金融海啸企业合规管理成本如何控制?

  当前,IT经理们和安全专家都清楚,企业必须遵守的各种网络法律法规和组织规章制度变得越来越复杂,监管范围也越来越广泛,使得企业的合规成本不断上扬。Nemertes研究所对“安全和信息保护新标准会议”的与会者进行调查时发现,大多数与会者很难计算出他们花费在合规上的费用,因为他们没有将合规作为单独的预算项目,然而合规预算的成本投入是巨大的。

  企业认识合规管理成本,将有助于企业在金融海啸中更合理的掌握企业IT投入。确定了与合规相关的开支主要集中在哪些方面,IT专家网希望通过以下分析能为企业安全管理人员的成本计算提供帮助。

  合规一般涉及到以下几个层次:

  首先,法律法规。

  最广为人知的要属被广泛应用的萨班斯法案(SOX),该法案要求公司确认财务数据的准确性和责任制。另外企业还需要遵从包括隐私权法案、HIPAA以及GLBA等在内的各种法规,这些法案都要求企业保护机密数据(非公开的私人信息或者NPPI)。

  除此之外,例如证券行业也会为其职权范围内的公司建立相关法规。电子商务的普及,证券交易的频繁,使得电子支付卡行业(PCI)或者证券交易机构会为他们的成员公司确定最佳实施方案以及相关规章制度。

  法规遵从已成为全球普遍认可的趋势,我们看到美国、欧盟以及日本都有严格的法律法规来帮助企业保证业务的持续经营。

  将法规等级化

  虽然企业用户很难计算出他们的合规成本,但是他们都很清楚哪些法规占用了最大开支。

  令人惊讶的是,尽管SOX法案的要求和强度都比较苛刻,但它却不是最棘手的法规,相反是那些各种各样的具体领域的法规占用着公司的最大开支,例如HIPAA、GLBA和Communications Assistance for Law EnforcementAct等。这些法规被认为是“最昂贵的法规”,因为它们占用了公司37%的时间,而SOX法案仅仅占用了26%的时间。

  在美国,这些“最昂贵的法规”中只有不到16%的法规是国家级的,约13%属于领域机构制定的法规,例如SEC(证券交易委员会)或者联邦金融机构检查委员会等。剩下的则是一些商业性的准则,例如PCI标准或者NASD规则,以及其他通用的法规。

  没有人期望合规成本会下降,大约60%的调查者认为他们的合规成本将上升,其余的40%则希望合规成本保持现有水平。这主要是因为监管环境的不断变化,包括新法规的创建和旧法规的扩展等。总之,公司必须做好长期投资合规的打算。

  合规成本

  虽然合规成本很难准确地被量化,不过我们可以将企业合规成本大体分为两个领域:人员成本、工具和基础设施成本。

  对于人员成本方面,调查发现在IT安全公司全职员工平均要花费3.25-4.8小时的时间在合规行为上。

  假如公司高级安全主管的工资为13万RMB(包括工资和奖金),公司仅在安全部门发放的工资就将达到42.25万到62.4万不等,这还不包括安全部门以外的IT人员或者IT部门以外的人员。

  从另一个角度来看,通常企业需要将整个IT预算的2%到3%花费在合规人员费用上。

  那么这些安全人员究竟在做什么那?IT方面的合规工作基本上包括审计/报告以及管理归档和数据恢复的工作。虽然信息技术很大程度上需要依赖于技术,不过IT部门仍然需要人员去审查合规数据,创建安全登录数据的合规报告等工作。这些工作都不能很好地发挥安全人员的作用,因为大部分工作都可以自动化进行。

  关于审计

  将近71%的受访者表示其公司会进行内部审计工作,虽然大部分人认为他们没必要进行审计,但也不能因为资源限制而不进行审计。

  那些定期进行内部审计的受访者中,有54%是每年进行一次审计,25%每季度进行一次审计,而17%则是每个月都审计。每年一次的审计通常都是比较全面的完整的审计,而那些更短周期的审计工作则只会涵盖某些政策、程序或者系统。

