Tutti commettono errori, ma quando un CIO sbaglia le conseguenze possono essere devastanti per l’intero reparto IT e l’azienda. La governance IT dovrebbe essere ben definita, compresa chiaramente e guidata da principi che riflettono la missione, la visione e la strategia della vostra organizzazione, consiglia Donna Bales, direttrice della ricerca presso Info-Tech Research Group. “Una buona governance dovrebbe delegare e autorizzare le persone a raggiungere risultati definiti che supportano la direzione organizzativa”.

Tuttavia, nonostante i migliori sforzi dei CIO, esiste un numero quasi infinito di insidie nella governance IT ed è importante tenere d’occhio i seguenti errori comuni in cui può cadere anche il leader IT più attento.

Non tenere il passo con l’evoluzione delle priorità aziendali

Le pratiche e le priorità aziendali cambiano frequentemente per adattarsi alle tecnologie emergenti, alle aspettative dei clienti e alle richieste di fornitura di prodotti e servizi. “È fondamentale che la governance cambi in tandem per rimanere allineata ed efficace”, avverte Bales. “Le organizzazioni spesso non riescono a riconoscere questa necessità e raramente vogliono cambiare la governance una volta che è in atto”.

La governance dovrebbe essere progettata tenendo conto dell’adattabilità per garantire che l’IT rimanga in linea con gli obiettivi aziendali, fornendo continuamente valore e salvaguardando efficacemente l’organizzazione da potenziali rischi. “Una governance IT efficace garantisce che gli investimenti tecnologici giusti vengano effettuati al momento giusto per supportare il cambiamento organizzativo e consentire risultati aziendali di successo”.

La governance dovrebbe far parte del DNA della vostra organizzazione. “La vostra struttura di governance IT dovrebbe essere dinamica e e la sua efficacia dovrebbe essere costantemente misurata in modo che rimanga rilevante”.

Scarsa pianificazione del rischio

I CIO lanciano spesso iniziative strategiche senza considerare completamente tutti i rischi coinvolti. “Ciò porta ad aggiungere la governance IT come ripensamento invece di utilizzare una metodologia di governance come parte integrante di un programma di gestione del rischio”, afferma Scott Perry, a capo dei servizi di crittografia e digital trust presso Schellman. “A quel punto, le strutture di governance sono affrettate e le misure di mitigazione del rischio perdono la loro efficacia”.

Troppo spesso i CIO promuovono iniziative critiche senza comprendere appieno se il sistema sarà in grado di raggiungere i propri obiettivi strategici. “Ciò può creare rischi, come vulnerabilità tecniche, vincoli di uptime, continuità impropria e rifiuto dei clienti”, avverte Perry. Per il successo dell’iniziativa strategica, è essenziale identificare correttamente questi rischi nelle prime fasi del processo e affrontarli con un processo organizzato di mitigazione del rischio come parte di un programma di governance generale.

Perry suggerisce di istituire un programma di supervisione che includa la valutazione del rischio, i requisiti di governance stabiliti per mitigare i rischi controllabili e programmi di audit interni ed esterni per misurare l’efficacia della conformità ai requisiti di governance. Raccomanda inoltre di condurre una valutazione del rischio residuo per determinare eventuali esposizioni al rischio rimanenti, nonché un ciclo di feedback del programma.

Visibilità operativa insufficiente

Mentre la maggior parte dei CIO ha già creato un piano di governance IT completo e dettagliato, molti leader IT non hanno la visibilità operativa necessaria per valutare l’accettazione e la pratica da parte della propria organizzazione di politiche e mandati di governance specifici. Sebbene molti CIO ritengano che tutti i leader aziendali abbiano un facile accesso alle politiche di governance IT e le comprendano, in realtà non lo fanno, afferma Azadeh Dardras, direttore dell’Edge Center of Excellence per la società di consulenza aziendale e IT Capgemini Americas.

budget progetti IT

In molti casi, infatti, l’organizzazione IT lavora in una sorta di isolamento, afferma Dardras. “Se non capite il contesto e i risultati delle vostre decisioni di governance, la vostra policy può avere un effetto negativo sull’azienda”. Se la governance IT non raggiunge e coinvolge tutte le parti interessate essenziali, in particolare i membri del team che lavorano all’interno dei segmenti di business dell’impresa, le decisioni chiave potrebbero essere prese senza una considerazione completa e adeguata. “Questo può avere un grave impatto sul lavoro dei team interessati e, in definitiva, sull’azienda nel suo insieme”.

Mancato allineamento completo della governance IT con la governance aziendale

I leader IT si sforzano spesso di completare i progetti il più rapidamente possibile per soddisfare una particolare esigenza aziendale. “In tal modo, potrebbero non coinvolgere adeguatamente i team di governance della loro azienda, come la gestione del rischio legale, di conformità e delle informazioni”, avverte Brian Mannion, chief legal and data protection officer presso Aware, fornitore di piattaforme di gestione dei dati e di insight. Una serie standard di controlli minimi dovrebbe essere identificata e concordata, suggerisce Mannion.

Trattare i dati come un prodotto di scarto

Non è un segreto che i dati siano diventati una risorsa molto apprezzata. anzi, per molte aziende basate sull’informazione, i dati sono la loro risorsa più preziosa. Tuttavia, un numero sorprendente di organizzazioni continua a trattare i dati come se non fossero altro che un prodotto di scarto, afferma Chethan Laxman, dirigente della trasformazione digitale di Apexon, una società di servizi professionali di ingegneria digitale della Silicon Valley.

Poiché i dati guidano sempre più il processo decisionale e le innovazioni digitali automatizzano più processi aziendali, il valore e l’integrità dei dati diventano più importanti. “Tutte le organizzazioni, indipendentemente dalle dimensioni o dal settore, devono passare dalla visualizzazione dei dati come un scomodo centro di costo a una risorsa affidabile, accessibile, sicura e utilizzabile. Avendo investito in dati e analytics, i leader aziendali e IT ora hanno urgente bisogno di garantire una buona governance per raggiungere i loro obiettivi di efficienza operativa, maggiore crescita e migliore customer experience”.

Trascurare le minacce interne

L’ambiente di lavoro remoto/ibrido, combinato con il turnover record dei dipendenti, ha reso le minacce interne un enorme rischio per organizzazioni di ogni tipo e dimensione. Sebbene tutti i tipi di minacce interne siano potenzialmente dannosi, i malintenzionati e gli agenti interni che collaborano con aggressori esterni possono essere particolarmente dannosi. “Le aziende spendono in media 644.852 dollari per ogni incidente interno”, osserva Kris Lahiri, CSO presso il fornitore di piattaforme di sicurezza e governance dei contenuti Egnyte.

Lahiri suggerisce di adottare un approccio olistico alla governance IT che includa l’assegnazione di priorità alla sicurezza dei dati, l’implementazione di best practice di sicurezza della rete e la massimizzazione della cyber-educazione degli utenti. Afferma che è anche importante avere una visibilità approfondita sui dati strutturati e non strutturati al fine di costruire un programma di governance dei contenuti efficace.

Lahiri consiglia infine di centralizzare le visualizzazioni dei dati per capire a quale contenuto si accede e da chi. “Ciò consentirà all’organizzazione di rilevare attività dannose riconoscendo comportamenti e modelli comuni degli utenti”.