之前,作为两部分系列的第一部分,我分享了关于内部风险管理的博客它的重要性日益增加,特别是在许多组织都在应对与大流行有关的不断变化的情况下。远程工作。时间更长。倦怠。使用未经批准的技术。基于云的协作。陈旧的安全措施。betway365这些文化动态,以及创新和加快工作速度的动力,正在向经营健康公司所需的人员、技术和数据引入更多“内部风险”。betway88help如今,89%的ciso认为,其组织的快节奏文化模式使他们面临更大的数据泄露风险(Code42数据暴露报告2019)。
在本周的后续博客中,我将分享一些关于如何通过将Gartner的集成风险管理(IRM)方法应用于数据治理、风险和合规(GRC)来应对这些内部风险挑战的想法。这是Code42所采用的一种方法,它将帮助您在不危及数据安全的情况下跟上协作的步伐。
这是国家橄榄球联盟的教训
首先,让我们看看一个不太明显的地方。国家橄榄球联盟(NFL)。在一个以前的文章,我用了NFL的类比。我谈到了NFL的比赛节奏是如何变得越来越快;这样的速度会给比赛的完整性和球员的安全带来更多的风险。所有这些都改变了比赛的裁判方式。参照的发展不仅是为了跟上游戏的节奏,也是为了管理游戏的风险,防止对玩家造成伤害。当我们看到根植于云计算、协作和远程工作的企业文化的运行速度以及相应的数据保护需求时,我们看到了同样的范式。
向云计算、协作和远程工作的大规模迁移——80%的组织都在推动数字化转型——从根本上加快了业务的步伐,同时也带来了管理组织及其数据风险的新挑战。因此,像NFL裁判一样,进步的ciso正在将他们的安全策略从传统的合规优先GRC方法演变为更综合的风险管理方法。betway365
什么是综合风险管理?
Gartner将综合风险管理定义为“一套由风险意识文化和使能技术支持的实践和流程,通过对组织如何更好地管理其独特的风险集的综合观点来改进决策制定和绩效。”
换句话说,综合风险管理是通过建立和实现更有安全意识的文化来减轻文化风险。betway365为了了解文化,ciso必须首先了解文化的行为动态以及这些动态给组织带来的内部风险。我们将这个想法和相关的内部风险在以前的博客在我们的新数据安全书中深入了解betway365内幕工作:为什么内幕风险是你不能忽视的最大网络威胁.
如何实施综合风险管理
根据Gartner的说法,整合风险管理方法有六个核心组成部分:
- 战略:在持续改进的情况下,使有效治理和风险所有权框架得以实现
- 评估:识别、评估和确定风险的优先级
- 响应:确定和实施减轻风险的机制
- 沟通和报告:跟踪并告知利益相关者风险应对情况
- 监测:跟踪风险缓解和控制的目标、问责制和有效性
- 技术:IRM解决方案(IRMS)架构的设计和实现
为了全面了解风险,Gartner建议安全领导者解决所有六个组成部分。betway365Code42的内部风险管理(IRM)方法使这个过程变得简单。以下是我们的核心能力与Gartner框架的对应关系。
Code42的内部风险管理方法:
- 识别-我们的数据风险暴露是什么?
- 定义-您的业务伙伴不能接受哪些数据风险暴露(泄露)?
- 优先级——不可接受的数据泄露发生在何时何地?
- 响应—如何自动修复不可接受的泄露事件?
- 改进——如何衡量数据风险暴露方面的改进,为什么它很重要?
一个未来的计划
“内部风险”(Insider Risk)更动态、更普遍,而且在很大程度上隐藏于我们目前的数据保护系统之外。现在是我们承认命令和控制时代已经结束的时候了。它在引入基于云的协作的那一天就消亡了,那是5年多以前的事了。
随着组织建立根植于速度的文化,组织的数据变得越来越云原生、协作性和不幸的妥协。这就是我们在Code42中所说的“内部风险”,为了减轻它,我们必须首先了解如何管理它。
采用IRM方法进行数据治理、风险和合规性是跟上游戏节奏、同时保护游戏完整性和玩家安全的一种方法。
额外的资源
- 了解更多关于Code42 Incydr的功能betway提款检测数据泄露
- 读了2022年年度数据暴露报告
- 买一本我们的书:内幕工作:为什么内幕风险是你不能忽视的最大网络威胁
