6 ข้อผิดพลาดในการปฏิบัติตามข้อกำหนดด้านไอทีที่ควรหลีกเลี่ยง
เผยแพร่แล้ว: 2021-12-06มีกฎระเบียบที่เกี่ยวข้องกับระบบไอทีและข้อมูลองค์กรเพิ่มขึ้นอย่างมาก เป็นหน้าที่ที่ผู้เชี่ยวชาญด้านไอทีต้องดูแลทุกแง่มุมของกฎระเบียบเหล่านี้ มิฉะนั้น มีความเป็นไปได้ที่จะมีผลกระทบทางการเงินอย่างหนักเนื่องจากการไม่ปฏิบัติตามข้อกำหนด
ให้เรายอมรับความจริงข้อหนึ่งว่าการปฏิบัติตามกฎระเบียบเป็นส่วนหนึ่งของชีวิตสำหรับองค์กรใดๆ โดยเฉพาะอย่างยิ่งกลุ่มอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด เช่น บริการทางการเงิน การดูแลสุขภาพ และรัฐบาล ทันทีที่เราพูดถึงคำว่าการปฏิบัติตาม คำนั้นก็สอดคล้องกับทีมกฎหมาย การปฏิบัติตามข้อกำหนด และความเสี่ยงในทันที อย่างไรก็ตาม แผนกไอทีมีส่วนเกี่ยวข้องอย่างมากในการปฏิบัติตามการปฏิบัติตามข้อกำหนดขององค์กร
เป็นสิ่งสำคัญที่ CIO และผู้บริหารระดับสูงด้านเทคโนโลยีจะต้องตระหนักดีถึงกฎระเบียบและแนวทางปฏิบัติต่างๆ เกี่ยวกับข้อมูล ความเป็นส่วนตัว ความปลอดภัย และองค์ประกอบด้านกฎระเบียบอื่นๆ ภายในแนวเทคโนโลยี ผู้บริหารระดับสูงเหล่านี้สามารถมีบทบาทสำคัญในการประกันว่าไม่มีการไม่ปฏิบัติตาม ดังนั้นจึงหลีกเลี่ยงโทษหนัก
ตัวอย่างเช่น ผู้เชี่ยวชาญด้านไอทีในภาคส่วนต่างๆ เช่น การดูแลสุขภาพและภาคส่วนอื่นๆ ในเครือต้องปฏิบัติตามการปฏิบัติตาม HIPAA ซึ่งรับรองความปลอดภัยและความเป็นส่วนตัวของข้อมูลการดูแลสุขภาพอิเล็กทรอนิกส์ อย่างไรก็ตาม เราเห็นกรอบการกำกับดูแลที่มีความซับซ้อนมากขึ้นเรื่อยๆ อันเนื่องมาจากการพัฒนาแนวทางการกำกับดูแลใหม่ๆ เช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของยุโรป (GDPR) และ California Consumer Privacy Act (CCPA)
นอกจากสหรัฐอเมริกาแล้ว ประเทศอื่นๆ อีกหลายแห่งยังปฏิบัติตามโปรโตคอลที่คล้ายคลึงกันอย่างต่อเนื่องเพื่อให้แน่ใจว่าข้อมูลของบุคคลนั้นได้รับการปกป้อง กรอบการปฏิบัติตามกฎระเบียบและข้อบังคับสำหรับระบบไอที เครือข่าย และอุปกรณ์ฮาร์ดแวร์เป็นส่วนหนึ่งขององค์กรใดๆ สิ่งนี้ทำให้ CIO ทั่วโลกกังวลอย่างมาก อันที่จริง การวิจัยโดยหน่วยงานชั้นนำ Gartner คาดการณ์ว่ามากกว่า 75% ของข้อมูลส่วนบุคคลจะถูกครอบคลุมโดยกฎหมายความเป็นส่วนตัวทั่วโลกภายในสิ้นปี 2566
ดังนั้นซีไอโอจึงต้องตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามขั้นตอนบางอย่างและหลีกเลี่ยงข้อผิดพลาดที่นำไปสู่การไม่ปฏิบัติตาม ต่อไปนี้คือข้อผิดพลาดบางประการในการปฏิบัติตามข้อกำหนดด้านไอทีที่ควรหลีกเลี่ยง:
1. ถือว่าผู้สอบบัญชีของคุณเป็นปฏิปักษ์
เมื่อผู้ตรวจสอบและผู้ประเมินเริ่มตั้งคำถามเกี่ยวกับความคิดริเริ่มด้านไอทีในองค์กรและผลกระทบต่อการปฏิบัติตามข้อกำหนด เป็นเรื่องปกติที่ CIO และผู้บริหารระดับสูงด้านเทคโนโลยีคนอื่นๆ จะต่อต้าน ผู้ตรวจสอบเหล่านี้จะเริ่มแสดงความคิดเห็นเกี่ยวกับกระบวนการคิดของคุณ สิ่งนี้ทำให้เกิดแรงเสียดทานระหว่างคนทั้งสองซึ่งจะไม่นำไปสู่ที่ใด
