深入探讨五种 GRC 趋势和解决方案,旨在加强企业抵御外部和内部威胁的能力。
深入探讨五种 GRC 趋势和解决方案,旨在加强企业抵御外部和内部威胁的能力。

让 2024 年更安全的 5 个 GRC 趋势和决议

艾米丽-博金 |

在新的一年里,通过了解人工智能、TPRM、网络风险等方面的 GRC 趋势、模式和最佳实践,提升您的应变能力。

当我们步入 2024 年,技术进步和日益互联的全球环境(因此风险也越来越大)在我们脚下不断变化。治理、风险和合规团队注意到这一点也就不足为奇了。让我们深入探讨五项旨在加强公司抵御外部和内部威胁的决议。

从在 GRC 中越来越多地使用人工智能,到应对网络安全威胁、管理供应商风险、解决人员风险,以及倡导集成技术,这些决议旨在增强风险与合规专业人员保护其组织的能力。

在治理、风险与合规方面做好应对人工智能崛起的准备

在这个世界上 35% 家公司已在其业务运营中使用人工智能,另有 42% 家公司正在探索其潜力2024 年,人工智能将在 GRC 领域发挥更大的作用。人工智能在 GRC 领域的应用多种多样,从建立积极主动的风险管理计划到数据收集等人工流程的自动化,不一而足。

与此同时,随着企业利用人工智能提升其 GRC 战略,各国政府也开始关注如何在工作场所使用人工智能。 拜登最近的行政命令例如,《世界人工智能报告》引入了新的人工智能治理准则和标准。它为后续更多的治理举措奠定了基础,凸显了负责任地使用人工智能在商业和监管领域的重要性与日俱增。欧盟最近 人工智能法 同样,《全球风险与控制报告》也对利用人工智能的企业和技术提出了更高的要求,并制定了既能保护消费者隐私又能对违规行为进行处罚的指导方针。随着各组织积极拥抱人工智能,企业创新和政府监督这两个相互竞争的优先事项将形成一条通往更复杂、更有道德基础的 GRC 环境的道路,战略公司应下定决心在 2024 年拥抱这一环境。

确保您的第三方和第 N 方供应商风险边界不断扩大

随着业务范围向全球扩展,对全面风险管理的需求也从技术堆栈扩展到第三方和第 n 方。在驾驭远程工作和错综复杂的全球供应链时,企业需要将风险管理扩展到总部(和技术堆栈)之外。支持核心业务流程的供应商生态系统不断扩大,这就要求对第三方和第 n 方风险管理有更好的可见性和控制。为了在当今的环境中保持合规性,企业必须下定决心监控供应商的合规程度以及自身的合规程度。

例如,一家软件开发公司将其产品的一个关键部分外包给第三方供应商。虽然与直接第三方关系相关的风险显而易见,但当该供应商反过来依赖分包商或供应商提供特定服务时,第 n 次方风险就会出现。如果贵公司缺乏供应商合规政策,无法监控或有效应对第三方和第 三方风险,就很容易因不合规而产生不可预见的成本和风险。

公司应下定决心应对第 nth-party 风险,这是一个在现代风险管理中日益突出的术语,指的是与供应商网络和供应链中的分包商和供应商相关的风险。简单地说,就是要了解超出直接第三方关系的风险。解决方法包括在整个供应商风险管理计划中对风险进行识别、定性和量化,建立一个风险管理机制。 持续监测框架.

第三方风险管理

提高警惕,防范网络安全威胁

最近 对米高梅电影公司的网络攻击 这清楚地提醒我们,网络攻击会带来真实而直接的后果。事实上,攻击不仅会影响企业的停机时间,还会影响投资者和客户的互动。在米高梅漏洞事件发生后,后果是深远的。米高梅的网站被一个临时登陆页面取代,建议访问者直接通过电话联系酒店或赌场,他们的预订系统瘫痪,股价暴跌。10 月,他们承认了黑客攻击 $ 亿美元.

据报道,2023 年 3 月勒索软件攻击将增加 91%(根据 NCC 集团的数据)。处理敏感数据的组织面临着更高的风险。企业必须下定决心,积极主动地管理风险战略,转变观念,从把威胁视为意外,转变为期待影响每家企业的事件发生。实施将机器学习与持续警惕相结合的技术,能让企业有效地识别、减轻和报告风险。

更为紧迫的是 美国证券交易委员会 (SEC) 将于 2024 年实施新规则 将重新定义公司如何管理其网络安全风险。这些规则将为 "重要性 "确立一个法律上可行的定义,开创一个让公司承担责任的法律先例。对于不遵守这些规则的行为,将实施具体的处罚措施。

降低员工风险,防范人员风险

员工是公司敏感信息的前线卫士,因此人为因素是造成组织漏洞的重要原因。

许多组织面临的一个普遍挑战是容易受到网络钓鱼攻击。如果缺乏足够的意识和培训,员工可能会在不知不觉中成为网络钓鱼企图的受害者,从而危及敏感数据的安全。此外,薄弱的密码操作也会造成漏洞,为未经授权的访问敞开大门。

ǞǞǞ 网络安全基础设施和安全局(CISA)建议 在去年的 "网络安全月 "活动中,企业要求员工使用更强的密码、启用多因素身份验证 (MFA)、学会识别和报告网络钓鱼企图并定期更新软件。您的组织可以从今天开始支持员工的这一努力,实施全面的培训或共享教育资源,创建更强大的内部防线来抵御潜在的威胁。

孤立的技术(我们个人迫不及待想要告别的 GRC 趋势)

2024 年,是时候拆除组织孤岛,培养协作精神,让 GRC 技术专家和谐共事,以实现更精简、更合规的组织。

将您的技术工具想象成 GRC 功能的独立专家,每个专家负责公司整体风险与合规战略的一个重要方面。然而,如果这些专家各自为政,缺乏有效的沟通,就会损害稳健治理和风险管理框架所需的整体视角。

在合规数据孤立于一个系统而风险评估团队依赖于另一个系统的情况下,孤立的技术会导致数据重复和错误,给维护合规性带来巨大挑战,并造成容易出现沟通漏洞的分散局面。

要解决这个问题,就必须下定决心将产品和团队整合到一个更具协同效应的技术堆栈中。通过打破数据隐私、IT、第三方风险管理和网络安全风险管理之间的壁垒,您可以确保:

  • 统一流程
  • 提升报告和分析能力
  • 增强利益攸关方的信心
  • 可扩展性
  • 节约成本及更多
综合风险管理图表

关于集成治理、风险和合规平台的好处,还有更多知识需要了解。在考虑了与集成相关的收益后,也许是时候重新评估您的 GRC 技术了。