由于安全威胁的数量及其复杂性不断增加,风险管理变得越来越复杂,这使得许多组织充斥着许多有安全风险的数据,而且也无法评估或确定其潜在的不利影响。
根据北卡罗来纳州立大学普尔管理学院和美国注册会计师协会(AICPA)ERM计划最近的一份报告,在接受调查的474名高管中,有三分之二最近经历了“运营意外”,原因是出现了他们预料之外的风险。更糟糕的是,只有22 %的受访者认为他们实践着“成熟”或“稳健”的风险管理策略,这意味着过去两年的风险管理成熟度有所下降。
企业云应用程序提供商Workday就是这样一个努力将其不断增加的安全风险数据转化为可操作的业务活动的组织——最近它开发出了一种新的风险管理工具,不仅可以对风险进行评分和排序,还可以将风险数据转换为企业领导人能够理解和使用的语言来告知战略信息。
将风险数据转化为商业计划
当您的业务是以托管人力资源和财务管理数据为中心时,安全风险评估是您任务列表中的核心部分。然而,Workday发现,当与业务领导无法就风险和风险背景进行有效沟通时,将风险数据转化为可操作的商业计划是一项挑战。
Workday信息安全主管Pat Casey表示:“我们非常善于捕捉(安全风险数据),也非常善于谈论这些数据,但不是用于支持业务可以理解的语言”。“我们会去找业务领导,他们会问一些与我们现有数据无关的问题。我们很难就风险和如何减轻风险进行我们需要的正确的对话。”
此外,Workday副总裁兼首席信息安全官Josh DeFigueiredo表示,Workday的安全风险登记表本身就有一些不足之处。
DeFigueiredo说:“基本上,这是我们在内部创建的一个增强版的Excel电子表格”。“它需要大量的人工输入,没有很好地扩展性,也没有为需要访问数据的高管提供整个组织的可见性。”
Casey说,风险登记表上的静态表述并没有对它所列出的风险提供上下文的洞察,也没有评估潜在的业务影响。因此,该团队必须制定一个以外行人的术语来表示风险的标准,以便业务领导能够更好地理解。
Casey说:“给企业列出一份风险清单是一项挑战,因为我们发现很难自己找到围绕自己的背景”。“业务管理层和C级主管来到我们这里说,我们需要一个解决方案来帮助解决这个问题。”
于是,信息安全/风险管理(ISRM)团队利用Workday的安全系统可靠性工程(SSRE)来帮助建立一个可扩展的,易于访问的工具,该工具可以构建在开放平台上并可以被扩展到许多不同的业务部门。
“它需要支持我们的内部审计职能,内部风险管理和合规性检查,”Casey说。
Casey说,Workday已经在使用Splunk进行报告和警报,并且团队已经熟练使用Splunk的这一事实使得它成为一个有趣的选项。所以团队开始探索如何利用Splunk来解决Workday的风险管理问题。
“我们已经将我们的安全风险数据存于Splunk中,”Casey说。“但我们没有意识到如何以这种方式使用它,即使很多数据就在那里。 SSRE团队认为这是一个非常有吸引力的解决方案。他们承诺可以在不耗尽我们内部资源的情况下迅速、经济地完成这项工作。把现有的技术应用到不同于它原本的用途上,也是令人兴奋和富有挑战性的。”
Casey说,由此产生的风险管理工具(RMT)获得了CIO 100的卓越IT奖,这是Splunk第一次以这种方式被使用。该工具包括一个可搜索的风险数据数据库和一个可定制的分析引擎,可对风险进行评分和排序,它可以突出显示趋势,引起人们对需要投资的领域的关注,并为如何降低未来风险的措施进行建模。其集成的“风险计量”为企业领导提供了评估风险优先级的即时风险评分,并提供了与缓解项目风险相关的外部来源的链接。
“该工具允许我们以业务兼容的格式呈现数据;例如,在讨论安全投资时,允许对未来风险评分进行建模,”Casey说。
整合团队,利用现有资源进行创新
为了完成这个项目,Workday的ISRM和SSRE团队不得不开始一些“跨职能的学习,”Casey说。 ISRM团队主要关注高级别的安全策略,而SSRE则更加侧重技术实现。
“我们的风险管理人员不是工程师;我们正在将团队与SSRE进行整合,他们才是工程师。让他们在一起工作是一种挑战,双方确实需要花一些时间来了解各自的想法,但最终,这两个团队都在同一个保护伞下,他们一起工作得很好,“DeFigueiredo说。
DiFigueiredo说,另一个挑战是说服怀疑论者,让他们知道以一种以前从未使用过的方式使用Splunk是正确的——这一决定既令人兴奋又令人紧张。
“老实说,即使是我们这些幕后的人也有点怀疑——有些人会说,‘你为什么不用X、Y和Z来做这个呢?’”他说。“从短期来看,这些工具很贵,很难集成,也很难使用。它们有我们不需要的特性,而且功能太多。我们只是可以在这个平台上工作。
一旦这些挑战被克服,所有的一切都将迅速发展。在两个月的时间里,团队做了一个最小可行的产品(MVP),但这个速度带来了另一个挑战,Casey说。
“人们真的想在拿到MVP之后马上使用它,”Casey说。“对人们的期望的管理是最力不从心的;有人告诉我们,‘这太完美了,这正是我们所需要的,你为什么还要做更多呢?’因此,我们不得不回去说,‘我们还有更多的事情可以做;让我们再花三个月的时间来构建这个功能,’”他说。
2016年6月结束的时候,DiFigueiredo说,整个过程消耗了12至18个月。
“但结果是惊人的。我们现在拥有了一个集中的,可扩展的,可见的解决方案,使我们能够根据具体标准系统地计算风险,”他说。
Casey说,在推出RMT之前,只有三名安全团队成员可以以任何频次来审查风险。现在超过了30个。他说,这还没有考虑到经常消费RMT输出的整个行业的广大受众。
Casey表示,Workday的降低高风险的能力比2016年提高了150%。公司也在其他领域上探索如何根据自己的需求调整解决方案。
“现在我们已经开始运行,并且运行良好,我们可以将解决方案扩展到业务的其他部分,例如合规性和内部审计。一旦我们扩展了这一点,作为业务部门的所有者,我就可以登录,选择我的组织并查看我需要解决的所有问题,调查结果和合规性的要求,”他说。
Casey表示,IT领导不应该害怕就风险和安全以及如何扩展业务各个领域的解决方案展开艰难的对话。DiFiguiredo补充说,这样做意味着不仅涉及高级管理层,还涉及其他业务部门的部门负责人和IT领导。
Casey说,跳出框框思考也很关键,即使这意味着要查看自己的后院。
“想想你已经拥有的技术,看看你是否可以以不同的方式应用它,”他说,“但是,当你获得支持时,请迅速采取行动。对我们而言,能够在两个月内实现这一目标并取得如此巨大的成功至关重要 - 它为管理层带来了巨大的信誉。
DiFigueiredo对此表示赞同:“解决方案可能就在你眼前;一个针对一件事物而构建的解决方案或许实际上还可以应用于其他领域。”
京公网安备 11010502049343号