Organisationer fortsätter att utnyttja den växande kraften hos IT-hårdvara och mjukvara för att förbli konkurrenskraftiga och möta sina intressenters stigande förväntningar. I takt med att mängden och typen av investeringar, och känsligheten hos insamlad data ökar, ökar också oron för de åtgärder som vidtas för att skydda dessa tillgångar. Förmågan att uppnå kortsiktiga och långsiktiga mål beror i allt högre grad på organisationens förmåga att implementera och upprätthålla effektiva IT-styrningsmetoder.
IT-styrning är en delmängd av företagsstyrning, och den fokuserar på IT-prestanda och relaterad riskhantering. En viktig drivkraft för intresset inom detta område är behovet av att organisationer fokusera på värdeskapande genom att anpassa strategiska mål till resultatstyrning och alla intressenters förväntningar. Den består av policyer, procedurer och processer för att utforma, hantera och övervaka organisationens regulatoriska, juridiska, miljömässiga och operativa krav.
Enkelt uttryckt innebär god styrning att beslutsfattande baseras på organisationens strukturer, processer och kultur. När det finns god styrning verkar organisationen med ett tydligt syfte som levererar långsiktigt värde och möter intressenternas förväntningar. Det kräver ledarskap och värderingar, ofta tillsammans med ett vägledande ramverk.
Medan intresset för IT-styrning har funnits i decennier har fokus ökat på grund av antagandet av flera lagar i USA och utomlands.
Viktiga lagar
The Gramm-Leach Bliley Act: Den kräver finansiella institutioner att förklara för sina kunder deras praxis för informationsutbyte och hur de skyddar den känsliga information de samlar in.
The California Online Privacy Protection Act (CalOPPA), California Consumer Privacy Act (CCPA) och The New York Privacy Act (NYPA): Dessa lagar är utformade för att skydda konsumenter som bor i NY och CA och reglerar försäljningen av deras personuppgifter. Placeringen av företagen är irrelevant, och liknande lagar finns i olika skeden av implementeringen i andra amerikanska delstater också.
The Payment Card Industry (PCI) Data Security Standard (DSS): Syftet är att skydda hela betalkorts ekosystem , så det gäller handlare och tjänsteleverantörer som behandlar kredit- och betalkortstransaktioner. Några av kraven inkluderar användning av brandväggar, kryptering, antivirusprogram, tillämpa åtkomstbegränsningar och unika ID:n, spåra och övervaka all åtkomst och testa säkerhetssystem.
Den allmänna dataskyddsförordningen (GDPR): Det är en integritetslagstiftning från Europeiska unionen (EU) som reglerar överföring av personuppgifter utanför EU. Det primära målet är att förbättra individers kontroll och rättigheter över sina personuppgifter.
Nyckel IT-styrningsramar
Medan termen och relaterade begrepp har funnits i årtionden, fortsätter många organisationer att kämpa i sina IT-styrningsinsatser . Vägspärrarna inkluderar en bristande medvetenhet om nyckelkrav, hur man bäst implementerar nödvändiga policyer och procedurer, hur man bäst övervakar nyckelaktiviteter inom och utanför organisationen, och att vidta korrigerande åtgärder när avvikelser från förväntad praxis uppstår.
Flera ramverk har utvecklats för att hjälpa organisationer i detta avseende.
COBIT 2019: COBIT står för Control Objectives for Information and Related Technology. Det är ett ramverk skapat av ISACA (Information Systems Audit and Control Association), och det designades för att fungera som ett stödverktyg för chefer. Det hjälper till att överbrygga klyftan mellan affärsrisker, kontrollkrav och tekniska problem genom att säkerställa kvalitet och tillförlitlighet hos informationssystem. Den har universell dragningskraft eftersom den kan appliceras på alla organisationer i alla branscher.
ITIL(R) 4: Information Technology Infrastructure Library (ITIL) är ett ITSM-ramverk som inkluderar styrning som en del av dess Service Value System tillsammans med en uppsättning detaljerade rutiner för IT-aktiviteter. Det inkluderar service och tillgångsförvaltning och fokuserar på att anpassa IT-tjänsterna till verksamhetens behov. Den beskriver processer, procedurer och uppgifter, och den innehåller checklistor som kan användas av alla typer av organisationer. ITIL kan tillämpas mot strategi och leverans för att upprätthålla övergripande kompetens. Med den kan organisationer sätta en baslinje från vilken de kan planera, implementera och mäta resultat.
ISO: Den internationella standardiseringsorganisationen (ISO) utfärdar ISO 37000:2021 styrningsvägledning för att hjälpa organisationer att prestera med syfte och effektivt och samtidigt uppträda ansvarsfullt. Det gäller organisationer av alla typer, storlekar, branscher och platser och betonar hållbarhet och effektiv tillsyn över alla dess aktiviteter, inklusive hanteringen av data.
NIST: National Institute of Standards and Technology (NIST) är en federal byrå inom det amerikanska handelsdepartementet. Dess ramverk består av standarder, riktlinjer och bästa praxis för att hantera cybersäkerhetsrisker genom fem funktioner: Identifiera, skydda, upptäcka, svara och återställa, och påminner användare om att balansera proaktiva skyddsåtgärder samtidigt som de förbereder sig för värsta scenarier.
