ITガバナンスのパラドックス
ITリーダーは矛盾しているように見える2つの使命を担っています。彼らはビジネスが安全に、コンプライアンスに従って、ポリシーの範囲内で運営されることを確保する責任があります。そして、チームが速く動けるようにすることが期待されています。
ほとんどの組織では、これらの使命は衝突します。ガバナンスがゲートになります。チームはより速く動くためにITを迂回します。ITリーダーシップはボトルネックとして非難されます。ビジネスが求めることをまさに実行しているときでさえ。
プロセスインフラなしにガバナンスが失敗する理由
根本原因はポリシーではありません。ツールです。コンプライアンス要件が、人間が覚えて従わなければならない文書やチェックリストとして存在する場合、一貫性なく適用されます。悪意からではなく、締め切りのプレッシャー下で複雑な業務をする人間は抵抗が最も少ない道を選ぶからです。
ガバナンスが確実に機能するのは、プロセス自体に組み込まれているときだけです。システムが必要なステップを強制し、監査証跡を記録し、承認を自動的にルーティングする場合、コンプライアンスはデフォルトになります。例外ではなく。
プロセスに組み込まれたガバナンスの姿
セキュリティレビュー、予算承認、ベンダーリスク評価を定義された順序で必須文書と共に要求するソフトウェア調達リクエストは、ガバナンスされたプロセスです。ワークフローがセキュリティレビューなしに進まないため、誰もそれをスキップできません。
自動プロビジョニングをトリガーし、承認チェーンを記録し、90日間のアクセスレビューをスケジュールするデータアクセスリクエストは、ガバナンスされたプロセスです。監査証跡は自動的です。
ITチームはボトルネックではありません。プロセスが強制者です。ITは、ビジネスを安全に保つシステムを構築したチームになります。遅らせるチームではなく。
組織の信頼配当
ガバナンスがプロセスに組み込まれると、ITは滅多に得られないもの、組織の信頼を獲得します。ITが設計したワークフローが自分たちの仕事を楽にすると理解したとき、事業部門はITを迂回するのをやめます。
最も効果的なITリーダーは強制者ではありません。プロセスアーキテクトです。彼らはビジネスが速く動き、同時に安全でいられるインフラを構築します。
最も高リスクなワークフローから始める
組織で最もコンプライアンスリスクの高い3つのワークフローを特定します。通常はアクセス管理、ソフトウェア調達、データ処理です。まずそれらを構造化されたプロセスシステムに取り込みます。ガバナンスが速くできることを実証します。そして拡大します。