Making your data watertight with GRC best practices
39:36 Share

今天，我们与网络安全和合规专家 Andry Rakotomalala 坐下来，探讨 GRC（治理、风险和合规）如何帮助组织保护数据、降低风险并适应不断变化的网络安全环境。另请查看我们的教育平台 IE Academy。</context> <raw_text>0 欢迎收听今天的 Lexicon 节目。我是克里斯托弗·麦克法登，Interest in Engineering 的特约撰稿人。今天，我们与网络安全和合规专家安德烈·罗科图·马拉拉坐下来，探讨 GRC（政府风险和合规）如何帮助组织保护数据、降低风险并适应不断变化的网络安全环境。

安德里，感谢您的加入。您今天好吗？我很好，克里斯托弗。很高兴和你在一起。你好吗？我很好，谢谢。谢谢你的询问。为了我们观众的利益，你能简单介绍一下你自己和你的工作吗？当然可以。我的名字是安德里。我住在洛杉矶。我是一名 GRC 专业人士。

那是治理、风险和合规。我在科技领域工作了大约 10 年。我接触过许多不同的网络安全元素。我认为 GRC 是一个即将蓬勃发展的领域，尤其是在 2025 年。这就是我的背景，不到 30 秒。太棒了。电梯演讲。太好了。很高兴见到你。所以

我们的许多观众可能不知道 GRC 的含义。如果可能的话，你能给我们一个简短的概述吗？当然。GRC 代表治理、风险和合规。从本质上讲，GRC 人员所做的是，我们查看网络安全行业和不同政府要求不同公司遵守的不同法规，并确保公司遵守所有这些法规。

风险部分意味着查看公司的漏洞，然后说，嘿，根据公司的目标，您想解决哪些风险？它涉及多个部门。我们与 IT、安全、法律部门，尤其是数据团队合作，因为 GRC 实际上是关于数据的，确保我们保护数据，如果这说得通的话。是的，说得通。所以它不只是软件行业。它实际上可以应用于任何行业。

不，它适用。是的，这是一个很好的观点。它适用于所有行业。因此，每个行业确实都有一套法规。如果您考虑餐厅，它们有食品法规，对吧？然后，如果您查看汽车行业，它们有关于如何制造汽车的法规。在网络安全合规方面，这两者也是一样的。我会详细谈谈，但所有这些公司都持有数据，这些数据确实需要保护，因为归根结底，

GRC 属于网络安全实践，而网络安全是关于保护人、地点和事物。这些事物将是人们的联系信息。当然，是的。以及任何其他可能被用来克隆他们的身份或做其他事情的敏感数据，例如进行欺诈等等，对吧？我目前的理解。哦，是的，100%。您具体谈论的是所谓的 PII。它代表个人身份信息。

这使得它独一无二，例如我的社会安全号码、您的电子邮件、您的家庭住址。这些都是网络安全专业人员试图保护的东西。但这不仅仅是这些。他们还试图保护宝贵的公司资产，对吧？例如财务、产品。他们试图保护威胁参与者可以利用来造成破坏或获得经济优势的任何东西。

说得通。在这种情况下，那么您认为理解 GRC 对今天的软件专业人员为什么至关重要？您已经对此进行了介绍。

是的，我认为这个问题的答案是多方面的，因为在软件方面，在软件专业人员方面，很多时候，整个目标是快速推出一些东西，例如快速推出一个好产品，他们跳过了安全代码的重要部分。这些法规的一部分意味着查看软件工程师，并说，嘿，您是否牢记安全地构建代码？

安全属于 GRC，因为组织需要了解，如果他们遭到入侵，他们不仅会丢失数据。他们不仅会失去声誉，而且还可能会失去我所说的许多信任度，对吧？GRC 有助于降低黑客攻击或事件的可能性。

它还降低了其影响。我们在网络安全领域有一句谚语，那就是不仅仅是关于你是否会被黑客攻击，而是关于你何时会被黑客攻击。所以……

GRC 的概念是实施保障措施和控制措施，以降低事件发生的可能性。如果事件确实发生，其影响会更小，我稍后会谈到这一点。因此，GRC 从本质上讲，它为您提供了一个关于如何整体上更安全的指南。希望这能回答您的问题。是的，回答了。是的。至少要做到最低限度，以保护自己。就像您说的那样，大多数人认为它更像是一种数据泄露，窃取财务信息。但正如您所说，作为企业的声誉风险可能更严重，这可能会让您破产。

是的，100%。我的意思是，那里有无数的黑客攻击，例如 SolarWinds、Target、LastPass，所有这些。如果它们成为新闻，它们就会在 2017 年、2013 年左右遭受严重的声誉损失，当时 Target 丢失了。

例如，他们泄露了一堆信用卡数据，许多人都非常担心在 Target 购物。现在这已经被遗忘了，人们不再关心它了，对吧？但这确实说明，如果他们到位正确的 GRC 措施，它会降低这种可能性，并且不会产生如此大的影响。是的，同意。那么 GRC 是一套标准、国际标准还是国家标准的混合体……

它是如何运作的？或者直接学习？

是的，这是一个很好的问题。所以当人们想到 GRC 时，我喜欢这样解释它，对吧，它是一个总称。在这个总称之下，有不同的标准化方法，既由标准化组织给出，也由政府给出。一个很好的例子是在欧盟，那里有一个名为 GDPR 的标准。

因此，GDPR 本质上是一种让你

作为最终用户获得一些隐私的方式，对吧？它基本上会在发生泄露时保护您，并确保公司更好地保护您的数据。这是一个欧盟标准，但如果他们有欧盟联系人，它也适用于美国。在美国，还有许多其他标准化方法可能与政府无关，但与之相关，对吧？例如加州的 CCPA。所以这本质上

本质上与 GDPR 做同样的事情，它将数据的控制权交给最终用户。所以我想说 GRC 是一种组合。它确实有来自政府以及知识标准化机构的标准化和指南。好的。是 COBIT 吗，还是 COMBIT？那是另一个吗？是的。因此，COBIT 代表控制目标信息和技术法规。

一句话来说，它实际上只是改善了组织的风险管理，对吧？它帮助他们减轻漏洞。这意味着每个组织都有漏洞，对吧？然后这些漏洞可能成为风险，因为它们可以被利用。因此，COBIT 为您提供了一个框架

和指南，以找出这些风险是什么，这些漏洞是什么，然后作为组织，您可以决定如何处理它或您想要关注的重点。GRC 中有一个名为风险承受能力的概念。风险承受能力只是意味着您愿意承担多少风险，您愿意接受什么风险？以及

您想减轻哪些风险？对。因此，COBIT 本质上可以帮助您指导您如何找到所有这些，以及如何解决所有这些。好的。那么，组织可以获得某些标准的认证以证明合规性……

是的，130%。是的，所以您可以获得不同的认证。我知道您可以获得 ISO 27001 认证，如果您是政府的一部分，还可以获得 FedRAMP 认证。我相信 COVID 也有一个。有很多认证

和认证您可以获得，这就是为什么审计是网络安全的一部分。如果您是听众并且想知道，哦，所有这些花哨的名字是什么？我向您保证，最重要的是要记住，在 GRC 中，只是有不同的机构和机构，如果您完成了它们的所有目标和控制措施，它们可以为您打上勾。

是的，这是它的第三部分。你需要在这里盖章。这家公司知道他们在做什么。没错，没错。并且该认证会做几件事。它

可以说是使业务合法化。它让利益相关者、高管和最终用户放心，因为它有助于让他们感到更安全，知道，嘿，我们获得了认证。我们有 ISO 27001。我们是 SOC 1、SOC 2 认证的，这意味着我们确实非常重视我们的数据，也就是您，最终用户。

没错。而且，这取决于情况。一些认证公司比其他公司更好，但大多数好的公司也会指导您完成整个过程。因此，如果您是新手，他们可以帮助您完成合规流程，对吧？这对你来说有点太大了。

是的，非常非常多。所以有很多不同的认证，你是对的，它们都各不相同。其中一些是基于行业的。有些不是基于行业的，我相信我们稍后会讨论。但它们会告诉你需要做的确切事情。它们会告诉你确切的控制措施。例如，有一个名为访问控制的概念。访问控制是……

确保合适的人员可以访问合适的事物，而错误的人员无法访问错误的事物。访问控制基本上会说，嘿，您是否有所有可以访问此工具的用户数据库？您每年都会对其进行审计吗？您是否确保他们只能访问他们需要访问的东西？这是特权最小化信息的概念。

