GRC for Security Managers: From Checklists to Influence

概述

本次网络研讨会最初于2025年1月16日播出。Kelli K. Tarala和CJ Cox讨论了改善组织内治理、风险与合规（GRC）的挑战和策略。他们探讨了如何有效构建关系、沟通价值并利用技术简化合规流程。通过分享经验和见解，他们强调了优先处理GRC工作以降低风险和增强业务运营的重要性，同时解决了GRC专业人员面临的常见误解和阻力。

关键要点

• GRC专业人员常被视为业务运营的障碍，但重点应放在GRC如何为组织增加价值上。
• 构建关系和有效沟通对GRC成功至关重要，因为与其他部门的理解和协作可以帮助克服官僚主义的看法。
• 优先处理任务并利用技术（如AI和数据分析）可以帮助管理资源限制并提高GRC流程的效率。

全文内容

开场白

Kelli K. Tarala:
今天大家来这里是因为想交朋友并影响他人。你想被邀请参加鸡尾酒会，想在参加会议时有人与你交谈。也许你想让工作更轻松，或者想在组织中有更多影响力。这些只是我们今天要讨论的一些话题。

让我介绍一下我的伙伴CJ Cox先生。他是Black Hills Information Security的首席运营官。你可能会问，这是什么意思？这家伙什么都做——拖地、擦地板、制定策略。他帮助构建我们的GRC实践以及许多其他事情。CJ，有什么要补充的吗？

CJ Cox:
我觉得你说得很全面了。是的。

Kelli K. Tarala:
好的。我是Kelli Tarala，是一名首席顾问，负责GRC相关的工作。我们不会展示任何认证、头衔或类似的东西。好吧，我猜我确实有头衔，但CJ和我可以说是经验丰富。我们不算老，只是经验丰富。今天我们将分享一些经验、一些艰难学到的教训，或许还会分享一些技巧。

现在请大家动动脑筋，和我们一起做一个小测验。在左侧，你会看到一些在治理、风险与合规（或任何合规职位）中看到的问题或机会（如果我乐观的话）。

你是否曾被同事或技术团队视为业务运营的障碍？你是否觉得组织口头上说“是的，是的，我们重视合规”，但实际上却不提供资金或人员支持？你是否觉得合规可能与官僚主义、沟通挑战或资源限制有关？

CJ，我知道你对资源限制有强烈看法。这是否只针对少数人？

CJ Cox:
是的，是的，只是那些缺乏安全感的人。不，这是地球上每个人的问题。你们都知道。唯一不觉得自己受限制的人是表现不佳的人。但即使他们实际上也没有所有需要的资金和资源。所以，是的，限制基本上是人性的一部分。但人们往往认为只有自己是这样，比如“我太忙了，时间不够”是最常见的问题。

我们对这个问题的经典回答是：时间就这么多，你一天只有24小时。所以挑战始终是优先处理事情。因此，我们认为这里要探讨的是如何有效利用时间，以及有哪些技巧、杠杆点和乘数效应？如何获取低 hanging fruit？这就是我们试图带来的部分内容。你说我们经验丰富，我们确实见过很多。是的，我们见过很多失败，也见过一些成功。这就是我们试图强调的内容。

Kelli K. Tarala:
太好了。

CJ Cox:
嘿，在翻到下一张幻灯片之前，我想再做一个小测验。我想从观众那里获取反馈。我会在Discord上进行。所以希望大家参与。

这是我的测验：请告诉我们你的公司规模（可以说大、中、小，但如果有具体数字更好），你工作中专门用于GRC的百分比，以及你给你的项目打多少分（成功、有效等）。因为这能帮助我们了解观众的情况。

这是我的情况：BHIS算中型公司，有140人。我大约15%的工作时间用于GRC，我给自己的项目打A-。如果你把这些信息输入到那个区域，我会关注，因为这有助于我们了解观众的情况。

Kelli K. Tarala:
我们不是在评分或评判你，只是想更好地了解观众。

CJ Cox:
反馈很好。所以继续吧，Kelly。

Kelli K. Tarala:
好的。CJ，今天的议程。有时我会问——如果你不知道的话，我是家里最小的孩子，也是家里的问题儿童。但有时我提到这一点是因为我们觉得在组织中是问题儿童——没人想和我们说话，没人想做需要做的事情。

如果你从今天的网络研讨会中一无所获，请听我说：你不是问题儿童。我们非常感激你从事治理、风险与合规工作。它让世界运转，保护人们安全，让人们做正确的事。我甚至敢说它让人们快乐。所以今天我们要讨论一些建议、解决方案、工具和资源。我们非常期待你们的评论和Discord互动。好的，我已经提到过了。你是问题吗？不是。

在Black Hills，我清单上的一件事是真正改变行业中对治理、风险与合规的看法。你们都知道我为一家了不起的公司工作。我们有黑色连帽衫，我的同事是技术天才。有时我会有点冒名顶替综合征，或者觉得自己像个问题，或者像个小妹妹一样唠叨别人——“嘿，那些控制措施呢？嘿，你的文档呢？嘿，你更新AI政策了吗？CJ，你懂的。”

但说实话，GRC不是问题。想想世界上所有美好的事物——安全的公路、安全的汽车、安全的食物、安全的水。这些都是GRC的功劳。但在这个演示中，我们将重点关注隐私和网络安全。我想说，欢迎来到黑暗面，因为这里才有有趣的事情发生。

CJ Cox:
反馈太棒了。Kelly，如果你没看到闪过的信息，因为你专注于讲话，我看到平均分大概是C。有很多很差的分数。大多数人没有GRC项目。所以当你谈到全职做GRC的人时，这些人属于特殊类别，冒名顶替综合征会稍微加速。这类似于审计师和律师——这些职业在某些方面被负面看待。牙医有时也可能属于这一类。但底线是：合规或死亡。这太棒了。

所以我们要讨论的是——当我还在海军陆战队时，我加入了海军陆战队航空联队（开飞机的人），但这并不是海军陆战队著名的部分。我们是一支支援部队，不是前线部队。这对安全领域的每个人来说都是如此。在大多数人的公司中，安全不是矛尖。在BHIS是，但我们是个例外。大多数公司是关于做生意的——销售或执行任务。安全 stuff，我们是支持人员，让这些重要的事情发生。当你踢掉这些重要基础功能的支撑时，你的公司真的会挣扎和偏离轨道。

所以Kelly接下来要介绍的所有技巧和 nuggets，都是在说如何说服人们这些事情的重要性？如何说服自己需要做一些GRC，从长远来看它会帮助你？因为它肯定不是配置防火墙不让人们进来，而是系统性地导致这些事情发生的东西。所以 back to you, Kel。

Kelli K. Tarala:
太棒了。很好的解释，CJ，这完美地引出了我们的第一点。你是否被视为业务运营、你的团队或你试图完成的项目障碍？

CJ和我在制作幻灯片时试图讨论我们听到的常见短语，并说如果你在组织中听到这些，不只是你，其他人也听到了。比如：“这会给我的项目增加太多时间”、“我没有合规预算，应该从别人的预算中出”、“合规或治理对我的业务部门绩效来说是太大障碍”。

如果你不是xkcd的粉丝，我相信你们大多数人都已经很熟悉他的作品。我总是喜欢他的小漫画，因为他能精准捕捉重要的概念和感受。有时我觉得自己在试图解决问题时，却创造了问题。然后这就是问题和问题的恶性循环。CJ，你有过这种情况吗？

CJ Cox:
经常。有人告诉我，每一个预期后果，可能有四个非预期后果。 again，生活中的伟大现实和真理之一。回到那张幻灯片，Kel。我们一直谈论的是正确 sizing 事情。所以我来自政府背景，在机密社区工作，负责NIST853认证，我有大约五名员工，我们会生成数千页的认证文档。很酷的文档。但当你来到BHIS和商业世界时，没人有时间做那个。这是真的。所以你必须正确 sizing，试图以某种拥有150名GRC员工的大公司的方式做GRC。你做不到。所以关键是剥开这个洋葱，再次找到那些杠杆点。如何获得最大的回报？如何抓住 essentials？因为你做不到。

因为小公司也被期望有安全性。看看你从客户那里收到的关于安全项目的问卷。他们问的是财富50强公司被要求做的一切。他们想知道一切。你的GDPR情况如何？我没有GDPR部门。现实点。但你必须回答那些问题，必须回复那封邮件。那么当你既是IT人员又是安全人员时，该怎么办？哦，作为安全人员，猜猜GRC会带来什么，如果你不雇别人帮忙的话。所以兄弟， appreciate it。似乎很 dismal。

Kelli K. Tarala:
准备好下一张幻灯片了吗？

CJ Cox:
也许？是的，当然。

Kelli K. Tarala:
你如何应对那种 dismal 感觉？

CJ Cox:
是的。价值。

Kelli K. Tarala:
所以你专注于为业务创造价值。我知道你们有些人喜欢在我们的网络研讨会上玩bingo。我不认为价值创造在你的bingo卡上，但如果你有“范式”，我们可以替换一下。好的，严肃地说，我们如何改变GRC是业务障碍的看法？我们专注于如何为业务增加价值。

正如CJ已经说过的，我们在安全领域做很多事情的原因是为了GRC。你们中在行业待了很久的人，我们过去常常试图用我们的违规故事吓唬高级经理或董事会——“这些坏事会发生在你身上”、“有国家行为体破门而入”。嗯，他们已经听腻了恐吓战术。现在我们要转向价值创造。GRC如何向组织展示价值？首先，这是双赢 situation。专注于 mutual benefits。也许他们已经有法规或合规需求，你可以帮忙，或者你有一个工具可以让那个特定业务部门更轻松。

我不常在营销部门待，但根据州、市甚至国家的不同，有营销法规。你可以做的另一件事是展示合规如何防止 costly errors 或 penalties 的例子。看一些新闻故事。对于更活跃在HIPAA领域的你们，OCR本周发出了很多关于对未能满足隐私和安全规则要求的组织处以罚款和 penalties 的通知。你还可以说明良好的治理实践如何增强公司声誉。因为唯一不能 bargain in 或 trade up 的是信任。一旦你破坏了与客户的信任，很难重建。我相信CJ对这张幻灯片有想法？

CJ Cox:
是的。那些客户也包括你的内部客户。恐惧是其中之一。所以当你把恐惧当作道具或噱头时，恐惧是坏的。但当你提到风险这个词时—— again，我反复与安全专业人员谈论风险和理解谁拥有风险。因为作为GRC或安全人员，我们不拥有风险。董事会、CEO、不同程度的C级高管，他们拥有风险。你的工作是与他们谈论风险，突出故事，讲述那个故事。你是专业人士，专家。你可以进去和他们谈论GDPR罚款之类的事情，以及如何，猜猜看，它们确实适用，所以你帮助公司管理领导层认为积极的风险。

mutual benefits 是你在那里缓解可能花费数百万美元的风险。还有客户感知的成本。 again，我们必须做SOC 2类型2，因为很多人要求知道与我合作的公司有良好的安全项目。无论如何，你必须拥有那个项目。所以作为专业人士，你必须弄清楚如何以最低成本做到这一点？我们的答案总是：偷、借、重用。使用社区资源学习如何做，这样你就不会自己 reinvent the wheel。 right，我们的社区在分享这个。“嘿，我如何攻击这个？如何说服老板我们需要解决GDPR？我们是中西部的一家小制造公司。”我们将有新的GRC频道，很乐意继续讨论这些自发问题，但Kelly会继续介绍更多让我们达到目标的事情。这里。