ดังนั้นจึงแนะนำให้มีการอภิปรายอย่างสร้างสรรค์และเห็นหน้ากัน เข้าใจมุมมองของผู้ตรวจสอบเหล่านี้ และพยายามทำงานร่วมกันเพื่อทำให้สิ่งแวดล้อมดีขึ้น สิ่งสำคัญที่สุดคือทุกคนกำลังทำงานเพื่อมุ่งสู่เป้าหมายเดียวกัน รวมถึงผู้ที่สร้างแนวทางการปฏิบัติตามข้อกำหนดเหล่านี้ โดยมีวัตถุประสงค์เพื่อสร้างความโปร่งใสและตรวจสอบได้ หากซีไอโอเริ่มยอมรับการตรวจสอบภายในเหล่านี้และทำงานในลักษณะความร่วมมือกับผู้ตรวจสอบบัญชี มีความเป็นไปได้สูงที่จะจัดการกับโปรโตคอลการปฏิบัติตามข้อกำหนดเหล่านี้ได้อย่างง่ายดาย
2. การจัดการหรือค่อนข้างผิดพลาดเกี่ยวกับข้อยกเว้น
เช่นเดียวกับกฎหรือแนวปฏิบัติทุกข้อมีข้อยกเว้นบางประการ ก็มีชุดข้อยกเว้นสำหรับการปฏิบัติตามในกรอบงานไอทีด้วยเช่นกัน แทบไม่เกิดขึ้นเลยที่ทุกคนตาม 100% จนถึงจุด สิ่งต่าง ๆ เปลี่ยนไปเนื่องจากการเปลี่ยนแปลงในสถานการณ์ทางธุรกิจและผลกระทบต่อลูกค้า ดังนั้นจึงเป็นประโยชน์เสมอที่จะใช้กระบวนการในการจัดการข้อยกเว้นเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านไอที
เริ่มต้นด้วยการบันทึกสิ่งต่างๆ ง่ายๆ เช่น สิ่งที่กำลังติดตาม และเหตุใดจึงอาจมีข้อขัดแย้งที่อาจเกิดขึ้นกับการปฏิบัติตามข้อกำหนดที่มีอยู่ องค์กรกำลังดำเนินการตามขั้นตอนเพิ่มเติมเพื่อให้เป็นไปตามวัตถุประสงค์การปฏิบัติตามหรือไม่? องค์กรมีกฎบายพาสซึ่งมีลักษณะถาวรหรือจะต้องผ่านการสังเกตและอนุมัติก่อนดำเนินการหรือไม่? เหล่านี้คือคำถามที่เกี่ยวข้องบางส่วนที่องค์กรต้องถามและจัดทำเอกสารและติดตามตรวจสอบเป็นประจำ และไม่เกิดความรังเกียจหรือถือเอาข้อยกเว้นดังกล่าวเป็นธรรมดา
เมื่อใดก็ตามที่มีกฎที่ถูกข้าม ควรมีคำอธิบายที่เหมาะสม เนื่องจากมีความเสี่ยงที่อาจเกิดขึ้นเมื่อมีการข้ามกฎดังกล่าว
3. ความพร้อมของทีมล้มเหลว
เช่นเดียวกับด้านอื่นๆ ของไอที แม้ว่าการปฏิบัติตามข้อกำหนดจะขาดทักษะ ประสบการณ์ และความรู้ที่เกี่ยวข้องที่เหมาะสม อาจทำให้เกิดปัญหาร้ายแรงได้ การมีกลยุทธ์ที่แข็งแกร่งเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านไอที จำเป็นต้องมีทีมที่แข็งแกร่ง ซีไอโอจำเป็นต้องตรวจสอบให้แน่ใจว่าทีมเรียนรู้และพัฒนาตนเองอย่างต่อเนื่องในกระบวนการปฏิบัติตามกฎระเบียบด้านไอที การมีแนวทางดังกล่าวจะช่วยให้ฝ่ายไอที ทีมงาน ปรับปรุงประสิทธิภาพได้อย่างมาก
การปฏิบัติตามข้อกำหนดด้านไอทีไม่ได้เป็นเพียงความรับผิดชอบของทีมงานไอทีอย่างหลีกเลี่ยงไม่ได้ เป็นแนวปฏิบัติข้ามสายงานทำให้ทุกคนในองค์กรมีความรับผิดชอบและรับผิดชอบเท่าเทียมกันในทุกหน่วยงาน
4. การปฏิบัติตามการควบคุมความปลอดภัย
