6 Kesalahan Kepatuhan TI yang Harus Dihindari
Diterbitkan: 2021-12-06Ada peningkatan signifikan dalam peraturan yang terkait dengan sistem TI dan data perusahaan. Ini adalah mandat bahwa profesional TI menjaga setiap aspek peraturan ini, atau ada kemungkinan implikasi keuangan yang berat karena ketidakpatuhan.
Mari kita terima satu fakta bahwa kepatuhan adalah bagian dari kehidupan bagi setiap organisasi, terutama vertikal industri, yang sangat diatur seperti layanan keuangan, perawatan kesehatan, dan pemerintah. Saat kami menyebutkan kata kepatuhan, kata itu langsung bergema dengan tim hukum, kepatuhan, dan risiko. Namun, ada keterlibatan yang cukup besar dari departemen TI dalam memastikan kepatuhan terhadap kepatuhan organisasi.
Penting bagi CIO dan eksekutif teknologi senior lainnya untuk mengetahui dengan baik berbagai peraturan dan pedoman seputar data, privasi, keamanan, dan komponen peraturan lainnya dalam lanskap teknologi. Eksekutif senior ini dapat memainkan peran penting dalam memastikan tidak ada ketidakpatuhan, sehingga menghindari hukuman berat.
Misalnya, profesional TI di sektor-sektor seperti perawatan kesehatan dan sektor afiliasi lainnya harus memastikan kepatuhan terhadap kepatuhan HIPAA, yang menjamin keamanan dan privasi data perawatan kesehatan elektronik. Namun, kami melihat kerangka peraturan semakin kompleks karena evolusi banyak pedoman peraturan baru seperti Peraturan Perlindungan Data Umum Eropa (GDPR) dan Undang-Undang Privasi Konsumen California (CCPA).
Seiring dengan Amerika Serikat, banyak negara lain terus mengikuti protokol serupa untuk memastikan data individu dilindungi. Kerangka kerja kepatuhan dan peraturan untuk sistem TI, jaringan, dan perangkat keras adalah bagian tak terpisahkan dari organisasi mana pun. Hal ini tentunya menjadi perhatian besar bagi CIO di seluruh dunia. Faktanya, penelitian oleh agensi terkemuka Gartner memperkirakan bahwa lebih dari 75% informasi pribadi akan dilindungi oleh undang-undang privasi global pada akhir tahun 2023.
Dengan demikian, CIO harus memastikan bahwa mereka mengikuti prosedur tertentu dan menghindari kesalahan yang mengarah pada ketidakpatuhan. Berikut adalah beberapa kesalahan kepatuhan TI yang harus mereka hindari:
1. Mempertimbangkan auditor Anda sebagai musuh
Ketika auditor dan evaluator mulai mempertanyakan inisiatif TI dalam suatu organisasi dan dampaknya terhadap kepatuhan, wajar bagi CIO dan eksekutif teknologi senior lainnya untuk bersikap defensif. Auditor ini akan mulai mengomentari proses berpikir Anda. Ini menciptakan gesekan di antara keduanya, yang tidak akan mengarah ke mana pun.
Oleh karena itu, selalu disarankan untuk melakukan diskusi yang konstruktif dan tatap muka, memahami perspektif auditor ini dan mencoba bekerja secara kohesif untuk membuat lingkungan menjadi lebih baik. Intinya adalah bahwa setiap orang bekerja menuju tujuan yang sama, termasuk orang-orang yang telah membuat pedoman kepatuhan ini; tujuannya adalah untuk membangun transparansi dan akuntabilitas. Jika CIO mulai merangkul audit internal ini dan bekerja secara kolaboratif dengan auditor, ada kemungkinan besar untuk menangani protokol kepatuhan ini dengan mudah.
2. Menangani atau lebih tepatnya salah menangani pengecualian
Sama seperti setiap aturan atau pedoman memiliki beberapa pengecualian, ada juga serangkaian pengecualian untuk kepatuhan dalam kerangka kerja TI. Hampir tidak terjadi bahwa setiap orang adalah 100% diikuti ke titik. Banyak hal berubah karena perubahan skenario bisnis, dan dampak pelanggan. Oleh karena itu, selalu bermanfaat untuk menerapkan proses untuk mengelola pengecualian seputar kepatuhan TI.
Dimulai dengan mendokumentasikan hal-hal sederhana seperti apa yang diikuti dan mengapa ada kemungkinan konflik dengan kepatuhan yang ada. Apakah organisasi mengambil langkah tambahan untuk mematuhi tujuan kepatuhan? Apakah organisasi memiliki aturan bypass, yang bersifat permanen, atau akan menjalani observasi dan persetujuan sebelum dieksekusi? Ini adalah beberapa pertanyaan terkait yang harus ditanyakan dan didokumentasikan oleh organisasi dan dipantau secara teratur dan tidak menjadi penolakan atau lebih tepatnya menerima pengecualian seperti itu begitu saja.
