纵观当今的头条新闻,很难不发现人工智能或其他一系列影响各种类型和规模的组织的网络安全威胁. With all this buzz and an ever-evolving landscape of risks, 您可能想知道如何为您的组织或审计客户增加价值和洞察力. The “Navigating the Evolving Risk Landscape” workshop at the 2024 GRC 会议 在奥斯汀, 德州, 是否会为与会者提供应对这些复杂风险所需的知识和工具. But I thought I’d give you a sneak peek 在这里 to get you started.
With rapidly changing risks, 保持良好的教育并有效地识别风险是具有挑战性的, and design new or modified controls. 然而, while the technologies are new and evolving, the fundamental approach toward governance, risk management and controls is the same. Whether you are an IT, information security or audit professional, 你已经有了一个坚实的基本技能,可以作为一个起点. Skills in critical thinking, problem-solving, 过程映射和研究是无价的,应该在您探索这些技术以及它们如何影响您的组织时使用它们.
当涉及到不断发展的技术及其相关风险时,治理是关键. 在今天的人工智能和复杂的多云环境之间,我看到了很多相似之处, 以及2006年亚马逊网络服务推出首个面向大众市场的云产品后的十年里,云计算的迅速普及. 对于组织来说,评估这些技术当前和未来的潜在用途是至关重要的, even if they are not yet fully understood. 这包括构建策略、定义风险容忍度和开发可接受的使用策略.
它应该在组织的所有层次继续开展教育和提高认识的活动. 从监督的治理框架开始,可以采用更主动的方法来评估新技术并采用适当的风险和控制. We should be advocates for this approach, 因为它可以为我们的组织增加很多价值,并在此过程中最大限度地减少重大失误的可能性. It also means we as IT, 在做出这些考虑时,信息安全和审计专业人员可以参与讨论.
人工智能和多云环境等复杂技术提醒我们需要在组织中充分利用这三条线. 通过采用协作方法,建立在每条线的明确角色和责任以及一线风险所有者和风险管理专家的独特技能的基础上, 我们更有可能提供一个强有力的保证框架. 这种保证可以覆盖各种风险,包括数据隐私和信息安全,同时有效利用资源. 协作是关键——我们都有有限的资源来运作,共同努力可以提高效率和效果, and minimizes unnecessary duplication of effort.
不断发展的技术也突出了对强大的第三方风险管理流程的需求. 大多数组织都面临着通过第三方关系暴露的大量风险. 除了基本的有效的第三方风险管理, 促进强有力的治理,并针对人工智能和多云环境等新兴和不断发展的技术使用三条线,有助于建立一个框架,以更有效地进行识别, 评估和监控用于这些技术的潜在供应商. Absent an effective framework, 组织的战略和目标之间可能存在脱节, and the capabilities or appropriateness of a third party.
最后一个想法是鼓励您了解有关人工智能等不断发展的技术正在发布的权威指导. 资源 such as the draft NIST AI Risk Management Framework, 欧盟的《澳门赌场官方下载》和日本的《澳门赌场官方下载人工智能指南》都是已经发布并将继续制定的指南的例子. Groups such as ISACA and the IIA have published toolkits and 框架 以此为基础构建指南,并为个人和组织提供可考虑的主要实践. 你不必被新闻标题所淹没——你已经掌握了治理的基本知识, risk management, 控制和了解已发布的指南将很好地帮助您建立您的知识并为您的组织增加价值.
Editor’s note: 了解更多关于本次研讨会和其他2024 GRC会议计划的信息 在这里.
