Prohibir las redes sociales y las aplicaciones de mensajería es un gran (y costoso) problema
Las organizaciones y sus líderes de cumplimiento están luchando por controlar las prohibiciones de comunicaciones fuera del canal, prohibiendo a los empleados el uso de aplicaciones como WeChat, Whatsapp o TikTok, por nombrar algunas.
En un estudio, el 61,5% de los líderes de cumplimiento encuestados dijeron que "lograr que los empleados cumplan con las reglas de comunicación electrónica era su mayor preocupación". La encuesta también reveló que sólo el 3% de los responsables de cumplimiento dijeron que “creen firmemente” que las prohibiciones de canales son efectivas para garantizar el cumplimiento de las comunicaciones en su organización.
Este sentimiento de inutilidad persiste, a pesar de que la mayoría (59%) ha prohibido el uso de redes sociales y aplicaciones de mensajería debido a un mayor escrutinio regulatorio.
Rob Mason, director de inteligencia regulatoria de Global Relay, explica que las prohibiciones de canales son ineficaces porque casi siempre se eluden, de ahí la gran cantidad de multas que se han impuesto en los últimos años.
Además de las multas de la FTC, las empresas que permiten la TI en la sombra y la comunicación fuera del canal también corren un mayor riesgo de fugas de datos y violaciones de seguridad, ya que los equipos de TI y de seguridad no tienen supervisión ni control sobre cómo los empleados usan estas herramientas y qué datos se están manipulando. compartido.
También es probable que las organizaciones incurran en mayores costos a largo plazo asociados con la TI en la sombra.
"Mientras existan prohibiciones de canales, siempre veremos una corriente subyacente de comunicación empresarial fuera del canal", dice. "Creo que las prohibiciones de canales son ahora una medida táctica temporal mientras se implementan estrategias para gestionar el riesgo de manera más eficaz".
Añade que siempre ha existido la prohibición de canales de comunicación no autorizados.
"Los colegas son conscientes de que necesitan realizar comunicaciones relacionadas con el negocio en medios grabados, que luego están sujetos a vigilancia y mantenimiento de registros de acuerdo con las regulaciones", señala. "Esto satisface el cumplimiento de las políticas internas que reflejan las regulaciones pertinentes".
Cuando llegó la COVID-19, el confinamiento exigió que la gente trabajara desde casa, pero la “vigilancia” de la política de no telefonía móvil no se produjo, incluso cuando las líneas entre las comunicaciones personales y empresariales se volvieron cada vez más borrosas.
A pesar de esto, hubo un uso claro y generalizado de WhatsApp y otros canales de comunicación no aprobados con fines comerciales, lo cual fue descubierto por primera vez mediante una redada de la SEC.
Esto dio lugar a que casi todos los grandes bancos fueran sancionados y multados, lo que continúa actualmente, 18 meses después del primer aviso.
"Se aumentaron las sanciones por incumplimiento de estas políticas de prohibición, pero esto es un elemento disuasorio, no un control", dice Mason.
John Harden, gerente senior de productos de Auvik, dice que la efectividad depende fundamentalmente de cuáles son los pasos de la prohibición.
"Por ejemplo, un memorando dirigido a los empleados de la organización sin ninguna aplicación, supervisión o medidas secundarias de TI está condenado al fracaso", afirma. "Como hemos visto aquí en Auvik, como el agua que toma el camino de menor resistencia, los empleados tienden a utilizar TI en la sombra para facilitar sus funciones".
Es fundamental saber si el objetivo es marcar la casilla que dice “hicimos algo” o si el objetivo es hacer cumplir esa casilla y garantizar que se detenga con medidas de protección.
"Los empleados no utilizan la comunicación fuera del canal porque deseen infringir la política de TI", añade. "Lo hacen porque es más fácil para ellos o sus clientes".
Harden dice que en este caso, las empresas deben mirar la TI en la sombra de manera oportunista: deben comprender por qué se utilizan herramientas como WhatsApp y WeChat y buscar innovar internamente con su pila tecnológica.
“Simplemente decirles a los empleados que utilicen una herramienta autorizada en lugar de otra que prefieran no logrará mucho”, afirma. "Los empleados tienen sus preferencias y los líderes de TI deben escuchar por qué los empleados prefieren utilizar una herramienta no autorizada y aprovecharla como una oportunidad para que la innovación satisfaga las necesidades de los empleados sin dejar de cumplir las normas".
Chris Audet, vicepresidente y analista de Gartner, explica que en muchos casos los responsables de cumplimiento tienden a monitorear el riesgo retroactivamente y analizan los eventos de riesgo que han ocurrido, en lugar de un enfoque prescriptivo que evalúe los eventos de riesgo que probablemente sucederán.
"La mayoría de los líderes de cumplimiento son bastante nuevos en el uso de herramientas de IA generativa y otras herramientas que podrían proporcionar información predictiva avanzada sobre dónde aparecen estos riesgos", afirma. “Ese es un cambio que todo líder de cumplimiento que se precie está tratando de perseguir: ¿Cómo puedo ser más prescriptivo? ¿Cómo puedo determinar dónde es probable que aparezcan los riesgos y utilizar la tecnología como facilitador para ello?
Audet añade que este enfoque requerirá una colaboración más estrecha entre los responsables de cumplimiento, los departamentos de TI y las partes interesadas, como el director de seguridad de la información.
"El cumplimiento debe trabajar con TI para hacer la transición de los empleados a dispositivos corporativos más completamente administrados que restringen los servicios y aplicaciones a aquellos que se pueden monitorear por completo", dice. "Pero, obviamente, sabemos que las personas hacen lo que van a hacer y es posible que opten por otro paso hacia su propio dispositivo personal".
Mason advierte que si no se captura la comunicación, se están gestando riesgos desconocidos dentro de las empresas, riesgos que no pueden prevenir o mitigar.
"También significa que las empresas no están cumpliendo con las expectativas regulatorias para el mantenimiento de registros, exponiéndolas a aún más daños tanto monetarios como reputacionales", dice.
Explica que es esencial demostrar a los reguladores que se ha evaluado el riesgo y se han implementado controles adecuados, y señala que ahora están disponibles soluciones tecnológicas que capturan WhatsApp y otros canales para vigilancia y mantenimiento de registros.
“Las empresas ahora están reconociendo que los reguladores necesitarán entender cómo manejan este riesgo, por lo que tendrán que crear controles proporcionados que puedan defenderse si se cuestionan”, dice Mason.
¿Qué significa el debate sobre TikTok para los líderes de TI empresarial?
Hilos Boom Desafíos Twitter Trono empresarial
Por qué chocan la tecnología y la privacidad de los empleados
Por qué las prohibiciones de canales son ineficacesAbordar el problema con enfoques innovadoresRiesgos desconocidos acechan en las comunicaciones fuera del canalQué leer a continuación: