传统的IT治理,风险和法规遵从(GRC)平台,帮助他们的IT环境中的大型企业获得洞察力和减缓风险。现在有来自TraceSecurity一个新的基于云的GRC解决方案,旨在帮助任何规模的组织管理其风险和合规性的姿态。
一个CISO今天有一个特别艰难的工作。看来,新的威胁每天都会出现,因此很难对CISO了解真实和持续的风险,他的公司的面孔。无论公司的规模大小,每家公司都有一定缓解,通常在有限的预算和有限的资源的风险。就像我说的,这是一个艰巨的任务。
主动公司实施一系列IT的安全措施旨在减轻其独特的一套风险。这些措施通常包括像漏洞扫描器,风险经理,审计经理等各种单点解决方案。虽然这是谨慎部署这些工具,单独实现它们创建了另一个挑战:Point解决方案脱节和筒仓管理,使得它难以管理的整体IT安全计划。这是几乎不可能告诉具体如何安全解决方案的集合实际上地址风险的组织面孔。
图辑:谁掌握IT安全力量?
IT治理,风险和法规遵从(GRC)系统被设计来解决这个问题。一个IT GRC解决方案通常是首要平台,联系在了一起洞察力来自全球风险,政策,培训,审核,票务等不同安全产品的到来,并确定公司如何处理其风险。而顾名思义,一个IT GRC平台,帮助确定公司如何满足各种内部策略和外部法规的合规性要求。
目前,大多数IT GRC解决方案旨在支持有实质性的IT安全人员的大型企业。许多解决方案是预置增加开销;企业需要的硬件,软件和技术的人来实施和管理的综合平台。不幸的是,这使得中小型企业冷落。
TraceSecurity希望纠正与它新发布的TraceCSO,基于云的IT GRC解决方案。TraceCSO提供了一个统一的方法,以确保相对于特定组织,风险和法规遵从的要求得到满足,并通过云有效地传递。TraceCSO据说可以容纳任何大小的组织,不同的技术技能水平,并支持任何行业。据说为了简化评估,建立,实施和管理一个全面的基于风险的信息安全计划的过程。
TraceCSO完全集成了所有传统上是一个GRC的一部分或安全程序的功能区:风险,流程,政策,脆弱性,培训,供应商审计和合规性管理。终端到终端的解决方案不需要任何第三方软件。这种集成允许自动在风险评估过程中建立控制连接到内TraceCSO等功能区。
该产品采用向导在可能情况下,通过设置和使用导致任何技术水平的用户。初始设置过程中,通过建立部门,角色,用户,网络扫描及管理文件引导用户。TraceCSO具有完全支持微软Active Directory来简化将用户添加到系统中。
设置完成后,TraceCSO执行环境的整体风险评估,以确定资产和威胁。风险评估是产品的基石;这是所有的信息收集和跨TraceCSO的所有功能区域填充。
当完成风险评估,TraceCSO建立风险评分每个资产和整体IT环境。它显示了最高的风险并确定最有效的控制,与现有的控制沿的地区,以便提出建议,以帮助企业把正确的控制措施。它很可能是,现有的控制(即安全措施)是无效的,在本质,时间和金钱的浪费。
风险评分可以衡量随着时间的推移其减缓效能的组织。我们的想法是帮助公司达成获得一个“最佳实践”为基础的风险在某种程度上所在的公司可以其信息安全预算的最佳使用优化决策的目的。
从风险评估的控件被映射到被称为统一合规框架(UCF)机关,引用法规数据库。在设置过程中,组织识别哪些规定它必须满足。所有从TraceCSO漏洞扫描和审计结果的技术控制的自动更新公司的合规状态。TraceCSO帮助公司实现最佳实践,基于风险的信息安全计划,导致合规和报告合规性时节省大量的时间。
为了确保这种基于风险的方法闭环,TraceCSO的审计过程验证控件的实现。随着用户继续管理该计划,所有不同领域的成果 - 政策,培训,漏洞扫描等 - 自动跟踪并反馈给审计功能,方便自动,无缝的审计尽可能。结果是一个更精简的审计程序以及合规审查方案。
仪表板是用来获取快速查看到整体方案的当前状态。也有对每个功能区的详细仪表盘。
TraceCSO运行在云中。唯一需要的内部部署的组件是一个漏洞扫描器。有API,允许扫描器拉从各种系统配置,以确定它们的风险状况。
TraceCSO是通过每年的订阅费可用,使得GRC可用的工具,甚至小公司。
琳达Musthaler是必要的解决方案公司的首席分析师。您可以写信给她LMusthaler@essential-iws.com。
______________________________________________________________
关于方案的基本公司:
基本解决方案研究信息技术的实用价值,以及如何使职工个人和整个组织的工作效率。基本解决方案提供给计算机厂商和企业客户咨询服务,以帮助定义和实现它的潜力。