Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

GRC và An ninh mạng phải hợp nhất

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 734

Quản trị, Rủi ro và Tuân thủ (GRC) là những chức năng cần thiết trong doanh nghiệp nhưng các doanh nghiệp có xu hướng cấu trúc và điều hành chúng theo cách khác nhau. Ví dụ, ở một số công ty, GRC hoạt động như ba chức năng riêng biệt, được thiết kế riêng biệt. Các công ty khác có chức năng GRC bao gồm các chuyên gia GRC nếu không phải là các chuyên gia được chứng nhận GRC. 

Ngay cả khi GRC hoạt động như một tổ chức kết hợp, an ninh mạng - một chức năng rủi ro khác - có xu hướng hoạt động riêng lẻ. Một trong những lý do cho điều đó là vì các chức năng GRC được xem như là các chức năng kinh doanh trong khi an ninh mạng được xem như là một chức năng CNTT (theo định hướng công nghệ). Tuy nhiên, như bất kỳ sự cố an ninh mạng nào chứng tỏ, phạm vi ảnh hưởng của rủi ro có xu hướng ảnh hưởng đến nhiều hơn một chức năng đồng thời.

Quản trị

Quản trị thường được cho là đồng nghĩa với quản trị dữ liệu, nhưng quản trị công ty có trách nhiệm cấp cao hơn. Quản trị công ty cân bằng lợi ích của các bên liên quan khác nhau và nó giúp công ty thực hiện các mục tiêu chiến lược của mình thông qua các khuôn khổ, quy tắc, thông lệ, quy trình và đo lường hiệu suất, cùng những thứ khác. 

Trong bối cảnh tập trung vào dữ liệu, quản trị giúp đảm bảo rằng chỉ các bên được ủy quyền mới có quyền truy cập vào dữ liệu mà họ muốn sử dụng. Các quy tắc quản trị dữ liệu làm lu mờ sự tuân thủ vì việc sử dụng dữ liệu cũng được điều chỉnh bởi các luật và quy định.

Nguy cơ

Các hàm rủi ro truyền thống đã tập trung vào rủi ro tài chính. Thông thường, chức năng này đã làm việc chặt chẽ với giám đốc tài chính, nếu không được báo cáo. Rủi ro tài chính có nhiều dạng bao gồm rủi ro nhà cung cấp, rủi ro liên tục kinh doanh và bồi thường (bảo hiểm).  

Quản lý rủi ro truyền thống đôi khi có thể mâu thuẫn với các nhóm khác, đặc biệt khi nó được coi là một trở ngại cho sự đổi mới. Do đó, điều quan trọng là phải xác định khẩu vị rủi ro của một tổ chức là gì và đổi mới trong phạm vi của nó. Ví dụ, Amazon đã có một số thành công và thất bại ngoạn mục vì họ sẵn sàng chấp nhận rủi ro đáng kể đối với lợi nhuận, giá cổ phiếu và danh tiếng của mình.

Tuân thủ

Tuân thủ tập trung vào việc tuân thủ luật pháp và quy định. Chức năng này phải hiểu tổ chức phải tuân thủ các quy tắc bên ngoài nào và chuyển các quy tắc đó thành các thực hành và quy trình đảm bảo tuân thủ.

Việc tuân thủ phải tuân thủ các cuộc đánh giá nội bộ và bởi các bên thứ ba, có thể là các công ty tư vấn đang xác minh xem công ty của khách hàng của họ có tuân thủ hay không. Ngoài ra, một kiểm toán viên theo quy định cũng có thể làm như vậy. Các cuộc kiểm toán khác nhau có xu hướng không phải là những cam kết loại trừ lẫn nhau vì điều cuối cùng mà một công ty muốn là kiểm toán viên chính phủ phát hiện ra một vấn đề. Nếu điều đó xảy ra, thì công ty có thể sẽ bị phạt theo quy định và nếu là công ty đại chúng, họ sẽ phải tiết lộ vấn đề này cho các cổ đông. Nếu vi phạm cũng gây tổn hại cho khách hàng (ví dụ: sử dụng sai PII), các vụ kiện cũng có thể dẫn đến.

Hiện nay, việc tuân thủ, như quản trị, có liên quan chặt chẽ với dữ liệu theo Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu và Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA). Tuy nhiên, chức năng tuân thủ rộng hơn. 

Quản lý rủi ro doanh nghiệp

Quản lý rủi ro doanh nghiệp (ERM) kết hợp GRC và an ninh mạng. Trên thực tế, hiện nay có các công cụ ERM giúp tạo điều kiện hợp tác giữa các chức năng rủi ro khác nhau. Các công cụ này cũng cung cấp khả năng hiển thị trên các chức năng. Từ quan điểm của con người, có thể có một nhóm hoặc ủy ban rủi ro doanh nghiệp bao gồm các chuyên gia quản trị, rủi ro, tuân thủ và an ninh mạng.

Lý do quản lý rủi ro doanh nghiệp ngày càng phát triển là vì phạm vi của bất kỳ rủi ro nào có xu hướng không bị giới hạn trong một chức năng rủi ro cụ thể. Ví dụ, một vấn đề về chuỗi cung ứng có thể có sự phân nhánh về tài chính và an ninh mạng. 

Chuyển đổi kỹ thuật số cũng đang kích thích sự quan tâm trong quản lý rủi ro doanh nghiệp vì các công ty kỹ thuật số hoạt động với tốc độ nhanh hơn nhiều so với các đối tác tương tự của họ, có nghĩa là rủi ro cần được quản lý chủ động hơn và theo thời gian thực.

Quản lý rủi ro doanh nghiệp cũng giúp bình thường hóa các cách tiếp cận truyền thống khác nhau để định lượng rủi ro. Trong cài đặt truyền thống, các chức năng rủi ro khác nhau hoạt động riêng biệt nên không có lý do gì để chia sẻ dữ liệu. Mỗi loại có thể sử dụng một thang đo khác nhau để đo lường rủi ro. Họ cũng có thể có các quy trình và cơ chế làm việc khác nhau để chấp nhận và giảm thiểu rủi ro. Kết quả là các rủi ro tương tự có thể được mô hình hóa và ghi điểm khác nhau. Và, bởi vì các chức năng rủi ro khác nhau không chia sẻ thông tin với nhau, không có mô hình dữ liệu chung. 

Quản lý rủi ro doanh nghiệp giúp loại bỏ những rắc rối truyền thống được tạo ra bởi các chức năng bị che khuất để tổ chức có thể quản lý rủi ro hiệu quả hơn. Đánh giá theo thời điểm được thay thế bằng các hệ thống cung cấp dữ liệu đang giúp xác định và giảm thiểu rủi ro nhanh hơn và hiệu quả hơn.

Tuy nhiên, nhận ra quản lý rủi ro doanh nghiệp không chỉ là về công cụ. Nó đòi hỏi một quá trình quản lý thay đổi bao gồm các bên liên quan khác nhau giống như bất kỳ quá trình chuyển đổi nào khác.

Coinsmart. Đặt cạnh Bitcoin-Börse ở Europa
Nguồn: https://www.cshub.com/exosystem-decisions/articles/grc-and-cyber-security-must-unite

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.