  而进行外部审计工作的公司则略少于内部审计,约为66%。对于进行外部审计的公司,审计工作的频率与内部审计的频率也有所不同:绝大部分公司(将近74%)每年进行一次外部审计。而其余的公司则进行频繁的审计或者专门的外部审计工作。

  审计的意义是多方面的。很多监管机构(例如PCI)都会要求进行审计工作,并且作为业务流程中很重要的部分。同时,审计能够在IT不可能执行完全的职责分离为IT提供支持。另外,在不断努力提供其安全配置和执行力的IT公司(在安全领域对于成功有成熟的指标),审计提供了最好的反馈信息,能够根据政策和计划来审查IT部门的运作情况。

  同时必须指出的是,IT部门以外的人员为合规进行的工作(加强数据或者程序的安全控制等)也是十分重要的,但是管理者却很难衡量和报告他们的工作量,因为通常是作为其他改善安全工作的组成部分。但我们知道,合规工作人员的工作往往只是合规工作的一部分,另一个问题就是,哪些人在做合规相关的工作。

  职责分离

  SOX法案或者专业职责标准(如PCI)还会要求公司对工作人员进行职责分离。这样做是为了将复杂的业务流程划分开来,并对每部分分配权限,这样就没有人能够独立完成所有步骤。

  职责分离能够避免工作人员在业务流程中的欺骗行为以及错误行为。例如,如果某人在银行同时负责现金存款以及核对帐目报表的工作,那么这个人就可以很容易地窃取资金。

  SOX法案严格地规定了IT在处理财务流程和数据时需要进行职责分离,但很多公司却很难做到。只有不到一半的受访者表示其公司有明确规定职责分离的政策。很多公司因为成本、系统限制或者人员短缺而无法实施职责分离,在这种情况下,可以考虑进行全面的记录、日志审计和频繁的流程审查工作等,以此可以弥补职责分离的缺失。

  合规工具和基础设施

  合规成本计算公式的另一个要素就是技术。具有讽刺意味的是,尽管工作人员执行合规工作需要花费高额的成本,但是绝大多数的受访者都没有购买专门的合规工具以遵守合规要求。他们主要是依赖现有的登录工具来开发审计跟踪,并利用现有的安全工具来维护访问控制。

  但是他们越来越清楚地意识到一个隐藏的合规费用:存储。对于不断产生的生产数据、档案数据和日志数据,存储记录数据和元数据的存储量要求也在不断增加。

  此外,一半以上的受访者会将与合规相关的档案数据在载入磁带之前暂时存储的存储区域网络中,这意味着在高速RAID阵列和企业SAN中仅为满足合规要求的档案数据占用了大量的空间。

  受访者认为不存储信息存在很大风险,将来在法律案件中可能会需要,因此他们宁愿将数据永久地保留在存储空间。其余的受访者则表示会根据信息的类型来决定存储的时间期限。在某些情况下,时间期限是根据法律规定设置的,有时候则会进行定期审查,但大部分却并非如此,他们会为信息设置不同的保存时间,通常是7到10年,或者与法律规定的一样。

  保存这些记录究竟会增加多少存储成本呢?这很难说。据报道存储成本每年都会增长很多,很多企业都认为是由于保存数据的增加而导致存储成本的增加。

  存储硬件的成本每隔18个月都会下降一半(对于任何速率的磁盘空间而言),因此,尽管消耗量增加了一倍,总体基础设施成本的增长率也不会太高。然而,启动设备、冷却和管理所有额外空间的成本却没有以同样的速率下降,使维护和运行存储的运营成本随之升高。

  信息保护和身份管理

  无论是作为合规工作的一部分还是配合其他合规工作,很多受访者都会考虑信息保护问题。解决信息保护问题主要是为了确保只有应该看到信息的人才能看到信息。显然,信息保护是很重要的,它占用了38.6%的IT工作时间,并成为2007年和2008年的重点安全支出项目。

