6 błędów w zakresie zgodności IT, których należy unikać
Opublikowany: 2021-12-06Nastąpił znaczny wzrost regulacji związanych z systemami IT i danymi korporacyjnymi. Wymagane jest, aby specjaliści IT dbali o każdy aspekt tych przepisów, w przeciwnym razie istnieje możliwość poważnych konsekwencji finansowych z powodu ich nieprzestrzegania.
Zaakceptujmy jeden fakt, że zgodność jest częścią życia każdej organizacji, szczególnie tych branż, które są ściśle regulowane, takich jak usługi finansowe, opieka zdrowotna i rząd. W momencie, gdy wspominamy o słowie „zgodność”, natychmiast trafia ono do zespołów ds. prawnych, zgodności i ryzyka. Jednak istnieje duże zaangażowanie działów IT w zapewnienie przestrzegania zgodności organizacji.
Ważne jest, aby dyrektorzy ds. informatyki i inni menedżerowie wyższego szczebla ds. technologii byli świadomi różnych przepisów i wytycznych dotyczących danych, prywatności, bezpieczeństwa i innych elementów regulacyjnych w krajobrazie technologicznym. Tacy dyrektorzy wyższego szczebla mogą odegrać kluczową rolę w zapewnieniu braku niezgodności, dzięki czemu unikną surowej kary.
Na przykład specjaliści IT w sektorach takich jak opieka zdrowotna i innych powiązanych sektorach musieli zapewnić przestrzeganie przepisów HIPAA, co zapewnia bezpieczeństwo i prywatność elektronicznych danych dotyczących opieki zdrowotnej. Widzimy jednak, że ramy regulacyjne stają się coraz bardziej złożone ze względu na ewolucję wielu nowych wytycznych regulacyjnych, takich jak europejskie ogólne przepisy o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA).
Wraz ze Stanami Zjednoczonymi wiele innych krajów stale stosuje podobne protokoły, aby zapewnić ochronę danych osób fizycznych. Zgodność i ramy prawne dla systemów IT, sieci i urządzeń sprzętowych są nieodłączną częścią każdej organizacji. To z pewnością sprawiło, że jest to wielka sprawa dla CIO na całym świecie. W rzeczywistości badania przeprowadzone przez wiodącą agencję Gartner oszacowały, że do końca 2023 r. ponad 75% danych osobowych będzie objętych globalnymi przepisami dotyczącymi prywatności.
Dlatego CIO muszą upewnić się, że przestrzegają określonych procedur i unikają błędów prowadzących do niezgodności. Oto niektóre z błędów zgodności IT, których powinni unikać:
1. Traktowanie audytora jako przeciwnika
Kiedy audytorzy i ewaluatorzy zaczynają kwestionować inicjatywy IT w organizacji i ich wpływ na zgodność, całkiem naturalne jest, że CIO i inni kierownicy wyższego szczebla technicznego przyjmują defensywną postawę. Ci audytorzy zaczną komentować twój proces myślowy. Powoduje to tarcie między nimi, które nigdzie nie prowadzi.
Dlatego zawsze warto przeprowadzić konstruktywną dyskusję twarzą w twarz, zrozumieć perspektywę tych audytorów i starać się działać spójnie na rzecz poprawy środowiska. Najważniejsze jest to, że wszyscy dążą do tego samego celu, w tym ci, którzy stworzyli te wytyczne dotyczące zgodności; celem jest ustanowienie przejrzystości i rozliczalności. Jeśli dyrektorzy ds. informatyki zaczną stosować te wewnętrzne audyty i współpracować z audytorami, istnieje duże prawdopodobieństwo łatwego rozwiązania tych protokołów zgodności.
2. Obsługa czy raczej niewłaściwa obsługa wyjątków
Tak jak każda reguła lub wytyczna ma pewne wyjątki, istnieje również zestaw wyjątków dotyczących zgodności w ramach IT. Rzadko się zdarza, aby wszyscy byli w 100% śledzeni co do joty. Rzeczy się zmieniają ze względu na zmiany w scenariuszach biznesowych i wpływ na klientów. Dlatego zawsze korzystne jest wdrożenie procesu zarządzania wyjątkami dotyczącymi zgodności IT.
Zaczyna się od udokumentowania prostych rzeczy, takich jak to, co jest śledzone i dlaczego może wystąpić konflikt z istniejącą zgodnością. Czy organizacja podejmuje dodatkowe kroki w celu przestrzegania celów zgodności? Czy w organizacji obowiązuje zasada obejścia, która ma charakter trwały, czy też będzie podlegać obserwacji i zatwierdzeniom przed wykonaniem? Oto niektóre z istotnych pytań, które organizacje muszą regularnie zadawać, dokumentować i monitorować, nie mogąc się temu sprzeciwiać lub raczej przyjmować takie wyjątki za pewnik.