แม้ว่าจะเป็นสิ่งสำคัญที่จะต้องปฏิบัติตามข้อผิดพลาดต่างๆ ในการปฏิบัติตามกฎระเบียบด้านไอที โดยเฉพาะอย่างยิ่งโปรโตคอลการกำกับดูแล วัตถุประสงค์ควรจะต้องมีวิธีการรักษาความปลอดภัยที่กำหนดไว้อย่างดีซึ่งสอดคล้องกับวัตถุประสงค์ทางธุรกิจขององค์กรและแนวดิ่งและโดเมนที่บริษัทหรือ แผนกดำเนินการ เมื่อผู้นำด้านไอทีคำนึงถึงปัจจัยนี้และสอดคล้องกับแนวทางนี้ การปฏิบัติตามข้อกำหนดจะกลายเป็นผลลัพธ์ที่ชัดเจนและไม่ใช่แค่เป้าหมายเดียว
โดยปกติ จะเห็นว่ามาตรการรักษาความปลอดภัยขั้นพื้นฐานไม่ได้รับการจัดการอย่างมีประสิทธิภาพ ค่อนข้างแย่ ส่งผลให้เกิดสิ่งกีดขวางบนถนนสำหรับการปฏิบัติตาม ตัวอย่างบางส่วนในบรรทัดนี้ ได้แก่ การแพตช์ การจัดการช่องโหว่ การใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยสำหรับการเข้าถึงระยะไกล การจัดการอุปกรณ์มือถือและนโยบาย BYOD เป็นต้น
5. ละเลยเครื่องมือสำคัญบางอย่าง
ทุกวันนี้ มีเครื่องมือมากมายในตลาดที่สามารถจัดการกับข้อผิดพลาดในการปฏิบัติตามข้อกำหนดด้านไอทีได้ เห็นได้ชัดว่าทีมกฎหมายและการปฏิบัติตามกฎระเบียบทำงานควบคู่กันเพื่อสรุปผลและจัดหาเครื่องมือเหล่านี้ ผู้นำด้านไอทีสามารถมีบทบาทสำคัญในการช่วยในการคัดเลือก ดำเนินการขั้นสุดท้าย และปรับใช้โซลูชันเหล่านี้ในองค์กร
ในเดือนกันยายน พ.ศ. 2564 Gartner ได้ช่วยสมาคมธุรกิจระดับโลกโดยระบุสามด้านที่ทีมการปฏิบัติตามกฎระเบียบควรมุ่งเน้นการลงทุนด้านเทคโนโลยี
การลงทุนครั้งแรกควรอยู่ในระบบหลักของการเก็บบันทึกซึ่งทำหน้าที่เป็นระบบพื้นฐานสำหรับองค์กรใดๆ การลงทุนครั้งที่สองควรอยู่ในเครื่องมือที่ส่งเสริมเวิร์กโฟลว์ดิจิทัล และสุดท้ายประการที่สามคือโซลูชันที่ช่วยในการตรวจสอบและจัดการความเสี่ยง
องค์กรไม่สามารถละเลยความจริงที่ว่าการลงทุนด้านเทคโนโลยีเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในสถานการณ์ปัจจุบัน ไม่ว่ากระบวนการจะง่ายเพียงใด แทนที่จะเป็นวิธีการจัดหาและปรับใช้ ควรเป็นความคิดริเริ่มทั่วทั้งองค์กร โดยนำผู้มีส่วนได้ส่วนเสียทั้งหมดมารวมกันในกระบวนการนี้
6. การกำกับดูแลที่ไม่มีโครงสร้าง
สุดท้าย แม้ว่าบริษัทต่างๆ อาจกำหนดกระบวนการและกำหนดมาตรการทั้งหมดเพื่อควบคุมกระบวนการเหล่านี้ แต่สิ่งที่พวกเขามักจะพลาดไปคือโครงสร้างการกำกับดูแลและกรอบความเสี่ยง ซีไอโอและผู้นำไอทีอาวุโสอื่นๆ ควรมีเมทริกซ์การกำกับดูแลที่รวมระบบองค์กร ความปลอดภัยของข้อมูล และทีมเครือข่าย/โครงสร้างพื้นฐานเพื่อปฏิบัติตามข้อกำหนดด้านไอทีทั้งหมด นั่นจะเป็นปัจจัยที่จะขับเคลื่อนความสำเร็จ การขาดซึ่งสามารถพิสูจน์ได้ว่าเป็นหายนะ
ความคิดสุดท้าย
โดยสรุปแล้ว การปฏิบัติตามข้อกำหนดคือชุดของแนวทางปฏิบัติที่สร้างขึ้นเพื่อไม่เพียงแต่ปกป้องข้อมูลเท่านั้น แต่ยังช่วยในการทำงานขององค์กรอย่างมีระเบียบและมีจริยธรรม ใช่ มีความท้าทายในการปฏิบัติตามข้อผิดพลาดด้านไอทีเหล่านี้ แต่จะหลีกเลี่ยงได้หรือไม่ คำตอบคือไม่ ที่จริงแล้ว บริษัทต่างๆ จำเป็นต้องเรียนรู้และปรับปรุงการปฏิบัติตามกฎระเบียบเหล่านี้อยู่เสมอ ทำให้ชีวิตของพวกเขาง่ายขึ้น