피해야 할 6가지 IT 규정 준수 실수
게시 됨: 2021-12-06IT 시스템 및 엔터프라이즈 데이터와 관련된 규정이 크게 증가하고 있습니다. IT 전문가가 이러한 규정의 모든 측면을 관리해야 하는 의무가 있습니다. 그렇지 않으면 규정 미준수로 인해 막대한 재정적 영향을 받을 수 있습니다.
규정 준수는 모든 조직, 특히 금융 서비스, 의료 및 정부와 같이 고도로 규제되는 산업 분야의 삶의 일부라는 사실을 받아들이도록 하겠습니다. 컴플라이언스라는 단어를 언급하는 순간 법무팀, 컴플라이언스팀, 위험팀이 공감합니다. 그러나 조직의 규정 준수를 보장하는 데 IT 부서의 상당한 참여가 있습니다.
CIO와 기타 고위 기술 경영진은 기술 환경 내에서 데이터, 개인 정보 보호, 보안 및 기타 규제 구성 요소에 대한 다양한 규정과 지침을 잘 알고 있어야 합니다. 이러한 고위 경영진은 규정 미준수를 방지하는 데 중추적인 역할을 할 수 있으므로 무거운 처벌을 피할 수 있습니다.
예를 들어 의료 및 기타 관련 분야와 같은 분야의 IT 전문가는 전자 의료 데이터의 보안 및 개인 정보 보호를 보장하는 HIPAA 규정 준수를 보장해야 했습니다. 그러나 유럽의 GDPR(일반 데이터 보호 규정) 및 CCPA(캘리포니아 소비자 개인 정보 보호법)와 같은 많은 새로운 규제 지침의 발전으로 인해 규제 프레임워크가 점점 더 복잡해지고 있습니다.
미국과 함께 다른 많은 국가에서도 개인 데이터를 보호하기 위해 유사한 프로토콜을 지속적으로 따르고 있습니다. IT 시스템, 네트워크 및 하드웨어 장치에 대한 규정 준수 및 규제 프레임워크는 모든 조직의 일부입니다. 이것은 확실히 전 세계의 CIO에게 큰 관심사가 되었습니다. 실제로 선도적인 에이전시 Gartner의 연구에 따르면 2023년 말까지 개인 정보의 75% 이상이 글로벌 개인정보 보호법의 적용을 받을 것으로 예상됩니다.
따라서 CIO는 특정 절차를 따르고 규정 위반으로 이어지는 실수를 피해야 합니다. 다음은 피해야 할 IT 규정 준수 실수 중 일부입니다.
1. 감사인을 적으로 간주
감사관과 평가자가 조직의 IT 이니셔티브와 규정 준수에 미치는 영향에 대해 질문하기 시작하면 CIO와 기타 고위 기술 경영진이 방어적인 태도를 취하는 것은 매우 자연스러운 일입니다. 이 감사관은 당신의 사고 과정에 대해 논평하기 시작할 것입니다. 이것은 둘 사이에 마찰을 만들어 아무데도 이끌지 않을 것입니다.
따라서 항상 건설적인 대면 토론을 하고 이러한 감사인의 관점을 이해하고 더 나은 환경을 만들기 위해 응집력 있게 노력하는 것이 좋습니다. 결론은 이러한 규정 준수 지침을 만든 사람을 포함하여 모든 사람이 동일한 목표를 위해 노력하고 있다는 것입니다. 목표는 투명성과 책임성을 확립하는 것입니다. CIO가 이러한 내부 감사를 수용하기 시작하고 감사자와 협력하여 작업하면 이러한 규정 준수 프로토콜을 쉽게 해결할 가능성이 높습니다.
2. 예외 처리 또는 오히려 잘못된 처리
모든 규칙이나 지침에 몇 가지 예외가 있는 것처럼 IT 프레임워크의 규정 준수에도 예외가 있습니다. 모든 사람이 100% 점을 따르는 경우는 거의 없습니다. 비즈니스 시나리오의 변화와 고객 영향으로 인해 상황이 변경됩니다. 따라서 IT 규정 준수와 관련된 예외를 관리하기 위한 프로세스를 구현하는 것이 항상 유리합니다.
무엇을 따르고 있으며 기존 규정 준수와 충돌할 수 있는 이유와 같은 간단한 사항을 문서화하는 것으로 시작합니다. 조직이 규정 준수 목표를 준수하기 위해 추가 조치를 취하고 있습니까? 조직에 본질적으로 영구적인 우회 규칙이 있습니까? 아니면 실행되기 전에 관찰 및 승인을 받아야 합니까? 다음은 조직이 정기적으로 질문하고 문서화하고 모니터링해야 하는 몇 가지 관련 질문이며 이에 대해 거부하거나 그러한 예외를 당연하게 받아들이지 않아야 합니다.
