Kaçınılması Gereken 6 BT Uyumluluğu Hatası

Yayınlanan: 2021-12-06

BT sistemleri ve kurumsal verilerle ilgili düzenlemelerde önemli bir artış var. BT uzmanlarının bu düzenlemelerin her yönüyle ilgilenmesi bir görevdir, aksi takdirde uyumsuzluk nedeniyle ağır mali sonuçlar doğurma olasılığı vardır.

Uyumun herhangi bir kuruluş için, özellikle de finansal hizmetler, sağlık hizmetleri ve hükümet gibi yüksek düzeyde düzenlemeye tabi sektör dikeyleri için hayatın bir parçası olduğu gerçeğini kabul edelim. Uyum kelimesinden bahsettiğimiz an, hukuk, uyum ve risk ekipleri arasında hemen yankı buluyor. Ancak, BT departmanlarının kuruluşun uyumluluğuna bağlılığın sağlanmasında önemli bir katılımı vardır.

CIO'ların ve diğer üst düzey teknoloji yöneticilerinin, teknoloji ortamındaki veri, gizlilik, güvenlik ve diğer düzenleyici bileşenlerle ilgili çeşitli düzenlemelerden ve yönergelerden haberdar olmaları önemlidir. Bu üst düzey yöneticiler, herhangi bir uygunsuzluğun önlenmesinde önemli bir rol oynayabilir ve böylece ağır bir cezadan kaçınabilir.

Örneğin, sağlık ve diğer bağlı sektörler gibi sektörlerdeki BT uzmanları, elektronik sağlık verilerinin güvenliğini ve gizliliğini sağlayan HIPAA uyumluluğuna bağlılığı sağlamak zorunda kalmıştır. Ancak, Avrupa'nın Genel Veri Koruma Düzenlemeleri (GDPR) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi birçok yeni düzenleyici yönergenin gelişmesi nedeniyle düzenleyici çerçevenin giderek daha karmaşık hale geldiğini görüyoruz.

Amerika Birleşik Devletleri ile birlikte, diğer birçok ülke, bireylerin verilerinin korunmasını sağlamak için sürekli olarak benzer protokolleri takip etmektedir. BT sistemleri, ağlar ve donanım cihazları için uyumluluk ve düzenleyici çerçeve, herhangi bir organizasyonun ayrılmaz bir parçasıdır. Bu kesinlikle tüm dünyadaki CIO'lar için büyük bir endişe konusu haline geldi. Aslında, önde gelen ajans Gartner tarafından yapılan araştırma, kişisel bilgilerin %75'inden fazlasının 2023'ün sonuna kadar küresel gizlilik yasaları kapsamında olacağını tahmin ediyor.

Bu nedenle, CIO'lar belirli prosedürleri takip ettiğinden ve uyumsuzluğa yol açan hatalardan kaçındığından emin olmalıdır. İşte kaçınmaları gereken BT uyumluluğu hatalarından bazıları:

1. Denetçinizi bir rakip olarak görmek

Denetçiler ve değerlendiriciler bir kuruluştaki BT girişimlerini ve bunların uyum üzerindeki etkisini sorgulamaya başladığında, CIO'ların ve diğer üst düzey teknoloji yöneticilerinin savunmaya geçmesi oldukça doğaldır. Bu denetçiler, düşünce süreciniz hakkında yorum yapmaya başlayacak. Bu, ikisi arasında hiçbir yere varmayacak bir sürtüşme yaratır.

Bu nedenle, her zaman yapıcı ve yüz yüze bir tartışma yapmak, bu denetçilerin bakış açısını anlamak ve ortamı daha iyi hale getirmek için uyumlu bir şekilde çalışmaya çalışmak her zaman tavsiye edilir. Sonuç olarak, bu uyumluluk yönergelerini oluşturanlar da dahil olmak üzere herkes aynı amaç için çalışıyor; amaç şeffaflık ve hesap verebilirlik sağlamaktır. CIO'lar bu iç denetimleri benimsemeye başlarsa ve denetçilerle işbirliği içinde çalışırsa, bu uyum protokollerini kolayca ele alma olasılığı yüksektir.

2. İstisnaların ele alınması veya daha doğrusu yanlış kullanılması

Her kuralın veya kılavuzun bazı istisnaları olduğu gibi, BT çerçevesindeki uyumluluklar için de bir dizi istisna vardır. Herkesin %100 noktaya kadar takip edilmesi pek mümkün değil. İş senaryolarındaki değişiklikler ve müşteri etkisi nedeniyle işler değişir. Bu nedenle, BT uyumluluklarına ilişkin istisnaları yönetmek için bir süreç uygulamak her zaman faydalıdır.

Neyin izlendiği ve neden mevcut uyumlulukla olası bir çelişki olabileceği gibi basit şeyleri belgelemekle başlar. Kuruluş, uyum hedeflerine uymak için ek adımlar atıyor mu? Kuruluşun doğası gereği kalıcı olan bir baypas kuralı var mı veya uygulanmadan önce gözlem ve onaylardan geçecek mi? Bunlar, kuruluşların düzenli olarak sorması, belgelemesi ve izlemesi ve buna karşı çıkmaması veya daha doğrusu bu tür istisnaları olduğu gibi kabul etmemesi gereken ilgili sorulardan bazılarıdır.

Atlanan bir kural olduğunda, uygun bir açıklama yapılmalıdır çünkü bu tür kurallar atlandığında potansiyel bir risk vardır.

3. Takım hazırlığının başarısızlığı

BT'nin diğer alanlarında olduğu gibi, uyumluluk durumunda bile uygun beceri, deneyim ve ilgili bilgi eksikliği ciddi sorunlara neden olabilir. BT uyumluluğu konusunda güçlü bir stratejiye sahip olmak için güçlü bir ekibe sahip olmak önemlidir. CIO'ların, ekibin BT düzenleyici uyumluluklarına bağlı kalma sürecinde sürekli olarak öğrenmesini ve kendilerini geliştirmesini sağlamaları gerekir. Böyle bir yaklaşıma sahip olmak, BT ekiplerinin verimliliklerini önemli ölçüde artırmalarına yardımcı olacaktır.

BT uyumluluğunun yalnızca BT ekibinin sorumluluğunda olmaması kaçınılmazdır; bu, onu organizasyondaki tüm fonksiyonlar arasında eşit derecede sorumlu ve hesap verebilir kılan fonksiyonlar arası bir uygulamadır.

4. Uyumluluğu kontrol eden güvenlik

Başta düzenleyici protokoller olmak üzere çeşitli BT uyum hatalarına bağlı kalmak önemli olmakla birlikte, amaç, kuruluşun iş hedefi ve şirketin veya kuruluşun altında yer aldığı dikey ve etki alanı ile uyumlu, iyi tanımlanmış bir güvenlik metodolojisine sahip olmak olmalıdır. departmanı faaliyet göstermektedir. BT liderleri bunu dikkate aldıklarında ve bu yaklaşımla uyumlu olduklarında, uyumluluk yalnızca tek hedef değil, açıkça elde edilen bir sonuç haline gelir.

Genellikle, temel güvenlik önlemlerinin etkin bir şekilde yönetilmediği, oldukça zayıf olduğu ve bunun da uyum için bir barikat oluşturduğu görülmektedir. Bu satırdaki bazı örnekler, yama, güvenlik açıklarının yönetimi, uzaktan erişim için 2 faktörlü kimlik doğrulamanın kullanımı, mobil cihazların yönetimi ve BYOD politikaları vb. olacaktır.

5. Bazı önemli araçları görmezden gelmek

Bugün piyasada BT uyumluluğu hatalarını ele alan çok sayıda araç bulunmaktadır. Hukuk ve uyum ekiplerinin bu araçları sonuçlandırmak ve tedarik etmek için birlikte çalıştığı oldukça açıktır, BT liderleri de bu çözümleri kuruluşta kısa listeye alma, sonuçlandırma ve dağıtma konusunda önemli bir rol oynayabilir.

Eylül 2021'de Gartner, uyum ekibinin yatırımlarını teknolojiye odaklaması gereken üç alan belirleyerek küresel iş birliğine yardımcı olmuştu.

İlk yatırım, herhangi bir kuruluş için temel sistem olarak hareket eden temel kayıt tutma sistemine yapılmalıdır. İkinci yatırım, dijital iş akışlarını güçlendiren araçlara yapılmalı ve son olarak, üçüncüsü, risklerin izlenmesine ve yönetilmesine yardımcı olan çözümler olmalıdır.

Organizasyonlar, süreçler ne kadar basit olursa olsun, günümüz senaryosunda teknoloji yatırımının kaçınılmaz olduğu gerçeğini görmezden gelemezler. Tedarik ve konuşlandırma yöntemi olmak yerine, bu süreçte tüm paydaşları bir araya getiren, kurum çapında bir girişim olmalıdır.

6. Yapılandırılmamış Yönetişim

Son olarak, şirketler süreçlerini tanımlamış ve bu süreçleri kontrol etmek için tüm önlemleri almış olsalar da, genellikle gözden kaçırdıkları şey, yönetişim yapısı ve mevcut risk çerçevesidir. CIO'lar ve diğer üst düzey BT liderleri, tüm BT uyumluluklarına toplu olarak bağlı kalmak için kurumsal sistemleri, bilgi güvenliğini ve ağ/altyapı ekiplerini birleştiren bir yönetişim matrisi oluşturmalıdır. Başarıyı sağlayacak faktör bu olacaktır; yokluğu feci olabilir.

Son düşünceler

Özetlemek gerekirse, uyumluluklar yalnızca verileri korumak için değil, aynı zamanda bir organizasyonun metodik ve etik bir şekilde işleyişine yardımcı olmak için oluşturulmuş bir dizi yönergedir. Evet, bu BT uyumluluğu hatalarını takip etmenin zorlukları var, ancak bunlardan kaçınılabilir mi? Cevap hayır. Aslında, şirketlerin bu düzenleyici uyumlulukları sürekli olarak öğrenmesi ve geliştirmesi gerekiyor, bu da hayatlarını kolaylaştırıyor.