מאמר

האם העובדים באמת מתייחסים ברצינות לתאימות נתונים?

Do workers really take data compliance seriously?
חזרה לכל המאמרים

עובדים שלא מקפידים על תאימות גורמים למנהלי IT כאב ראש, וקשה לדעת כיצד למנוע זאת בצורה היעילה ביותר. כיצד יכולים מקבלי החלטות בתחום ה-IT‏ (ITDM) למצוא את האיזון הנכון בין מתן חופש בחירה לעובדים, לבין אכיפה קפדנית של מניעת טעויות?

איזון שגוי עלול לעלות ביוקר. בחודש ינואר, Amazon הפסידה בתביעה משפטית בצרפת ונקנסה ב-32 מיליון אירו בגין ניטור "פולשני מדי" של עובדים.1 אפילו ברמה מחמירה פחות, תקנות עלולות לפגוע בפרודוקטיביות ואף לפתות עובדים מתוסכלים לעקוף את הכללים.

דאגה מתמשכת עבור מנהלי IT

מהו אם כן היקף הבעיה? מחקר חדש של Canon, שבחן את דעותיהם של למעלה מ-1,700 אנשי ITDM, מציע כמה תובנות. דוח IT Transformation Barometer גילה כי אבטחת המידע של הארגון מקשה על מנהלי ה-IT להירדם בלילה, ולא מאפשרת להם רגע מנוחה משלושת תחומי האחריות שדורגו כמאתגרים וכגוזלי הזמן הגדולים ביותר בחמש השנים האחרונות.

תופעה זו התגברה ב-2023. כשאנו מסתכלים על האתגרים הגדולים ביותר של אנשי ה-ITDM, הנושא המוביל הוא נראות המידע בחברה והשליטה בו. אבטחת המידע (33%) דורגה כאתגר מספר אחת, אחרי השמירה על תאימות (25%) והשליטה במיחשוב הצללים (25%).

הנתונים מראים שעבודה היברידית ועבודה מרחוק מוסיפות לקושי. כשנשאלו על האופן שבו הם מתכננים לשפר את המערך הקיים שלהם, אנשי ITDM רבים אמרו שהם רוצים יותר נראות לשימוש בתוכנות העובדים (43%), תוך הגברת השליטה בתאימות העובדים מחוץ לאתר (42%) ובמיחשוב הצללים (40%) .

האם הדאגות הללו מבוססות?

במילה אחת, כן. מיחשוב הצללים (shadow IT) נמצא במגמת עלייה, ועד שנת 2027, צופים כי 75% מהעובדים ירכשו, יתאימו או ייצרו טכנולוגיה מחוץ לפיקוח ה-IT. זוהי עלייה עצומה מ-41% בשנת 2022‏2.

Gartner מייחס זאת לעובדה שרבים מאיתנו "הפכו לטכנולוגים". לעובדים יש יותר ויותר את הידע והיכולת הטכנית להירשם ולגשת לתוכניות דרך הענן, ללא צורך בהתערבות כלשהי של אנשי IT.

והתוצאה? היתכנות גבוהה לפגיעה בתאימות. כפי שמדווח מגזין CSO: "העובדים לא יודעים בדרך כלל אילו שכבות אבטחה יש ליישומים שהם קונים, אם בכלל, או האם צריך להוסיף להם משהו כדי לאבטח אותם. בנוסף, מה שמחמיר את המצב, לעתים קרובות הם מכניסים ליישומים אלה נתונים רגישים כדי לבצע את עבודתם."3

Why are employees ignoring the rules?

מדוע העובדים מתעלמים מהכללים?

הסיבות שניתנו לאי הציות לתקנות האבטחה של החברה היו מגוונות. במקרים רבים, העובדים לא ידעו מהם הפרוטוקולים הנכונים. הדרישות לניהול מידע מורכבות, וחלק מהעובדים יכולים לא להבין כיצד הן חלות באופן מעשי על עבודתם היומיומית.

במקרים אחרים, התהליכים או הכלים שהם צריכים להשתמש בהם פשוט מסובכים מדי למעקב. מחקר של Harvard‏4 מצא כי 5% מהמשימות הושלמו בכוונה בצורה שאינה תואמת. שלוש הסיבות המובילות להפרה היו: 'כדי לבצע טוב יותר משימות במסגרת העבודה שלי', 'כדי להשיג משהו שהייתי צריך' ו'כדי לעזור לאחרים לבצע את עבודתם'. שלוש תשובות אלו היוו 85% מהמקרים. הפרת הכללים לא הייתה זדונית ברוב המכריע של המקרים אלא נבעה מרצון פשוט לבצע את העבודה.