Ilekroć jakaś reguła jest pomijana, powinno być odpowiednie wyjaśnienie, ponieważ istnieje potencjalne ryzyko związane z pominięciem takich reguł.
3. Brak gotowości zespołu
Podobnie jak w innych obszarach IT, nawet w przypadku zgodności brak odpowiednich umiejętności, doświadczenia i odpowiedniej wiedzy może powodować poważne problemy. Aby mieć silną strategię dotyczącą zgodności IT, ważne jest posiadanie silnego zespołu. CIO muszą zapewnić, że zespół stale się uczy i doskonali w procesie przestrzegania zgodności z przepisami IT. Takie podejście pomoże IT, zespołom, znacznie poprawić ich wydajność.
Nieuniknione jest, że zgodność IT nie jest tylko obowiązkiem zespołu IT; jest to praktyka międzyfunkcyjna, która sprawia, że jest ona jednakowo odpowiedzialna i odpowiedzialna za każdą osobę w organizacji, niezależnie od funkcji.
4. Bezpieczeństwo kontroli zgodności
Chociaż ważne jest przestrzeganie różnych błędów zgodności IT, w szczególności protokołów regulacyjnych, celem powinno być posiadanie dobrze zdefiniowanej metodologii bezpieczeństwa, która jest zgodna z celem biznesowym organizacji oraz branżą i domeną, w ramach której firma lub działa dział. Kiedy liderzy IT wezmą to pod uwagę i zsynchronizują się z tym podejściem, zgodność staje się wyraźnie osiągniętym wynikiem, a nie jedynym celem.
Zwykle widać, że podstawowe środki bezpieczeństwa nie są skutecznie zarządzane, a raczej słabo, co skutkuje zablokowaniem zgodności. Niektóre przykłady w tej linii to łatanie, zarządzanie lukami, użycie uwierzytelniania dwuskładnikowego do zdalnego dostępu, zarządzanie urządzeniami mobilnymi i politykami BYOD i tak dalej.
5. Ignorowanie niektórych ważnych narzędzi
Obecnie na rynku dostępnych jest mnóstwo narzędzi, które rozwiązują błędy w zakresie zgodności IT. Jest całkiem oczywiste, że zespoły prawne i ds. zgodności pracują w tandemie, aby sfinalizować i pozyskać te narzędzia. Liderzy IT mogą również odegrać znaczącą rolę, pomagając w doborze, finalizacji i wdrażaniu tych rozwiązań w organizacji.
We wrześniu 2021 r. Gartner pomógł globalnemu bractwu biznesowemu, identyfikując trzy obszary, w których zespół ds. zgodności powinien skoncentrować swoje inwestycje na technologii.
Pierwszą inwestycją powinien być podstawowy system ewidencjonowania, który jest podstawowym systemem dla każdej organizacji. Druga inwestycja powinna dotyczyć narzędzi, które usprawniają cyfrowe przepływy pracy, a trzecia to rozwiązania, które pomagają w monitorowaniu i zarządzaniu ryzykiem.
Organizacje nie mogą ignorować faktu, że w dzisiejszym scenariuszu inwestycje w technologię są nieuniknione, niezależnie od tego, jak proste są procesy. Zamiast być metodą pozyskiwania i wdrażania, powinna być inicjatywą obejmującą całe przedsiębiorstwo, skupiającą wszystkich interesariuszy w tym procesie.
6. Nieustrukturyzowane zarządzanie
Wreszcie, mimo że firmy mogły zdefiniować swoje procesy i wprowadzić wszelkie środki w celu kontrolowania tych procesów, to, czego zwykle tracą, to struktura zarządzania i ramy ryzyka. CIO i inni starsi liderzy IT powinni opracować macierz zarządzania, która łączy systemy korporacyjne, bezpieczeństwo informacji oraz zespoły sieci/infrastruktury, aby wspólnie przestrzegać wszystkich zgodności IT. To będzie czynnik napędzający sukces; których brak może okazać się katastrofalny.
Końcowe przemyślenia
Podsumowując, compliance to zbiór wytycznych, które mają nie tylko chronić dane, ale także pomóc w metodycznym i etycznym sposobie funkcjonowania organizacji. Tak, istnieją wyzwania związane z przestrzeganiem tych błędów zgodności IT, ale czy można ich uniknąć? Odpowiedź brzmi nie. W rzeczywistości firmy muszą stale uczyć się i doskonalić w zakresie tych zgodności z przepisami, ułatwiając im życie.