GRC管理实战:从检查清单到影响力提升
概述
本次网络研讨会于2025年1月16日首播,由Kelli K. Tarala和CJ Cox主持,讨论了GRC(治理、风险与合规)专业人员在组织中面临的挑战和策略。他们分享了如何通过关系建设、有效沟通和技术利用来提升合规效率,并强调了GRC在降低风险和增强业务运营中的价值。
关键要点
- GRC的价值定位:GRC专业人员常被视为业务障碍,但重点应放在GRC如何为组织增加价值上。
- 关系建设与沟通:通过与其他部门的理解和协作,可以克服官僚主义的印象。
- 资源优化与技术利用:利用AI和数据分析等技术,可以管理资源约束并提升GRC流程的效率。
详细内容
1. GRC在小企业中的高效策略
尽管人员和技术能力有限,小公司仍需通过战略优先级排序和关键资源利用来应对GRC挑战。
2. 转变GRC认知:从业务障碍到价值创造者
通过关注价值创造、突出互利共赢,并支持业务部门的合规需求,可以改变GRC的负面印象。
3. 建立信任:友善与仁慈的区别
为了建立信任和信誉,需区分友善与仁慈,同时有效管理繁重的任务需求。
4. 超越审计的强有力利益相关者关系
与多样化利益相关者(包括内部团队)培养关系,可以增强协作和理解,超越常规审计和评估。
5. 克服GRC中的官僚主义印象
探讨GRC被视为官僚主义的现象,突出审计疲劳和政府流程低效等挑战。
6. 专业角色中的认知与价值重要性
强调需要被视为有价值而非阻碍,同时教育安全意识和专业技能。
7. 应对GRC中的资源约束:优先级排序与沟通
GRC专业人员常面临资源约束,需要通过优先级排序和清晰沟通风险及必要合规行动来应对。
8. 以身作则:提升工作态度与风险管理
探索如何通过以身作则和理解风险管理来改善工作动态和决策制定。
9. 平衡安全与GRC:复杂的关系
探讨安全严格方法与GRC关系聚焦策略之间的固有冲突,强调清晰度和妥协的重要性。
全文对话节选
Kelli K. Tarala:今天大家来这里是因为想交朋友并影响他人。你想被邀请参加鸡尾酒会,想在会议上有人与你交谈。或许你想让工作更轻松,或在组织中获得更多影响力。这些就是我们今天要讨论的内容。
让我介绍一下我的伙伴CJ Cox先生。他是Black Hills Information Security的首席运营官。你可能会问,这意味着什么?这家伙什么都做——拖地、擦地板、制定战略,还帮助构建我们的GRC实践等等。CJ,有什么要补充的吗?
CJ Cox:我觉得你说得很全面了。是的。
Kelli K. Tarala:好的。我是Kelli Tarala,是一名首席顾问,负责GRC相关事务。我们不会展示任何认证、头衔或类似的东西。不过,我和CJ可以说是经验丰富——不是老,是经验丰富。今天我们将分享一些经验、教训和技巧。
现在请大家动动脑筋,快速做个小测验。在左侧,你会看到治理、风险与合规(或任何合规职位)中常见的一些问题或机会(如果乐观地说)。
你是否曾被同事或技术团队视为业务障碍?你是否觉得组织口头上重视合规,但实际上不提供资金或人员支持?你是否觉得合规被视为官僚主义、沟通挑战或资源约束?CJ,你对资源约束有强烈看法,这是否只针对少数人?
