合規性是幾乎每家公司面臨的嚴峻事實——尤其是在醫療保健、金融服務和政府等高度監管的行業。雖然合規性通常受到法律、合規、風險管理或其他部門的監管,但IT部門肯定會參與企業的合規性工作。
企業的CIO和其他技術主管必須了解所有涉及數據、隱私、安全和其他技術要素的法規。他們可以發揮關鍵作用,確保他們所在的公司不會因為違規而受到巨額罰款的打擊。
多年來,美國醫療保健和相關行業的IT高管不得不應對《健康保險流通與責任法案》(HIPAA)的影響,例如,該法案規定了電子醫療保健信息的安全性和隱私性。但是監管環境變得越來越復雜,尤其是出現了許多涉及數據隱私的新規則,其中包括歐盟的通用數據保護條例(GDPR)和加州消費者隱私法案(CCPA)。
全球數十個國家和美國各州也制定了類似的法規來保護個人數據。研究機構Gartner公司預測,到2023年底,現代隱私法規將涵蓋全球75%人口的個人信息。
與IT系統、網絡、設備和數據相關的合規性是當今企業面臨的現實,使其成為CIO關注的重要領域。關鍵是在不影響業務運營的情況下開展合規性工作。因此,企業需要避免以下一些錯誤:
1.將審計師視為對手
米德爾菲爾德銀行CIO Gary Kern表示,有時IT高管很難不采取防御姿態。當審計人員和審查人員質疑其IT計劃及其對合規性的影響時,就會發生這種情況。他說,“當有人對IT高管深思熟慮的策略挑出錯誤時,就會知道他們要對某些事情發表評論。”
然而,為這種事情制造摩擦無助于解決問題。Kern說:“最好是進行面對面的討論,討論他們的觀點,并思考如何讓運營的環境變得更好。希望是每個人都在為同一件事努力,包括制定合規法律規則的人,那就是確保不會發生錯誤,使運營環境更好,過程更透明。”
Kern以他的親身經歷來檢驗這種策略。他說,“我并不認同一些初步調查結果,因此我與首席IT審查員進行了深入討論,以了解得到不利評論的原因,并嘗試采用非防御性的方式進行解釋。我們為此達成了共識,雙方都認為這是公平的,然后繼續進行。”
大約六個月后,與其進行討論的首席IT審查員邀請Kern參加審查員年度全國培訓會議。他說,“事實證明,這對我來說是一次很棒的經歷,它為我提供了對整個過程的更好見解。”
咨詢機構Protiviti公司技術咨詢業務總經理Samir Datt表示,監管機構通常會從內部審計(IA)報告中獲取他們的意見。他說,“如果CIO與IA流程合作并接受該流程,而不是逃避,他們就有機會在監管審查之前主動解決監管合規問題。”
2.以錯誤的方式處理異常
大多數規則都有例外,這適用于管理IT不同方面的法規。
Kern說,“很少有事情在100%的情況下都是正確的答案,尤其是在需要權衡業務、安全和客戶影響的情況下。因此,最好建立一個異常管理流程。”
這個流程包括記錄正在做的事情以及為什么它可能與現有合規規則沖突;正在采取哪些額外步驟來實現合規目標;是否永久性地繞過規則,或者是否將定期進行審查;以及哪些高級非IT利益相關者簽署了例外的條款。
Kern說,“當然,有些規則根本無法繞過。但是,在需要作出業務決策以‘接受風險’的情況下,一定要充分解釋這一點。合規性的意圖如何以其他方式處理,或在每種情況下可能沒有意義的理由,都應該記錄下來。”
3.沒有讓團隊做好準備
與大多數IT團隊面臨的問題一樣,缺乏必要的技能、經驗和知識可能會導致合規性問題。
HPE公司CIO Rashmi Kumar說,“強大的合規戰略始于其團隊。”他說,CIO必須建立一個合規團隊,使用持續改進的方法來應對與IT相關的法規要求變化。
Kumar表示,“HPE公司的全球IT合規團隊依賴于持續改進計劃,在該計劃中,我們不斷確定合規計劃在報告、參與和控制管理方面所需的更改。利用我們的合規性方法,我們能夠將證據交付時間縮短五天。”
