科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理从合规向风险管理转型 Archer实现业务流程自动化

从合规向风险管理转型 Archer实现业务流程自动化

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

GRC虽以合规为起点,但随着企业风险意识的提高和市场不断成熟,现在企业更多做的是基于风险的管理。“合规只不过是成熟的风险管理带来的一个很好的副产品,合规的市场正慢慢向风险管理的市场转型。”EMC信息安全事业部Archer市场行销副总裁Eric Erson说到。

作者:陈广成 来源:ZDNet安全频道【原创】 2012年11月29日

关键字: 合规 风险管理 RSA Archer

  • 评论
  • 分享微博
  • 分享邮件

  ZDNET安全频道 11月29日 北京报道: 对于起初的合规市场,大多是为应对政府监管和审计的压力。2004年,美国证券市场开始实施最严厉的针对上市公司财务和公司治理的萨班斯法案。在国内,审计署等五部门也出台了《企业内部控制基本规范》,针对国内上市公司对实施建立、评估其内部控制有效性提出了明确要求。

  所以,一些针对公司治理,风险管理及合规(GRC)的产品受到了上市公司的青睐,EMC信息安全事业部Archer市场行销副总裁Eric Erson近日接受记者采访时坦言,Archer在12年前诞生,当时第一家用户就是一大型金融机构利用其做监管合规的工作,它自动化的方式省却了大量的重复手工流程,并以可视化的方式呈现业务风险。

从合规向风险管理转型 Archer实现业务流程自动化

EMC信息安全事业部Archer市场行销副总裁Eric Erson

  不过,GRC虽以合规为起点,但随着企业风险意识的提高和市场不断成熟,现在企业更多做的是基于风险的管理。“合规只不过是成熟的风险管理带来的一个很好的副产品,合规的市场正慢慢向风险管理的市场转型。”Eric Erson说到。

  从合规到风险管理

  “很多客户一开始购买Archer是去解决诸多问题中的一个小的业务问题,比如用在PCI的合规上。因为Archer是开箱即用,它给客户提供现成的模板、工具流和测试方法,所以客户部署Archer产品会立刻在短期内得到价值。”Eric Erson介绍说,用户看到Archer带来的有效价值,就想把它推广到其他一些业务问题的解决上。比如用Archer的框架做融合ISO27001(信息安全管理体系)的措施,所以Archer带动客户使用的效果是循序渐进的,从合规到最佳实践,然后在全业务推广开。

  现在的Archer eGRC模块可以建立一个高效、协作的企业治理,风险和法规遵从项目,它横跨IT、财务、运营和法律领域,使其管理风险、证明合规性、并实现业务流程的自动化。

  Eric Erson强调,RSA和很多做GRC的大型公司合作,把他们在GRC方面成功的经验、知识打包到Archer产品。所以对很多小公司来说,他们有了Archer,其实就能够获得这些大公司在这方面宝贵的经验和知识。

  所以,看到Archer在亚洲较快的增长速度,逐年增长达到了40%。他们主要用于合规、风险管理、策略管理,来支持自己的业务持续性。Eric Erson指出,在财富100强中有一半的公司在使用Archer。

  从手工到自动化

  对一个企业来说,它面临着不同的风险种类,有IT风险、网络风险、业务风险、监管类的风险。对于用户来说,希望在解决某一个业务问题的时候,就能够剖析出到底这个业务问题带来的是哪一种风险。

  Eric Erson告诉记者,目前很多企业在做eGRC的工作,但是他们没有像Archer这样的自动化工具。事实上任何企业或多或少都在做评估风险,他们可能是通过电子邮件或者是面对面的方式去做调查,得到这些问题的方案。将采集的数据通过像excel这样的工具去完成,通过PPT文档的图形实现可视化,然后将这些文件放到文件服务器上共享。

  这些手工完成的都是非常离散式的工作,不可能把大量的数据汇总成一篇报告。Eric Erson表示,Archer作为一个高效的、自动化的平台可以留下清晰的审计痕迹,企业可以执行更好的管控措施。有了管控的措施的执行,能够建立很好的问责制,这样能够确保给高管提供的数据、报表的质量和前后的一致性。

  业务视角的可视化

  IT系统面临的挑战是虽拥有大量的数据,但是不能提供相对信息或上下文的背景,即如何把数据转化成信息?Eric Erson指出,对于Archer来说,它会掌握各种各样的信息,比如它了解一个企业的组织结构、部门分级、不同的业务集团。同时它会了解企业的不同资产,比如有哪些业务流程、应用、硬件、服务的设施、相对应的人员的配备。所以Archer会从诸多数据中分离出有用的、相关的业务信息,而且Archer还会做关键性的评分。Archer会要求业务负责人去量化,比如这个资产对于业务的影响是多少,这样Archer最终提供给这些高管都是实验性的信息,而不是模糊的。

  管理者并不关心服务器的补丁水平是多少,但如果IT负责人反过来说负责这一关键业务的系统出现安全漏洞有多重要,这时候才会唤起管理者的兴趣。Eric Erson介绍说,Archer上有一个叫做高管仪表板,在这个高管仪表板上会列出头五大最重要的IT资产、业务流程,而且会以红、黄、绿的颜色来标明现在可能出现的风险的情况。而且会有一条曲线,表明现在的IT服务级别是在往上走还是往下滑,所以Archer在仪表板上提供的信息都是业务部门的领导关心的,而且是他能够读懂的信息类型。

  所以,这种可视化的仪表板是非常重要的,它能够很好的让IT部门以这些高管能够理解的业务语言去呈现相应的IT资产带来的哪些业务风险,可能会对哪些业务造成多大的影响。

  Eric Erson强调,Archer整合一百多个权威的来源,有关COSO、COBIT、ISO、隐私法规等等监管的条例、法规的内容、框架。而且也有很多主要的IT策略,有900多条做控制点的标准,Archer能够带给客户最直接的价值。

  “Archer最大的优点就是它的灵活性和易用性,不管企业目前的业务流程是怎样的,Archer都可以去配合它,不需要修改业务流程。Archer只需要通过轻松的配置,就能够吻合现在业务流程的需求。”Eric Erson表示,很多和Archer同类的产品,它们是比较僵化的,改起来很难,甚至要做代码级的修改。Archer本身在设计的时候就考虑到了要去解决客户在GRC方面最痛苦的地方,这就是为什么Archer这款产品能够取得成功的原因。

  并且,Archer有一个非常广泛的技术合作伙伴的生态系统,它可以很好的和SIEM、DLP、防火墙、配置管理器等一些重要的安全控制典型的产品进行配合,实现Archer审计管理、业务连续性管理、合规性管理、企业管理、事件管理、政策管理、风险管理、威胁管理、供应商管理的强大功能,最终形成一个非常具有可读的报告。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章