金融服务公司需要将行政管理、风险管理、法规遵从(GRC)自动化,目前的市场上有利于GRC的工具并不短缺。Gartner公司在今年早些时候估计,2009年GRC软件的市场规模达到1.17亿美元,预测下一年度还会有稳定的小幅增长。
随着金融服务公司的规章数目的增加,在整理政府机构所需的各种报告时,这些GRC工具至关重要,也可以把它作为一个更加积极主动的手段。多数产品都提供简单的仪表板,通过它,用户一眼就能发现公司的哪个部分遵从了某个特定的规章。
许多IT和风险经理人初次接触GRC分析的情景都很类似——使用一个简单的电子表格对风险和安全政策进行跟踪。不过,这不是一个可靠的、可广泛使用的方法,它需要大量人力,而且容易出错。一个更好的策略是使用自动GRC评估工具对从现有IT安全设备获得的信息进行评估,如防火墙配置日志、漏洞扫描、包含客户信息的数据库及其它类似的数据。利用这些工具找出缺陷,然后交给审计人员或法律顾问,让他们制定更加合符法律的规范,以减少公司可能面临的风险。
GRC工具的供应商包括:Agiliance公司(RiskVision)、 Archer科技(今年早些时候被EMC公司收购)、Wolter Kluwer’s ARC Logics unit(Axentis)、BWise公司(GRC Platform)、eGestalt科技公司(Secure GRC)、Global Velocity公司(GV- 2010)、Lumension安全公司(Risk Analyzer)、兆丰国际(MEGA Suite)、MetricStream公司(GRC Platform)、OpenPages公司(General Compliance Management)、Thomson Reuters公司(Paisley Enterprise GRC)、QUMAS公司(Compliance Solution)、Relational Security公司(rSam)和赛门铁克公司(Control Compliance Suite)。
在你深入评估这些自动化工具之前,请回答以下7个问题,它们可以决定你的分析方向:
1.现有的安全设备如何与你将要部署的GRC工具集成使用?有些工具,如Rsam和Agiliance,它们本身有连接器,可以直接和一些不同的漏洞扫描产品(如Qualys和Nessus)配合使用。其它的工具则需要你将信息通过XML、SQL查询、逗号分隔文件等方式进行解析,这无疑需要更多的时间。
2.你是否想要为所有对外的企业应用程序提供统一的风险识别框架?如果贵公司只有一个负责风险评估的部门,那么这种统一的框架或许是不必要的。另一方面,如果不同的部门做出了互相冲突的风险评估,那么一个共同的起点将有助于加速风险评估过程。
3.报告部分是否足够灵活、便于阅读?预览这些部分,了解生成对分析师和管理人员有意义的报告需要做多少工作,这对你有帮助。
4.当发现有规则遵从或者风险方面的问题时,权限升级过程是如何工作的?最终将由谁来负责解决这些问题?你所选择的工具应有助于推动这一升级过程,而且集成了一些相应的工作流程。同时它还应该能比较容易地融入到现有的身份验证系统中,如活动目录(Active Directory)或LDAP。
5.GRC供应商来自软件销售的收入与来自服务的收入各占多少?如果你正在寻找易用、易于部署的产品,那么你就应该考虑一个主要收入来自软件销售的供应商;如果你乐意支付顾问费和配置费,那么就应该选择主要收入来自软件服务的供应商。
6.你是选择一个本地安装的软件,还是选择软件即服务的方式(SaaS)?像Agiliance这类产品,软件中带有针对上述两种方式的配置信息;而另外一些软件,如eGestalt,则只提供对托管方式的支持。后者可能会更易于安装和配置,当然也能减少成本,你需要根据自己的情况进行选择。但有些公司不愿意使用基于云计算的服务,它们仍然倾向于使用本地安装的软件来完成工作。
7.随软件一起的有多少个预置的模板?有些产品提取规则遵从中的问卷调查,然后将其直接纳入到自己的软件产品。而其他的产品,如Global Velocity,则根本没有多少模板。
正如你所看到的那样,无论是在评估方面还是实现方面,GRC工具都涉及到很多东西。未来几年,随着市场需求不断增长,这些工具会逐渐成熟起来。届时,也能看到GRC功能集成到现有的安全设备。
转载请注明:IT运维空间 » 安全防护 » 评估自动化GRC工具时需考虑的7个问题
发表评论