우회된 규칙이 있을 때마다 적절한 설명이 있어야 합니다. 그러한 규칙을 우회할 경우 관련된 잠재적 위험이 있기 때문입니다.
3. 팀 준비 실패
IT의 다른 영역과 마찬가지로 규정 준수의 경우에도 적절한 기술, 경험 및 관련 지식이 부족하면 심각한 문제가 발생할 수 있습니다. IT 규정 준수에 대한 강력한 전략을 세우려면 강력한 팀을 구성하는 것이 중요합니다. CIO는 팀이 IT 규정 준수를 준수하는 과정에서 지속적으로 학습하고 개선하도록 해야 합니다. 이러한 접근 방식을 사용하면 IT, 팀이 효율성을 상당히 개선하는 데 도움이 됩니다.
IT 컴플라이언스가 IT 팀만의 책임이 아닌 것은 불가피합니다. 이는 기능 전반에 걸쳐 조직의 모든 개인에 대해 동등하게 책임을 지고 책임을 지도록 하는 교차 기능 관행입니다.
4. 컴플라이언스 제어 보안
다양한 IT 규정 준수 실수, 특히 규정 프로토콜을 준수하는 것이 중요하지만 조직의 비즈니스 목표와 회사 또는 회사가 속한 수직 및 영역에 부합하는 잘 정의된 보안 방법론을 갖는 것이 목표여야 합니다. 부서 운영합니다. IT 리더가 이 점을 고려하고 이 접근 방식과 동기화하면 규정 준수가 유일한 목표가 아니라 명확하게 달성된 결과가 됩니다.
일반적으로 기본적인 보안 조치가 효과적으로 관리되지 않고 오히려 제대로 관리되지 않아 규정 준수에 장애가 되는 것으로 나타났습니다. 이 라인의 몇 가지 예는 패치, 취약성 관리, 원격 액세스를 위한 2단계 인증 사용, 모바일 장치 및 BYOD 정책 관리 등이 있습니다.
5. 몇 가지 중요한 도구 무시
오늘날 시장에는 IT 규정 준수 실수를 해결할 수 있는 도구가 많이 있습니다. 법무팀과 규정 준수 팀이 협력하여 이러한 도구를 완성하고 조달한다는 것은 분명합니다. IT 리더는 조직에서 이러한 솔루션을 선정하고, 마무리하고, 배포하는 데 중요한 역할을 할 수도 있습니다.
2021년 9월, Gartner는 규정 준수 팀이 기술에 대한 투자를 집중해야 하는 세 가지 영역을 식별하여 글로벌 비즈니스 동호회를 도왔습니다.
첫 번째 투자는 모든 조직의 기반 시스템 역할을 하는 기록 보관의 핵심 시스템에 있어야 합니다. 두 번째 투자는 디지털 워크플로를 강화하는 도구에 있어야 하며 마지막으로 세 번째 투자는 위험 모니터링 및 관리에 도움이 되는 솔루션입니다.
조직은 프로세스가 아무리 단순하더라도 오늘날의 시나리오에서 기술 투자가 불가피하다는 사실을 무시할 수 없습니다. 조달 및 배포 방법이 아니라 전사적 이니셔티브가 되어야 하며 이 프로세스에서 모든 이해 관계자를 하나로 모아야 합니다.
6. 구조화되지 않은 거버넌스
마지막으로, 기업이 프로세스를 정의하고 이러한 프로세스를 제어하기 위한 모든 조치를 취했지만 일반적으로 놓치는 것은 거버넌스 구조와 위험 프레임워크가 마련되어 있다는 것입니다. CIO 및 기타 고위 IT 리더는 엔터프라이즈 시스템, 정보 보안 및 네트워크/인프라 팀을 결합하여 모든 IT 규정 준수를 집합적으로 준수하는 거버넌스 매트릭스를 마련해야 합니다. 그것이 성공을 이끄는 요인이 될 것입니다. 그것의 부재는 비참한 것으로 판명 될 수 있습니다.
마지막 생각들
요약하자면, 규정 준수는 데이터를 보호할 뿐만 아니라 조직을 운영하는 체계적이고 윤리적인 방식을 돕기 위해 만들어진 일련의 지침입니다. 예, 이러한 IT 규정 준수 실수를 따르는 데 어려움이 있지만 피할 수 있습니까? 대답은 '아니오. 실제로 기업은 이러한 규정 준수에 대해 지속적으로 배우고 개선하여 삶을 더 단순하게 만들어야 합니다.