Marile inițiative de migrare în cloud promit agilitate și reducere de costuri, însă istoricul reglementărilor financiare și al controalelor interne demonstrează că transformările IT pot genera riscuri dacă guvernanța este neglijată. Un studiu recent realizat pe 620 de lideri IT, de conformitate și securitate confirmă acest lucru: multe organizații pornesc în transformări ample fără să-și actualizeze din timp controalele GRC, iar efectele apar rapid.
Raportul Pathlock arată că doar 7% dintre companii și-au revizuit controalele de guvernanță, managementul riscului și conformitate înainte de migrarea în cloud, iar peste jumătate (52%) nu au inclus o strategie GRC din start. Practic, proiectele sunt construit pe funcționalitate și cost, în timp ce reguli precum segregarea sarcinilor (SoD) sunt verificate incomplet: jumătate dintre organizații nu au realizat verificări SoD complete în procesul de redesenare a rolurilor. Nu e surprinzător că mai mult de 70% dintre respondenți nu au automatizat analiza riscurilor de acces, revizuirea acceselor utilizatorilor sau procesele de provisioning și de-provisioning, iar 51% admit că rechemarea accesului după încetarea unui contract durează peste 24 de ore. Asta creează intervale largi în care date sensibile pot rămâne accesibile.
Efectele practice sunt serioase: aproape 40% dintre organizații au raportat incidente de securitate sau de conformitate direct legate de lacune de guvernanță apărute în timpul migrației în cloud. În ultimele 12 luni, 21% au înregistrat încălcări de conformitate și 17% au raportat fraude interne; 23% au avut incidente interne în timpul sau după migrare. Aceste cifre indică faptul că problemele nu sunt teoretice, ci afectează operațiunile și riscul reputațional.
Specialiștii citați în raport reiau o lecție veche, dar adesea uitată: la aproape 25 de ani de la adoptarea Sarbanes-Oxley, multe transformări digitale continuă să ignore conformitatea. Susan Stapleton de la Pathlock avertizează că investiții de sute de milioane pot duce la audituri eșuate dacă GRC nu este integrat din faza de proiect, iar remedierea ulterioară costă mult mai mult decât prevenția. Chris Radkowski punctează partea pragmatică: atunci când GRC este privit ca un facilitator de business, nu doar ca o cheltuială birocratică, devine un factor de reziliență, reducere a costurilor și minimizare a riscurilor de conformitate și reputație.
Raportul mai observă că maturitatea în cloud diferă între domenii: HR și CRM sunt, în mare parte, migrate și stabile, în timp ce lanțul de aprovizionare și achizițiile sunt încă în proces de migrare, necesitând o supraveghere mai atentă. Studiul complet este disponibil pe site-ul Pathlock, iar datele evidențiază clar unde trebuie focalizate eforturile: politici, controale tehnice și procese automate care să gestioneze accesul și segregarea atribuțiilor înainte de migrarea serviciilor în cloud.
Datele concrete din raport, procente precum 7%, 52%, 39% sau 51%, ilustrează frecvența neglijenței în guvernanță și impactul acesteia. De asemenea, menționarea reglementărilor relevante, precum SOX și GDPR, reamintește că multe echipe funcționează într-un cadru legal strict care nu admite compromisuri. Exemplele practice sunt clare: dacă o companie reproiectează roluri în ERP sau în platformele cloud fără verificări SoD și fără automatizarea revizuirilor de acces, riscă încălcări de conformitate sau incidente interne care pot genera costuri mari pentru remedieri și amenzi.
Raportul relevă o realitate limpede: tehnologia schimbă limitele, dar regulile rămân. Este esențial ca inițiativele de transformare să includă, din faza de planificare, mecanisme eficiente de guvernanță, politici actualizate, controale automate, proceduri clare pentru provisioning și revocare. Astfel se evită situațiile în care organizațiile plătesc dublu pentru corecții post-implementare. Gândiți-vă la asta ca la logistica controalelor: mai bine integrezi instrumentele în plan înainte de a porni la implementare.
Raportul Pathlock prezintă cifre elocvente despre guvernanță și migrare: 39% incidente legate de lacune de guvernanță, 21% încălcări de conformitate în ultimul an, 17% fraude interne. Aceste date subliniază importanța aplicării și automatizării controalelor GRC încă din etapa de proiectare a transformărilor IT. Ce pași concreți ar trebui să urmeze o companie pentru a evita aceste probleme? Actualizarea controalelor GRC înainte de migrare, automatizarea revizuirilor de acces, implementarea unor procese rapide de revocare și verificări SoD complete la redesenarea rolurilor sunt măsuri esențiale. Care dintre aceste măsuri consideri că ar fi mai ușor de implementat în organizația ta?
Fii primul care comentează