6 ошибок в области ИТ-соответствия, которых следует избегать

Существует значительный рост нормативных требований, связанных с ИТ-системами и корпоративными данными. Это обязанность ИТ-специалистов следить за каждым аспектом этих правил, иначе существует вероятность серьезных финансовых последствий из-за несоблюдения.

Давайте примем тот факт, что соответствие является частью жизни любой организации, особенно тех отраслевых вертикалей, которые строго регулируются, таких как финансовые услуги, здравоохранение и правительство. В тот момент, когда мы упоминаем слово «соблюдение», оно сразу же находит отклик у специалистов по юридическим вопросам, по соблюдению требований и управлению рисками. Тем не менее, ИТ-отделы активно участвуют в обеспечении соблюдения требований организации.

Важно, чтобы ИТ-директора и другие руководители высшего звена были хорошо осведомлены о различных правилах и рекомендациях, касающихся данных, конфиденциальности, безопасности и других нормативных компонентов в рамках технологического ландшафта. Эти руководители высшего звена могут сыграть ключевую роль в обеспечении соблюдения требований, тем самым избежав серьезного наказания.

Например, ИТ-специалисты в таких секторах, как здравоохранение и других аффилированных секторах, должны были обеспечить соблюдение требований HIPAA, что обеспечивает безопасность и конфиденциальность электронных медицинских данных. Однако мы наблюдаем, как нормативно-правовая база становится все более и более сложной из-за появления множества новых нормативных документов, таких как Общие правила защиты данных в Европе (GDPR) и Калифорнийский закон о конфиденциальности потребителей (CCPA).

Наряду с Соединенными Штатами многие другие страны постоянно следуют аналогичным протоколам, чтобы обеспечить защиту данных отдельных лиц. Соответствие и нормативно-правовая база для ИТ-систем, сетей и аппаратных устройств являются неотъемлемой частью любой организации. Это определенно вызвало большую озабоченность ИТ-директоров по всему миру. Фактически, исследование ведущего агентства Gartner подсчитало, что к концу 2023 года более 75% личной информации будут подпадать под действие глобальных законов о конфиденциальности.

Таким образом, ИТ-директора должны следить за соблюдением определенных процедур и избегать ошибок, ведущих к несоблюдению требований. Вот некоторые из ошибок соответствия требованиям ИТ, которых им следует избегать:

1. Отношение к вашему аудитору как к противнику

Когда аудиторы и оценщики начинают сомневаться в ИТ-инициативах в организации и их влиянии на соблюдение нормативных требований, вполне естественно, что ИТ-директора и другие руководители высшего технического звена занимают оборонительную позицию. Эти аудиторы начнут комментировать ваш мыслительный процесс. Это создает трения между ними, которые ни к чему не приведут.

Таким образом, всегда рекомендуется проводить конструктивное обсуждение с глазу на глаз, понимать точку зрения этих аудиторов и пытаться работать слаженно, чтобы улучшить окружающую среду. Суть в том, что все работают над достижением одной цели, включая тех, кто создал это руководство по соблюдению требований; цель состоит в том, чтобы обеспечить прозрачность и подотчетность. Если ИТ-директора начнут использовать эти внутренние аудиты и будут работать в сотрудничестве с аудиторами, существует высокая вероятность того, что эти протоколы соответствия будут легко выполняться.

2. Обработка или, скорее, неправильная обработка исключений

Точно так же, как у каждого правила или рекомендации есть некоторые исключения, существует также набор исключений для соответствия требованиям в рамках ИТ-инфраструктуры. Вряд ли бывает так, что все на 100% следуют до конца. Все меняется из-за изменений в бизнес-сценариях и влияния на клиентов. Следовательно, всегда полезно внедрить процесс управления исключениями в соответствии с требованиями ИТ.

Он начинается с документирования простых вещей, таких как то, что соблюдается и почему может возникнуть возможный конфликт с существующим соответствием. Предпринимает ли организация дополнительные шаги для достижения целей соответствия? Есть ли в организации правило обхода, которое носит постоянный характер, или оно будет подвергаться наблюдению и согласованию перед исполнением? Это некоторые из уместных вопросов, которые организации должны задавать, документировать и контролировать на регулярной основе, а не отворачиваться от этого или, скорее, принимать такие исключения как должное.

