنولوجيا المعلومات ليس فقط مسؤولية فريق تكنولوجيا المعلومات ؛ إنها ممارسة متعددة الوظائف تجعلها مسؤولة ومسؤولة بشكل متساوٍ عن كل فرد في المنظمة ، عبر الوظائف.
4. الامتثال لمراقبة الأمن
في حين أنه من المهم الالتزام بالعديد من أخطاء الامتثال لتكنولوجيا المعلومات ، لا سيما البروتوكولات التنظيمية ، يجب أن يكون الهدف هو الحصول على منهجية أمنية محددة جيدًا تتماشى مع الهدف التجاري للمؤسسة والمجال الرأسي والمجال الذي تحته الشركة أو يعمل القسم. عندما يأخذ قادة تكنولوجيا المعلومات هذا في الاعتبار ويكونون متزامنين مع هذا النهج ، يصبح الامتثال نتيجة محققة بوضوح وليس الهدف الوحيد.
عادة ، يُنظر إلى أن التدابير الأمنية الأساسية لا تدار بشكل فعال ، بل على نحو سيئ ، مما يؤدي إلى عقبة أمام الامتثال. بعض الأمثلة في هذا الخط ستكون التصحيح ، وإدارة الثغرات الأمنية ، واستخدام المصادقة الثنائية للوصول عن بعد ، وإدارة الأجهزة المحمولة وسياسات BYOD ، وما إلى ذلك.
5. تجاهل بعض الأدوات الهامة
اليوم ، هناك عدد كبير من الأدوات المتاحة في السوق والتي تعالج أخطاء الامتثال لتكنولوجيا المعلومات. من الواضح تمامًا أن الفرق القانونية وفرق الامتثال تعمل جنبًا إلى جنب لوضع اللمسات الأخيرة على هذه الأدوات وشرائها ، ويمكن لقادة تكنولوجيا المعلومات أيضًا أن يلعبوا دورًا مهمًا في المساعدة في وضع قائمة مختصرة لهذه الحلول ووضعها في صيغتها النهائية ونشرها في المؤسسة.
في سبتمبر 2021 ، ساعدت شركة Gartner الأخوة التجارية العالمية من خلال تحديد ثلاثة مجالات ينبغي لفريق الامتثال أن يركز استثماراته على التكنولوجيا.
يجب أن يكون الاستثمار الأول في النظام الأساسي لحفظ السجلات ، والذي يعمل كنظام أساسي لأي منظمة. يجب أن يكون الاستثمار الثاني في الأدوات التي تمكّن تدفقات العمل الرقمية ، وأخيرًا ، الاستثمار الثالث هو الحلول التي تساعد في مراقبة المخاطر وإدارتها.
لا يمكن للمنظمات تجاهل حقيقة أن الاستثمار التكنولوجي أمر لا مفر منه في سيناريو اليوم ، بغض النظر عن مدى بساطة العمليات. بدلاً من أن تكون طريقة شراء ونشر ، يجب أن تكون مبادرة على مستوى المؤسسة ، تجمع جميع أصحاب المصلحة معًا في هذه العملية.
6. الحكم غير المنظم
أخيرًا ، على الرغم من أن الشركات قد تكون قد حددت عملياتها ووضعت جميع التدابير للسيطرة على هذه العمليات ، فإن ما يفوتهم عادةً هو هيكل الحوكمة وإطار عمل المخاطر المعمول به. يجب أن يأتي مدراء تقنية المعلومات وغيرهم من كبار قادة تكنولوجيا المعلومات بمصفوفة حوكمة تجمع بين أنظمة المؤسسة وأمن المعلومات وفرق الشبكة / البنية التحتية للالتزام بشكل جماعي بجميع امتثال تكنولوجيا المعلومات. سيكون هذا هو العامل الذي سيقود النجاح ؛ يمكن أن يكون عدم وجودها كارثيا.
افكار اخيرة
باختصار ، الامتثال عبارة عن مجموعة من الإرشادات التي تم إنشاؤها ليس فقط لحماية البيانات ولكن أيضًا للمساعدة بطريقة منهجية وأخلاقية لتشغيل المنظمة. نعم ، هناك تحديات في متابعة أخطاء الامتثال لتكنولوجيا المعلومات هذه ، ولكن هل يمكن تجنبها؟ الجواب لا. في الواقع ، تحتاج الشركات إلى التعلم والتحسين باستمرار حول هذه الامتثال التنظيمي ، مما يجعل حياتهم أكثر بساطة.