當(dāng)涉及到網(wǎng)絡(luò)安全時(shí),治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)通常視為減少安全威脅的一些方法。然而,它們的重要性不應(yīng)低估。
集中的治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃為組織達(dá)到其安全性和合規(guī)性目標(biāo)奠定了基礎(chǔ)。如果做得好,這種積極主動(dòng)的網(wǎng)絡(luò)安全方法可以最大限度地減少組織的被動(dòng)事件響應(yīng)。
沒有GRC的網(wǎng)絡(luò)安全計(jì)劃是不完整的
網(wǎng)絡(luò)安全作為一個(gè)整體由三個(gè)要素組成:人員、流程、技術(shù)。在這三個(gè)要素中,技術(shù)往往是最重要的,因?yàn)樗梢哉f是最簡單的因素。但是,要使組織成功實(shí)現(xiàn)其安全目標(biāo),則需要采用程序化、靈活和可擴(kuò)展的方法來考慮這三個(gè)要素。
為了實(shí)現(xiàn)這一目標(biāo),有效的治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃至關(guān)重要,因?yàn)樗梢源_保采取整體觀點(diǎn),同時(shí)應(yīng)對(duì)網(wǎng)絡(luò)安全這一艱巨的任務(wù)。畢竟,使用前沿技術(shù)實(shí)現(xiàn)流程自動(dòng)化并不能改善流程本身或結(jié)果。
例如,安全運(yùn)營團(tuán)隊(duì)需要對(duì)安全事件進(jìn)行監(jiān)控和緩解。如果沒有治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)計(jì)劃,他們將無法了解事件的業(yè)務(wù)風(fēng)險(xiǎn)或合規(guī)性影響,這意味著他們只能依靠技術(shù)和流程進(jìn)行管理,他們可能面臨以錯(cuò)誤的方式對(duì)最不重要的問題進(jìn)行優(yōu)先級(jí)排序的風(fēng)險(xiǎn)。
治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)具有共生關(guān)系
盡管治理、風(fēng)險(xiǎn)和合規(guī)性通常被視為獨(dú)立的功能,但從這些基本要素的整體角度來看,它們具有共享共生關(guān)系。
治理可確保組織活動(dòng)以支持業(yè)務(wù)目標(biāo)的方式需要保持一致。確定和解決與任何組織活動(dòng)相關(guān)的風(fēng)險(xiǎn),并以支持組織業(yè)務(wù)目標(biāo)的方式進(jìn)行處理。合規(guī)性允許所有組織的活動(dòng)遵循法律和法規(guī)的方式進(jìn)行操作。所有這三個(gè)方面共同努力,可以創(chuàng)建一種方法,使安全體系結(jié)構(gòu)、工程設(shè)計(jì)和運(yùn)營與更廣泛的業(yè)務(wù)目標(biāo)保持一致,同時(shí)有效地管理風(fēng)險(xiǎn),并滿足合規(guī)性目標(biāo)。
但是,如何擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)程序并確保其嵌入組織中?
