Действительно ли сотрудники серьезно относятся к нормативному соответствию в отношении данных?

Сотрудники, не соблюдающие нормативные требования, становятся головной болью для ИТ-руководителей, и в такой ситуации сложно найти оптимальное решение. Как ИТ-руководителям найти идеальный баланс между свободой выбора для сотрудников и строгим предотвращением каких-либо ошибок?

Нарушения в таком балансе могут привести к большим издержкам. В январе компания Amazon проиграла суд во Франции и была оштрафована на 32 млн евро за «чрезмерно навязчивый» мониторинг своих сотрудников¹. Однако даже если все не так печально, лишние нормативные требования могут привести к снижению производительности и раздражению сотрудников, которые в итоге решат искать обходные пути.

Но насколько на самом деле значима эта проблема? В новом исследовании Canon, в котором приняли участие свыше 1700 ИТ-руководителей, можно найти много интересной информации. «Барометр трансформации ИТ» демонстрирует, что безопасность данных в организации является для ИТ-руководителей одной из важнейших проблем и входят в список из трех наиболее сложных и времязатратных обязанностей за последние пять лет.

В 2023 году эта проблема вышла на новый уровень. Если рассматривать основные трудности, с которыми сталкиваются ИТ-руководители, почти все они связаны с прозрачностью и управляемостью потоков информации в компаниях. Информационная безопасность (33%) стала, по их мнению, главной сложностью, а сразу за ней следуют нормативное соответствие (25%) и управление теневыми ИТ (25%).

Эти данные свидетельствуют о том, что в гибридных и удаленных рабочих средах такие проблемы стали еще актуальнее. На вопрос о том, как они планируют оптимизировать текущую конфигурацию, многие ИТ-руководители сказали, что хотят повысить прозрачность использования ПО сотрудниками (43%), а также строже управлять нормативным соответствием сотрудников, работающих удаленно (42%), и теневого ИТ (40%).

Он действительно есть. Тема теневых ИТ всплывает в заголовках все чаще, и к 2027 году ожидается, что 75% сотрудников будут получать, изменять или создавать технологии вне систем мониторинга ИТ-отделов. Это огромный показатель роста относительно 41% в 2022 году².

Gartner связывает происходящее с тем фактом, что многие из нас сами начинают неплохо разбираться в технологиях. Все большее число сотрудников обладают достаточными знаниями и техническими навыками для того, чтобы проходить регистрацию и пользоваться облачными сервисами без необходимости привлекать к этому ИТ-специалистов.

Каков результат? Нормативное соответствие может быть легко нарушено. Согласно отчету журнала CSO, «сотрудники обычно не знают, какие системы безопасности используются в только что купленных ими приложениях, а также каким образом их нужно дополнить, чтобы обеспечить должную безопасность. Более того, они, к сожалению, зачастую вводят в такие приложения конфиденциальные данные для выполнения рабочих задач»³.

Есть разные причины, по которым не соблюдаются корпоративные правила безопасности. Во многих случаях сотрудники просто не знают, что такое правильные протоколы. Требования к управлению информацией довольно сложны, и некоторые сотрудники могут не понимать, каким образом такие указания коррелируют с их повседневной работой.

В других случаях процессы или инструменты, которые им необходимо использовать, слишком сложны. Исследование, проведенное в Гарварде⁴, показало, что 5% задач намеренно выполняются способами, которые нарушают нормативные требования. Три основные причины таких нарушений: «для более качественного выполнения рабочих задач», «для получения нужного результата» и «в целях помощи с работой другим». Эти три причины охватили 85% зарегистрированных случаев. Нарушение правил в большинстве случаев не являлось злонамеренным, а было мотивировано желанием выполнить свои рабочие обязанности.

Обеспечение оптимального баланса между управлением обязанностями и чрезмерным вмешательством является одновременно важной и сложной задачей для современных ИТ-руководителей. С учетом статистики можно сказать, что ИТ-руководители не зря беспокоятся о возможных действиях сотрудников, в частности в отношении тех, кто работает удаленно.

Конечной целью должно быть ненавязчивое управление нормативным соответствием информации и данных. В первую очередь, следует понимать, какие требования могут иметься у сотрудников — на них значительным образом влияют современные отраслевые тенденции и должность каждого из работников. ИТ-руководители могут сократить вероятность обхода сотрудниками политик компании посредством коммуникации с разными отделами, которая обеспечит должное понимание того, какие политики необходимы, а какие лишь создают дополнительные проблемы, не привнося ничего взамен.

Однако также необходимо создать среду, где потоки информации будут более прозрачными и управляемыми. Что интересно, согласно исследованию проблемой была прозрачность даже в стандартных аспектах управления информацией. Лишь около половины ИТ-руководителей сказали, что имеют возможность проводить аудит управления документацией. Например, всего 53% ИТ-руководителей сообщили, что могут отслеживать предоставление общего доступа к документам. Без этого им трудно в полной мере понять, соблюдают ли сотрудники нормативные требования компании.

Исследование показало, что многие ИТ-руководители предпринимают действия. Респонденты сообщили, что начинают внедрять инструменты цифрового управления документацией и применять лучшие методы автоматизации в сфере управления корпоративной информацией. На базовом уровне это означает внедрение автоматических прав доступа и автоматического удаления конфиденциальных документов по истечении определенного периода времени. Для организаций, которые уже продвинулись дальше на пути цифровизации, это может означать автоматизацию целого бизнес-процесса, например обработки счетов, для того чтобы им можно было управлять с помощью предустановленной конфигурации.

Однако есть и большой процент ИТ-руководителей, которые признают, что еще не внедрили даже некоторые из более базовых решений и возможностей. Фактически даже самые основные функции, такие как автоматические права доступа для управления доступом к документам и директориям, используются лишь 51% опрошенных.

Безопасное управление бизнес-информацией в соответствии с нормативными требованиями — это одна из главных проблем для всех ИТ-руководителей. Однако обеспечение нормативного соответствия в итоге является задачей, которая формируется в тесной связи с моделями поведения человека. Для успешного применения политик ИТ-руководителю необходимо удостовериться, что они не мешают сотрудникам выполнять рабочие задачи, но и не дают им свободу действий в отношении управления информацией.

ИТ-руководителям следует начать с пересмотра текущего инструментария, который призван обеспечить прозрачность и управляемость информационных потоков. С помощью таких инструментов ИТ-руководители смогут снять с себя нагрузку и свободнее управлять рабочей средой, где ручное отслеживание не будет столь эффективным. Если ориентировать методы нормативного соответствия на людей и их поведение, это позволит избежать как случайных, так и намеренных случаев нарушений, причиной которым становятся слишком замысловатые меры защиты. Это также позволит ИТ-руководителям лишний раз не беспокоиться.

Ознакомьтесь с отчетом «Барометр трансформации ИТ» прямо здесь и узнайте гораздо больше о работе ИТ-руководителей — от приоритетных будущих закупок до их мнения о собственной роли в компании.

Загрузить отчет