注意间隙
不,这不是著名的伦敦地铁通告,提醒乘客列车门与站台之间有空隙。这是GRC(治理、风险和合规)和安全之间存在的几十年的差距。betway365无论你选择把这个组称为GRC、IRM(综合风险管理)还是ERM(企业风险管理),其痛苦本质上是相同的(除了首字母缩写之外)。
在我们深入讨论之前,我必须提出两篇文章:
- 弥合集选区和安全鸿沟betway365作者:Charaka Goonatilake(信息安全杂betway365志)
- 弥合业务目标和安全需求之间的差距betway365作者:Alex Armson (GRC世界论坛)
虽然已经有很多关于这个主题的文章,但我强调这两个,因为它让我思考这两个群体如何运作的本质——他们的动机、优先事项、痛苦,最重要的是,是什么把他们从本质上区分开来,以实现一个共同的目标。为了得到这些答案,我们需要从头开始,把我们的研究帽子戴在我们的分析师社区上,并在整个过程中听取领导者的意见1.
GRC的指挥链
无论组织的规模大小,这幅图都是全面的反映。该规则的例外情况是,当安全团队还承担表示GRC的责任时。betway365当然,这一切都始于高管层,他们致力于关注增长、风险和人才。通常由CEO(首席执行官)、CFO(首席财务官)和CRO(首席风险官)领导,这意味着需要业务连续性。换句话说,任何业务运营的中断都是有害的。但这是最简单的部分……
GRC委员会现在开始考虑业务连续性的需求,并将其转化为风险。该委员会由CIO(首席信息官)、CISO(首席信息安全官)领导,并受到CEO的一些影响。betway365这是一个从合规、知识产权保护和降低风险等方面剖析高管需求的委员会。因此,管理风险是这一群体的首要任务。这个团队要想成功,他们必须向高层证明以下几点:
- 法规遵循和政策(证明组织遵守法规遵循和政策)
- 风险+或-(证明风险态势已经降低或增加)
- 人才留住(证明公司在留住和吸引人才)
- ROI(证明所推荐的投资已经显示出价值)
- 数据保护(证明组织的知识产权得到了保护)
这就是通常由CISO和CIO领导的安betway365全团队发挥作用的地方。这是一个安全驱动的小betway365组,其中风险任务转化为数据安全、GRC对齐和风险管理。这就是问题的本质,因为正如我们即将发现的那样,在安全解决方案和风险管理能力之间经常存在权衡。betway365最终,安全团队需要向GRC交付的内容如下:betway365
- 稳健的报告(授权GRC提供完整而简单的报告)
- 风险管理(在完整的背景和可见性下,增强数据驱动决策的能力)
- 员工文化(授权创建和发展具有安全意识的员工队伍,以保持和发展为动力)betway365
- 数据发现和价值(增强发现风险数据的能力,并理解业务的相关价值)
- 数据安全(betway365授权一个强大的数据安全战略,专注于保护王冠(知识产权))
GRC最终关心的是输出,而安全的成功是由输入驱动的。betway365这就是我们需要更多地了解这些群体可能经历的痛苦的地方。
GRC和安全betway365团队的关系状态-这很复杂
首先,重要的是要认识到安全领导者首先要与GRC需求保持一致。betway365认识到这一点很重要,因为无论是CIO还是CISO负责进行购买,他们也在着手满足GRC的要求。例外情况确实适用,因为安全性(回到他们上面最关心的问题)会购买最好的安全产品,即使这意betway365味着牺牲GRC授权(60%的安全领导者会以这种方式购买)1.
所以很自然地,这些团体经常进行健康的辩论。虽然在大多数情况下(53%),安全性将交付满足GRC需求的解betway365决方案,但其余41%的解决方案无法满足初始需求1.这导致了我们通常在GRC和安全团队中看到的痛点。betway365
GRC和安全betway365问题本质上是一样的不同的语言
让我们仔细看看GRC委员会的世界,他们没有得到他们需要的东西。当你打开风险管理、数据发现、复杂技术和风险量化等领域时,你听到的是“我需要更好的方法来证明我的风险已经降低了”的求助声。把这个事实和最近的情况联系起来Forrester的数据表明归功于GRC技术的置信水平。当被问及对GRC供应商的满意度时,买家的信心水平从2018年的51%上升到2020年的28%2.而且这个比例预计还会更低!
