compliance fagfolk er strukket for tynn blogg

Compliance-fagfolk er strukket for tynne: Her er hva som må endres

Personvern og databeskyttelse ble kastet inn i mainstream-bevisstheten med bruken av GDPR i 2018. Siden den gang har forbrukere etterspurt mer av organisasjonene de gjør forretninger med – i hvordan de håndterer personlig informasjon, håndterer tilgang og sletting/overføringsforespørsler, og innhente samtykke. Utfordringen for organisasjoner er at, nettopp i en tid når de trenger flere fagfolk innen compliance for å hjelpe til med å håndtere den økte arbeidsmengden, er færre tilgjengelige.

To nye studier illustrerer omfanget av utfordringen. Eksperter mener forbedrede treningsprogrammer vil være nøkkelen, og at automatisert verktøy også kan bidra til å fylle noen vedvarende ferdighetshull.

Hva er problemet?

Den første dårlige nyheten kommer fra e-læringsleverandøren Skillcast. Firmaet estimater at én enkelt compliance-ekspert kan være ansvarlig for dataene til over 14,300 250 personer og virksomheter. Beregningene er basert på LinkedIn-data om compliance-fagfolk og estimater for størrelsen på gjennomsnittlig arbeidsstyrke og kundebase til FTSE XNUMX-selskaper. Hvis nøyaktig, peker det på en alvorlig mangel på dyktige fagfolk i rommet.

Ytterligere bekreftelse kommer fra IT-styringsorganet ISACA. Halvparten (48 %) av respondentene til fagforeningens nylig publiserte Personvern i praksis 2024 rapportere krav om samsvar med personvern og juridiske roller blir stadig mer etterspurt. Enda flere (55 %) sier at organisasjoner trenger flere tekniske personvernroller. Faktisk er erfaring med ulike typer teknologier og/eller applikasjoner sitert av et flertall (65 %) som det største kompetansegapet. Mangel på kompetente ressurser blir sitert av over to femtedeler (43 %) av organisasjonene som en av hovedhindringene for å danne et personvernprogram.

Finansiering er også helt klart et problem: 41 % sier at programmet deres er underfinansiert, og bare 42 % hevder at programmet deres er tilstrekkelig finansiert. ISACAs globale strategisjef, Chris Dimitriadis, sier til ISMS.online at finansieringsmangler tyder på at personvern ikke er en prioritet for organisasjoner.

"Det er ikke å si at de ikke synes det er viktig - i stedet ser de kanskje ikke hvordan personvern hjelper dem til å nå organisasjonens mål, spesielt siden resultatene ikke nødvendigvis er håndgripelige," fortsetter han.

"Men dette er feilaktig. Selv om det krever utgifter på forhånd, vil prioritering av personvern gjøre det mulig for bedrifter å beskytte dataene sine, og dermed bygge tillit hos forbrukere og bevare leverandørforhold – alt som bidrar til forretningsvekst.»

Motsatt kan kompetansegap ha en alvorlig innvirkning på organisasjoners evne til effektivt å håndtere personvern- og databeskyttelsesrisiko. Bare en tredjedel (36 %) av de spurte hevder at de synes det er lett å forstå personvernforpliktelsene deres. Og færre enn halvparten (45 %) sier at de er "veldig eller helt sikre" på personvernteamets evne til å oppnå samsvar med nye lover og forskrifter.

Hvordan kan organisasjoner takle mangler i bransjens ferdigheter?

Utfordringen er at etterspørselen etter ferdigheter i samsvar med personvern bare vil vokse.

"Kombinasjonen av raske fremskritt innen digitale teknologier med pågående reguleringsendringer betyr at bedrifter hele tiden spiller etter. Selv om reguleringen ikke endrer seg, hvis et digitalt økosystem gjør det, så kan tolkningen av loven til de spesielle egenskapene til en fremvoksende teknologi som AI være annerledes», hevder Dimitriadis.

«Bedrifter har ikke råd til å bryte nye regler eller risikere skade på omdømmet. Etterspørselen etter tekniske ferdigheter og samsvarskompetanse kommer bare til å vokse etter hvert som forbrukere og bedrifter i økende grad gransker organisasjonene de velger å samhandle med basert på deres tilnærming til personvern.

Så hva er løsningen? Organisasjoner har flere alternativer:

Fokuser på overførbare ferdigheter

ISACAs rapport avslører at tidligere juridisk erfaring eller etterlevelseserfaring er den viktigste ansettelsesfaktoren for 97 % av respondentene, etterfulgt av tidligere praktisk erfaring i en personvernrolle (92 %). Men ved å fokusere på disse egenskapene risikerer arbeidsgivere å krympe kandidatmassen, hevder Dimitriadis.

"Arbeidsgivere må ta et sprang i troen og erkjenne at folk har verdifulle, overførbare ferdigheter - og å trene noen fra startnivå, eller til og med omskolere noen fra en annen bransje, er verdt det," legger han til.

Omskolere eksisterende ansatte

På lignende måte kan organisasjoner omskolere eksisterende medarbeidere som kanskje ikke jobber med personvern, men som har overførbare ferdigheter som vil flate ut læringskurven for dem. I følge ISACA tilbyr over halvparten (52 %) av de svarende organisasjonene for tiden opplæring for å tillate ansatte som ikke er personvern, gå inn i personvernroller.

Bruk eksterne konsulenter

ISACA sier at 39 % av organisasjonene har økt bruken av kontraktsansatte eller eksterne konsulenter. Selv om det er dyrt, og noen ganger et stop-gap-tiltak, kan det gi organisasjonen pusterom og hjelpe dem til å oppfylle sine overholdelsesforpliktelser samtidig som de formulerer en langsiktig strategi.

Utnytt AI og automatisering bedre

Den gode nyheten er at overholdelsesverktøy i økende grad kommer med intelligens bakt inn. De beste er utviklet for å strømlinjeforme prosesser som en gang var et tungt manuelt løft for ansatte. Det kan frigjøre begrensede interne ressurser for å fokusere på arbeid med høyere verdi og/eller gjøre det mulig for nyansatte å komme raskt i gang.

«Det var mye aktivitet i dataoverholdelse rundt innføringen av GDPR. Mange konsulenter stilte opp for anledningen. Det ser nå ut til at folk har gått videre, noe som har resultert i mangel på overholdelse av databeskyttelse, sier Skillcast-sjef Vivek Dodd til ISMS.online.

«Organisasjoner må utnytte sine dyktige arbeidere ved å forbedre delegering og produktivitet. Begge deler kan oppnås ved å gjøre mer bruk av programvareverktøy og AI for å lette overvåkingen av samsvar.»

ISACAs Dimitriadis er enig, til et visst punkt.

"AI er i stand til å løse visse personvernproblemer og forbedre arbeidet som mennesker gjør, for eksempel ved å identifisere mønstre som er usynlige for mennesker og reagere på dem i sanntid," konkluderer han.

"Det kan imidlertid ikke erstatte menneskelige arbeidere, men det kan lindre noe av presset som personvernteam står overfor. Det vil alltid være behov for trente arbeidere for å sikre at AI blir brukt, trent og konfigurert riktig og trygt.»

Forfatter

Phil Muncaster

Phil Muncaster har vært IT-journalist i 15 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle innlegg av Phil Muncaster

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer