當(dāng)涉及到網(wǎng)絡(luò)安全時(shí)，治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)通常視為減少安全威脅的一些方法。然而，它們的重要性不應(yīng)低估。

集中的治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃為組織達(dá)到其安全性和合規(guī)性目標(biāo)奠定了基礎(chǔ)。如果做得好，這種積極主動(dòng)的網(wǎng)絡(luò)安全方法可以最大限度地減少組織的被動(dòng)事件響應(yīng)。

     沒有GRC的網(wǎng)絡(luò)安全計(jì)劃是不完整的

      網(wǎng)絡(luò)安全作為一個(gè)整體由三個(gè)要素組成：人員、流程、技術(shù)。在這三個(gè)要素中，技術(shù)往往是最重要的，因?yàn)樗梢哉f是最簡單的因素。但是，要使組織成功實(shí)現(xiàn)其安全目標(biāo)，則需要采用程序化、靈活和可擴(kuò)展的方法來考慮這三個(gè)要素。

      為了實(shí)現(xiàn)這一目標(biāo)，有效的治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃至關(guān)重要，因?yàn)樗梢源_保采取整體觀點(diǎn)，同時(shí)應(yīng)對(duì)網(wǎng)絡(luò)安全這 一艱巨的任務(wù)。畢竟，使用前沿技術(shù)實(shí)現(xiàn)流程自動(dòng)化并不能改善流程本身或結(jié)果。

      例如，安全運(yùn)營團(tuán)隊(duì)需要對(duì)安全事件進(jìn)行監(jiān)控和緩解。如果沒有治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃，他們將無法了解事件的業(yè)務(wù)風(fēng)險(xiǎn)或合規(guī)性影響，這意味著他們只能依靠技術(shù)和流程進(jìn)行管理，他們可能面臨以錯(cuò)誤的方式對(duì)最不重要的問題進(jìn)行優(yōu)先級(jí)排序的風(fēng)險(xiǎn)。

     治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)具有共生關(guān)系

      盡管治理、風(fēng)險(xiǎn)和合規(guī)性通常被視為獨(dú)立的功能，但從這些基本要素的整體角度來看，它們具有共享共生關(guān)系。

      治理可確保組織活動(dòng)以支持業(yè)務(wù)目標(biāo)的方式需要保持一致。確定和解決與任何組織活動(dòng)相關(guān)的風(fēng)險(xiǎn)，并以支持組織業(yè)務(wù)目標(biāo)的方式進(jìn)行處理。合規(guī)性允許所有組織的活動(dòng)遵循法律和法規(guī)的方式進(jìn)行操作。所有這三個(gè)方面共同努力，可以創(chuàng)建一種方法，使安全體系結(jié)構(gòu)、工程設(shè)計(jì)和運(yùn)營與更廣泛的業(yè)務(wù)目標(biāo)保持一致，同時(shí)有效地管理風(fēng)險(xiǎn)，并滿足合規(guī)性目標(biāo)。

      但是，如何擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)程序并確保其嵌入組織中?

     如何擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)程序

      就治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)而言，并不能完全滿足需求，也不一定非得如此;其應(yīng)用程序的深度和廣度因組織而異。但是，無論應(yīng)用程序的復(fù)雜性如何，只要組織遵循最佳實(shí)踐，就可以采用云計(jì)算服務(wù)、新興技術(shù)以及未知的未來創(chuàng)新對(duì)其進(jìn)行轉(zhuǎn)換或擴(kuò)展。

     治理

      要建立基礎(chǔ)治理，至關(guān)重要的是首先確定合規(guī)性要求。這意味著要調(diào)查和了解合同義務(wù)和合規(guī)性框架，并確定需要實(shí)施的必需或選定的標(biāo)準(zhǔn)。

      然后組織需要進(jìn)行計(jì)劃評(píng)估，以了解當(dāng)前配置文件的功能和成熟度，確定目標(biāo)配置文件是什么，并制定實(shí)現(xiàn)此目標(biāo)的計(jì)劃。組織的策略應(yīng)考慮采購、DevSecOps、管理、安全性和人力資源分配，包括定義和分配職能、角色和職責(zé)。

