¿Se toman realmente en serio los trabajadores el cumplimiento de la normativa de datos?

Los empleados que no cumplen las normativas son todo un quebradero de cabeza para los líderes de TI, y no es fácil encontrar una solución. ¿Cómo podrían los responsables de la toma de decisiones de TI (ITDM) lograr el equilibrio perfecto entre permitir a los empleados elegir libremente y evitar los errores de forma estricta?

No lograr un buen equilibrio puede salir muy caro. En enero, Amazon perdió un proceso judicial en Francia y recibió una multa de 32 millones de euros por ejercer un control «excesivamente intrusivo» de los empleados.¹ Incluso a un nivel menos extremo, las normativas pueden obstaculizar la productividad y, en última instancia, tentar a los empleados frustrados a saltarse las reglas.

Pero, ¿cuál es la importancia real de este problema? La nueva investigación de Canon, que recogió las opiniones de más de 1700 responsables de la toma de decisiones de TI, arroja algo de luz al respecto. El barómetro de transformación de TI desveló que la seguridad de la información de la organización, que se ha incluido entre las tres responsabilidades más complicadas y exigentes durante los últimos cinco años, quita el sueño a los responsables de TI.

En 2023, ha aumentado. A la hora de analizar los principales desafíos para los ITDM, el tema principal es la visibilidad y el control de la información de la empresa. La seguridad de la información (33 %) se consideró como el principal desafío, seguido de cerca por mantener el cumplimiento (25 %) y controlar el «shadow IT» (25 %).

Los datos sugieren que el trabajo híbrido y remoto está agravando el problema. Cuando se les preguntó sobre cómo tenían previsto mejorar la configuración existente, muchos ITDM afirmaron que querían más visibilidad sobre el uso del software de los empleados (43 %), así como un mayor control sobre el comportamiento de cumplimiento fuera de las instalaciones (42 %) y del «shadow IT» (40 %).

Sí, sin lugar a duda. El «shadow IT» va en aumento y, para 2027, se prevé que el 75 % de los empleados adquiera, modifique o cree tecnología sin el conocimiento de IT. Esto supone un gran aumento desde el 41 % de 2022².

Gartner indica que esto se debe a que muchas personas se han convertido en «expertas en tecnología». Los empleados tienen cada vez más conocimientos y capacidades técnicas para iniciar sesión y acceder a programas a través de la nube sin necesidad de pedirle ayuda al departamento de TI.

¿El resultado? El cumplimiento puede verse fácilmente comprometido. Tal y como indica la revista CSO: «Normalmente, los trabajadores no saben si las aplicaciones que compran tienen medidas de seguridad ni tampoco si es necesario añadir alguna para que sean seguras. Y, para empeorar las cosas, suelen introducir datos confidenciales en estas aplicaciones para hacer su trabajo».³

Los motivos para no cumplir con la normativa de seguridad de la empresa son variados. En muchos casos, los empleados simplemente desconocen los protocolos correctos. Los requisitos de gestión de la información son complicados y es posible que algunos empleados no se den cuenta de cómo se aplican de forma tangible a su trabajo diario.

En otros casos, les resulta difícil seguir los procesos o utilizar las herramientas que se les proporcionan. Un estudio de Harvard⁴ reveló que el 5 % de las tareas se completaban deliberadamente de forma no conforme a la normativa. Los tres principales motivos fueron: «hacer mejor las tareas de mi trabajo», «conseguir algo que necesitaba» y «ayudar a otros a hacer su trabajo». Estas tres respuestas representaron el 85 % de los casos. La mayoría no lo hizo por romper las normas de forma intencionada, sino movidos por su deseo de hacer su trabajo.

En la actualidad, lograr el equilibrio adecuado entre una gestión responsable y una interferencia excesiva es un reto importante para los líderes de TI. Con las pruebas sobre la mesa, los ITDM tienen motivos más que suficientes para preocuparse por el comportamiento de los empleados, sobre todo fuera de la oficina.

El objetivo final es lograr que la gestión de la información y el cumplimiento de datos sean lo más discretos posible. En primer lugar, es necesario comprender los requisitos reales de los empleados, algo que varía drásticamente en función del cargo y el sector de cada persona. Para reducir la probabilidad de que los empleados eludan las políticas de la empresa, los responsables de la toma de decisiones de TI pueden hablar con las líneas de negocio sobre sus flujos de trabajo, así como averiguar qué políticas son verdaderamente necesarias y cuáles crean más problemas de los necesarios.

No obstante, también es importante crear un entorno con más visibilidad y control. Según la investigación, hasta la visibilidad de los aspectos más comunes de la gestión de la información suponía un problema. Tan solo la mitad de los líderes de TI indicó contar con capacidades para realizar un seguimiento de la gestión de los documentos con fines de auditoría. Por ejemplo, solo el 53 % de los líderes de TI afirmó que era capaz de realizar un seguimiento de cómo se habían compartido los documentos. Sin esta visibilidad, a los líderes de TI les resulta difícil saber si los empleados se comportan realmente conforme a la normativa.

La investigación revela que muchos líderes de TI han empezado a aplicar medidas. Los encuestados indicaron que habían empezado a implementar la gestión de documentos digitales para aplicar las prácticas recomendadas mediante la automatización de la gestión de la información de la empresa. En un nivel básico, esto incluye la implementación de derechos de acceso automáticos y la eliminación automática de documentos confidenciales después de un periodo determinado. Las organizaciones más avanzadas digitalmente podrían introducir también la automatización de flujos de trabajo para garantizar que los procesos empresariales completos, como el procesamiento de facturas, cuenten con automatización integrada, lo que garantiza que los procesos se controlen de acuerdo con un conjunto de reglas definido previamente.

Por otro lado, existe un gran número de ITDM que todavía no ha implementado ninguna de estas medidas básicas. De hecho, incluso la funcionalidad más común: los derechos de acceso automático para controlar quién puede acceder a los documentos y a las ubicaciones, solo había sido adoptada por el 51 % de los encuestados.

La gestión segura y conforme a la normativa de la información empresarial es una de las principales preocupaciones para todos los líderes de TI. Sin embargo, garantizar el cumplimiento es, en última instancia, un reto que se centra en el comportamiento humano. Para establecer políticas de éxito, los responsables de TI deben asegurarse de que no obstaculicen a los empleados ni les permitan decidir libremente cómo gestionan la información.

Los ITDM deben empezar por revisar si disponen de las herramientas adecuadas en lo que respecta a la visibilidad y el control de cómo se utiliza la información. Con estas medidas en marcha, los líderes de TI ya no tendrán que estar pendientes de todo en un entorno donde no es factible realizar un seguimiento manual. Desarrollar un enfoque de cumplimiento más centrado en las personas ayudará a evitar tanto las infracciones accidentales como los casos deliberados de incumplimiento causados por medidas laberínticas. También ayudará a los líderes de TI a dormir mejor por la noche.

Echa un vistazo al barómetro de transformación de TI para obtener más información sobre la experiencia de los líderes de TI, desde las prioridades de adquisición futuras hasta qué opinan realmente de su función.

Descargar informe