Angajaţii iau cu adevărat în serios conformitatea privind siguranţa datelor?

Angajaţii care nu respectă regulile le fac probleme liderilor IT şi este greu de aflat care este cea mai bună metodă de a rezolva problema. Ce ar trebui să facă factorii de decizie IT pentru a obţine echilibrul potrivit între libertatea de alegere a angajaţilor şi prevenirea cu stricteţe a erorilor?

Un echilibru greşit poate fi costisitor. În ianuarie, Amazon a pierdut un proces legal în Franţa şi a fost amendată cu 32 de milioane de euro pentru monitorizarea „excesiv de intruzivă” a angajaţilor. .¹ Chiar şi la un nivel mai puţin extrem, reglementările pot afecta productivitatea şi în cele din urmă pot determina angajaţii frustraţi să ocolească regulile.

Aşadar, cât este de mare această problemă? Noua cercetare Canon, care grupează opiniile a peste 1.700 de factori de decizie, oferă câteva informaţii. Barometrul transformării IT a arătat că securitatea informaţiilor organizaţiei ţine liderii IT treji noaptea, lucrând constant în ultimii cinci ani pentru a-şi îndeplini cele mai provocatoare trei responsabilităţi consumatoare de timp.

În 2023, această tendinţă a crescut. Analizând principalele provocări ale factorilor de decizie, tema principală este vizibilitatea şi controlul asupra informaţiilor companiei. Securitatea informaţiilor (33%) a fost evaluată ca fiind principala provocare, urmată îndeaproape de menţinerea conformităţii (25%) şi de controlul echipamentelor IT neaprobate (25%).

Datele sugerează că lucrul hibrid şi de la distanţă contribuie la această problemă. Când au fost întrebaţi despre modul în care intenţionează să-şi perfecţioneze organizarea existentă, mulţi factori de decizie au afirmat că doresc o mai mare vizibilitate asupra software-ului utilizat de angajaţi (43%), crescând în acelaşi timp controlul asupra comportamentului angajaţilor în termeni de conformitate în afara sediului (42%) şi asupra echipamentelor IT neaprobate (40%).

Într-un cuvânt, da. Utilizarea echipamentelor IT neaprobate este în creştere şi, până în 2027, se preconizează că 75% dintre angajaţi vor achiziţiona, modifica sau crea tehnologie în afara sferei de acţiune a departamentului IT. Aceasta este o creştere imensă faţă de 41 % în 2022².

Gartner atribuie acest aspect faptului că mulţi dintre noi „am devenit experţi în tehnologie”. Angajaţii au din ce în ce mai multe cunoştinţe şi capacitatea tehnică din ce în ce mai mare de a se înregistra şi accesa programe prin cloud, fără a fi nevoie să implice deloc departamentul IT.

Rezultatul? Conformitatea poate fi cu uşurinţă compromisă. După cum relatează revista CSO: „Angajaţii nu ştiu de obicei dacă şi ce straturi de securitate există în aplicaţiile pe care le cumpără sau dacă trebuie adăugat ceva pentru ca acestea să fie sigure. Apoi, chiar mai grav, introduc adeseori date sensibile în aceste aplicaţii pentru a-şi face treaba.”³

Motivele oferite pentru nerespectarea reglementărilor de securitate ale companiei sunt variate. În multe cazuri, angajaţii pur şi simplu nu ştiu care sunt protocoalele corecte. Cerinţele de administrare a informaţiilor sunt complicate şi este posibil ca unii angajaţi să nu-şi dea seama cum se aplică în mod practic la munca lor de zi cu zi.

În alte cazuri, procesele sau instrumentele pe care trebuie să le utilizeze sunt prea complicate pentru a fi urmate. Un studiu Harvard⁴ a descoperit că 5% din sarcini erau îndeplinite intenţionat în mod neconform. Principalele trei motive ale încălcărilor au fost: „pentru a îndeplini mai bine sarcinile postului meu”, „pentru a obţine ceva de care am nevoie” şi „pentru a-i ajuta pe alţii să-şi facă treaba”. Aceste trei răspunsuri au reprezentat 85% din cazuri. Încălcarea regulilor nu a fost rău-intenţionată în marea majoritate a cazurilor, ci motivată de o dorinţă directă de a îndeplini sarcinile.

