Сотрудники, не соблюдающие нормативные требования, становятся головной болью для ИТ-руководителей, и в такой ситуации сложно найти оптимальное решение. Как ИТ-руководителям найти идеальный баланс между свободой выбора для сотрудников и строгим предотвращением каких-либо ошибок?
Нарушения в таком балансе могут привести к большим издержкам. В январе компания Amazon проиграла суд во Франции и была оштрафована на 32 млн евро за «чрезмерно навязчивый» мониторинг своих сотрудников1. Однако даже если все не так печально, лишние нормативные требования могут привести к снижению производительности и раздражению сотрудников, которые в итоге решат искать обходные пути.
Действительно ли сотрудники серьезно относятся к нормативному соответствию в отношении данных?
Постоянная проблема для ИТ-руководителей
Но насколько на самом деле значима эта проблема? В новом исследовании Canon, в котором приняли участие свыше 1700 ИТ-руководителей, можно найти много интересной информации. «Барометр трансформации ИТ» демонстрирует, что безопасность данных в организации является для ИТ-руководителей одной из важнейших проблем и входят в список из трех наиболее сложных и времязатратных обязанностей за последние пять лет.
В 2023 году эта проблема вышла на новый уровень. Если рассматривать основные трудности, с которыми сталкиваются ИТ-руководители, почти все они связаны с прозрачностью и управляемостью потоков информации в компаниях. Информационная безопасность (33%) стала, по их мнению, главной сложностью, а сразу за ней следуют нормативное соответствие (25%) и управление теневыми ИТ (25%).
Эти данные свидетельствуют о том, что в гибридных и удаленных рабочих средах такие проблемы стали еще актуальнее. На вопрос о том, как они планируют оптимизировать текущую конфигурацию, многие ИТ-руководители сказали, что хотят повысить прозрачность использования ПО сотрудниками (43%), а также строже управлять нормативным соответствием сотрудников, работающих удаленно (42%), и теневого ИТ (40%).
Есть ли повод для таких опасений?
Он действительно есть. Тема теневых ИТ всплывает в заголовках все чаще, и к 2027 году ожидается, что 75% сотрудников будут получать, изменять или создавать технологии вне систем мониторинга ИТ-отделов. Это огромный показатель роста относительно 41% в 2022 году2.
Gartner связывает происходящее с тем фактом, что многие из нас сами начинают неплохо разбираться в технологиях. Все большее число сотрудников обладают достаточными знаниями и техническими навыками для того, чтобы проходить регистрацию и пользоваться облачными сервисами без необходимости привлекать к этому ИТ-специалистов.
Каков результат? Нормативное соответствие может быть легко нарушено. Согласно отчету журнала CSO, «сотрудники обычно не знают, какие системы безопасности используются в только что купленных ими приложениях, а также каким образом их нужно дополнить, чтобы обеспечить должную безопасность. Более того, они, к сожалению, зачастую вводят в такие приложения конфиденциальные данные для выполнения рабочих задач»3.
Почему сотрудники игнорируют правила?
Есть разные причины, по которым не соблюдаются корпоративные правила безопасности. Во многих случаях сотрудники просто не знают, что такое правильные протоколы. Требования к управлению информацией довольно сложны, и некоторые сотрудники могут не понимать, каким образом такие указания коррелируют с их повседневной работой.
В других случаях процессы или инструменты, которые им необходимо использовать, слишком сложны. Исследование, проведенное в Гарварде4, показало, что 5% задач намеренно выполняются способами, которые нарушают нормативные требования. Три основные причины таких нарушений: «для более качественного выполнения рабочих задач», «для получения нужного результата» и «в целях помощи с работой другим». Эти три причины охватили 85% зарегистрированных случаев. Нарушение правил в большинстве случаев не являлось злонамеренным, а было мотивировано желанием выполнить свои рабочие обязанности.
Основные советы по поддержанию нормативного соответствия
Обеспечение оптимального баланса между управлением обязанностями и чрезмерным вмешательством является одновременно важной и сложной задачей для современных ИТ-руководителей. С учетом статистики можно сказать, что ИТ-руководители не зря беспокоятся о возможных действиях сотрудников, в частности в отношении тех, кто работает удаленно.
