虽然GRC具有很高的复杂性,但还是有很多组织依然在用“竖井”方式(即孤立的、不与他人联系的方式)在管理风险。可是,每个项目都有不同的方法和解决方案,这就导致了不同项目之间存在着一定的矛盾。如果对于风险和规范的认识不到位的话,将会阻碍决策的制定,另外可能还会因为重复性工作导致预算的超支。
然而,随着越来越多的违规事件被目标组织之外的同行揭露,发现一个数据外泄事件的平均时间还在继续延长。与此同时,先进的网络攻击也扩大了攻击范围,已经超越了一般的黑客,我们知道,黑客仅仅是为了财务收益而作为网络间谍,来窃取知识产权或内幕消息。
可不幸的是,网络攻击的目标是所有的组织,不仅仅是政府、军队和高效益的公司。因此,对于那些缺少防范工具、人员和远见性的公司来说,要发现、分析或组织、阻止IT安全漏洞,实现GRC管理,这的确是个噩梦。
据Gartner调查,面对任何一项管理挑战,选择个性化解决方案的公司,与那些具有前瞻性、使用综合解决方案的公司相比,将多花费10倍的开销。
规范性应该是风险管理的产物,而不是通常而言的规范要求。Gartner的研究总监约翰惠勒说:“首席信息官必须要避免成为规则的追随者,不能让规范支配商业决策,在解决企业面临的严重威胁时,要主动成为风险领导者”。
以下就是采取这种方法需要注意的几点:
1.把利益相关者和组织架构统一起来
IT安全是企业战略和经营目标中不可分割的部分,Check Point公司已经明确了管理多个GRC进程,也称之为“GRC模型”的关键步骤,这些步骤包括建立一个统一的组织架构,使得由于错误的风险和控制计算而产生的错误评估值降到最低。同时,GRC项目研究小组应该对利益相关者进行一下整合,包括终端用户。另外,关键的利益相关者应该从高层管理部门那里获得支持,当实施GRC软件时,也应该咨询一下这些利益相关者。
2.保证通信畅通,并鼓励参与
定义一个共同的GRC术语,那样的话熟悉组织业务的GRC团队就能有效建立和交流实施措施。此外,风险和规范的参与者应该是友好的、有帮助的。比如,在GRC评测期间,岱凯的GRC服务通过使用基于度量的业务语言,加强了所有利益相关者之间的交流,员工也从中获得了很有用的信息。
3.制定一个目标确定的计划
在自己所处的位置上进行风险评估,来确定当前和未来的GRC需求,岱凯公司的GRC评估服务帮助组织回顾现存的处理策略,明确关键的风险、资产和缺口,建立IP风险与合规指标。我们相信该服务的成功指日可待,这个指标可以用来明确当前的安全规范水平,还有未来所期望达到的高度;让IT安全伴随着整个组织,发现技术部署上、活动进程上和安全控制上以及其他的收益活动上的矛盾。
4.实用和具有效益的改进计划
在评估和分析完风险之后,要根据GRC孰轻孰重来实现近期和长期的目标。岱凯公司采取了成本效益和战略风险评估策略,考虑固有风险而进行选择性投资。对核心的业务流程有一个比较全面的了解,这将有助于一个组织把现有的政策转化为规则、参考,甚至是标准,并确定现有的控件和框架,以便重复使用在新的工作中。此外,计划未来变化也是为了实现安全目标。
5.流线型风险和控制
为了避免不必要的风险和控制开销,GRC团队需要理解风险和控制之间的多对多关系,明确那些与条规共享的风险和控制独有的属性特征。通过识别风险、控件与GRC进程间控件的依赖关系、链接和多级层次结构,来尽量减少控件的重复性工作。不同进程之间的信息共享也将在系统和定位件之间形成最佳实践标准。
在GRC审计中,完成了在所有的利益相关者之间有效实现工作流程的自动化。其间,利益相关者能够意识到威胁,并申请使用公用语言来描述这些缺陷,然后评估商业影响力和响应度,把任务合理分配给个人或团队,并且监视任务的完成。最后还要跨团队、商业领域和地理位置,来分享知识经验,让风险和规范活动清晰化。
CIO之家 www.ciozj.com 公众号:imciow