图片来源:Svetlana Lukienko / Shutterstock
在当前持续的网络威胁、日益增加的合规要求,以及快速变化的技术背景下,将网络安全整合到治理、风险和合规GRC框架中的需求愈加紧迫。GRC程序涉及到满足组织商业目标、处理风险以及符合政府和行业规定的流程与技术。因此,将网络安全融入组织的GRC程序意味着在满足监管要求和明确网络风险的同时,将技术决策与业务目标对齐。
组织需不再将安全和合规事务分隔开,而是要实现它们之间的协调和一致。Insight Enterprises的CISO Jason Rader告诉CSO,通过将网络风险与GRC对齐,目的是要通过法律和合规限制潜在责任,确保合规审计的治理模式能够与SEC等监管机构保持一致,这一点至关重要。
根据Gartner的预测,随着云计算的采用、混合办公模式的出现、生成式AI的流行、构建敏捷安全功能,以及需保护全组织的数字生态系统,预计2024年全球在安全和风险管理上的支出将增长14,总支出达到2150亿美元。
将网络风险纳入GRC程序被认为是实现跨各种技术的全面风险管理的一种方式,同时也在回应日益增长的监管要求。RegScale的CISO Larry Whiteside Jr告诉CSO,GRC框架正在发展,以包括旨在有效应对网络安全风险的具体条款和控制措施。这包括遵循NIST标准以确保符合要求和对齐认可的实践。
合规法规如GDPR、加利福尼亚的CCPA等,正对组织施加压力并强制实施特定的网络安全要求。因此,GRC框架必须将这些监管要求整合到更广泛的合规倡议中。此外,日益依赖第三方也促使GRC框架整合供应商和第三方风险管理,以评估和降低与外部合作伙伴及供应商相关的网络风险。
SEC的新规则要求组织描述董事会对网络安全威胁的风险监督以及管理层在评估和管理网络安全威胁所导致的实质性风险中的角色和专业知识。Whiteside表示,这迫使董事和高管们认识到网络安全是一个至关重要的战略商业问题。他指出,董事会对增强对网络安全风险及措施的可视性需求不断增加,因此组织正在改善其GRC框架,以增强对网络安全问题的报告和确认。
最近一项来自美国和英国的新研究发现,具有统一风险视图的公司在过去12个月中报告的违规事件频率较低。根据Hyperproof的2024年IT风险与合规基准报告,目前83的组织已拥有集中化的GRC程序,这比去年增加了15,但仍需进一步努力,仅有18的组织将风险和合规活动对齐,19的组织仍在孤立的部门、工具或流程中管理IT风险。
要将网络安全整合进GRC框架,组织必须应对不断演变的网络威胁形势,同时量化网络风险,确保网络风险管理与更广泛的GRC目标对齐,并满足合规要求。
黑洞web黑洞加速器尽管量化风险至关重要,但根据MetricStream首席执行官Prasad Sabbineni的
深圳市罗湖区深南东路4003号世界金融中心A座38楼
