제퍼넷 로고

GRC와 사이버 보안은 통합되어야합니다

시간

거버넌스, 위험 및 규정 준수 (GRC)는 기업 내에서 필요한 기능이지만 기업은 이러한 기능을 다르게 구성하고 운영하는 경향이 있습니다. 예를 들어, 일부 회사에서 GRC는 XNUMX 개의 개별 사일로 기능으로 작동합니다. 다른 회사에는 GRC 인증 전문가가 아닌 경우 GRC 전문가를 포함하는 GRC 기능이 있습니다. 

GRC가 결합 된 조직으로 운영되는 경우에도 또 다른 위험 기능인 사이버 보안은 별도로 운영되는 경향이 있습니다. 그 이유 중 하나는 GRC 기능이 비즈니스 기능으로 간주되는 반면 사이버 보안은 IT (기술 중심) 기능으로 간주되기 때문입니다. 그러나 사이버 보안 사고에서 알 수 있듯이 위험 낙진의 범위는 둘 이상의 기능에 동시에 영향을 미치는 경향이 있습니다.

통치

거버넌스는 종종 데이터 거버넌스와 동의어로 생각되지만 기업 거버넌스는 더 높은 수준의 책임을 갖습니다. 기업 거버넌스는 다양한 이해 관계자의 이해 관계의 균형을 유지하고 프레임 워크, 규칙, 관행, 프로세스 및 성과 측정 등을 통해 회사가 전략적 목표를 실현하도록 돕습니다. 

데이터 중심 컨텍스트에서 거버넌스는 승인 된 당사자 만 사용하려는 데이터에 액세스 할 수 있도록합니다. 데이터 거버넌스 규칙은 데이터 사용이 법률 및 규정의 적용을 받기 때문에 규정 준수를 능가합니다.

위험

전통적인 위험 기능은 재무 위험에 중점을 두었습니다. 일반적으로이 기능은보고되지는 않았더라도 CFO와 긴밀하게 협력했습니다. 재무 위험은 공급 업체 위험, 비즈니스 연속성 위험 및 배상 (보험)을 포함한 여러 형태를 취합니다.  

기존의 위험 관리는 특히 혁신의 장애물로 간주 될 때 다른 그룹과 충돌 할 수 있습니다. 따라서 조직의 위험 성향이 무엇인지 결정하고 그 범위 내에서 혁신하는 것이 중요합니다. 예를 들어 아마존은 수익, 주가 및 평판에 중대한 위험을 감수 할 의지가 있었기 때문에 엄청난 성공과 실패를 겪었습니다.

컴플라이언스

규정 준수는 법률 및 규정 준수에 중점을 둡니다. 이 기능은 조직이 준수해야하는 외부 규칙을 이해하고 해당 규칙을 준수를 보장하는 관행 및 프로세스로 변환해야합니다.

규정 준수 여부는 내부 감사 및 고객 회사의 규정 준수 여부를 확인하는 컨설팅 회사 일 수있는 제 XNUMX 자의 감사를받습니다. 또는 규제 감사관도 똑같이 할 수 있습니다. 회사가 원하는 마지막 것은 정부 감사자가 문제를 발견하는 것이기 때문에 다양한 감사는 상호 배타적 인 작업이 아닌 경향이 있습니다. 그럴 경우 회사에 벌금이 부과 될 가능성이 높고 상장 기업인 경우 주주에게 문제를 공개해야합니다. 위반이 고객에게도 피해를 입힌 경우 (예 : PII 오용) 소송이 발생할 수도 있습니다.

현대적으로 거버넌스와 마찬가지로 규정 준수는 EU의 GDPR (일반 데이터 보호 규정) 및 CCPA (캘리포니아 소비자 개인 정보 보호법)에 따라 데이터와 밀접한 관련이 있습니다. 그러나 컴플라이언스 기능은 더 광범위합니다. 

기업 위험 관리

ERM (Enterprise Risk Management)은 GRC와 사이버 보안을 결합합니다. 실제로 다양한 위험 기능 간의 협업을 촉진하는 데 도움이되는 ERM 도구가 있습니다. 이 도구는 기능 전반에 대한 가시성을 제공합니다. 사람의 관점에서 볼 때 거버넌스, 위험, 규정 준수 및 사이버 보안 전문가로 구성된 엔터프라이즈 위험 팀 또는위원회가있을 수 있습니다.

기업 위험 관리가 증가하는 이유는 위험 범위가 특정 위험 기능에 국한되지 않는 경향이 있기 때문입니다. 예를 들어, 공급망 문제는 재정적 및 사이버 보안에 영향을 미칠 수 있습니다. 

디지털 혁신은 또한 디지털 기업이 아날로그 기업보다 훨씬 빠른 속도로 운영되기 때문에 기업 리스크 관리에 대한 관심을 불러 일으키고 있습니다. 즉, 리스크를보다 사전에 실시간으로 관리해야 함을 의미합니다.

엔터프라이즈 위험 관리는 또한 위험을 정량화하기 위해 전통적으로 이질적인 접근 방식을 표준화하는 데 도움이됩니다. 기존 환경에서는 다양한 위험 기능이 개별적으로 작동하므로 데이터를 공유 할 이유가 없습니다. 각각은 위험을 측정하기 위해 다른 척도를 사용할 수 있습니다. 또한 위험 수용 및 완화를 위해 다른 워크 플로와 메커니즘을 사용할 수 있습니다. 그 결과 유사한 위험이 다르게 모델링되고 점수가 매겨 질 수 있습니다. 또한 다양한 위험 기능이 서로 정보를 공유하지 않기 때문에 공통 데이터 모델이 없습니다. 

엔터프라이즈 위험 관리는 조직이 위험을보다 효과적으로 관리 할 수 ​​있도록 격리 된 기능으로 인해 발생하는 기존의 마찰을 제거하는 데 도움이됩니다. 시점 평가는 위험을 더 빠르고 효과적으로 식별하고 완화하는 데 도움이되는 데이터 기반 시스템으로 대체됩니다.

그러나 엔터프라이즈 위험 관리를 실현하는 것은 도구에만 국한되지 않습니다. 다른 변환 프로세스와 마찬가지로 다양한 이해 관계자를 포함하는 변경 관리 프로세스가 필요합니다.

코인 스마트. 유로파 최고의 비트 코인-보르 스
출처 : https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite

spot_img

최신 인텔리전스

spot_img