  信息保护技术包括网络和存储加密,以及企业版权管理等。今年IT高管最关心的问题就是存储在企业笔记本上数据的安全问题,而加密工具是首选工具,其中加密工具包括硬件加密、免费存储加密商业产品等。约有10%的受访者已经部署了加密工具,还有20%正在评估加密工具。

  信息保护依赖于身份管理(追踪用户身份的能力)。27%的受访者将身份管理作为明年的重点开支项目,大约60%的受访者愿意评估2008年的身份管理开支并预计来年会增加相关开支。

  这些技术都是很昂贵并且麻烦的,当也是十分必要的有效工具,特别是对大型企业而言。

  审计工具和技术

  合规工作的另一个重要方面就是记录,如果你没有足够的审计证据(对网络、系统、应用程序配置和行为等的记录),就很难证明公司的合规状况。加上日益复杂的日志安全性分析,使很多公司开始使用日志整合解决方案。

  约有64%的受访者从很多来源收集日志并将日志汇集进行分析或者存储,只有不到一半的受访者表示会收集所有与基础设施相关的日志(服务器、路由器和防火墙等),有些还会收集桌面日志。

  约有90%的受访者都会做某种形式的日志监控工作(不管他们是否收集日志),使用人工监控或者日志监控工具。这些受访者中只有四分之一的人仅在工作时间进行监控工作,而约有一半的受访者会进行实时分析并对所有记录的事件作出反应。

  主要是通过入侵检测/预防系统工具或者通过系统内生成的警示和警报来记录时间,大约四分之一的受访者使用专门的日志管理系统或者完整的安全信息和事件管理工具(SIEM),而其余的人则仍在开发或者评估相关工具。不过,受访者都表示部署SIEM工具十分麻烦。

  讨论合规与电子发现问题时比较重要的就是保存问题,约有78%的受访者会保存他们收集的部分或者全部日志记录,这也就需要相当大的磁盘空间了,即使公司部署了某种日志正常化系统来减少重复信息占用的空间,存储量仍然十分惊人。然而,这些存储的信息却很少用于除日志管理和安全以外的工作,约有三分之二的受访者不会对日志数据做任何形式的数据挖掘。

  风险

  成本问题只是合规的一部分,确定这些合规工作带来的利益才是更具挑战性的问题。对于合规,根本不存在预期的投资回报率(ROI),没有任何形式的回报:所有的工作都是建立在避免风险、避免损失以及避免成本浪费上的。另外,每个企业必须保证下列公式的成立:

  (支出/刑罚/损失/破坏的风险)×(预计成本/损失)> 合规成本

  总结建议

  从风险管理的角度来看,合规能够为企业管理各种风险,罚款、法律制裁、商业损失或者因为员工失误造成的数据泄漏等风险。

  每个企业都应把重点放在改进业务流程上,特别是内部合规审计等形式的后续工作上,以确保能够按照合规要求改善流程。尽管审计工作普遍存在,但是内部对某些系统配置的坚持仍然是个问题。企业还应该对数据归档和保存政策进行界定或者重新评估,考虑合规要求和删除数据后风险因素。

时间: 2024-11-09 03:22:13

金融海啸企业合规管理成本如何控制?的相关文章

合规报告:控制客户端云访问的第一步

本文讲的是合规报告:控制客户端云访问的第一步,建立安全的访问机制是企业步入云计算时代的第一步.现在为合规.报告和远程连接设置相应的策略,也就规定了您的团队将如何安全.顺利地在云计算环境中开展工作.使用带 IPsec 的网络访问保护 (NAP) 连接技术(如 DirectAccess)可以帮助改进您的审核和合规报告工作. 为新的 DirectAccess 或 IPsec 部署方案创建审核和报告解决方案时,识别和收集必要的数据困难重重.在本文中,我们将用一家虚拟的公司作为例子,说明如何创建 Dire