CJ Cox:是的,是的,只是那些缺乏安全感的人。不,这是全人类共有的问题。你们都知道,只有那些不觉得自己受约束的人是低成就者。但即使他们也没有所有需要的资源。所以,约束基本上是人性的一部分。但人们往往认为只有自己是这样,比如“我太忙了,时间不够”是最常见的问题。我们的经典回答是:时间对每个人都是公平的,你每天都有24小时。所以挑战始终是优先级排序。
因此,我们要探讨的是如何有效利用时间,以及有哪些技巧、杠杆点和倍增器。如何摘取低垂的果实?这就是我们试图分享的。你说我们经验丰富,我们确实见过很多失败和成功。这就是我们要重点强调的。
Kelli K. Tarala:太棒了。
CJ Cox:嘿,在换幻灯片之前,我想再做一个小测验。我想听听观众的反馈,我会在Discord上进行。请大家告诉我你的公司规模(大、中、小,如果有具体数字更好),你工作中专门用于GRC的百分比,以及你给你的项目打多少分(成功、有效等)。这能帮助我们了解观众。
以BHIS为例,我认为我们是一家中型公司,有140名员工。我大约15%的工作时间用于GRC,我给自己的项目打A-。如果你在Discord上输入这些信息,我会关注,以便了解观众情况。
Kelli K. Tarala:我们不是在评分或评判你,只是想更好地了解观众。
CJ Cox:分数很好,太棒了。继续吧,Kelly。
Kelli K. Tarala:好的。CJ,今天的议程是:有时我会问——我是家里最小的孩子,如果你不知道的话。我是家里的问题儿童。但有时我提到这一点是因为我们觉得自己在组织中是问题儿童——没人想和我们说话,没人想做需要做的事情。
如果你从今天的网络研讨会中只记住一件事,请听我说:你不是问题儿童。我们非常感谢你从事治理、风险与合规工作。它让世界运转,保护人们安全,让好事发生。我甚至敢说它让人们快乐。今天我们将讨论一些建议、解决方案、工具和资源。我们期待你们的评论和Discord互动。好了,我已经提到了这一点。你是问题吗?不是。
在Black Hills,我真正想改变的是行业中对治理、风险与合规的认知。你们都知道我为一家很棒的公司工作。我们有黑色连帽衫,我的同事是技术天才。有时我会有点冒名顶替综合征,或者觉得自己像个唠叨的小妹妹。“嘿,那些控制措施呢?嘿,文档更新了吗?嘿,AI政策更新了吗?CJ,你懂的。”
但说实话,GRC不是问题。想想世界上所有好东西——安全的公路、安全的汽车、安全的食物、安全的水。这都是GRC的功劳。但本次演示我们将重点关注隐私和网络安全。欢迎来到黑暗面,因为这里才有乐趣。
CJ Cox:反馈太棒了。Kelly,你可能没看到闪过的评论,因为我看到平均分数大概是C。有很多很低的分数,大多数人没有GRC项目。所以当谈到全职GRC工作时,这些人属于特殊人群,冒名顶替综合征会更严重。审计师和律师也是如此——这些职业常被负面看待。牙医有时也属于这一类。但底线是:合规或死亡挣扎。
这太棒了。我们要讨论的是——我在海军陆战队时,属于航空部门(开飞机的家伙),这不是海军陆战队的强项。我们是支援部队,不是前线。安全也是如此。在大多数公司,安全不是尖刀部门,但在BHIS是例外。大多数公司是关于做生意、销售或执行任务。安全是支持人员,让重要事情发生。如果你踢开这些支持,公司会陷入困境。
Kelly将分享所有技巧和 nuggets,比如如何说服人们这件事的重要性,如何说服自己需要做GRC,因为它从长远来看有帮助。它虽然不是配置防火墙阻止入侵,但系统性地促使这些事情发生。回到你,Kel。
Kelli K. Tarala:太棒了。CJ的解释完美引出了我们的第一点:你是否被视为业务障碍、团队障碍或项目障碍?CJ和我在制作幻灯片时,讨论了常听到的短语,并想说如果你在组织中听到这些,不只是你,其他人也听到。
比如:“这会增加项目时间”、“我没有合规预算,应该从别人预算出”、“合规或治理对业务部门绩效是重大障碍”。如果你不喜欢xkcd,我相信大多数人熟悉他的作品。我喜欢他的漫画,因为他能精准捕捉重要概念和感受。有时我觉得自己在解决问题时制造了问题,然后陷入恶性循环。CJ,你有过这种情况吗?
