Czy pracownicy naprawdę poważnie traktują zgodność z przepisami w zakresie danych?

Pracownicy, którzy nie zachowują zgodności z przepisami, sprawiają duży problem liderom IT i trudno znaleźć rozwiązanie tej sytuacji. Jak decydenci IT mogą znaleźć właściwą równowagę między umożliwianiem pracownikom swobodnego wyboru a surowym zapobieganiem błędom?

Osiągnięcie niewłaściwej równowagi może być kosztowne. W styczniu firma Amazon przegrała sprawę sądową we Francji i została ukarany grzywną w wysokości 32 mln EUR za „nadmiernie natarczywe” monitorowanie pracowników¹. Nawet na mniej ekstremalnym poziomie przepisy mogą ograniczać wydajność i w rzeczywistości mogą kusić sfrustrowanych pracowników do omijania przepisów.

Jak duży jest to problem? Nowe badania firmy Canon, które opierają się na ankietach przeprowadzonych wśród ponad 1700 decydentów IT, rzucają na to pewne światło. Barometr transformacji IT ujawnił, że bezpieczeństwo informacji organizacji spędza liderom IT sen z powiek. Zawsze jest to element wskazywany wśród trzech najbardziej wymagających i czasochłonnych obowiązków w ostatnich pięciu latach.

W 2023 r. ta sytuacja się nasiliła. Gdy przyjrzymy się wyzwaniom najczęściej wskazywanym przez decydentów IT, główną kwestią jest widoczność informacji firmowych i kontrola nad nimi. Bezpieczeństwo informacji (33%) zostało ocenione jako najważniejsze wyzwanie, a następnie przestrzeganie zgodności z przepisami (25%) i kontrola nad Shadow IT (25%).

Dane sugerują, że praca hybrydowa i zdalna zwiększają ten problem. Zapytani o to, w jaki sposób planują udoskonalić swoją istniejącą konfigurację, wielu decydentów IT stwierdziło, że chce mieć większą widoczność wykorzystania oprogramowania pracowników (43%), a jednocześnie zwiększyć kontrolę nad zachowaniem pracowników w zakresie zgodności z przepisami poza biurem (42%) oraz Shadow IT (40%).

Krótko mówiąc: tak. Zjawisko Shadow IT nasila się i zgodnie z przewidywaniami do 2027 roku 75% pracowników będzie nabywać, modyfikować lub tworzyć technologię poza kontrolą działu IT. Jest to ogromny wzrost z 41% w 2022 roku².

Gartner przypisuje to faktowi, że wielu z nas „stało się specjalistami w zakresie technologii”. Pracownicy mają coraz większą wiedzę i możliwości techniczne, dzięki którym mogą rejestrować się i uzyskiwać dostęp do programów za pośrednictwem chmury, bez konieczności angażowania działu IT.

Jaki był efekt? W ten sposób łatwo można naruszyć zgodność z przepisami. Jak podaje magazyn CSO: „Pracownicy zwykle nie wiedzą, czy i jakie warstwy zabezpieczeń mają kupowane przez nich aplikacje, ani czy też trzeba je dodatkowo zabezpieczyć. Następnie, pogarszając sytuację, często wnoszą do tych aplikacji poufne dane, aby wykonać swoją pracę”³.

Podane przyczyny nieprzestrzegania firmowych przepisów bezpieczeństwa są różne. W wielu przypadkach pracownicy po prostu nie wiedzą, jakie są prawidłowe protokoły. Wymagania w zakresie zarządzania informacjami są skomplikowane, a niektórzy pracownicy mogą nie zdawać sobie sprawy, w jaki sposób w sposób należy stosować je w codziennej pracy.

W innych przypadkach procesy lub narzędzia, z których muszą korzystać, są po prostu zbyt skomplikowane do zastosowania. W badaniu Harvarda⁴ stwierdzono, że 5% zadań było celowo wykonanych w sposób niezgodny z wymaganiami. Trzy najważniejsze powody naruszeń to: „aby lepiej wykonać zadania w mojej pracy”, „aby uzyskać, co było mi potrzebne” oraz „aby pomóc innym w ich pracy”. Te trzy odpowiedzi stanowiły 85% przypadków. Łamanie zasad w zdecydowanej większości przypadków nie było złośliwe, ale motywowane prostym pragnieniem wykonania pracy.