עצות עיקריות לעידוד הציות

מציאת האיזון הנכון בין ניהול אחראי ובין הפרות חמורות היא אתגר מרכזי עבור מנהלי ה-IT של ימינו. העובדות בשטח מראות שלאנשי ה-ITDM יש סיבה לחשוש מהתנהגות העובדים, במיוחד מחוץ לכותלי המשרד.

המטרה הסופית צריכה להיות מצב שבו ניהול מידע ונתונים תוך תאימות לא יהיה כרוך בהפרעה כלשהי. לפני הכל, מדובר בהבנה אמיתית של צורכי העובדים – דבר שמושפע מאוד מהתעשייה ומתפקידו של כל אדם. אנשי ה-ITDM יכולים להפחית את הסבירות שעובדים יעקפו את מדיניות החברה על ידי שיחה עם המחלקות השונות לגבי זרימות העבודה שלהם והבנה אילו סעיפי מדיניות הם הנחוצים באמת, ואילו יוצרים יותר בעיות ממה שהם פותרים.

More control where it’s needed

יותר שליטה היכן שהדבר נחוץ

עם זאת, מדובר גם ביצירת סביבה עם יותר נראות ושליטה. מעניין לגלות שהנראות, אפילו בהיבטים נפוצים של ניהול המידע, היוותה בעיה, על פי המחקר. רק כמחצית ממנהלי ה-IT אמרו שיש להם היכולת לעקוב אחר אופן ניהול המסמכים למטרות ביקורת. לדוגמה, רק 53% ממנהלי ה-IT אמרו שהם מסוגלים לעקוב אחר שיתוף המסמכים. ללא נראות כזו, קשה למנהלי IT לדעת באמת אם העובדים מצייתים לכללים.

המחקר מצא שמנהלי IT רבים נוקטים פעולה. המשיבים דיווחו שהם התחילו ליישם ניהול מסמכים דיגיטלי כדי לאכוף אוטומציה של שיטות עבודה מומלצות על ידי ניהול אוטומטי של המידע בחברה. ברמה הבסיסית, זה כולל הטמעה של זכויות גישה אוטומטיות ומחיקה אוטומטית של מסמכים רגישים לאחר תקופה מוגדרת. בארגונים מתקדמים יותר מבחינה דיגיטלית, זו יכולה להיות הכנסת אוטומציה של זרימות עבודה כדי להבטיח שתהליך עסקי שלם – כמו עיבוד חשבוניות – יכלול אוטומציה מובנית, ויבטיח שליטה בתהליך לפי קבוצת שלבים שאושרו מראש.

עם זאת, חלק גדול ממנהלי ה-ITDM הודו שהם עדיין לא יישמו חלק מהיכולות הבסיסיות יותר. למעשה, אפילו הפונקציונליות הנפוצה ביותר – זכויות גישה אוטומטיות הקובעות מי יכול לגשת למסמכים ולמיקומים - אומצה על ידי 51% מהמשיבים בלבד.

מציאת האיזון הנכון

ניהול מאובטח ותאימות המידע העסקי הם נושאים מרכזיים עבור כל מנהל IT. ועם זאת, הבטחת תאימות היא בסופו של דבר אתגר שמתרכז בהתנהגות האנושית. כדי להגדיר מדיניות מוצלחת, מנהלי ה-IT צריכים להבטיח שהם לא מעכבים את העובדים, וגם לא מאפשרים להם שליטה חופשית בדרכי ניהול המידע שלהם.

אנשי ITDM צריכים להתחיל בכך שיבדקו האם יש בידם את הכלים הנכונים בכל הכרוך בנראות ובשליטה על אופן השימוש במידע. עם הכלים הנכונים, יורד הלחץ ממנהלי ה-IT להיות בכל מקום בסביבה שבה מעקב ידני פשוט בלתי אפשרי. התחלת בנייה של גישה לתאימות שתהיה ממוקדת יותר באדם תסייע להימנע הן מהפרות מקריות והן ממקרים מכוונים של אי ציות שנגרמו בשל סבך מורכב של כללים. בנוסף, הדבר יעזור למנהלי ה-IT להיות רגועים יותר.

חקור את דוח IT Transformation Barometer להלן כדי לקבל תובנות נוספות על הניסיון של מנהלי ה-IT, החל מסדרי העדיפויות של רכש עם הפנים לעתיד ועד תחושותיהם האמיתיות לגבי תפקידם.

הורדת דוח

  1. https://www.hrmagazine.co.uk/content/comment/what-lessons-can-hr-learn-from-amazons-32-million-employee-monitoring-fine/
  2. Gartner חושף את שמונה תחזיות אבטחת הסייבר העיקריות לשנים 2023-2024
  3. מיחשוב הצללים (shadow IT) הולך ומתגבר וכך גם סיכוני האבטחה הנלווים | CSO Online
  4. https://hbr.org/2022/01/research-why-employees-violate-cybersecurity-policies

מידע נוסף