Запрет социальных сетей и приложений для обмена сообщениями — большая (и дорогостоящая) проблема

Организации и их руководители по соблюдению требований изо всех сил пытаются взять под контроль запреты на внеканальные коммуникации, запрещая сотрудникам использовать такие приложения, как WeChat, Whatsapp или TikTok, и это лишь некоторые из них.

В ходе исследования 61,5% опрошенных руководителей по соблюдению требований заявили, что «их самой большой заботой было заставить сотрудников соблюдать правила электронного общения». Опрос также показал, что только 3% сотрудников по обеспечению соответствия заявили, что они «твёрдо убеждены», что запреты на каналы эффективны для обеспечения соответствия требованиям в их организации.

Это ощущение тщетности сохраняется, хотя большинство (59%) запретили использование социальных сетей и приложений для обмена сообщениями из-за ужесточения контроля со стороны регулирующих органов.

Роб Мейсон, директор по нормативной информации Global Relay, объясняет, что запреты каналов неэффективны, потому что они почти всегда совершаются в обход - отсюда и большое количество штрафов, наложенных за последние несколько лет.

Помимо штрафов Федеральной торговой комиссии, компании, которые допускают теневые ИТ-технологии и внеканальную связь, также подвергаются более высокому риску утечек данных и нарушений безопасности, поскольку команды ИТ и безопасности не имеют надзора или контроля над тем, как сотрудники используют эти инструменты и какие данные передаются. общий.

В долгосрочной перспективе организации также могут понести большие затраты, связанные с теневым ИТ.

«Пока действуют запреты на каналы, мы всегда будем видеть скрытую внеканальную коммуникацию для бизнеса», — говорит он. «Я считаю, что запреты каналов теперь являются временной тактической мерой, пока применяются стратегии для более эффективного управления рисками».

Он добавляет, что запрет на несанкционированные каналы связи существовал всегда.

«Коллеги осознают, что им необходимо вести деловые коммуникации на записываемых носителях, которые затем подлежат наблюдению и ведению учета в соответствии с правилами», — отмечает он. «Это обеспечивает соответствие внутренней политике, отражающей соответствующие правила».

Когда разразился COVID-19, изоляция потребовала от людей работать из дома, но «контроля» за соблюдением политики отсутствия мобильных устройств не произошло, даже несмотря на то, что границы между личным и деловым общением становились все более размытыми.

Несмотря на это, имело место явное и широкое использование WhatsApp и других несанкционированных каналов связи в деловых целях, что впервые было обнаружено в ходе проверки SEC.

Это привело к тому, что почти все крупные банки подверглись санкциям и штрафам, которые продолжаются в настоящее время спустя 18 месяцев после первого уведомления.

«Наказания за нарушение этой запретительной политики были увеличены, но это является сдерживающим фактором, а не контролем», — говорит Мейсон.

Джон Харден, старший менеджер по продукции Auvik, говорит, что эффективность фундаментально зависит от того, какие шаги включены в запрет.

«Например, памятка сотрудникам организации без какого-либо принуждения, мониторинга или вторичных ИТ-мер обречена на провал», — говорит он. «Подобно тому, как вода идет по пути наименьшего сопротивления, мы видели здесь, в Аувике, что сотрудники склонны использовать теневые ИТ, чтобы облегчить свою работу».

Крайне важно знать, состоит ли цель в том, чтобы поставить галочку «мы что-то сделали», или цель состоит в том, чтобы обеспечить соблюдение этой галочки и гарантировать, что она будет остановлена ​​с помощью защитных мер.

«Сотрудники не используют внеканальное общение, потому что хотят нарушить ИТ-политику», — добавляет он. «Они делают это, потому что так проще для них или их клиентов».

Харден говорит, что в этом случае компаниям необходимо смотреть на теневые ИТ с оппортунистической точки зрения: им необходимо понимать, почему используются такие инструменты, как WhatsApp и WeChat, и стремиться к внутренним инновациям с помощью своего технологического стека.

«Просто говоря сотрудникам использовать санкционированный инструмент, а не тот, который они предпочитают, многого не добиться», — говорит он. «У сотрудников есть свои предпочтения, и ИТ-руководители должны прислушиваться к тому, почему сотрудники предпочитают использовать несанкционированный инструмент, и воспринимать это как возможность для инноваций, позволяющих удовлетворить потребности сотрудников, сохраняя при этом соответствие требованиям».

Вице-президент Gartner, аналитик Крис Одет, объясняет, что во многих случаях специалисты по соблюдению требований, как правило, отслеживают риски задним числом и рассматривают произошедшие рисковые события, а не предписывающий подход к оценке рисковых событий, которые могут произойти.