要避免的 6 个 IT 合规性错误
已发表: 2021-12-06与 IT 系统和企业数据相关的法规显着增加。 IT 专业人员必须照顾这些法规的各个方面,否则可能会因不合规而造成严重的财务影响。
让我们接受一个事实,即合规是任何组织生活的一部分,尤其是那些受到高度监管的垂直行业,例如金融服务、医疗保健和政府。 我们一提到合规这个词,就会立即引起法律、合规和风险团队的共鸣。 但是,在确保遵守组织的合规性方面,IT 部门有相当多的参与。
重要的是,首席信息官和其他高级技术主管要充分了解技术领域内围绕数据、隐私、安全和其他监管组件的各种法规和指南。 这些高级管理人员可以在确保没有违规行为方面发挥关键作用,从而避免重罚。
例如,医疗保健和其他附属部门等领域的 IT 专业人员必须确保遵守 HIPAA 合规性,从而确保电子医疗保健数据的安全性和隐私性。 然而,我们看到监管框架变得越来越复杂,因为许多新的监管指南如欧洲的通用数据保护条例 (GDPR) 和加州消费者隐私法案 (CCPA) 的演变。
与美国一样,许多其他国家也在不断遵循类似的协议,以确保个人数据受到保护。 IT 系统、网络和硬件设备的合规性和监管框架是任何组织的重要组成部分。 这无疑已成为全球 CIO 非常关注的问题。 事实上,领先机构 Gartner 的研究估计,到 2023 年底,全球隐私法将涵盖超过 75% 的个人信息。
因此,首席信息官必须确保他们遵循某些程序并避免导致不合规的错误。 以下是他们应该避免的一些 IT 合规性错误:
1. 将您的审计师视为对手
当审计员和评估员开始质疑组织中的 IT 计划及其对合规性的影响时,CIO 和其他高级技术主管很自然地会采取防御措施。 这些审核员将开始评论您的思考过程。 这会在两者之间产生摩擦,这不会导致任何地方。
因此,始终建议进行建设性和面对面的讨论,了解这些审核员的观点,并努力团结一致地改善环境。 底线是每个人都在朝着同一个目标努力,包括制定这些合规准则的人; 目标是建立透明度和问责制。 如果首席信息官开始接受这些内部审计并与审计员合作,那么很可能很容易解决这些合规协议。
2. 异常处理或错误处理
正如每条规则或指南都有一些例外一样,IT 框架中也有一组合规性例外。 几乎不会发生每个人都 100% 追随的情况。 由于业务场景的变化和客户的影响,事情会发生变化。 因此,实施一个流程来管理围绕 IT 合规性的异常总是有益的。
它首先记录简单的事情,例如遵循的内容以及可能与现有合规性发生冲突的原因。 组织是否采取额外措施来遵守合规目标? 组织是否有一个永久性的绕过规则,或者在执行之前是否会经过观察和批准? 这些是组织必须定期提出、记录和监控的一些相关问题,而不是反对它,或者更确切地说,这些例外情况是理所当然的。
每当有规则被绕过时,都应该有适当的解释,因为绕过此类规则时会涉及潜在风险。
3. 团队准备失败
就像 IT 的其他领域一样,即使在合规性方面缺乏适当的技能、经验和相关知识,也会导致严重的问题。 要围绕 IT 合规制定强有力的战略,拥有强大的团队非常重要。 CIO 需要确保团队在遵守 IT 法规遵从性的过程中不断学习和改进自己。 采用这种方法将有助于 IT 团队显着提高效率。
IT 合规性不可避免地不仅仅是 IT 团队的责任; 它是一种跨职能实践,使其对组织中的每个人、跨职能部门同样负责和负责。
4.合规控制安全
虽然遵守各种 IT 合规性错误很重要,尤其是监管协议,但目标应该是拥有一个明确定义的安全方法,该方法符合组织的业务目标以及公司或公司所处的垂直领域和领域。部门运作。 当 IT 领导者考虑到这一点并与此方法保持同步时,合规性就成为一个明显实现的结果,而不仅仅是唯一的目标。
通常情况下,基本的安全措施没有得到有效管理,相当糟糕,导致合规障碍。 这一行中的一些示例将是修补、漏洞管理、远程访问使用 2 因素身份验证、移动设备管理和 BYOD 策略等。
5.忽略一些重要的工具
如今,市场上有大量可用的工具来解决 IT 合规性错误。 很明显,法律和合规团队协同工作以最终确定和采购这些工具,IT 领导者也可以在帮助组织中筛选、最终确定和部署这些解决方案方面发挥重要作用。
2021 年 9 月,Gartner 通过确定合规团队应将投资重点放在技术上的三个领域来帮助全球商业兄弟会。
第一项投资应该是记录保存的核心系统,它是任何组织的基础系统。 第二项投资应该是支持数字工作流程的工具,最后,第三项投资是有助于监控和管理风险的解决方案。
组织不能忽视这样一个事实,即在当今的情况下,技术投资是不可避免的,无论流程多么简单。 它不应该是一种采购和部署方法,而应该是一个企业范围的倡议,在这个过程中将所有利益相关者聚集在一起。
6. 非结构化治理
最后,即使公司可能已经定义了他们的流程并采取了所有措施来控制这些流程,但他们通常会错过的是现有的治理结构和风险框架。 CIO 和其他高级 IT 领导者应该提出一个治理矩阵,将企业系统、信息安全和网络/基础架构团队结合起来,共同遵守所有 IT 合规性。 这将是推动成功的因素; 没有这些可能是灾难性的。
最后的想法
总而言之,合规性是一套指导方针,不仅可以保护数据,还可以帮助以有条不紊和合乎道德的方式运作组织。 是的,在遵循这些 IT 合规性错误方面存在挑战,但可以避免吗? 答案是不。 事实上,公司需要不断学习和改进这些法规遵从性,让他们的生活更简单。