金融服務公司需要將公司治理、風險管理、法規遵從(GRC)自動化,目前的市場上有利於GRC的工具並不短缺。Gartner公司在今年早些時候估計,2009年GRC軟件的市場規模達到1.17億美元,預測下一年度還會有穩定的小幅增長。
隨著金融服務公司的規章數目的增加,在整理政府機構所需的各種報告時,這些GRC工具至關重要,也可以把它作為一個更加積極主動的手段。多數產品都提供簡單的儀表板,通過它,用戶一眼就能發現公司的哪個部分遵從了某個特定的規章。
許多IT和風險經理人初次接觸GRC分析的情景都很類似——使用一個簡單的電子表格對風險和安全政策進行跟踪。不過,這不是一個可靠的、可廣泛使用的方法,它需要大量人力,而且容易出錯。一個更好的策略是使用自動GRC評估工具對從現有IT安全設備獲得的信息進行評估,如防火牆配置日誌、漏洞掃描、包含客戶信息的數據庫及其它類似的數據。利用這些工具找出缺陷,然後交給審計人員或法律顧問,讓他們制定更加合符法律的規範,以減少公司可能面臨的風險。
GRC工具的供應商包括:Agiliance公司(RiskVision)、 Archer科技(今年早些時候被EMC公司收購)、Wolter Kluwer's ARC Logics unit(Axentis)、BWise公司(GRC Platform)、eGestalt科技公司(Secure GRC)、 Global Velocity公司(GV- 2010)、Lumension安全公司(Risk Analyzer)、兆豐國際(MEGA Suite)、MetricStream公司(GRC Platform)、IBM/OpenPages公司(General Compliance Management)、Thomson Reuters公司(Paisley Enterprise GRC)、QUMAS公司(Compliance Solution)、Relational Security公司(rSam)和賽門鐵克公司(Control Compliance Suite)。
在你深入評估這些自動化工具之前,請回答以下7個問題,它們可以決定你的分析方向:
現有的安全設備如何與你將要部署的GRC工具集成使用?有些工具,如Rsam和Agiliance,它們本身有連接器,可以直接和一些不同的漏洞掃描產品(如Qualys和Nessus)配合使用。其它的工具則需要你將信息通過XML、SQL查詢、逗號分隔文件等方式進行解析,這無疑需要更多的時間。
你是否想要為所有對外的企業應用程序提供統一的風險識別框架?如果貴公司只有一個負責風險評估的部門,那麼這種統一的框架或許是不必要的。另一方面,如果不同的部門做出了互相衝突的風險評估,那麼一個共同的起點將有助於加速風險評估過程。
報告部分是否足夠靈活、便於閱讀?預覽這些部分,了解生成對分析師和管理人員有意義的報告需要做多少工作,這對你有幫助。
當發現有規則遵從或者風險方面的問題時,權限升級過程是如何工作的?最終將由誰來負責解決這些問題?你所選擇的工具應有助於推動這一升級過程,而且集成了一些相應的工作流程。同時它還應該能比較容易地融入到現有的身份驗證系統中,如活動目錄(Active Directory)或LDAP。
GRC供應商來自軟件銷售的收入與來自服務的收入各佔多少?如果你正在尋找易用、易於部署的產品,那麼你就應該考慮一個主要收入來自軟件銷售的供應商;如果你樂意支付顧問費和配置費,那麼就應該選擇主要收入來自軟件服務的供應商。
你是選擇一個本地安裝的軟件,還是選擇軟件即服務的方式(SaaS)?像Agiliance這類產品,軟件中帶有針對上述兩種方式的配置信息;而另外一些軟件,如eGestalt,則只提供對託管方式的支持。後者可能會更易於安裝和配置,當然也能減少成本,你需要根據自己的情況進行選擇。但有些公司不願意使用基於雲計算的服務,它們仍然傾向於使用本地安裝的軟件來完成工作。
隨軟件一起的有多少個預置的模板?有些產品提取規則遵從中的問卷調查,然後將其直接納入到自己的軟件產品。而其他的產品,如Global Velocity,則根本沒有多少模板。
正如你所看到的那樣,無論是在評估方面還是實現方面,GRC工具都涉及到很多東西。未來幾年,隨著市場需求不斷增長,這些工具會逐漸成熟起來。屆時,也能看到GRC功能集成到現有的安全設備。
沒有留言:
張貼留言