6 greșeli de conformitate IT de evitat

Publicat: 2021-12-06

Există o creștere semnificativă a reglementărilor asociate cu sistemele IT și datele întreprinderii. Este un mandat ca profesioniștii IT să se ocupe de fiecare aspect al acestor reglementări, altfel există o posibilitate de implicare financiară grea din cauza nerespectării.

Să acceptăm un fapt că conformitatea este o parte a vieții oricărei organizații, în special pentru acele sectoare industriale, care sunt foarte reglementate, cum ar fi serviciile financiare, asistența medicală și guvernul. În momentul în care menționăm cuvântul conformitate, acesta rezonează imediat cu echipele legale, de conformitate și de risc. Cu toate acestea, există o implicare considerabilă a departamentelor IT în asigurarea aderării la conformitatea organizației.

Este important ca CIO și alți directori superiori din domeniul tehnologiei să cunoască bine diferitele reglementări și linii directoare referitoare la date, confidențialitate, securitate și alte componente de reglementare din peisajul tehnologic. Acești directori superiori pot juca un rol esențial în asigurarea nerespectării, evitând astfel o sancțiune grea.

De exemplu, profesioniștii IT din sectoare precum asistența medicală și alte sectoare afiliate au trebuit să asigure respectarea conformității HIPAA, care asigură securitatea și confidențialitatea datelor electronice de asistență medicală. Cu toate acestea, vedem că cadrul de reglementare devine din ce în ce mai complex datorită evoluției multor noi linii directoare de reglementare, cum ar fi Reglementările generale privind protecția datelor (GDPR) și Legea privind confidențialitatea consumatorilor din California (CCPA).

Alături de Statele Unite, multe alte țări urmează în mod constant protocoale similare pentru a se asigura că datele persoanelor fizice sunt protejate. Conformitatea și cadrul de reglementare pentru sistemele IT, rețelele și dispozitivele hardware sunt parte integrantă a oricărei organizații. Acest lucru a făcut-o cu siguranță o mare problemă de îngrijorare pentru directorii informatici din întreaga lume. De fapt, cercetarea agenției de top Gartner a estimat că peste 75% din informațiile personale vor fi acoperite de legile globale privind confidențialitatea până la sfârșitul anului 2023.

Astfel, CIO-urile trebuie să se asigure că urmează anumite proceduri și că evită greșelile care conduc la neconformitate. Iată câteva dintre greșelile de conformitate IT pe care ar trebui să le evite:

1. Considerându-vă auditorul ca pe un adversar

Când auditorii și evaluatorii încep să pună sub semnul întrebării inițiativele IT dintr-o organizație și impactul acestora asupra conformității, este destul de natural ca directorii CIO și alți directori superiori din domeniul tehnologiei să treacă la defensivă. Acești auditori vor începe să comenteze procesul de gândire. Acest lucru creează frecare între cei doi, care nu va duce nicăieri.

Astfel, este întotdeauna recomandabil să aveți o discuție constructivă și față în față, să înțelegeți perspectiva acestor auditori și să încercați să lucrați coeziv pentru a îmbunătăți mediul. Concluzia este că toată lumea lucrează pentru același obiectiv, inclusiv cei care au creat aceste linii directoare de conformitate; obiectivul este de a stabili transparența și responsabilitatea. Dacă CIO încep să accepte aceste audituri interne și lucrează într-o manieră de colaborare cu auditorii, există o mare posibilitate de a aborda cu ușurință aceste protocoale de conformitate.

2. Gestionarea sau mai degrabă gestionarea greșită a excepțiilor

Așa cum fiecare regulă sau un ghid are unele excepții, există și un set de excepții pentru conformitate în cadrul IT. Cu greu se întâmplă ca toată lumea să fie urmărită 100% până la punct. Lucrurile se schimbă din cauza schimbărilor în scenariile de afaceri și a impactului asupra clienților. Prin urmare, este întotdeauna benefic să implementați un proces de gestionare a excepțiilor în jurul conformității IT.

Începe cu documentarea lucrurilor simple, cum ar fi ceea ce este urmărit și de ce ar putea exista un posibil conflict cu conformitatea existentă. Organizația ia măsuri suplimentare pentru a adera la obiectivele de conformitate? Are organizația o regulă de ocolire, care este de natură permanentă, sau va fi supusă observării și aprobărilor înainte de a fi executată? Acestea sunt câteva dintre întrebările pertinente pe care organizațiile trebuie să le pună, să documenteze și să le monitorizeze în mod regulat și să nu devină contrarii față de acestea sau, mai degrabă, să ia astfel de excepții de la sine înțeles.

