由于安全威脅的數量及其復雜性不斷增加，風險管理變得越來越復雜，這使得許多組織充斥著許多有安全風險的數據，而且也無法評估或確定其潛在的不利影響。

 

根據北卡羅來納州立大學普爾管理學院和美國注冊會計師協會(AICPA)ERM計劃最近的一份報告，在接受調查的474名高管中，有三分之二最近經歷了“運營意外”，原因是出現了他們預料之外的風險。更糟糕的是，只有22 %的受訪者認為他們實踐著“成熟”或“穩健”的風險管理策略，這意味著過去兩年的風險管理成熟度有所下降。

 

企業云應用程序提供商Workday就是這樣一個努力將其不斷增加的安全風險數據轉化為可操作的業務活動的組織——最近它開發出了一種新的風險管理工具，不僅可以對風險進行評分和排序，還可以將風險數據轉換為企業領導人能夠理解和使用的語言來告知戰略信息。

 

 

當您的業務是以托管人力資源和財務管理數據為中心時，安全風險評估是您任務列表中的核心部分。然而，Workday發現，當與業務領導無法就風險和風險背景進行有效溝通時，將風險數據轉化為可操作的商業計劃是一項挑戰。

 

Workday信息安全主管Pat Casey表示:“我們非常善于捕捉(安全風險數據)，也非常善于談論這些數據，但不是用于支持業務可以理解的語言”。“我們會去找業務領導，他們會問一些與我們現有數據無關的問題。我們很難就風險和如何減輕風險進行我們需要的正確的對話。”

 

此外，Workday副總裁兼首席信息安全官Josh DeFigueiredo表示，Workday的安全風險登記表本身就有一些不足之處。

 

DeFigueiredo說:“基本上，這是我們在內部創建的一個增強版的Excel電子表格”。“它需要大量的人工輸入，沒有很好地擴展性，也沒有為需要訪問數據的高管提供整個組織的可見性。”

 

Casey說，風險登記表上的靜態表述并沒有對它所列出的風險提供上下文的洞察，也沒有評估潛在的業務影響。因此，該團隊必須制定一個以外行人的術語來表示風險的標準，以便業務領導能夠更好地理解。

 

Casey說:“給企業列出一份風險清單是一項挑戰，因為我們發現很難自己找到圍繞自己的背景”。“業務管理層和C級主管來到我們這里說,我們需要一個解決方案來幫助解決這個問題。”

 

于是，信息安全/風險管理(ISRM)團隊利用Workday的安全系統可靠性工程(SSRE)來幫助建立一個可擴展的，易于訪問的工具，該工具可以構建在開放平臺上并可以被擴展到許多不同的業務部門。

 

“它需要支持我們的內部審計職能，內部風險管理和合規性檢查，”Casey說。

 

Casey說，Workday已經在使用Splunk進行報告和警報，并且團隊已經熟練使用Splunk的這一事實使得它成為一個有趣的選項。所以團隊開始探索如何利用Splunk來解決Workday的風險管理問題。

 

“我們已經將我們的安全風險數據存于Splunk中，”Casey說。“但我們沒有意識到如何以這種方式使用它，即使很多數據就在那里。 SSRE團隊認為這是一個非常有吸引力的解決方案。他們承諾可以在不耗盡我們內部資源的情況下迅速、經濟地完成這項工作。把現有的技術應用到不同于它原本的用途上，也是令人興奮和富有挑戰性的。”

 

Casey說，由此產??生的風險管理工具(RMT)獲得了CIO 100的卓越IT獎，這是Splunk第一次以這種方式被使用。該工具包括一個可搜索的風險數據數據庫和一個可定制的分析引擎，可對風險進行評分和排序，它可以突出顯示趨勢，引起人們對需要投資的領域的關注，并為如何降低未來風險的措施進行建模。其集成的“風險計量”為企業領導提供了評估風險優先級的即時風險評分，并提供了與緩解項目風險相關的外部來源的鏈接。

 

“該工具允許我們以業務兼容的格式呈現數據;例如，在討論安全投資時，允許對未來風險評分進行建模，”Casey說。

 

 

為了完成這個項目，Workday的ISRM和SSRE團隊不得不開始一些“跨職能的學習，”Casey說。 ISRM團隊主要關注高級別的安全策略，而SSRE則更加側重技術實現。

 

“我們的風險管理人員不是工程師;我們正在將團隊與SSRE進行整合，他們才是工程師。讓他們在一起工作是一種挑戰，雙方確實需要花一些時間來了解各自的想法，但最終，這兩個團隊都在同一個保護傘下，他們一起工作得很好，“DeFigueiredo說。

 

DiFigueiredo說，另一個挑戰是說服懷疑論者，讓他們知道以一種以前從未使用過的方式使用Splunk是正確的——這一決定既令人興奮又令人緊張。

 

“老實說，即使是我們這些幕后的人也有點懷疑——有些人會說，‘你為什么不用X、Y和Z來做這個呢?’”他說。“從短期來看，這些工具很貴，很難集成，也很難使用。它們有我們不需要的特性，而且功能太多。我們只是可以在這個平臺上工作。

 

一旦這些挑戰被克服，所有的一切都將迅速發展。在兩個月的時間里，團隊做了一個最小可行的產品(MVP)，但這個速度帶來了另一個挑戰，Casey說。

 

“人們真的想在拿到MVP之后馬上使用它，”Casey說。“對人們的期望的管理是最力不從心的;有人告訴我們，‘這太完美了，這正是我們所需要的，你為什么還要做更多呢?’因此，我們不得不回去說，‘我們還有更多的事情可以做;讓我們再花三個月的時間來構建這個功能，’”他說。

 

2016年6月結束的時候，DiFigueiredo說，整個過程消耗了12至18個月。

 

“但結果是驚人的。我們現在擁有了一個集中的，可擴展的，可見的解決方案，使我們能夠根據具體標準系統地計算風險，”他說。

 

Casey說，在推出RMT之前，只有三名安全團隊成員可以以任何頻次來審查風險。現在超過了30個。他說，這還沒有考慮到經常消費RMT輸出的整個行業的廣大受眾。

 

Casey表示，Workday的降低高風險的能力比2016年提高了150%。公司也在其他領域上探索如何根據自己的需求調整解決方案。

 

“現在我們已經開始運行，并且運行良好，我們可以將解決方案擴展到業務的其他部分，例如合規性和內部審計。一旦我們擴展了這一點，作為業務部門的所有者，我就可以登錄，選擇我的組織并查看我需要解決的所有問題，調查結果和合規性的要求，”他說。

 

Casey表示，IT領導不應該害怕就風險和安全以及如何擴展業務各個領域的解決方案展開艱難的對話。DiFiguiredo補充說，這樣做意味著不僅涉及高級管理層，還涉及其他業務部門的部門負責人和IT領導。

 

Casey說，跳出框框思考也很關鍵，即使這意味著要查看自己的后院。

 

“想想你已經擁有的技術，看看你是否可以以不同的方式應用它，”他說，“但是，當你獲得支持時，請迅速采取行動。對我們而言，能夠在兩個月內實現這一目標并取得如此巨大的成功至關重要 - 它為管理層帶來了巨大的信譽。

 

DiFigueiredo對此表示贊同:“解決方案可能就在你眼前;一個針對一件事物而構建的解決方案或許實際上還可以應用于其他領域。”