尽管治理、风险和合规性通常被视为独立的,但它们之间存在共生关系。在网络安全方面,治理、风险管理和合规性(GRC)通常被视为减少安全威胁的一些方法。但是,不应低估它们的重要性。集中治理、风险管理和合规性(GRC)计划为组织实现其安全性和合规性目标奠定了基础。如果做得好,这种主动的网络安全方法可以最大限度地减少组织的被动事件响应。没有GRC的网络安全计划是不完整的。网络安全作为一个整体由三个要素组成:人员、流程和技术。在这三个要素中,技术通常是最重要的,因为它可以说是最简单的因素。然而,为了使组织成功实现其安全目标,需要以编程、灵活和可扩展的方式考虑这三个要素。为实现这一目标,有效的治理、风险管理和合规(GRC)计划至关重要,因为它在处理网络安全的艰巨任务时确保了全局观。毕竟,使用尖端技术使流程自动化并不能改善流程本身或结果。例如,安全运营团队需要监控和缓解安全事件。如果没有治理、风险管理和合规性(GRC)计划,他们将无法了解事件对业务风险或合规性的影响,这意味着他们只能依赖技术,而风险会优先处理最不重要的问题。治理、风险管理和合规(GRC)具有共生关系尽管治理、风险和合规通常被视为独立的功能,但从这些基本面的整体角度来看,它们具有共同的共生关系。治理确保组织活动需要以支持业务目标的方式进行调整。识别和解决与任何组织活动相关的风险,并以支持组织业务目标的方式进行。合规性允许组织的所有活动以遵循法律法规的方式运作。所有这三个领域一起工作可以创建一种方法,使安全架构、工程和操作与更广泛的业务目标保持一致,同时有效地管理风险和满足合规性目标。但是,您如何扩展治理、风险管理和合规性(GRC)计划并确保它们嵌入您的组织中?您如何扩展治理、风险管理和合规(GRC)计划?换句话说,它不能满足所有需求,也不必满足;其应用的深度和广度因组织而异。然而,无论应用程序有多复杂,只要组织遵循最佳实践,就可以通过云计算服务、新兴技术和未知的未来创新对其进行改造或扩展。治理要建立基础治理,首先确定合规性要求至关重要。这意味着调查和了解合同义务和合规框架,并确定需要实施的必需或选定的标准。然后,组织需要进行项目评估,以了解当前配置文件的能力和成熟度,确定目标配置文件是什么,并制定计划来实现这一目标。组织的战略应考虑采购、DevSecOps、治理、安全和人力资源分配,包括定义和分配职能、角色和职责。最后,组织需要更新和发布新的政策、流程和程序来教育员工并确保维护网络安全和治理。一个组织的政策应该与其业务目标明确一致。而组织的流程必须指定如何升级遗留技术以采用现代组织和管理技术,以及组织的应用程序将如何集成云计算服务和其他新兴技术。风险管理扩展治理、风险管理和合规(GRC)战略的第二阶段是研究风险管理。对组织的各个方面以及每个业务线和资产类型进行风险评估至关重要。一旦完成,组织将对其内部的风险有一个深刻的了解,并可以实施计划来减轻、避免、转移或接受各个级别、业务线和资产的风险。然后可以使用风险管理框架来跟踪系统,方法是选择可以随着业务增长和威胁形势持续监控和调整的控制措施和风险。最后阶段是将风险信息纳入领导决策。简而言之,组织应该经常询问“做出此决定对我们的业务有哪些财务、网络、法律和声誉风险”。通过将此方法嵌入到组织的文化中,您可以确保您的组织充分了解您的风险所在,做出重要的业务决策并推动组织发展。合规性与治理直接相关,因为合规性有助于建立策略、标准和安全控制。除了控制监控生成的报告外,组织还必须主动重新评估基本安全功能并确保它们满足组织的业务需求。这意味着自动化应用程序安全测试和漏洞扫描,通过控制抽样进行自我评估,并了解可能带来重大风险的微小变化、危险信号和事件。此外,组织必须随着事件和风险的变化调整流程。随着威胁的发展,组织的安全态势也应如此。为此,将安全操作与合规团队集成以进行响应管理至关重要,建立标准操作程序来处理意外变化也很重要。优先考虑业务中的治理、风险管理和合规性如果没有有效的治理、风险管理和合规性计划,就不可能制定稳健的网络安全战略。因此,如果组织要实现其安全性和合规性目标,它必须是重中之重。通过这种方式,他们可以确保拥有正确的组件以随着业务增长和法规变化而扩展、适应和发展。通过与AWS等云计算服务提供商合作,组织可以就治理、风险管理和合规计划提供支持、实施和建议,并确保他们拥有适当的治理、风险和合规性,以应对当前和未来的复杂情况威胁。
