在这个世界上,智能设备的数量超过了人的数量,越来越多的人上网, GRC已经不仅仅是一个缩略词了. GRC系统的目标是融合业务中应该和谐存在的三个要素:治理(控制和指导组织的方式), 风险(组织可能面临的危害或损失), 和遵从性(确保组织遵循既定标准的控制措施的度量和实现). 如果有策略地加以利用, GRC帮助澳门赌场官方下载有效地将IT活动与组织的目标结合起来,同时管理风险并满足法规遵从性.
事实上, 成功实现 GRC还提供了许多更具体的好处, 包括改进决策, 更优的IT投资, 消除孤岛和冗余, 减少部门分裂. 然而, 它的有效执行一直并将继续依赖于培养一种积极的工作文化,这种文化支持GRC活动,并使GRC专业人员得以发展. 作为全球最佳实践顾问 约瑟夫·马蒂格指出, 任何寻求实现其目标的组织都将继续面临涉及监管的无数挑战, 人, 技术(物联网, AI), 流程, etc.由于商业环境的复杂性不断变化. 同样,GRC不能停滞不前,以保持有效和全面的战略. 随着互联网和物联网的发展, 扩大, 并形成一个更加复杂和危险的景观, GRC系统和从业者也必须进行调整.
但是,解决GRC的需求和跟上不断发展的技术也要求采用一种双重方法,既要保持GRC流程和实践的相关性,又要与新技术保持一致, 组织必须越来越多地转向技术解决方案,GRC从业者必须这样做 适应更多物联网专业知识.
“技术已经成为战略业务的推动者, IT GRC专业人士带头引导澳门赌场官方下载在数字化的全球市场中导航,网络风险普遍存在,成长型澳门赌场官方下载的巨大机遇比比皆是.——moses Segaetsho, ISACA南非分会
机遇和风险迅速演变
In 2021, 这一切都变得更加复杂,因为GRC专业人员面临着越来越多的挑战,因为越来越多的法规, 大流行延续的“新常态”和, 希望很快, post-pandemic-environment, 以及在不损害顾客体验的前提下预防犯罪的双重期望. 快速变化的法规必须在人工智能增长的预测中导航, 自动化, 简化与法规遵循相关的流程. 根据国际IT安全服务提供商的说法 Infopulse, 利用数字转换计划进行合规性管理可以解决这些问题, 帮助组织主动管理和遵守不断发展的法规. infoppulse预测,今年的合规趋势将包括优化人工智能驱动的聊天机器人的合规, 提高RPA工具的效率和遵从性, 采用自动化GRC解决方案, 以及对远程审计日益增长的需求.
这是公认的, 数据安全不适合胆小的人, 虽然保护措施和合规法规可以提供巨大帮助, 它们并不能100%消除风险. 当然,这并不意味着澳门赌场官方下载不能或不应该尽可能地积极主动和知识渊博. “科技的发展速度远远快于我们的法律,” 蒂姆·麦克雷特写道他是Above Security的咨询服务主管. “作为首席信息安全官, 如果您了解关键系统(其中可能出现非结构化数据),那么您就有机会了解您的风险.” All three legs of the GRC triangle are essential and mutually supportive; as 法国考德威尔, 前白宫网络安全顾问, 注:“不遵守, 没有治理. 没有风险管理,你真的不知道你到底需要多少合规.”
虽然三条腿都很重要, 一些人会说,直到最近,解决隐私和安全问题的合规性一直被低估. 为了解决这个问题, 卡尔•马特森, 城市国民银行首席信息安全官, 认为,澳门赌场官方下载必须投资的最大领域之一是他们的信息安全知识和培训:“在跟上不断增长的行业法规和要求方面,缺乏人才是一个大问题. 这个行业没有足够的高素质的风险管理专家来了解这个领域.结果是? 无法跟上法规遵从性的变化, 越来越容易受到数字攻击, 以及物联网设备的“GRC妖怪”, 他们自身的弱点越来越多.
这就是问题的关键:不仅全面的培训越来越重要, 但为GRC从业者提供额外的物联网专业知识不再只是一种选择,而是一种必要.
