自从OCEG公司创始人Scott L.Mitchell在2007年首次将GRC定义为“使企业能够可靠地实现目标、解决不确定性,并以诚信行事的综合能力集合”以来,GDPR法规等数据标准已经被引入和修改,而威胁包括勒索软件和欺诈行为造成的严重破坏。
定义治理、风险和合规性(GRC)
为了确定如何有效地控制GRC,必须首先明确定义每个方面在业务环境中的含义:
- 治理需要监督系统的运作方式,实施所需的规则和流程框架,并在企业内部建立持续的问责制。
- 风险是指为减轻业务威胁而制定的计划管理,其中包括网络攻击、IT中断和系统漏洞。
- 合规性意味着同意围绕数据和业务实践遵守政府法规和行业框架。
综合起来,这些领域对于企业维持合法和合乎道德的业务运营同样重要。考虑到这一点,以下探讨各种规模和行业的企业在GRC方面需要牢记的事项。
风险管理最佳实践
企业的IT基础设施面临的风险包括来自威胁参与者和内部威胁(恶意或意外)的网络攻击,以及由于技术故障和自然灾害导致的IT中断。无论在何种情况下,建立备份和恢复系统以最大程度地减少影响都是值得的。如果没有这样的策略,可能会丢失数据,客户也会失去信任。在当今技术支持大多数业务流程的世界中,企业领导者无法将风险管理完全交给IT团队。
无论端点位于何处,保护端点在风险管理最佳实践中都发挥着重要作用。这意味着确保在必要时不断管理、强制实施和更改密码,并对所有用于工作的设备实施多因素身份验证(MFA)。
业务中的风险和漏洞会不断演变,这意味着需要对IT基础设施进行严密监控。威胁情报功能讲述了数据处理背后的故事,解释了网络攻击和其他威胁将如何进入系统,以及需要加强的地方。此外,企业应该始终为所有漏洞安装补丁。
除此之外,企业的员工都需要参与进来,每位员工都有责任确保基础设施的安全。这需要建立一种将数据隐私和安全放在首位的企业文化。确保员工了解所有可能的威胁和漏洞,以及如何帮助预防它们成为了关键。
IT合规性工具
为确保企业的IT基础设施符合法规和道德框架,市场上有一系列工具可以帮助简化流程。在当今不断发展的商业世界中,真正成功的治理、风险和合规性对工作人员来说变得越来越困难。为了缓解这种情况,IT合规工具可以帮助履行一系列重要职责:
- 控制审计——所有数据、安全和现金流流程都需要进行严格审计,以确保它们符合法规和道德框架。市场上的许多工具可以自动执行这一操作,从而降低员工工作的复杂性。
- 网络安全意识培训——有一些工具可以通过举办网络钓鱼预防练习和其他模拟来帮助加强安全意识培训。
- 了解客户(KYC)—一套标准,旨在确保企业了解其客户的风险管理能力,并能够与他们开展相应的业务。这在金融服务领域尤为重要。
- 安全和财务文件的组织——至关重要的是,企业基础设施和财务控制的所有安全措施都必须有据可查,并保存在一个安全、易于访问的位置,以使信息专员办公室等监管机构受益。
- 零信任——由于勒索软件等网络威胁仍然猖獗,零信任网络访问(ZTNA)工具仅允许用户使用正确的凭据通过,并且能够发现和隔离威胁。
对大型科技公司行为的监管
随着谷歌公司和Meta公司等科技公司不断扩大其数据实践的范围,在日常生活中发挥越来越大的作用,适当监管竞争的重要性也在不断增加。对所谓的大型科技公司行为的监管已经上升到政府议程上,英国和欧盟正在探索制定立法。制定这些新法规意味着,大型科技公司内外的企业将需要重新评估他们的在线活动,以确保他们保持合规性。
例如,英国的在线安全法案旨在解决任何“合法但有害”的在线活动——这个术语对许多人来说似乎是模棱两可的。这是指事物的道德方面,并强调需要维护积极的用户体验。毕竟,随着企业社会责任(CSR)在消费者和人才(尤其是千禧一代和Z世代)的认知中发挥着越来越重要的作用,这是保持社会信任的关键。
为了使这样的使命真正发挥作用,按照法规,企业需要拥有自上而下的多元化员工队伍,这会带来各种各样的背景、思维方式和经验。企业需要建立一种根深蒂固的多元化、公平性和包容性(DEI)|价值观文化,并让来自不同背景的团队参与设计,确保对用户的可能伤害降至最低。
金融服务的合规性
鉴于拥有高度敏感的资产,金融机构尤其需要遵守监管法规。英国金融行为监管局(FCA)等机构帮助确保消费者获得适当的服务,确保整个行业的竞争保持公平。
数字优先银行和新银行的出现增加了另一层监管方法。随着金融科技的不断创新,适用于传统金融服务(例如目前在美国使用)或东南亚地区正在发展的更具体的数字银行文件的许可证。
为了使银行和其他金融机构保持合规性,他们需要及时了解不断变化的法规。合规性检查需要嵌入到营销和销售业务中。企业的所有员工都应接受培训,使他们具备将合规性放在首位的心态,并了解企业违反法规的后果。使用自动化和低代码功能可以显著地帮助金融机构轻松管理其流程,在必要时对其进行调整,而无需具有高科技背景。
