合规与风险管理的未来

更多内容关注公众号网络研究观。

2030 年，各种规模的组织都必须预见到技术格局将发生巨大变化。

随着云原生应用的普及，临时技术将成为基础设施的重要组成部分，监管要求将会增加，并且对速度的需求将变得至关重要，而许多组织目前还没有准备好满足这些需求。

对于任何想要在未来的超速时代蓬勃发展的组织来说，了解合规和风险管理的未来都至关重要。 

为不断发展的技术做好准备

过去十年，技术领域发生了深刻变化，容器彻底改变了应用程序部署，Kubernetes 成为部署和操作容器化应用程序的事实标准。

微服务、容器和 Pod 都可以由 Kubernetes 根据需要创建、销毁和替换，并根据定义的指标自动扩展，以确保临时工作负载拥有有效运行所需的资源。

这些临时工作负载提高了可扩展性和效率，同时还实现了更快的部署和更高的可靠性，但这些好处也带来了新的合规性和风险考虑。 

很难确切地知道在特定时间运行的程序和位置，但这些信息可能是满足合规性和安全性要求所必需的。

同样，临时技术要求组织重新考虑关键数据的存储方式和位置。

传统的合规性和风险管理方法依赖于对 IT 基础设施和数据所在位置的清晰了解，但现代计算环境可能使跟踪资产、实施访问控制和确保数据安全变得具有挑战性。

随着组织越来越多地利用云和临时技术，他们必须预见到法规的赶上来应对这些挑战。

2030 年繁荣发展的三大基本战略

即使云计算带来了新的挑战，组织也可以通过自动化功能和文化变革来简化合规流程。 

1. 实施持续控制监控和合规性代码

持续控制监控 (CCM) 是一种基于技术的方法，可自动监控和验证组织内部控制的有效性。

这与传统的基于样本的测试方法截然不同，后者依靠定期审计或审查控制措施来评估其是否有效。

遗憾的是，这些方法仅代表了某个时刻，这一指标无法准确反映短暂环境中的控制状态。 

CCM 通过提供关于组织安全控制的实时评估、分析和报告来简化审计和结果。这也使遵守网络事件披露要求变得更加容易。

将 CCM 与有效沟通和报告相结合的组织进一步使利益相关者能够就风险缓解工作做出明智的决策，从而改善整体网络安全态势。 

美国国家标准与技术研究所 (NIST) 开发了开放安全控制评估语言 (OSCAL)，以提供控制目录、控制基线、系统安全计划以及评估计划和结果的机器可读表示。

该标准是美国政府向合规即代码转变的体现，可实现合规自动化。通过自动化合规流程，组织可以消除手动任务，提高效率并降低人为错误的风险。

而且，由于合规要求是机器可读的，因此更容易将它们集成到开发和运营工作流程中，维护审计跟踪并在审计期间证明符合法规。

合规即代码与 CCM 相结合，使组织能够更快地将应用程序推向市场，并确保它们是合规的。

2. 生成按需、可供审计的文档

在短暂的环境中，由于应用程序和服务快速启动和关闭，可见性有限，传统的文档根本无法实现。

CCM 和合规性即代码使组织能够按需生成文档。这可确保文档准确反映生成时的环境状态，从而降低不合规和审计失败的风险。

此外，审计人员可以访问所需时间点的信息，从而简化审计流程并减少中断和繁琐的数据调用。

在当今复杂的环境中，按需文档对于维护合规性和安全性至关重要。

3. 制定统一的安全、风险和合规策略

过去，安全、风险和合规 (GRC) 工作都是各自为政，导致整个组织效率低下、不一致，风险可见性有限。

通过制定统一战略，将这些领域整合到一个有凝聚力的框架中，组织可以改善其安全态势和风险管理能力，并简化合规性。

为此，首先要定义组织的安全优先级、风险容忍度和合规性要求，为每个领域设定目标。

虽然 CCM、合规性即代码和按需文档都支持这一策略，但创建一种重视安全、风险和合规性团队之间沟通和协作的文化对于成功至关重要。

今天的行动改善未来的结果

向临时环境和云计算的转变为合规性和风险管理带来了挑战和机遇。

通过采用自动化、专注于持续控制监控、合规性代码、按需文档和统一的安全、风险和合规性策略，组织可以驾驭这一不断变化的格局，并确保在云、混合和本地环境中的合规性。

组织今天为实现这些目标所做的所有努力都将为它们在 2030 年及以后的蓬勃发展做好准备。