Конечной целью должно быть ненавязчивое управление нормативным соответствием информации и данных. В первую очередь, следует понимать, какие требования могут иметься у сотрудников — на них значительным образом влияют современные отраслевые тенденции и должность каждого из работников. ИТ-руководители могут сократить вероятность обхода сотрудниками политик компании посредством коммуникации с разными отделами, которая обеспечит должное понимание того, какие политики необходимы, а какие лишь создают дополнительные проблемы, не привнося ничего взамен.
Больше контроля там, где это нужно
Однако также необходимо создать среду, где потоки информации будут более прозрачными и управляемыми. Что интересно, согласно исследованию проблемой была прозрачность даже в стандартных аспектах управления информацией. Лишь около половины ИТ-руководителей сказали, что имеют возможность проводить аудит управления документацией. Например, всего 53% ИТ-руководителей сообщили, что могут отслеживать предоставление общего доступа к документам. Без этого им трудно в полной мере понять, соблюдают ли сотрудники нормативные требования компании.
Исследование показало, что многие ИТ-руководители предпринимают действия. Респонденты сообщили, что начинают внедрять инструменты цифрового управления документацией и применять лучшие методы автоматизации в сфере управления корпоративной информацией. На базовом уровне это означает внедрение автоматических прав доступа и автоматического удаления конфиденциальных документов по истечении определенного периода времени. Для организаций, которые уже продвинулись дальше на пути цифровизации, это может означать автоматизацию целого бизнес-процесса, например обработки счетов, для того чтобы им можно было управлять с помощью предустановленной конфигурации.
Однако есть и большой процент ИТ-руководителей, которые признают, что еще не внедрили даже некоторые из более базовых решений и возможностей. Фактически даже самые основные функции, такие как автоматические права доступа для управления доступом к документам и директориям, используются лишь 51% опрошенных.
Оптимальный баланс
Безопасное управление бизнес-информацией в соответствии с нормативными требованиями — это одна из главных проблем для всех ИТ-руководителей. Однако обеспечение нормативного соответствия в итоге является задачей, которая формируется в тесной связи с моделями поведения человека. Для успешного применения политик ИТ-руководителю необходимо удостовериться, что они не мешают сотрудникам выполнять рабочие задачи, но и не дают им свободу действий в отношении управления информацией.
ИТ-руководителям следует начать с пересмотра текущего инструментария, который призван обеспечить прозрачность и управляемость информационных потоков. С помощью таких инструментов ИТ-руководители смогут снять с себя нагрузку и свободнее управлять рабочей средой, где ручное отслеживание не будет столь эффективным. Если ориентировать методы нормативного соответствия на людей и их поведение, это позволит избежать как случайных, так и намеренных случаев нарушений, причиной которым становятся слишком замысловатые меры защиты. Это также позволит ИТ-руководителям лишний раз не беспокоиться.
Ознакомьтесь с отчетом «Барометр трансформации ИТ» прямо здесь и узнайте гораздо больше о работе ИТ-руководителей — от приоритетных будущих закупок до их мнения о собственной роли в компании.
Загрузить отчет
- https://www.hrmagazine.co.uk/content/comment/what-lessons-can-hr-learn-from-amazons-32-million-employee-monitoring-fine/
- Gartner представляет восемь главных прогнозов в отношении кибербезопасности на 2023–2024 гг.
- Рост теневых ИТ и связанных с ними рисков безопасности | CSO Online
- https://hbr.org/2022/01/research-why-employees-violate-cybersecurity-policies
Больше информации
Барометр трансформации ИТ
Аналитика от 1700 ИТ-руководителей из семи стран региона EMEA, позволяющая понять, как их роль менялась в периоды между 2019, 2021 и 2023 гг., а также узнать их прогнозы и приоритетные цели на последующие три года.
Доступ к инновациям: как освободить ИТ-руководителей от постоянных «исправлений»
В 2023 году ИТ-руководители оказались в ловушке бесконечных «исправлений», что негативно сказалось на внедрении инноваций. Пришло время освободить их для достижения реального прогресса. Узнайте об этом больше.
Действительно ли переход на гибридную работу завершен?
98% ИТ-руководителей все еще дорабатывают свой гибридный формат работы. Узнайте, какие области они назвали приоритетными и почему.