CJ Cox:经常。有人说,每个预期后果可能有四个非预期后果。这是生活的伟大真理之一。回到另一张幻灯片,Kel。我们一直谈论的是合理调整事情。我来自政府背景,在机密社区工作,负责NIST 853认证,有大约五名员工,我们会生成数千页认证文档。很酷,但来到BHIS和商业世界,没人有时间做这个。所以你必须合理调整GRC方式,不能像拥有150名GRC员工的大公司那样做。关键是剥洋葱,找到杠杆点。如何获得最大回报?如何抓住 essentials?因为小公司也被要求有安全。看看客户填写的安全项目问卷,他们问的都是财富50强公司的问题。他们想知道一切。你的GDPR情况如何?我没有GDPR部门,现实点。但你必须回答这些问题,必须回邮件。所以当你既是IT人员又是安全人员时,如何做到?哦,安全人员还附带GRC,如果你不雇人帮忙。兄弟,感谢你。看起来暗淡。
Kelli K. Tarala:准备好下一张幻灯片了吗?
CJ Cox:也许?是的,当然。
Kelli K. Tarala:如何应对这种暗淡感?
CJ Cox:是的。价值。
Kelli K. Tarala:所以你专注于为业务创造价值。我知道有些人喜欢在我们的网络研讨会上玩宾果游戏,我不认为价值创造在宾果卡上,但如果有“范式”,我们可以替换。严肃地说,如何改变GRC是业务障碍的认知?我们专注于如何为业务增加价值。
正如CJ所说,我们做安全工作的很多原因是为了GRC。长期在行业的人都知道,我们过去常吓唬高级经理或董事会,讲入侵故事和坏事会发生。但他们听腻了恐吓策略。现在我们要转向价值创造。GRC如何向组织展示价值?首先,是双赢局面。关注互利共赢。或许他们已有法规或合规需求,你可以帮助,或者你有工具让特定业务部门更轻松。
我不常参与营销,但根据州、市或国家,可能有营销法规。另一件事是展示合规如何防止 costly errors 或 penalties。看看新闻故事。HIPAA领域的人知道,OCR本周发出了许多罚款和处罚通知,针对未满足隐私和安全规则要求的组织。你还可以说明良好治理实践如何提升公司声誉。因为唯一无法 bargain 或交易的是信任。一旦失去客户信任,很难重建。CJ,你对这张幻灯片有想法吗?
CJ Cox:是的。这些客户包括内部客户。恐惧是坏事,当你用它作为道具或噱头。但当你提到风险时——我反复与安全专业人员谈论风险,理解谁拥有风险。作为GRC或安全人员,我们不拥有风险。董事会、CEO、各级C级高管拥有风险。你的工作是与他们谈论风险,突出故事,讲述故事。你是专家,可以和他们谈GDPR罚款等,以及如何适用,帮助公司管理风险,领导层视为积极。
互利共赢在于你 mitigating 可能耗资数百万美元的风险。还有客户感知成本。我们必须做SOC 2类型2,因为许多人要求知道合作公司有良好安全项目。无论如何,你必须拥有那个项目。所以作为专业人员,必须找出如何以最低成本完成。我们的答案总是:偷、借、重用。利用社区资源学习如何做,而不是自己 reinvent the wheel。社区分享这些。“如何应对这个?如何说服老板我们需要处理GDPR?”我们是中西部小制造公司。我们将有新的GRC频道,很高兴继续讨论这些自发问题,但Kelly会继续分享更多内容。这里。
Kelli K. Tarala:我们讨论了双赢局面,CJ,以及与其他业务部门和团队合作。另一个想法是进行对话。我在Discord频道看到:“好的GRC人员像社会工程师。”但我想以积极方式说——我们不是在操纵人,而是在建立关系。建立关系时,我们寻找双赢局面,提出对其他部门有益的建议,因为每个部门都有目标、职责、KPI。在Black Hills Information Security,KPI现在是大词。或许你正在做的工作也能实现其他部门的目标,突出对团队的积极影响。或许没人想