“信息安全已经成为了解澳门赌场官方下载的关键, 它的风险, 以及它的过程. 现在增加附加值, IT审计和GRC专业人员必须建立扎实的信息安全技能. 这是短期成功和长期职业可持续发展的黄金门票.——Caitlin McGaw, Candor McGaw Inc.
增加物联网专业知识的好处
纵观全球经济, 物联网带来了大量潜在的好处和挑战, 以及各种元件和机器的数字化, 车辆, etc.到目前为止,我们的物理世界已经被证明是非常有前途的. 根据 麦肯锡的数字, 到2025年,物联网每年的潜在经济影响将达到4-11万亿美元,约占世界经济的11%. 然而,伴随着巨大的权力——效率和效力——随之而来的是巨大的责任. “这不仅仅是创造, 捕捉, 并分析来自数十亿连接设备的大量新数据,网络安全专家说。 贾米森说. “……这是关于确保关键基础设施的安全,以确保我们的水是干净的, 我们的选举结果是合法的, 我们的交通灯工作正常, 我们的身体健康得到了保护.“还有这个, 他指出, 越来越重视任何希望将物联网集成到其流程中的人, “产品和服务”来重新设想和重新设计他们的物联网安全方法.”
开始, GRC是很好的基石, 但它绝不仅仅是为了满足合规政策. 爱丽丝·贝克(Alice Baker)是 IT治理, 声明:“(它)还涉及确保可能影响组织未来生存能力和盈利能力的重大风险已经得到解决. 这越来越多地包括对信息和网络活动的依赖.“因此, 她认为, 澳门赌场官方下载必须将GRC视为在整个组织中促进良好网络治理的机会,为网络安全提供有效的基础. 整合物联网专业知识时, 由于外部威胁不断增加,许多《澳门赌场官方下载》500强澳门赌场官方下载已经认识到,这种需求日益增长, 新兴科技, 外包, 以及GDPR等新法规, that, 反过来, 导致了对信息和 网络安全知识 IT审计和GRC职位的候选人.
同样,Candor McGaw Inc .总裁凯特琳., 认为,GRC专业人士也必须打破孤岛,增加自己的价值 如果他们希望成为澳门赌场官方下载整体愿景的一部分, 这样做意味着加强他们的信息和网络安全技能. 她认为,批判性思维技能和创新“需要有能力利用知识和经验来培养务实和创新的能力。, 在必要的时候, 风险和控制的创造性解决方案. 信息安全是支持IT审计和GRC中批判性思维的关键领域.“即使是最小的步骤也是一个开始, McGaw指出:阅读, 在线课程, 在地下室建个科技沙箱, 与资讯保安同事商议, 作为IT或客户资源参与 信息安全, 在公司信息安全圆桌会议上做志愿者, 或者获得以安全为重点的认证或证书.
采取这些步骤是有益的, 因为GRC从业者更了解物联网特有的风险和挑战,能够在潜在危机出现时更好地主动预防或补救. 关注多个业务领域的GRC方法能够更好地提供包含每个领域的解决方案. 通过结合安全风险知识和法规要求, 精通物联网的GRC从业者可以引入更好的数据保护方法. 拥有最新的专业知识, 员工可以优化测试, 管理, 解决内部风险——数据泄露, 内部数据治理, etc. -当澳门赌场官方下载实施适当的工具和实践时 改进和评估信息 以及全面的沟通.
考虑到不断变化的挑战, 技术, 法规, 投资物联网专业知识对个人GRC从业者和寻求加强数据安全的组织都是有益的. 当采用GRC方法时, 澳门赌场官方下载必须将数字化转型计划转化为合规性,并成功应对不断变化的监管环境. 但要确保一个完整和有效的战略,同时保持灵活性, 创新, 和兼容, 把握机遇,为风险做好准备是至关重要的. 其中包括物联网风险的非详尽列表, 如果组织将安全作为主要关注点,并招募或提供在新兴颠覆性技术及其影响业务的方式方面具有知识和能力的grc从业人员,则可以减轻这些问题.