Всякий раз, когда есть правило, которое обходят, должно быть надлежащее объяснение, потому что существует потенциальный риск, связанный с обходом таких правил.

3. Отсутствие готовности команды

Как и в других областях ИТ, даже в случае несоблюдения требований, отсутствие надлежащих навыков, опыта и соответствующих знаний может вызвать серьезные проблемы. Чтобы иметь сильную стратегию в отношении соответствия требованиям ИТ, важно иметь сильную команду. ИТ-директора должны следить за тем, чтобы команда постоянно училась и совершенствовалась в процессе соблюдения нормативных требований в области ИТ. Такой подход поможет ИТ, командам значительно повысить свою эффективность.

Неизбежно, что соответствие требованиям ИТ является не только обязанностью ИТ-команды; это кросс-функциональная практика, делающая ее одинаково ответственной и ответственной за каждого человека в организации во всех функциях.

4. Контроль безопасности

Несмотря на то, что важно соблюдать различные ошибки соответствия ИТ, особенно нормативным протоколам, цель должна состоять в том, чтобы иметь четко определенную методологию безопасности, которая соответствует бизнес-целям организации, а также вертикали и области, в которой компания или отдел работает. Когда ИТ-руководители принимают это во внимание и синхронизируют с этим подходом, тогда соответствие становится четко достигнутым результатом, а не просто единственной целью.

Обычно видно, что основные меры безопасности управляются неэффективно, довольно плохо, что приводит к препятствиям для соблюдения. Некоторыми примерами в этой строке будут исправление, управление уязвимостями, использование двухфакторной аутентификации для удаленного доступа, управление мобильными устройствами и политиками BYOD и так далее.

5. Игнорирование некоторых важных инструментов

На сегодняшний день на рынке доступно множество инструментов, которые устраняют ошибки соответствия требованиям ИТ. Совершенно очевидно, что юридические и комплаенс-группы работают в тандеме над доработкой и закупкой этих инструментов. ИТ-руководители также могут сыграть важную роль в составлении списка, доработке и развертывании этих решений в организации.

В сентябре 2021 года компания Gartner помогла мировому бизнес-сообществу, определив три области, в которых команда по обеспечению соответствия требованиям должна сосредоточить свои инвестиции в технологии.

Первые инвестиции должны быть сделаны в основную систему ведения учета, которая выступает в качестве базовой системы для любой организации. Вторая инвестиция должна быть связана с инструментами, расширяющими возможности цифровых рабочих процессов, и, наконец, третья — с решениями, помогающими отслеживать риски и управлять ими.

Организации не могут игнорировать тот факт, что инвестиции в технологии неизбежны в сегодняшнем сценарии, какими бы простыми ни были процессы. Это не метод закупки и развертывания, а инициатива в масштабах всего предприятия, объединяющая все заинтересованные стороны в этом процессе.

6. Неструктурированное управление

Наконец, даже если компании определили свои процессы и приняли все меры для контроля этих процессов, они обычно упускают из виду структуру управления и систему управления рисками. ИТ-директорам и другим старшим ИТ-руководителям следует разработать матрицу управления, которая объединяет корпоративные системы, информационную безопасность и группы по работе с сетью/инфраструктурой для коллективного соблюдения всех ИТ-соответствий. Это будет фактором, который приведет к успеху; отсутствие которых может оказаться катастрофическим.

Последние мысли

Подводя итог, можно сказать, что соответствие представляет собой набор руководящих принципов, созданных не только для защиты данных, но и для помощи в методическом и этичном способе функционирования организации. Да, отслеживание этих ошибок соответствия требованиям ИТ сопряжено с трудностями, но можно ли их избежать? Ответ - нет. На самом деле компаниям необходимо постоянно учиться и совершенствоваться в соответствии с этими нормативными требованиями, что упрощает их жизнь.