行業(yè)動態(tài)

企業(yè)需要優(yōu)先考慮網絡安全項目中的治理、風險管理和合規(guī)性

來源:聚銘網絡    發(fā)布時間:2019-10-16    瀏覽次數:
 

信息來源:企業(yè)網D1Net

盡管治理、風險和合規(guī)性通常被視為獨立的功能,但從這些基本要素的整體角度來看,這表明它們之間存在著共享共生關系。

      當涉及到網絡安全時,治理、風險管理和合規(guī)性(GRC)通常視為減少安全威脅的一些方法。然而,它們的重要性不應低估。
集中的治理、風險管理和合規(guī)性(GRC)計劃為組織達到其安全性和合規(guī)性目標奠定了基礎。如果做得好,這種積極主動的網絡安全方法可以最大限度地減少組織的被動事件響應。
     沒有GRC的網絡安全計劃是不完整的
      網絡安全作為一個整體由三個要素組成:人員、流程、技術。在這三個要素中,技術往往是最重要的,因為它可以說是最簡單的因素。但是,要使組織成功實現其安全目標,則需要采用程序化、靈活和可擴展的方法來考慮這三個要素。
      為了實現這一目標,有效的治理、風險管理和合規(guī)性(GRC)計劃至關重要,因為它可以確保采取整體觀點,同時應對網絡安全這 一艱巨的任務。畢竟,使用前沿技術實現流程自動化并不能改善流程本身或結果。
      例如,安全運營團隊需要對安全事件進行監(jiān)控和緩解。如果沒有治理、風險管理和合規(guī)性(GRC)計劃,他們將無法了解事件的業(yè)務風險或合規(guī)性影響,這意味著他們只能依靠技術和流程進行管理,他們可能面臨以錯誤的方式對最不重要的問題進行優(yōu)先級排序的風險。
     治理、風險管理和合規(guī)性(GRC)具有共生關系
      盡管治理、風險和合規(guī)性通常被視為獨立的功能,但從這些基本要素的整體角度來看,它們具有共享共生關系。
      治理可確保組織活動以支持業(yè)務目標的方式需要保持一致。確定和解決與任何組織活動相關的風險,并以支持組織業(yè)務目標的方式進行處理。合規(guī)性允許所有組織的活動遵循法律和法規(guī)的方式進行操作。所有這三個方面共同努力,可以創(chuàng)建一種方法,使安全體系結構、工程設計和運營與更廣泛的業(yè)務目標保持一致,同時有效地管理風險,并滿足合規(guī)性目標。
      但是,如何擴展治理、風險管理和合規(guī)性(GRC)程序并確保其嵌入組織中?
     如何擴展治理、風險管理和合規(guī)性(GRC)程序
      就治理、風險管理和合規(guī)性(GRC)而言,并不能完全滿足需求,也不一定非得如此;其應用程序的深度和廣度因組織而異。但是,無論應用程序的復雜性如何,只要組織遵循最佳實踐,就可以采用云計算服務、新興技術以及未知的未來創(chuàng)新對其進行轉換或擴展。
     治理
      要建立基礎治理,至關重要的是首先確定合規(guī)性要求。這意味著要調查和了解合同義務和合規(guī)性框架,并確定需要實施的必需或選定的標準。
      然后組織需要進行計劃評估,以了解當前配置文件的功能和成熟度,確定目標配置文件是什么,并制定實現此目標的計劃。組織的策略應考慮采購、DevSecOps、管理、安全性和人力資源分配,包括定義和分配職能、角色和職責。
最后,組織需要更新和發(fā)布新的政策、流程、程序來教育其員工,并確保維護網絡安全和治理。組織的政策應明確符合其業(yè)務目標。盡管組織的流程必須指定如何升級舊技術以采用現代的組織和管理技術,以及組織的應用程序如何集成云計算服務和其他新興技術。
     風險管理
      擴展治理、風險管理和合規(guī)性(GRC)策略的第二階段是研究風險管理。對組織的各個方面以及每個業(yè)務線和資產類型進行風險評估至關重要。完成此操作后,組織將對其內部的風險有充分的了解,就可以實施計劃來減輕、避免、轉移或接受每一層面、業(yè)務線和資產上的風險。
      然后,風險管理框架可用于通過選擇可隨著業(yè)務增長和威脅態(tài)勢而不斷進行監(jiān)視和調整的控制和風險來跟蹤系統(tǒng)。最后階段是將風險信息納入領導力決策中。簡而言之,組織應該經常詢問“做出這項決定對我們的業(yè)務將會在財務、網絡、法律、聲譽方面帶來什么樣的風險?!边@樣的問題,通過將這種方法嵌入組織的文化中,可以確保組織完全了解風險位置,制定重要的業(yè)務決策,并推動組織發(fā)展。
      合規(guī)性
       與治理直接相關的是,合規(guī)性有助于建立政策、標準和安全控制。除了控制監(jiān)視生成的報告之外,組織還必須主動重新評估基安全功能,并確保它們滿足組織的業(yè)務需要。這意味著自動化應用程序安全性測試和漏洞掃描,從控制采樣中進行自我評估,以及了解可能帶來重大風險的微小變化、危險信號和事件。
      此外,組織還必須根據事件和風險變化調整流程。隨著威脅的發(fā)展,組織的安全態(tài)勢也應隨之發(fā)展。為此,將安全操作與法規(guī)遵從團隊進行集成以進行響應管理是至關重要的,建立標準操作程序來應對意外更改也至關重要。
     在業(yè)務中優(yōu)先考慮治理、風險管理和合規(guī)性
      沒有有效的治理、風險管理和合規(guī)性程序,就不可能制定強有力的網絡安全策略。因此,如果組織要實現其安全性和合規(guī)性目標,則必須將其放在首位。這樣,他們可以確保隨著業(yè)務的增長和法規(guī)的變化,擁有適當的組件以進行擴展、調整和發(fā)展。
      通過與云計算服務提供商(如AWS)合作,組織可以支持、實施和建議治理、風險管理和合規(guī)性項目,可以確保他們具有適當的治理、風險和合規(guī)性,從而可以應對當前和未來的復雜威脅。


 
 

上一篇:Data.2019.10.15.004494

下一篇:生存還是毀滅?一文讀懂挖礦木馬的戰(zhàn)略戰(zhàn)術