最后，組織需要更新和發(fā)布新的政策、流程、程序來教育其員工，并確保維護(hù)網(wǎng)絡(luò)安全和治理。組織的政策應(yīng)明確符合其業(yè)務(wù)目標(biāo)。盡管組織的流程必須指定如何升級(jí)舊技術(shù)以采用現(xiàn)代的組織和管理技術(shù)，以及組織的應(yīng)用程序如何集成云計(jì)算服務(wù)和其他新興技術(shù)。

     風(fēng)險(xiǎn)管理

      擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)策略的第二階段是研究風(fēng)險(xiǎn)管理。對(duì)組織的各個(gè)方面以及每個(gè)業(yè)務(wù)線和資產(chǎn)類型進(jìn)行風(fēng)險(xiǎn)評(píng)估至關(guān)重要。完成此操作后，組織將對(duì)其內(nèi)部的風(fēng)險(xiǎn)有充分的了解，就可以實(shí)施計(jì)劃來減輕、避免、轉(zhuǎn)移或接受每一層面、業(yè)務(wù)線和資產(chǎn)上的風(fēng)險(xiǎn)。

      然后，風(fēng)險(xiǎn)管理框架可用于通過選擇可隨著業(yè)務(wù)增長和威脅態(tài)勢(shì)而不斷進(jìn)行監(jiān)視和調(diào)整的控制和風(fēng)險(xiǎn)來跟蹤系統(tǒng)。最后階段是將風(fēng)險(xiǎn)信息納入領(lǐng)導(dǎo)力決策中。簡而言之，組織應(yīng)該經(jīng)常詢問“做出這項(xiàng)決定對(duì)我們的業(yè)務(wù)將會(huì)在財(cái)務(wù)、網(wǎng)絡(luò)、法律、聲譽(yù)方面帶來什么樣的風(fēng)險(xiǎn)。”這樣的問題，通過將這種方法嵌入組織的文化中，可以確保組織完全了解風(fēng)險(xiǎn)位置，制定重要的業(yè)務(wù)決策，并推動(dòng)組織發(fā)展。

      合規(guī)性

       與治理直接相關(guān)的是，合規(guī)性有助于建立政策、標(biāo)準(zhǔn)和安全控制。除了控制監(jiān)視生成的報(bào)告之外，組織還必須主動(dòng)重新評(píng)估基安全功能，并確保它們滿足組織的業(yè)務(wù)需要。這意味著自動(dòng)化應(yīng)用程序安全性測(cè)試和漏洞掃描，從控制采樣中進(jìn)行自我評(píng)估，以及了解可能帶來重大風(fēng)險(xiǎn)的微小變化、危險(xiǎn)信號(hào)和事件。

      此外，組織還必須根據(jù)事件和風(fēng)險(xiǎn)變化調(diào)整流程。隨著威脅的發(fā)展，組織的安全態(tài)勢(shì)也應(yīng)隨之發(fā)展。為此，將安全操作與法規(guī)遵從團(tuán)隊(duì)進(jìn)行集成以進(jìn)行響應(yīng)管理是至關(guān)重要的，建立標(biāo)準(zhǔn)操作程序來應(yīng)對(duì)意外更改也至關(guān)重要。

     在業(yè)務(wù)中優(yōu)先考慮治理、風(fēng)險(xiǎn)管理和合規(guī)性

      沒有有效的治理、風(fēng)險(xiǎn)管理和合規(guī)性程序，就不可能制定強(qiáng)有力的網(wǎng)絡(luò)安全策略。因此，如果組織要實(shí)現(xiàn)其安全性和合規(guī)性目標(biāo)，則必須將其放在首位。這樣，他們可以確保隨著業(yè)務(wù)的增長和法規(guī)的變化，擁有適當(dāng)?shù)慕M件以進(jìn)行擴(kuò)展、調(diào)整和發(fā)展。

      通過與云計(jì)算服務(wù)提供商(如AWS)合作，組織可以支持、實(shí)施和建議治理、風(fēng)險(xiǎn)管理和合規(guī)性項(xiàng)目，可以確保他們具有適當(dāng)?shù)闹卫怼L(fēng)險(xiǎn)和合規(guī)性，從而可以應(yīng)對(duì)當(dāng)前和未來的復(fù)雜威脅。