应对不确定经济中的合规挑战

关键要点

• 当前经济不确定性导致各行业组织面临多重挑战，特别是科技行业。
• 网络安全人才流失严重，网络攻击损失预计在2025年将达到10.5万亿美元。
• 合规要求复杂、难以理解且成本高昂，企业需要克服这一局面。
• 迫切需要让治理、风险及合规（GRC）标准对所有规模企业更为可及和理解。

在如今不确定的经济环境中，各类组织都遇到了诸多问题。仅仅在科技行业，过去一年就已有被裁撤。显然，企业不得不大规模裁员，这是对人才和经验的重大损失。

在网络安全和隐私领域，这种人才流失造成的冲击更为严峻，因为网络攻击和数据泄露的风险预计到2025年将使全球经济每年损失。当网络安全问题持续加剧，各项治理、风险和合规（GRC）法规也不断变化，而为了适应越来越小的IT团队，企业被迫承受更多压力。

除了应对经济因素和不断增加的风险外，原本应该帮助公司提高安全性的标准和系统，往往却会创造混乱和分心。

当前治理、风险和合规法规的现状

现代的合规要求面临诸多挑战，主要表现为：

• 繁琐： 实现诸如、CMMC、HIPAA和ISO 27001等认证和证明需要大量证据收集、员工跟进和系统检查。建立合规程序资源密集，向审计者或潜在客户证明其符合性更是耗时长久。
• 不透明： 在评估潜在合作伙伴或供应商时，公司希望尽可能彻底，尤其是在当前的环境中，风险偏好已经降至前所未有的低点。然而，通常的评估流程，如安全问卷，实际上并未提供准确的合规态度视图，反而增加了双方的负担。这使得合规工作看起来只不过是一项走过场的检查，严重低估了强大项目的重要性。
• 昂贵： 由于上述提到的低效性，许多公司在建立和维护安全组织方面面临高昂的费用。此外，清晰展示与商业成果的关联也变得困难。同时，合规自动化软件公司利用其产品的强制性质，收取高额费用。

数据泄露的数量持续上升，越来越多的公司存储更多的数据，员工和系统对其的访问权限也日益增加。结合合规标准的变化（例如），企业在遵循安全标准时不能被动应对，但往往不清楚向哪寻求指导。

尽管通常涉及的挑战与资源投入庞大，实现行业合规标准却是必要的。公司展示其为保护组织及客户数据所采取的超越常规的行动，能够赢得信任，从而获得更多商机。不满足最新合规要求的组织无异于向竞争对手提供了机会。

每个规模的组织都应获得必要的支持与帮助，以便顺利应对风险与合规问题，但往往得不到这样的支持。当前标准和工具对许多企业形成了以财务要求和技术专长为基础的障碍，使得小型企业和初创公司难以投资于达到合规所需的工具与人才。

改变行业合规标准

现在是时候让治理、风险和合规（GRC）标准对所有规模的企业变得可负担、易于理解和可实现。我们可以通过