Ori de câte ori există o regulă care este ocolită, ar trebui să existe o explicație adecvată, deoarece există un risc potențial implicat atunci când astfel de reguli sunt ocolite.

3. Eșecul pregătirii echipei

La fel ca și alte domenii ale IT, chiar și în cazul conformității, lipsa abilităților, experienței și cunoștințelor relevante poate cauza probleme grave. Pentru a avea o strategie puternică în jurul conformității IT, este important să aveți o echipă puternică. CIO trebuie să se asigure că echipa învață și se îmbunătățește continuu în procesul de aderare la conformitatea cu reglementările IT. O astfel de abordare va ajuta IT-ul, echipele, să-și îmbunătățească eficiența considerabil.

Este inevitabil ca conformitatea IT să nu fie doar responsabilitatea echipei IT; este o practică interfuncțională care o face la fel de responsabilă și responsabilă pentru fiecare individ din organizație, în toate funcțiile.

4. Controlul conformității securității

Deși este important să adere la diferite greșeli de conformitate IT, în special la protocoalele de reglementare, obiectivul ar trebui să fie acela de a avea o metodologie de securitate bine definită, care să fie în concordanță cu obiectivul de afaceri al organizației și cu verticala și domeniul în care compania sau departamentul funcţionează. Când liderii IT iau în considerare acest lucru și sunt sincronizați cu această abordare, atunci conformitatea devine un rezultat atins în mod clar și nu doar unicul obiectiv.

De obicei, se vede că măsurile fundamentale de securitate nu sunt gestionate eficient, mai degrabă prost, ceea ce duce la un obstacol pentru conformitate. Câteva exemple din această linie vor fi corecțiile, gestionarea vulnerabilităților, utilizarea autentificării cu doi factori pentru accesul de la distanță, gestionarea dispozitivelor mobile și a politicilor BYOD și așa mai departe.

5. Ignorarea unor instrumente importante

Astăzi, există o multitudine de instrumente disponibile pe piață care abordează greșelile de conformitate IT. Este destul de evident că echipele juridice și de conformitate lucrează în tandem pentru a finaliza și procura aceste instrumente, liderii IT pot juca, de asemenea, un rol semnificativ în a ajuta la lista scurtă, finalizarea și implementarea acestor soluții în organizație.

În septembrie 2021, Gartner a ajutat fraternitatea globală de afaceri identificând trei domenii în care echipa de conformitate ar trebui să-și concentreze investițiile pe tehnologie.

Prima investiție ar trebui să fie în sistemul de bază de evidență, care acționează ca sistem de bază pentru orice organizație. A doua investiție ar trebui să fie în instrumente care împuternicesc fluxurile de lucru digitale și, în sfârșit, a treia este soluții care ajută la monitorizarea și gestionarea riscurilor.

Organizațiile nu pot ignora faptul că investițiile în tehnologie sunt inevitabile în scenariul de astăzi, indiferent cât de simple sunt procesele. În loc să fie o metodă de procurare și implementare, ar trebui să fie o inițiativă la nivelul întregii întreprinderi, care să reunească toate părțile interesate în acest proces.

6. Guvernare nestructurată

În cele din urmă, chiar dacă companiile și-au definit procesele și au pus în aplicare toate măsurile pentru a controla aceste procese, ceea ce le lipsește de obicei este structura de guvernanță și cadrul de risc în vigoare. CIO și alți lideri seniori din IT ar trebui să vină cu o matrice de guvernanță care să combine sistemele întreprinderii, securitatea informațiilor și echipele de rețea/infrastructură pentru a adera în mod colectiv la toate conformitățile IT. Acesta va fi factorul care va conduce la succes; a cărui absenţă se poate dovedi a fi dezastruoasă.

Gânduri finale

Pentru a rezuma, conformitățile sunt un set de linii directoare care sunt create nu numai pentru a proteja datele, ci și pentru a ajuta într-un mod metodic și etic de funcționare a unei organizații. Da, există provocări în urmărirea acestor greșeli de conformitate IT, dar pot fi evitate? Raspunsul este nu. De fapt, companiile trebuie să învețe și să se îmbunătățească în mod constant în jurul acestor respectări de reglementare, simplificându-le viața.