如何擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)程序
就治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)而言,并不能完全滿足需求,也不一定非得如此;其應(yīng)用程序的深度和廣度因組織而異。但是,無論應(yīng)用程序的復(fù)雜性如何,只要組織遵循最佳實(shí)踐,就可以采用云計(jì)算服務(wù)、新興技術(shù)以及未知的未來創(chuàng)新對(duì)其進(jìn)行轉(zhuǎn)換或擴(kuò)展。
治理
要建立基礎(chǔ)治理,至關(guān)重要的是首先確定合規(guī)性要求。這意味著要調(diào)查和了解合同義務(wù)和合規(guī)性框架,并確定需要實(shí)施的必需或選定的標(biāo)準(zhǔn)。
然后組織需要進(jìn)行計(jì)劃評(píng)估,以了解當(dāng)前配置文件的功能和成熟度,確定目標(biāo)配置文件是什么,并制定實(shí)現(xiàn)此目標(biāo)的計(jì)劃。組織的策略應(yīng)考慮采購、DevSecOps、管理、安全性和人力資源分配,包括定義和分配職能、角色和職責(zé)。
最后,組織需要更新和發(fā)布新的政策、流程、程序來教育其員工,并確保維護(hù)網(wǎng)絡(luò)安全和治理。組織的政策應(yīng)明確符合其業(yè)務(wù)目標(biāo)。盡管組織的流程必須指定如何升級(jí)舊技術(shù)以采用現(xiàn)代的組織和管理技術(shù),以及組織的應(yīng)用程序如何集成云計(jì)算服務(wù)和其他新興技術(shù)。
風(fēng)險(xiǎn)管理
擴(kuò)展治理、風(fēng)險(xiǎn)管理和合規(guī)性(GRC)策略的第二階段是研究風(fēng)險(xiǎn)管理。對(duì)組織的各個(gè)方面以及每個(gè)業(yè)務(wù)線和資產(chǎn)類型進(jìn)行風(fēng)險(xiǎn)評(píng)估至關(guān)重要。完成此操作后,組織將對(duì)其內(nèi)部的風(fēng)險(xiǎn)有充分的了解,就可以實(shí)施計(jì)劃來減輕、避免、轉(zhuǎn)移或接受每一層面、業(yè)務(wù)線和資產(chǎn)上的風(fēng)險(xiǎn)。
然后,風(fēng)險(xiǎn)管理框架可用于通過選擇可隨著業(yè)務(wù)增長和威脅態(tài)勢(shì)而不斷進(jìn)行監(jiān)視和調(diào)整的控制和風(fēng)險(xiǎn)來跟蹤系統(tǒng)。最后階段是將風(fēng)險(xiǎn)信息納入領(lǐng)導(dǎo)力決策中。簡而言之,組織應(yīng)該經(jīng)常詢問“做出這項(xiàng)決定對(duì)我們的業(yè)務(wù)將會(huì)在財(cái)務(wù)、網(wǎng)絡(luò)、法律、聲譽(yù)方面帶來什么樣的風(fēng)險(xiǎn)。”這樣的問題,通過將這種方法嵌入組織的文化中,可以確保組織完全了解風(fēng)險(xiǎn)位置,制定重要的業(yè)務(wù)決策,并推動(dòng)組織發(fā)展。
合規(guī)性
與治理直接相關(guān)的是,合規(guī)性有助于建立政策、標(biāo)準(zhǔn)和安全控制。除了控制監(jiān)視生成的報(bào)告之外,組織還必須主動(dòng)重新評(píng)估基安全功能,并確保它們滿足組織的業(yè)務(wù)需要。這意味著自動(dòng)化應(yīng)用程序安全性測試和漏洞掃描,從控制采樣中進(jìn)行自我評(píng)估,以及了解可能帶來重大風(fēng)險(xiǎn)的微小變化、危險(xiǎn)信號(hào)和事件。
此外,組織還必須根據(jù)事件和風(fēng)險(xiǎn)變化調(diào)整流程。隨著威脅的發(fā)展,組織的安全態(tài)勢(shì)也應(yīng)隨之發(fā)展。為此,將安全操作與法規(guī)遵從團(tuán)隊(duì)進(jìn)行集成以進(jìn)行響應(yīng)管理是至關(guān)重要的,建立標(biāo)準(zhǔn)操作程序來應(yīng)對(duì)意外更改也至關(guān)重要。
在業(yè)務(wù)中優(yōu)先考慮治理、風(fēng)險(xiǎn)管理和合規(guī)性
沒有有效的治理、風(fēng)險(xiǎn)管理和合規(guī)性程序,就不可能制定強(qiáng)有力的網(wǎng)絡(luò)安全策略。因此,如果組織要實(shí)現(xiàn)其安全性和合規(guī)性目標(biāo),則必須將其放在首位。這樣,他們可以確保隨著業(yè)務(wù)的增長和法規(guī)的變化,擁有適當(dāng)?shù)慕M件以進(jìn)行擴(kuò)展、調(diào)整和發(fā)展。
通過與云計(jì)算服務(wù)提供商(如AWS)合作,組織可以支持、實(shí)施和建議治理、風(fēng)險(xiǎn)管理和合規(guī)性項(xiàng)目,可以確保他們具有適當(dāng)?shù)闹卫怼L(fēng)險(xiǎn)和合規(guī)性,從而可以應(yīng)對(duì)當(dāng)前和未來的復(fù)雜威脅。