这就是事情变得非常有趣的地方,我们可以更近地了解这些世界是如何排列的。当被问及解决方案提供商如何通过满足GRC要求的解决方案提供更好的安全性时,我们看到了一个明显的趋势,即需要更好的与风险管理相关的输出betway3651.这是GRC要求更好、更简单、更上下文的报告。为什么?因为他们需要向公司高层证明这一点。当您查看图表底部的答案时,您将了解到输入的需求。这通常是安全团队的痛点,因为他们无法在不了解所有风险数据的位置的情况下获得这些整体betway365报告。许多组织很快就会明白,安全产品(围绕调查和响应构建)和主动风险管理工具之间通常存在选择。betway365
那么差距在哪里?betway365安全工具在构建时并没有考虑到风险
让我们来仔细看看安全团队的需求:betway365
- 该团队需要与管理层/GRC保持一致,以确定优先关注领域和资源需求
- 该团队正在努力在有限的时间、金钱和人员内实施阻止数据泄漏的方法
- 这个团队希望用正确的安全指标来证明公司的价值betway365
解决关键盲点领域是解决“集中选区”其他一些需求的必要第一步。grc驱动的ciso在数据法规和合规性审计方面存在盲点。他们的烦恼在于他们最关心的数据位于不可信的位置:
- 个人存储设备
- 个人云
- 个人电子邮件
- 未经批准的应用(影子IT)
- 非托管服务(第三方风险)
正如我经常说的那样,除非覆盖了数据盲点,否则无法得到可靠的报告或仪表盘。此外,如果不考虑对组织有价值的数据(但经常被忽视),度量风险实际上是不可能的。理解风险就是要深入了解有关文件(数据)、向量(数据泄露的来源/目的地)和用户(与风险或粗心大意相关的行为)的信息。
连接GRC和安全-betway365使用内部风险管理作为结缔组织
Insider Risk Management Solutions已经明确表示要摆脱传统GRC技术,这是有原因的。现实情况是,对话已经极大地转变为理解风险态势和反应时间。商业领袖(他们现在正在推动讨论)正在要求清晰而简单的指标来理解组织风险。度量这种风险必须从以数据为中心的方法开始,该方法侧重于发现组织内的数据风险。
根据设计,内部风险管理方法的支柱都是关于理解、测量并最终管理风险。这里需要回答的基本问题是:
- 识别—您组织的数据何时何地暴露于内部风险?
- 定义—您的组织不能接受哪些数据风险?
- 优先级——什么时候您的组织最关心的数据存在最大的风险?
- 自动化-你如何最好地应对内部风险?
- 改进——你所做的真的有效吗?
为了能够量化风险并最终将其报告给高层,进入第5步是必要的。与安全从betway365业者有关的一个权衡,不用担心!内部风险管理流程中的第4步是关于适当调整您需要采取的响应措施。可以把它看作是利用这些风险指标,并将其转化为可操作的见解,以减轻内部风险。响应控制很重要,因为它们应该如此!
最终结果呢?GRC和CIO/CISO都可以握手言和的方法和解决方案。如果您准备在您的组织中启动内部风险管理计划,我们将详细介绍这些内容开始内部风险管理的5个步骤.
GRC和安全协同是什么样子的?betway365
当你从一个部门获得最重要的需求,并开始考虑如何将其转化为另一个部门时,你需要开始考虑反向交付的结果可能是什么样子。在这种情况下,GRC需要向高管证明(尽可能简单),他们正在维护合规性,衡量和管理风险,使员工能够工作,证明价值(以美元计算),并保护知识产权。
为了做到这一点,安全团队拥有简单的GRC报告,并将betway365其转换为高层术语,这是一种主动测量和管理风险的解决方案,赋予员工权力(而不是惩罚),关注数据风险,并提供健壮的安全平台。这正是Insider Risk Management解决方案所要做的。
在这个过程中,甚至可能有助于弥合GRC和安全之间的鸿沟。betway365