Zapewnienie właściwej równowagi między odpowiedzialnym zarządzaniem a nadmierną ingerencją stanowi duże wyzwanie dla dzisiejszych liderów IT. Biorąc pod uwagę dowody, decydenci IT mają prawo być zaniepokojeni zachowaniem pracowników, zwłaszcza poza biurem.

Ostatecznym celem powinno być, aby zarządzanie informacjami i danymi w sposób zgodny z przepisami nie utrudniało pracy. W pierwszej kolejności chodzi o rzeczywiste zrozumienie wymagań pracowników – to coś, na co w dużym stopniu wpływa branża i rola poszczególnych osób. Decydenci IT mogą zmniejszyć prawdopodobieństwo omijania zasad firmy przez pracowników, rozmawiając z działami na temat ich przepływów pracy i rozpoznając, które zasady są rzeczywiście konieczne, a które stwarzają więcej problemów niż pożytku.

Jednak chodzi również o to, aby stworzyć środowisko o większej widoczności i kontroli. Co ciekawe, według badań problemem była widoczność nawet wspólnych aspektów zarządzania informacjami. Tylko mniej więcej połowa liderów IT stwierdziła, że może śledzić sposób zarządzania dokumentami z myślą o audytach. Przykładowo tylko 53% liderów IT stwierdziło, że może śledzić sposób udostępniania dokumentów. Bez tej widoczności liderzy IT mają duży problem z określeniem, czy pracownicy zachowują się w sposób zgodny z przepisami.

Badania pokazują, że wielu liderów IT podejmuje działania. Respondenci poinformowali, że zaczynają wdrażać zarządzanie dokumentami cyfrowymi w celu wymuszenia automatyzacji najlepszych praktyk poprzez automatyzację zarządzania informacjami o firmie. Na poziomie podstawowym obejmuje to wdrażanie automatycznych praw dostępu i automatyczne usuwanie poufnych dokumentów po określonym czasie. W przypadku organizacji o bardziej zaawansowanym poziomie cyfryzacji, które mogą wprowadzać automatyzację przepływu pracy w celu zapewnienia pełnego procesu biznesowego, takiego jak przetwarzanie faktur, jest stosowana automatyzacja zapewniająca kontrolę nad procesem na podstawie zestawu wstępnie zatwierdzonych czynności.

Jednak duża część decydentów IT przyznaje, że nie korzysta jeszcze z niektórych podstawowych możliwości. Nawet najbardziej powszechną funkcję – automatyczne prawa dostępu, które pozwalają kontrolować dostęp do dokumentów i lokalizacji – stosuje tylko 51% ankietowanych.

Bezpieczne, zgodne z przepisami zarządzanie informacjami biznesowymi jest dla każdego lidera IT najwyższym priorytetem. Jednak zapewnienie zgodności z przepisami jest wyzwaniem, które koncentruje się na ludzkim zachowaniu. W celu ustanowienia skutecznych zasad liderzy IT muszą zadbać zarówno o to, aby nic nie przeszkadzało pracownikom, jak i o to, żeby nie mogli swobodnie wybierać sposobu zarządzania informacjami.

Decydenci IT powinni rozpocząć od sprawdzenia, czy mają odpowiednie narzędzia umożliwiające wgląd w sposób wykorzystania informacji i kontrolę nad tym. Takie działania mogą wyeliminować wywieraną na liderów IT presję dotyczącą monitorowania wszystkich obszarów, w których ręczne śledzenie nie jest możliwe. Rozpoczęcie wdrażania bardziej skoncentrowanego na ludziach podejścia do przestrzegania przepisów pomoże uniknąć zarówno przypadkowych naruszeń, jak i celowych przypadków nieprzestrzegania przepisów. Zwiększy to również spokój ducha liderów IT.

Zapoznaj się z Barometrem transformacji IT tutaj, aby uzyskać więcej informacji na temat doświadczeń liderów IT – od przyszłych priorytetów w zakresie zaopatrzenia po informacje, jak naprawdę czują się w swojej roli.

Pobierz raport