在网络安全中，这意味着如果您是销售代表，则不需要访问 IT 资源的管理员权限，或者如果您在营销团队工作，则不需要访问所有 HR 记录，对吧？因此，您只需要访问您需要的东西，这就是访问控制。许多这些认证和认证都关注这一点，对吧，它们会为您详细说明。所以就像防火墙一样，基本上就是数据。是的。

没错。这非常重要。是的，你不会想到这一点。这是关键。那么，您认为在软件驱动环境中评估和减轻风险最有效的策略是什么？

好吧，它确实是多方面的，但我将其分解为几个步骤。因此，为了有效地评估它，您首先需要做的就是确保获得利益相关者和公司的认可。这意味着与高管、利益相关者、董事会交谈，并确保他们了解为什么您需要解决风险以及为什么您需要实施 GRC 程序。然后从那里，您想

将其与公司目标相结合。之所以这样做很重要，是因为如果您的高管和领导团队说，是的，我们相信你，让我们这样做。那么，现在您将其与公司目标联系起来，然后您可以将其传播给团队的其他成员。假设您的公司目标之一是许多客户这样做。它是以客户为中心或以客户为导向的，对吧？为了以客户为导向，您必须说，好吧，我们想保护我们的客户，

这样做实际上会帮助我们做到这一点，对吧？然后在您与公司目标相关联之后，您告诉团队，您选择一个框架或一个特定的认证框架

确定认证机构。然后从那里，您就可以从本质上像拥有该指南并完成它一样。现在这一切都是关于评估它的。因此，您将了解您的数据，您的漏洞在哪里，对吧？减轻风险回到风险承受能力的概念，这意味着确保您在所有风险方面与公司保持一致。有一个叫做风险登记册的东西。

风险登记册是任何人都可以做的东西，对吧？但从本质上讲，您只需列出公司中所有存在的风险，然后根据公司的做法对其进行优先排序，即影响最大的风险，美元影响，或者由于时间限制而将对他们影响最大的风险，对吧？例如，一段代码尚未完成，而他们一个月后要进行部署。这成为重中之重。

风险登记册是减轻这些风险的重要因素，因为然后您只需要知道，您知道您必须解决什么。他们说解决问题的一半只是把它写下来。这只是意味着知道它是什么，以便您可以解决它。我认为这是您可以评估和减轻整体风险的最佳方法之一。

是的，如果您成功地做到了这一点，因为有时这些过程可能非常昂贵。因此，它也向高级员工证明了这一点，对吧？是的，并且就这一点而言，我与高管开过会，他们拒绝说，哦，我们不需要这个 GRC 程序。我们不需要进行此评估。我发现，如果您说，是的，您是对的，这将花费我们大约……

50,000 美元到 100,000 美元，对吧？我拿出另一张幻灯片说，如果我们不这样做而我们遭到入侵，

这就是影响。您向他们展示美元金额，说，如果我们违反 GDPR 并与欧盟联系人有联系，我们将不得不向该组织支付 600 万美元，我们最多可能支付公司收入的 4%。一旦您将这些数字纳入考虑，他们就会说，哦，是的，让我们这样做。让我们这样做。让我们这样做。保险。对不起。把它想象成保险。没错，没错。

而且，您通常会从这些类型的系统中获得其他好处，它会改善您的内部工作流程以及您做事的方式。你会找到更有效率的做事方法。所以根据我的经验，它也有其他好处。组织如何才能在复杂的监管环境中航行并在不同的司法管辖区保持合规？是的，所以……

是的，是的，是的。不同的司法管辖区和不同的地区。这很有趣，因为在 GRC 和网络安全方面，对吧，总体目标是保护人、地点和事物。现在，在不同的地区，不同的人对它的重视程度不同。欧盟在保护人民方面做得非常好。

保护他们的人民。这完全取决于您的行业和您的位置。因此，您首先必须了解的是，您必须将其分解。您必须找出您所在的行业。您必须了解您将遵守哪些法规。然后，在我看来，最重要的是您必须了解您的数据。

我的意思是了解您的数据，许多公司只是存在。他们不了解他们拥有什么数据，如何使用它，如何处理它。因此，了解您的数据是了解您需要什么类型的认证的核心要素。例如，有一个名为 PCI DSS 的认证。因此，PCI DSS 与支付和信用卡有关。如果您在线存储信用卡，

那么您需要符合 PCI 标准，因为它基本上确保您安全地处理这些信用卡交易。因此，如果您不知道您使用了它，那么您就不会知道要使用 PCI DSS，对吧？然后，假设您是一家网络安全公司，并且您

