评估自动化GRC工具时需考虑的7个问题

安全 自动化
本文介绍了金融服务公司在GRC(行政管理、风险管理、法规遵从)方面的需求,以及GRC工具的供应商,并提出了在评估GRC自动化工具前需考虑的七个问题。

金融服务公司需要将行政管理、风险管理、法规遵从(GRC)自动化,目前的市场上有利于GRC的工具并不短缺。Gartner公司在今年早些时候估计,2009年GRC软件的市场规模达到1.17亿美元,预测下一年度还会有稳定的小幅增长。

随着金融服务公司的规章数目的增加,在整理政府机构所需的各种报告时,这些GRC工具至关重要,也可以把它作为一个更加积极主动的手段。多数产品都提供简单的仪表板,通过它,用户一眼就能发现公司的哪个部分遵从了某个特定的规章。

许多IT和风险经理人初次接触GRC分析的情景都很类似——使用一个简单的电子表格对风险和安全政策进行跟踪。不过,这不是一个可靠的、可广泛使用的方法,它需要大量人力,而且容易出错。一个更好的策略是使用自动GRC评估工具对从现有IT安全设备获得的信息进行评估,如防火墙配置日志、漏洞扫描、包含客户信息的数据库及其它类似的数据。利用这些工具找出缺陷,然后交给审计人员或法律顾问,让他们制定更加合符法律的规范,以减少公司可能面临的风险。

GRC工具的供应商包括:Agiliance公司(RiskVision)、 Archer科技(今年早些时候被EMC公司收购)、Wolter Kluwer's ARC Logics unit(Axentis)、BWise公司(GRC Platform)、eGestalt科技公司(Secure GRC)、Global Velocity公司(GV- 2010)、Lumension安全公司(Risk Analyzer)、兆丰国际(MEGA Suite)、MetricStream公司(GRC Platform)、OpenPages公司(General Compliance Management)、Thomson Reuters公司(Paisley Enterprise GRC)、QUMAS公司(Compliance Solution)、Relational Security公司(rSam)和赛门铁克公司(Control Compliance Suite)。 

在你深入评估这些自动化工具之前,请回答以下7个问题,它们可以决定你的分析方向:

1.现有的安全设备如何与你将要部署的GRC工具集成使用?有些工具,如Rsam和Agiliance,它们本身有连接器,可以直接和一些不同的漏洞扫描产品(如Qualys和Nessus)配合使用。其它的工具则需要你将信息通过XML、SQL查询、逗号分隔文件等方式进行解析,这无疑需要更多的时间。

2.你是否想要为所有对外的企业应用程序提供统一的风险识别框架?如果贵公司只有一个负责风险评估的部门,那么这种统一的框架或许是不必要的。另一方面,如果不同的部门做出了互相冲突的风险评估,那么一个共同的起点将有助于加速风险评估过程。

3.报告部分是否足够灵活、便于阅读?预览这些部分,了解生成对分析师和管理人员有意义的报告需要做多少工作,这对你有帮助。

4.当发现有规则遵从或者风险方面的问题时,权限升级过程是如何工作的?最终将由谁来负责解决这些问题?你所选择的工具应有助于推动这一升级过程,而且集成了一些相应的工作流程。同时它还应该能比较容易地融入到现有的身份验证系统中,如活动目录(Active Directory)或LDAP。

5.GRC供应商来自软件销售的收入与来自服务的收入各占多少?如果你正在寻找易用、易于部署的产品,那么你就应该考虑一个主要收入来自软件销售的供应商;如果你乐意支付顾问费和配置费,那么就应该选择主要收入来自软件服务的供应商。

6.你是选择一个本地安装的软件,还是选择软件即服务的方式(SaaS)?像Agiliance这类产品,软件中带有针对上述两种方式的配置信息;而另外一些软件,如eGestalt,则只提供对托管方式的支持。后者可能会更易于安装和配置,当然也能减少成本,你需要根据自己的情况进行选择。但有些公司不愿意使用基于云计算的服务,它们仍然倾向于使用本地安装的软件来完成工作。

7.随软件一起的有多少个预置的模板?有些产品提取规则遵从中的问卷调查,然后将其直接纳入到自己的软件产品。而其他的产品,如Global Velocity,则根本没有多少模板。   

正如你所看到的那样,无论是在评估方面还是实现方面,GRC工具都涉及到很多东西。未来几年,随着市场需求不断增长,这些工具会逐渐成熟起来。届时,也能看到GRC功能集成到现有的安全设备。

【编辑推荐】

  1. 监管、风险和遵从GRC期待更高效融合和一致性
  2. 完全解密企业信息安全风险评估
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2019-12-18 09:00:00

网络自动化网络网络自动化工具

2022-11-21 18:00:26

GraphQLAPI开发

2020-12-09 10:15:52

智能自动化数字化转型自动化

2023-05-08 15:36:50

模型AI

2013-05-20 11:05:52

主机托管服务业务

2022-02-10 12:04:45

网络安全自动化

2020-12-23 10:43:40

云计算基础设施自动化工具

2013-06-19 14:50:14

云计算

2021-01-20 11:13:05

人工智能自动化机器人

2010-05-05 16:16:22

Unix自动化

2009-03-03 16:52:52

OracleSQLServer比较

2015-04-20 09:03:50

混合云混合云评估IT管理

2022-09-16 10:04:59

分布式云扩展自动化

2022-07-05 14:00:49

编排工具自动化

2011-04-18 13:45:59

自动化测试测试管理

2021-11-12 10:19:00

CIOIT自动化战略

2013-07-02 10:45:38

2019-06-26 09:00:00

DevSecOps安全漏洞

2022-02-17 10:37:16

自动化开发团队预测

2013-01-24 09:50:26

WLANLANAP
点赞
收藏

51CTO技术栈公众号