Kumar表示,合規工作需要跨職能。他說:“我們將合規性納入每個人的目標,讓每個人都負起責任。這確保得到他們的支持和參與,最終促進合規性文化的發展。”
4.允許合規性決定安全性
醫療保健支付服務商Zelis公司首席信息安全官Russel Prouix表示,雖然IT和網絡安全領導者需要及時了解合規性問題,尤其是監管要求,但其目標應該始終是一個健全的安全計劃,以適當地支持企業的業務、目標和運營的垂直行業。如果這樣做,那么合規性就會成為一種結果,而不僅僅是目標。
Prouix說,基本的安全措施通常管理不善,導致合規性成為障礙。這包括適當的修補和漏洞管理、用戶帳戶安全(或在員工離開企業時及時刪除帳戶)、使用雙因素身份驗證進行遠程訪問,以及對移動設備進行適當的安全和移動設備管理。
Prouix說,“適當的安全需要自上而下的方法。在嘗試實施任何網絡安全計劃(包括支持合規性的計劃)之前,必須獲得董事會、首席執行官和行政領導層的支持才能定下基調。然后IT和安全需要與企業合作以確保數據受到保護,同時使數據能夠流動,從而使企業蓬勃發展并保持競爭力。”
5.沒有采用關鍵技術工具
雖然法律和合規團隊可能負責采購滿足合規性需求的技術,但IT領導者當然可以參與幫助選擇和部署最合適的解決方案。
Gartner公司于2021年9月確定了合規性領導者應將其技術投資重點放在三個領域。第一個領域是基礎記錄系統。該公司表示,對這些合規性系統的投資可以減少報告和構建數據集所需的臨時數據捕獲,從而釋放數據分析和人工智能(AI)在合規方面的潛力。
第二個領域是數字化的工作流程。Gartner公司表示,法律和合規團隊面臨的管理工??作比以往任何時候都多,通過技術實現最大流量工作流的數字化是可行的,可以顯著改善工作流。
第三個領域是風險的數字化管理。Gartner公司表示,監管波動、數字業務轉型、不斷增加的網絡安全風險,以及從受監控的風險和安全活動中獲取的大量信息,正在限制企業通過傳統模擬方式有效管理風險的能力。合規負責人應該尋找機會簡化風險管理和合規相關活動,并通過與運營級數據源的系統集成來提高他們對風險的理解。
Gartner公司法律和合規實踐咨詢總監Zack Hutto指出,傳統的合規團隊對技術的采用落后于許多其他公司職能部門。他說,這些團隊應該首先建立基礎記錄系統,然后投資工具以促進關鍵工作流程,然后再探索更復雜的機會,例如數字化風險管理。
6.不了解監管意圖
在某些情況下,企業對監管問題的理解可能與監管意圖不完全一致,這可能會導致混淆。這適用于與IT相關的問題,例如數據隱私。
Datt說,“我們經常看到一些企業在沒有真正理解監管機構要求的情況下回復,監管機構通常會提供觀察/或需要注意的事項。
Datt表示,企業應該真正理解指示的內容,而不是過分關注需要注意的事項。他說,“與監管者進行良好的合作對話有助于理解監管機構的監管內容。”
7.缺乏結構化治理
Datt表示,雖然企業可能有實質性的流程和控制措施,但它們往往缺乏一個結構化的治理和風險框架以確認風險覆蓋范圍,并使其流程和控制措施與監管要求保持一致。
他說:“缺乏結構化和文檔化的流程可能導致企業架構/控制的非理性化,在響應監管或其他利益相關者查詢時出現混亂或潛在的風險盲點。”
Datt指出,CIO和其他技術領導者應該構建一個整體治理架構,該架構將信息安全、企業架構、應用程序和基礎架構團隊結合在一起,并通過設計將合規性融入技術交付中。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號