Kelli K. Tarala:
我们讨论了双赢 situation，CJ，以及与其他业务单位和团队合作。我们试图传达的另一个想法是进行对话。我在Discord频道看到：“好的GRC人员就像社会工程师。”但我想以积极的方式说。我们不是在操纵人们。我们真的在试图构建关系。为了构建关系，有时我们寻找那些双赢 situation，我们可以提出对其他部门有益的建议，因为每个部门都有目标、职责、KPI。这是现在在Black Hills Information Security的一个大词。也许你正在做的事情也可以实现不同部门的目标，突出对团队的积极影响。也许，正如CJ的例子，没人想做GDPR。但如果你做了GDPR，也许你刚刚打开了一个全新市场或更大市场，或者有机会向市场推出不同产品。很多人不认为GRC是矛尖，但根据你看到和提出的这些建议，它可能是。我们将在本次演示的后面部分讨论理解你从事GRC的业务。所以 hold that thought。这里。哦，继续。

CJ Cox:
在我对首字母缩略词的战争中，正如char恰当地指出的，它是治理、风险与合规。抱歉。我们确实会陷入自己的专业领域。我倾向于讨厌首字母缩略词，但有人说了关于领导力或类似的事情。但一切都是与他人合作。关于安全，我总是这么说，对GRC更是如此。安全部门如果试图在真空中强制标准和实践，而你不是IT部门，你会失败。所有业务和大部分生活的是，这是一项团队运动， folks。我们在这里谈论的是如何影响、如何说服、如何销售、如何销售你的想法、如何做价值——你必须与他人合作。我总是告诉安全人员，你必须 co-op IT团队，让他们参加安全培训。如何让你的Web应用商店、开发商店开始做安全？你必须让他们上安全课。我总是说，安全只是IT的质量控制，因为安全是一种质量。所以，是的，通过他人和与他人合作是 essential。这就是为什么软技能。你会发现有体面技术技能但更强软技能的人会 gravitate 到GRC管理、领导力等事情上。这很自然。我是个人际交往者。我从工程师那里拿文件交给客户。团队中每个人都有位置，所以使用你的技能。

Kelli K. Tarala:
哦，我喜欢那个。不仅你试图构建关系，还有一种情况是愿意妥协，说，如果我们得到我想要的80%，那比0%或50%好。很多时候，我们看控制框架或GRC项目，我们说，它必须完整完成，必须完美。我想把它放在架子上，因为它看起来又好看又漂亮。没有漂亮的GRC项目， okay？它们很乱。是人们最好的尝试。CJ，我们有过这些对话，如果你总是 striving for perfection，你可能不是在 striving for the best thing。你在 striving for 双赢解决方案。

CJ Cox:
这就是冒名顶替综合征 Trump 来自的地方。我们都知道我们不够好。我们永远不会足够好。我们永远不会完成所有事情。你不能让那阻碍你。那会冻结你。

Kelli K. Tarala:
所以，好的，老板，你想谈谈文化错位吗？

CJ Cox:
哦，男孩。是的，合规是进入的障碍。嗯，我见过很多。 right。我们必须开发。当我来到这里时，我们没有做SOC 2类型2。我们被某些客户 barred。所以我吃了苹果。我开始通过正确 sizing 来做。是的，GRC。所以我是个 big person。我喜欢《清单宣言》这本书。我喜欢清单。所以GRC是一个清单练习。保护防火墙也是。如果你没有清单，那些是指导你到达需要去的地方的指南。所以听起来是坏事。不是。如果你只想把某事当作清单来做，你可以逃脱。你的工作是告诉老板那可能花费你什么。因为如果你只是走过场，你可能实际上得不到价值。你会得到价值的表象。然后它只是一个 overwhelming ongoing process。是的。安全也是。IT也是。跟上市场也是。一切都是 ongoing process。所以所有这些