为每个人提供持续的控制和监控

编者按: 以下是Hyperproof赞助的博客文章.

作为安全保证专业人员，您知道控制测试的重要性. 毕竟, 只有彻底测试并证明其控制有效性的组织才能确信他们已经充分降低了安全和数据隐私风险.

不幸的是, 随着公司规模的扩大，其管理人员实施更多的控制以跟上新的法规和第三方，控制测试往往会变得更加耗时. 安全保证和IT审计专业人员经常面临严格的限制，这些限制使严格的控制测试无法实现，尽管他们有最好的意图. 许多法规遵循和内部审计团队最终只测试下一个外部审计中检查的控制.

但是这种特殊的控制测试的方法伤害了组织. 例如，Hyperproof的2022年 资讯科技基准遵从调查 发现许多组织在管理第三方风险的控制方面存在差距:90%的受访者表示，他们在2021年受到第三方事件的负面影响. 

幸运的是, 持续控制监视(CCM)可以在很大程度上帮助安全保证专业人员在控制性能评估工作中变得更加富有成效，并增加控制测试覆盖率.

CCM是一种应用技术，允许连续(或至少是高频), 自动监控控制，以验证旨在降低风险的控制的有效性, 包括打击网络攻击企图，确保业务连续性和法规遵从性.

部署CCM可以使跨组织的多个涉众团体和注册会计师事务所的IT审计人员受益. CCM可以:

• 提高安全保证/内部审计团队的工作效率. 通过在给定的时间范围内测试更多数量的控件, 问题更有可能及早发现, 防止它们成为更昂贵的问题. CCM还为合规和内部审计专业人员腾出了时间，使他们能够专注于更高价值的任务, 例如评估需要手工测试的控制，或者开发针对高风险过程的新控制.

• 保持业务部门利益相关者对管理与操作系统和控制流程相关的风险负责. 我们都听过这样一句话:安全是每个人的工作. 然而太多时候, 遵从性专业人员没有一致的方法来了解他们在业务部门的同事——IT人员——是否存在问题, 工程师, 销售运营经理也在尽自己的一份力量保护公司的资产. 通过自动化控制测试，并根据测试结果设置报警系统, 保证专业人员可以将遵从性和风险管理责任推给 第一道防线 同时保留一种机制来验证控制活动的性能.

• 简化审计(准备和执行)并降低审计成本. 当根据指定的策略自动收集关键控制活动的证据时, 合规专业人员不再需要在审计前匆忙收集证据和评估控制措施. 实施CCM之后, 审核员可以快速审查控制过程的完整记录-包括与记录相关的时间和日期的测试结果-所有这些都在一个中心位置. 正确配置CCM有助于减少审计过程中通常出现的问题数量, 加快流程，降低成本.

• 提高公司的地位 在监管机构看来, 客户, 还有审核员，因为组织有现成的风险缓解证据, 保护宝贵资产, 以及履行法律义务的能力.

如何实施CCM
在某些情况下，实现CCM就像在源操作系统中打开特定设置并使用其内置报告进行监视一样简单. 但是要有一个全面的CCM系统来监视跨业务领域的广泛控制, 组织需要有一个单独的存储库来记录和管理其控制，并收集其有效性的证据. 这种类型的系统，通常被称为a 合规运营平台，用于大规模测试和监控控制.

遵从性操作平台具有跨IT的公共业务应用程序的连接器, 发展, 安全, HR, 销售, 并且可以自动将许多控制流程的相关数据拉入其平台，以简化控制评估/验证. 下一个, 遵从性专业人员可以定义具有通过/失败标准和测试频率的测试, 并设置自动工作流程来管理警报, 沟通, 调查, 纠正控制上的弱点. 

而从头开始构建控制测试系统是一种选择, 利用CCM自带的第三方遵从性软件相对容易.   

无论您选择哪种选项，以下是设置CCM的关键步骤:

1. 选择要测试的控件: 良好的候选是发生在高频率(连续)的控制过程, 每天, 每周, 每月, 等.)，以及为测试生成结构良好的数据. 以下是一些受益于CCM的常见安全控制: 
   1. 1. 变更管理:确保指定的审批者在将新代码部署到生产环境之前一致地审查新代码
      2. 应用程序安全:确保Github帐户中的重要分支受到保护
      3. 访问控制:确保任何被解雇的员工在被解雇后X小时内被撤销访问权限
      4. 漏洞管理和事件响应:根据内部服务水平协议验证已修补的关键漏洞
      5. 数据库安全性:根据公司的加密策略验证所有云数据库的加密.

2. 确定每个控件的证据和测试用例. 设置自动测试, 您需要将您的测试系统(可以在内部构建或直接在合规操作平台中使用)连接到控制过程的实时数据提要. 创建此连接通常涉及将控件测试系统连接到与控件关联的源应用程序(例如版本控制源代码管理系统)。. 然后可以提取只读数据并将其输入测试引擎. 例如, 如果您想要确认您的变更管理控制有效地运行, 你需要将你的测试系统连接到Github，以拉出提交历史记录和批准日志进行测试. 

3. 确定如果测试失败应该发生什么. 一旦你写了一个测试, 当测试失败或结果出乎意料时，确定什么类型的响应是合适的. 例如, 您可以选择设置自动通知，并在控制失败时将其发送给控制操作员.

4. 设置一个报告，便于监控自动控制.

CCM是治理、风险和遵从性的关键方面. 借助当今可用的直观GRC软件和平台, 即使是小型组织也可以在他们的法规遵循操作中使用CMM.