Obţinerea unui echilibru potrivit între managementul responsabil şi interferenţa excesivă este o provocare majoră pentru liderii IT din prezent. Având în vedere dovezile, factorii de decizie sunt îndreptăţiţi să fie îngrijoraţi de comportamentul angajaţilor, în special în afara sediului.

Scopul final ar trebui să fie acela de a gestiona informaţiile şi de a asigura securitatea datelor într-un mod discret. În primul rând, acest lucru se rezumă la înţelegerea cu adevărat a cerinţelor angajaţilor – care sunt influenţate semnificativ de industrie şi de rolul fiecărei persoane. Factorii de decizie pot reduce probabilitatea ca angajaţii să ocolească politicile companiei, discutând cu reprezentanţii liniilor de activitate despre fluxurile lor de lucru şi descoperind politicile care reprezintă cu adevărat o necesitate şi care sunt acelea care creează mai multe probleme decât să contribuie cu soluţii.

Însă se rezumă şi la crearea unui mediu cu mai multă vizibilitate şi mai mult control. În mod interesant, a fost o problemă chiar şi vizibilitatea aspectelor obişnuite ale managementului informaţiilor, potrivit cercetării. Doar aproximativ jumătate dintre liderii IT au declarat că au avut capacităţi disponibile pentru a urmări modul în care documentele au fost gestionate în scopuri de audit. De exemplu, doar 53% dintre liderii IT au declarat că au putut urmări modul în care au fost partajate documentele. Fără această vizibilitate, este dificil pentru liderii IT să ştie cu adevărat dacă angajaţii respectă cerinţele.

Cercetarea arată că mulţi lideri IT iau măsuri. Respondenţii au raportat că au început să implementeze managementul documentelor digitale pentru a pune în aplicare automatizarea celor mai bune practici prin automatizarea modului în care sunt gestionate informaţiile companiei. La nivel de bază, aceasta include implementarea automată a drepturilor de acces automat şi ştergerea automată a documentelor sensibile după o anumită perioadă de timp. Pentru organizaţiile mai avansate din punct de vedere digital, aceasta ar putea însemna implementarea automatizării fluxului de lucru pentru a asigura un proces operaţional complet, cum ar fi procesarea facturilor, cu automatizare integrată, asigurându-se că procesul este controlat conform unui set de paşi aprobaţi în prealabil.

Însă, există un număr mare de factori de decizie care au recunoscut că încă nu au implementat unele dintre aceste capabilităţi de nivel mai de bază. De fapt, chiar şi cea mai obişnuită funcţionalitate – drepturile de acces automate pentru controlul persoanelor care pot accesa documente şi locaţii – a fost adoptată doar de 51% dintre cei chestionaţi.

Gestionarea sigură şi conformă a informaţiilor companiei este o preocupare principală pentru fiecare lider IT. Dar asigurarea conformităţii este în cele din urmă o provocare care are la bază comportamentul uman. Pentru a stabili politici de succes, liderii IT trebuie să se asigure că nu împiedică desfăşurarea activităţilor angajaţilor şi că nici nu le permit libertatea de a alege modul în care gestionează informaţiile.

Factorii de decizie ar trebui să înceapă prin a verifica dacă au instrumentele potrivite pentru asigurarea vizibilităţii şi controlului asupra modului în care sunt utilizate informaţiile. Avându-le pe acestea, se elimină presiunea asupra liderilor IT de a supraveghea totul într-un mediu în care urmărirea manuală pur şi simplu nu este fezabilă. Conceperea unei abordări mai centrate pe oameni în termeni de conformitate va contribui la evitarea atât a încălcărilor accidentale, cât şi a cazurilor intenţionate de neconformitate cauzate de măsurile deosebit de complexe. De asemenea, vor ajuta liderii IT să se odihnească mai bine noaptea.

Exploraţi aici Barometrul transformării IT pentru a obţine mai multe perspective despre experienţa liderilor IT, de la priorităţile viitoare în ceea ce priveşte achiziţiile, la ceea ce consideră ei cu adevărat despre rolul lor.

Descărcaţi raportul