第三方专家如何助力OSCAL采用

试图用传统方法追踪网络安全合规性，就像一场无休止的上坡跋涉，充斥着对审计失败的恐惧。随着环境变得更加复杂、新风险出现以及新法规不断叠加，这种情况只会变得更加困难。

开放安全控制评估语言（OSCAL）通过以结构化、标准化、机器可读的格式表示安全数据，可以帮助更新和自动化整个网络安全合规与评估领域——从创建文档到生成审计报告。这使得以前孤立的实体能够以电子方式进行通信，甚至跨组织进行。

为了开始现代化其网络安全合规流程，一个流行的选择是在构建内部技能的同时利用第三方OSCAL专业知识。本文概述了这一过程如何运作。

OSCAL带来哪些技术挑战？

将当前数据集导出/映射到OSCAL格式相对简单。OSCAL投资的巨大回报出现在当您的治理、风险与合规（GRC）系统能够自动摄取和管理OSCAL数据时。这可能会为您提供一个端到端的解决方案，可以“自动神奇地”生成和维护网络安全文档，驱动持续合规报告，简化评估，甚至改善风险管理和漏洞管理。

但OSCAL是一种编程语言，而不是一个现成的GRC工具，可以开箱即用地自动化您的网络安全合规制度。自行处理OSCAL可能需要大量专业知识。

例如：

• 在当今的多云环境中，为可能数百个网络安全控制构建OSCAL文档，和/或将当前文档转换为OSCAL格式，是复杂且劳动密集型的。
• OSCAL可以帮助自动化合规报告中的许多重复性任务，但仍然需要大量手动工作，需要稀缺的技能。例如，与不同系统组件相关的控制必须在OSCAL中单独更新。这很耗时，尤其是当单个更改影响文档集的多个部分时。

顾问如何帮助采用OSCAL

为了缩短学习曲线、重建遗留流程并最大化自动化，专家供应商现在提供可定制的GRC软件和服务平台，可以帮助服务提供商、美国政府机构等减少采用OSCAL的价值实现时间。这些和其他顾问可以帮助组织理解、实施和自动化OSCAL原生合规流程和文档，帮助简化所有形式的评估并降低整体合规风险。

Paramify的创始人兼首席执行官Kenny Scott解释说：“网络风险管理对公司来说极具挑战性。我们并不试图成为一个处理所有问题的一站式解决方案。我们所做的是帮助专业人士利用现有堆栈构建可靠计划，自动化经理、评估员和客户所需的可交付成果。在存在差距的地方，我们将他们与优秀的合作伙伴和工具连接起来，以在很短的时间内获得优秀的可交付成果。”

咨询服务可以帮助组织采用OSCAL的一些方式包括：

• 教育团队了解OSCAL。
• 制定路线图，构建与网络安全和业务需求一致的OSCAL平台。
• 支持使用OSCAL数据模型准确、一致地表示其网络安全文档和其他数据，并着眼于最大化重用。
• 建立基于OSCAL的持续合规系统，以报告合规状态并主动检测合规问题。
• 准备基于OSCAL的文档，通过确保其完整和正确，用于审计目的。
• 集成和应用基于OSCAL的工具来自动化合规任务，例如导入和转换当前系统安全计划（SSP）文档为机器可读格式。
• 将当前网络安全工具与OSCAL工具和工作流集成，以自动化合规并优化合规效率。
• 将当前风险评估和风险管理流程映射到OSCAL，以帮助自动化文档更新。
• 将OSCAL兼容的控制描述映射到适用的标准和框架（例如，NIST 800-53、NIST 800-171、FedRAMP Moderate、ISO 27001），以支持符合多项法规。

开始使用OSCAL的提示

OSCAL可以帮助您的组织大大提高合规效率，降低合规成本，改善网络安全态势，并在以合规为中心的市场（如FedRAMP和CMMC）中磨练竞争优势。

如果您正在考虑采用OSCAL，以下是一些如何开始的提示：

• 评估您当前的合规流程，以确定潜在的“快速胜利”，其中OSCAL可以用最少的前期努力增加最大价值。示例包括将当前文档映射到OSCAL格式或自动化合规报告以帮助简化审计。
• 调查OSCAL工具市场。成熟的和新兴的GRC供应商正在寻找创新方法，帮助联邦机构、其服务提供商和其他利益相关者使用OSCAL自动化手动合规流程。
• 推荐的方法是通过试点项目积累经验，了解OSCAL、咨询合作伙伴和/或新的OSCAL工具。
• 投资培训并帮助内部团队构建OSCAL技能。

下一步是什么？

有关此主题的更多指导，请收听第150期虚拟CISO播客，嘉宾是Paramify的创始人兼首席执行官Kenny Scott。