Setiap kali ada aturan yang dilewati, harus ada penjelasan yang tepat karena ada potensi risiko yang terlibat ketika aturan tersebut dilewati.
3. Kegagalan kesiapan tim
Sama seperti bidang TI lainnya, bahkan dalam hal kepatuhan, kurangnya keterampilan, pengalaman, dan pengetahuan yang relevan dapat menyebabkan masalah yang parah. Untuk memiliki strategi yang kuat seputar kepatuhan TI, penting untuk memiliki tim yang kuat. CIO perlu memastikan bahwa tim terus belajar dan meningkatkan diri mereka sendiri dalam proses mematuhi kepatuhan peraturan TI. Memiliki pendekatan seperti itu akan membantu TI, tim, untuk meningkatkan efisiensi mereka secara signifikan.
Tidak dapat dihindari bahwa kepatuhan TI bukan hanya tanggung jawab tim TI; itu adalah praktik lintas fungsi yang membuatnya sama-sama bertanggung jawab dan akuntabel untuk setiap individu dalam organisasi, lintas fungsi.
4. Kepatuhan mengendalikan keamanan
Meskipun penting untuk mematuhi berbagai kesalahan kepatuhan TI, terutama protokol peraturan, tujuannya harus memiliki metodologi keamanan yang terdefinisi dengan baik yang sejalan dengan tujuan bisnis organisasi dan vertikal dan domain di mana perusahaan atau departemen beroperasi. Ketika para pemimpin TI mempertimbangkan hal ini dan selaras dengan pendekatan ini, maka kepatuhan menjadi hasil yang dicapai dengan jelas dan bukan hanya satu-satunya tujuan.
Biasanya, terlihat bahwa langkah-langkah keamanan mendasar tidak dikelola secara efektif, agak buruk, sehingga menghambat kepatuhan. Beberapa contoh di baris ini adalah patching, pengelolaan kerentanan, penggunaan otentikasi 2 faktor untuk akses jarak jauh, pengelolaan perangkat seluler dan kebijakan BYOD, dan sebagainya.
5. Mengabaikan beberapa alat penting
Saat ini, ada banyak sekali alat yang tersedia di pasar untuk mengatasi kesalahan kepatuhan TI. Sangat jelas bahwa tim hukum dan kepatuhan bekerja bersama-sama untuk menyelesaikan dan mendapatkan alat-alat ini, para pemimpin TI juga dapat memainkan peran penting dalam membantu memilih, menyelesaikan, dan menerapkan solusi ini dalam organisasi.
Pada bulan September 2021, Gartner telah membantu persaudaraan bisnis global dengan mengidentifikasi tiga bidang yang harus difokuskan oleh tim kepatuhan dalam investasi mereka pada teknologi.
Investasi pertama harus dalam sistem inti pencatatan, yang bertindak sebagai sistem dasar untuk organisasi mana pun. Investasi kedua harus dalam alat yang memberdayakan alur kerja digital dan terakhir, yang ketiga adalah solusi yang membantu dalam memantau dan mengelola risiko.
Organisasi tidak dapat mengabaikan fakta bahwa investasi teknologi tidak dapat dihindari dalam skenario saat ini, tidak peduli seberapa sederhana prosesnya. Alih-alih menjadi metode pengadaan dan penerapan, ini harus menjadi inisiatif di seluruh perusahaan, menyatukan semua pemangku kepentingan dalam proses ini.
6. Pemerintahan Tidak Terstruktur
Akhirnya, meskipun perusahaan mungkin telah mendefinisikan proses mereka dan menerapkan semua tindakan untuk mengendalikan proses ini, yang biasanya mereka lewatkan adalah struktur tata kelola dan kerangka kerja risiko yang ada. CIO dan pemimpin TI senior lainnya harus membuat matriks tata kelola yang menggabungkan sistem perusahaan, keamanan informasi, dan tim jaringan/infrastruktur untuk secara kolektif mematuhi semua kepatuhan TI. Itu akan menjadi faktor yang akan mendorong kesuksesan; tidak adanya yang dapat membuktikan menjadi bencana.
Pikiran Akhir
Singkatnya, kepatuhan adalah seperangkat pedoman yang dibuat untuk tidak hanya melindungi data tetapi juga untuk membantu dengan cara yang metodis dan etis dalam menjalankan fungsi organisasi. Ya, ada tantangan dalam mengikuti kesalahan kepatuhan TI ini, tetapi bisakah itu dihindari? Jawabannya adalah tidak. Faktanya, perusahaan perlu terus belajar dan meningkatkan kepatuhan terhadap peraturan ini, membuat hidup mereka lebih sederhana.