Dessa ramverk är inte bara konceptuella, utan inkluderar vanligtvis checklistor och bästa praxis som hjälper IT-proffs, chefer, revisorer och efterlevnadsproffs att agera pragmatiskt för att hjälpa sina organisationer att implementera och utvärdera de informationsteknologiska åtgärderna på plats .
Riskhantering
Arbetet av internrevisorer, efterlevnadsproffs, tillsynsmyndigheter och IT-proffs bör på lämpligt sätt fokusera på de risker som organisationens verksamhet kan utsätta dem för till. Till exempel:
Förändrade tekniska framsteg skapar möjligheter och risker. Tillväxten av Internet of Things (IoT), till exempel, inleder möjligheter att ansluta miljoner till enheter så att de delar data, och deras funktionalitet ökar bekvämligheten som användarna åtnjuter. Eftersom dammsugare, kylskåp, termostater, dörrklockkameror, träningsutrustning och bilar interagerar med varandra kan de leda känslig information genom vanliga vägar. På samma sätt samlas kunddata hos organisationer som kan dela denna data med andra parter. Dessa interaktioner väcker spöket av data som äventyras under insamling, lagring och förflyttning – alla områden av oro och som tas upp av IT-styrningsramverk.
Den växande användningen av artificiell intelligens (AI) och maskininlärning (ML) har också konsekvenser för IT-styrning. Organisationer bör vara försiktiga med de algoritmer som används när de utvecklar dessa tekniker, sättet för deras implementering och de åtgärder som sätts in för att övervaka deras prestanda. Dessa teknologier är beroende av stora datamängder som kan innehålla personligt identifierbar information (PII) och dess insamling, användning, lagring, delning och överföring kan påverka individers rättigheter.
Andra risker för oro inkluderar:
Läckaget av privatkundsinformation skulle inte bara äventyra kundernas personliga information vilket resulterar i identitetsstöld, utan böter och straff kan åläggas den brottsliga organisationen och deras rykte skulle bli fläckigt.
Oförmågan att omedelbart blockera cybersäkerhetsattacker, eller att återhämta sig från dem, skulle äventyra en organisations förmåga att betjäna sina kunder och generera intäkter och vinster.
Dåligt övervakat tillgångsförvärv och infrastrukturinstallation skulle begränsa driftshastigheten, vilket skulle sätta organisationen i en konkurrensnackdel.
Oförmågan att identifiera alla datalagringsplatser skulle äventyra organisationens förmåga att upprätthålla versionskontroll, bevara register som påbjudna, korrekta säkerhetskopior och kassera alla register i slutet av data- och dokumentlagringsperioden. Även om denna dynamik påverkar finansiell och personlig information, utsätter den också organisationen för ytterligare risker om dess databaser infiltrerades, eftersom angripare skulle ha tillgång till fler poster än de annars skulle.
Åtkomstkontroller ses ofta som allmänna IT-kontroller, men när det gäller IT-styrning, oförmåga att begränsa tillgången till information och begränsa den på grund av att de behöver veta, utsätter organisationernas tillgångar för datakorruption och till och med bedrägligt beteende.
Användningen av äldre system som byggdes med färre säkerhetsfunktioner och som idag kan fungera som en svag länk i organisationens cybersäkerhetsarbete.
Utbildning och förberedelse av professionella
Omfattningen av IT-styrning är ganska bred. Det inkluderar utvecklings-, säkerhets- och driftaktiviteter inom organisationer och de åtgärder som vidtas för att skydda tillgångar samtidigt som de skapar värde för intressenter. Med tanke på omfattningen av aktiviteter som är inkapslade i IT-styrning, kan IT-proffs och andra intressenter överväga att söka relaterade certifieringar enligt ovan.
Proffs inom IT, revision och efterlevnad bör balansera sin strävan efter tekniska färdigheter med förvärv och förbättring av mjuka färdigheter. De senare är viktiga eftersom att fråga om nuvarande praxis, utforska implikationerna av DevSecOps aktiviteter och strategiska planer, och brainstorming av riskrelaterade händelser, ber om en förmåga att engagera sig i meningsfulla konversationer, utforska scenarier, hantera konflikter och meningsskiljaktigheter effektivt och vara kunna förklara syftet med en given frågeställning. Revisorer och andra efterlevnadsinriktade yrkesverksamma skulle vara väl betjänta av att förbättra sina kommunikationsförmåga, eftersom många av de tekniska aspekterna av IT-styrning tyvärr av många ses som ett besvär och onödigt. Att effektivt kunna förklara varför dessa ämnen är viktiga och de potentiella konsekvenserna av att misslyckas med att ta till sig bästa praxis för IT-styrning kan bli kostsamt för organisationer och deras intressenter.
Det finns ett överflöd av vägledning om IT-styrningsprinciper som kan hjälpa styrande organ att utföra sina uppgifter och uppfylla förväntningarna från sina intressenter på ett effektivt, försiktigt och effektivt sätt. Genom att anamma dessa riktlinjer inkluderar fördelarna ökad ansvarighet, lyhördhet och transparens. Med tanke på fokus på integritet och lämplig användning av personlig information, är rättvis behandling och förtroendefulla relationer mellan intressenter också på listan över fördelar.
När organisationer fortsätter att investera i och anamma ny teknik för att skapa värde, ankommer det på dem att implementera och upprätthålla effektiva IT-förvaltningsmetoder som kommer att stärka hela deras IT-ekosystem och de metoder som möjliggör det.