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云

企业数据库合规的最佳实践

数据库是存放数据.经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域.几乎所有的企业合规都会对哪些人.能在什么时间.访问什么数据库作出规定,并且需要一个专职人员来管理这些权限.本文,我们将讨论针对数据库合规的基本数据库安全要求,如PCI DSS和HIPAA,以及为了遵守合规要求用于管理数据库权限和维护的最佳实践. 最常见的五大企业核心数据库环境是:1.微软的SQL Server数据库:2.IBM的DB2数据库:3.MySQL数据库:4.Oracle数据库:5.Postgre

捕获合规需求的模式化方法简介

这是一个基于模式的新框架, 它通过业务流程的充分自动化和持续审计,来捕获并管理业务流程的合规需求. 在现如今以IT为中心的业务环境中,对法规.法律和其命令的合规性管理已成为成功的关键.指令几乎控制着业务经营的各 个方面,要求组织为监管机构.利益相关者.客户和业务合作伙伴提供保证.1.保证整个企业的合规性迫切需要一个整体的 .易实施的.自律的方法,用它来定义一个完整.一致的流程和系统层的内部控制集.内部控制尤其应帮助组织达成它的目 标,这些目标涉及有效和高效运营.可靠的对内和对外报告,并遵从适用的

【CS论坛】合规不利于安全?

本文讲的是[CS论坛]合规不利于安全?,一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全. 但有人认为,应该把两者看做并列关系,而不是因果关系.或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品.因为有时完全在合规的情况下,也可以是不安全的. 合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别.不信就看看最近发生的

网络安全法的合规投入也是一种投资

[如果网络安全法生效后,迅速产生像高通反垄断处罚那样的案例,那么今天那些扎实投入认真贯彻网络安全法合规的企业,其投入就是投资,免受处罚就是它们最好的回报.反之,企业的投入就会成为沉淀成本,合规若没有价值,眼下网络混乱的局面也很难有改观] 2016年11月网络安全法公布以来,笔者多次应邀对企业和网络安全从业人员进行网络安全法培训,从与企业的接触中发现,由于长期以来我国网络安全方面欠账较多,目前国内和国际网络安全形势比较严峻,眼下经济形势又不是很好,一些企业对于落实网络安全法所要发生的投入,颇有一些

金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据

[金融行业安全动态]只剩4个月,P2P网贷企业信息安全未合规将被取缔 概要:12月8日,银监会P2P网络借贷风险专项整治工作领导小组办公室发布<小额贷款公司网络小额贷款业务风险专项整治实施方案>,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构.在专项整治进度上,<方案>要求2018年1月底前完成摸底排查,并在3月底前,对排查结果分成合规类.整改类.取缔类三类分类处置.对确认符合资质要求.依法合规开展业务的纳入合规类机构

企业如何实现自动化的IT安全合规管理

前言 目前对于所有公司而言,掌控IT安全风险和法规遵守要求是两件至关重要的事情.在过去的十年中出现了大量前所未有的安全泄漏事故,对公司信息的完整性造成了严重破坏,并导致大量财务和业务的损失,同时让客户.合作伙伴和利益相关者丧失对公司的信心.这些泄漏事故也让人们开始建立技术标准.IT管理框架,并制定了旨在改善加强安全的法律,这也使企业在更有效地定义.控制和管理他们的IT基础设施方面的压力更加大了. 本文将讨论公司面临的新挑战,并将SaaS(以安全作为服务)作为简化安全和合规的方法以解决以下问题:

Exchange 2013技术亮点之企业信息的安全与合规

  Exchange 2013 将允许您保护业务沟通内容和敏感信息,并满足企业内部的监管规范和外部监管机构的相关条例,从而保持企业组织的信息安全无损. 企业所面临的挑战: 随着企业信息化建设的不断发展,信息技术应用越来越广泛,电子邮件已成为企业以及个人之间沟通联络的重要方式.对于企业来说电子邮件中存储着大量的商业信息,这就增加了意外分发和未经授权访问敏感信息的风险.面对着保护客户和员工个人信息不断增加的法律法规,这一问题对于大多企业已变得尤其严峻.为了帮助企业更好地控制通过电子邮件分发的信息,现