尽管治理、风险和合规性通常被视为独立的功能,但从这些基本要素的整体角度来看,这表明它们之间存在着共享共生关系。
当涉及到网络安全时,治理、风险管理和合规性(GRC)通常视为减少安全威胁的一些方法。然而,它们的重要性不应低估。
集中的治理、风险管理和合规性(GRC)计划为组织达到其安全性和合规性目标奠定了基础。如果做得好,这种积极主动的网络安全方法可以很大限度地减少组织的被动事件响应。
没有GRC的网络安全计划是不完整的
网络安全作为一个整体由三个要素组成:人员、流程、技术。在这三个要素中,技术往往是最重要的,因为它可以说是最简单的因素。但是,要使组织成功实现其安全目标,则需要采用程序化、灵活和可扩展的方法来考虑这三个要素。
为了实现这一目标,有效的治理、风险管理和合规性(GRC)计划至关重要,因为它可以确保采取整体观点,同时应对网络安全这一艰巨的任务。毕竟,使用前沿技术实现流程自动化并不能改善流程本身或结果。
例如,安全运营团队需要对安全事件进行监控和缓解。如果没有治理、风险管理和合规性(GRC)计划,他们将无法了解事件的业务风险或合规性影响,这意味着他们只能依靠技术和流程进行管理,他们可能面临以错误的方式对最不重要的问题进行优先级排序的风险。
治理、风险管理和合规性(GRC)具有共生关系
尽管治理、风险和合规性通常被视为独立的功能,但从这些基本要素的整体角度来看,它们具有共享共生关系。
治理可确保组织活动以支持业务目标的方式需要保持一致。确定和解决与任何组织活动相关的风险,并以支持组织业务目标的方式进行处理。合规性允许所有组织的活动遵循法律和法规的方式进行操作。所有这三个方面共同努力,可以创建一种方法,使安全体系结构、工程设计和运营与更广泛的业务目标保持一致,同时有效地管理风险,并满足合规性目标。
但是,如何扩展治理、风险管理和合规性(GRC)程序并确保其嵌入组织中?
如何扩展治理、风险管理和合规性(GRC)程序
就治理、风险管理和合规性(GRC)而言,并不能完全满足需求,也不一定非得如此;其应用程序的深度和广度因组织而异。但是,无论应用程序的复杂性如何,只要组织遵循优秀实践,就可以采用云计算服务、新兴技术以及未知的未来创新对其进行转换或扩展。
治理
要建立基础治理,至关重要的是首先确定合规性要求。这意味着要调查和了解合同义务和合规性框架,并确定需要实施的必需或选定的标准。
然后组织需要进行计划评估,以了解当前配置文件的功能和成熟度,确定目标配置文件是什么,并制定实现此目标的计划。组织的策略应考虑采购、DevSecOps、管理、安全性和人力资源分配,包括定义和分配职能、角色和职责。
最后,组织需要更新和发布新的政策、流程、程序来教育其员工,并确保维护网络安全和治理。组织的政策应明确符合其业务目标。尽管组织的流程必须指定如何升级旧技术以采用现代的组织和管理技术,以及组织的应用程序如何集成云计算服务和其他新兴技术。
风险管理
扩展治理、风险管理和合规性(GRC)策略的第二阶段是研究风险管理。对组织的各个方面以及每个业务线和资产类型进行风险评估至关重要。完成此操作后,组织将对其内部的风险有充分的了解,就可以实施计划来减轻、避免、转移或接受每一层面、业务线和资产上的风险。
然后,风险管理框架可用于通过选择可随着业务增长和威胁态势而不断进行监视和调整的控制和风险来跟踪系统。最后阶段是将风险信息纳入领导力决策中。简而言之,组织应该经常询问“做出这项决定对我们的业务将会在财务、网络、法律、声誉方面带来什么样的风险。”这样的问题,通过将这种方法嵌入组织的文化中,可以确保组织完全了解风险位置,制定重要的业务决策,并推动组织发展。
合规性
与治理直接相关的是,合规性有助于建立政策、标准和安全控制。除了控制监视生成的报告之外,组织还必须主动重新评估基安全功能,并确保它们满足组织的业务需要。这意味着自动化应用程序安全性测试和漏洞扫描,从控制采样中进行自我评估,以及了解可能带来重大风险的微小变化、危险信号和事件。
此外,组织还必须根据事件和风险变化调整流程。随着威胁的发展,组织的安全态势也应随之发展。为此,将安全操作与法规遵从团队进行集成以进行响应管理是至关重要的,建立标准操作程序来应对意外更改也至关重要。
在业务中优先考虑治理、风险管理和合规性
没有有效的治理、风险管理和合规性程序,就不可能制定强有力的网络安全策略。因此,如果组织要实现其安全性和合规性目标,则必须将其放在首位。这样,他们可以确保随着业务的增长和法规的变化,拥有适当的组件以进行扩展、调整和发展。
通过与云计算服务提供商(如AWS)合作,组织可以支持、实施和建议治理、风险管理和合规性项目,可以确保他们具有适当的治理、风险和合规性,从而可以应对当前和未来的复杂威胁。