您想真正脱颖而出，您可以获得 SOC 2 认证。它本质上是一个专注于管理数据以保护隐私并强调客户的认证。作为一家网络安全公司，您需要言行一致，而不仅仅是空谈。因此，您确实需要保护您的公司。这只是解释不同的认证适用于不同的组织的一种方式。

显然，如果您不管理支付信息，则不需要 PCI DSS。但是，如果您想更安全地管理数据，则可以使用 SOC 2 认证。我会说……

我在 LinkedIn 上遇到过一位可爱的个人。她的名字是莉亚。她写了一篇关于网络安全法规最终列表的精彩文章，她按行业进行了分类。它非常直观。它被很好地分解了。我强烈建议任何人都可以查看一下。它的标题是按行业划分的网络安全法规最终列表，作者是莉亚·萨多伊安。

我认为是萨多伊安，但是……我认为这将很好地回答这个问题，因为她可能比我更能解释它，如果您发送给我链接，我们将为我们的观众复制它，以便他们可以轻松找到它……所以，据推测，只要您掌握了相同的基本要素，无论您选择哪种认证，对吧，但是如果您在美国……我忘了您所说的适用于美国的那个

PCI DSS 或 SOC 2？PII 是吗，还是 COVID 之类的东西。PII 是……无论如何，如果您遵守该规定，据推测，您或多或少完全符合 GDPR，例如在……我不知道，在亚洲或其他地方。这是一个很好的问题。是的，这大部分是正确的，因为……

许多这些认证和许多这些组织，它们是重合的。它们有一些相同的控制措施，对吧？因此，仅仅遵守其中的一两个就已经使您处于一个良好的位置，可以遵守许多其他认证。

根据 GDPR，它还有一些其他非常具体的数据库安全规则，但拥有另一个认证来证明，嘿，我获得了 SOC 2 认证，这并没有什么坏处，对吧？但是您是对的，它确实重叠，并且确实使您更安全，并且能够完成其他认证和认证。是的，通常只需要修改一点。是的。

好的。GRC 技术和自动化可以通过哪些方式帮助简化合规流程？我认为我会分三个简单的步骤来说明。因此，随着自动化和人工智能的发展，我认为这将仅仅是通过一般的自动化任务、更高的效率以及最终更多的仪表板来实现。所以

人工智能一直是网络安全领域中使用的工具。有很多事情可以自动化。例如，它正在检查系统控制。因此，您可以手动进入每个服务器或每个设备，并检查它们是否具有正确的安全措施，它们是否位于正确的

AD 组中，或者它们是否具有正确的访问权限。这将是手动的。我和你一起进入每台电脑，对吧？而如果您使用人工智能，您可以说，扫描我的整个网络，找出所有设备并找出它们可以访问的内容，正如您可以想象的那样，它节省了大量的人工工作时间，对吧？有一些工具，例如 OneTrust 和 LogicGate。这些是一些常见的 GRC 工具，例如 ServiceNow，它

本质上是基于云的，它们允许您利用人工智能来整体自动化合规性。现在，正如您可以想象的那样，GRC 包含大量数据和知识，对吧？现在，人工智能依赖于数据。因此，当您使用人工智能查看数据并为您提供一个，例如仪表板或一个快照来显示您的现状时，它确实会产生影响。

据推测，我不知道这是否可行，人工智能可以定期测试您的安全性，例如假装成为黑客之类的东西吗？

你可以。现在有一些工具是自动化的渗透测试工具包。所以有一些公司您可以购买它们，然后每周/每月或任何节奏，您可以进行一键式测试以查看您的漏洞情况。我知道这是某些法规的一部分，是自动化的。

节奏或至少定期测试或审计或渗透测试，以确保您知道您的漏洞在哪里。但人工智能确实拥有这些工具。说得通。并且任何组织是否会招募一位白帽黑客来尝试作为其 GRC 的一部分来入侵他们，或者我……

只是在做白日梦。不，不，不。你是绝对正确的，因为我过去确实被雇佣去做过这件事。所以我在我那个时代做过很多网络安全方面的事情。我被要求做的一件事是去现场，假装成员工，然后看看我能逃脱什么。我不会撒谎。这非常有趣。我真的很喜欢。但是

关心其漏洞情况的公司通常会雇佣一些公司来做这件事。我知道很多公司都提供这些服务。好的，好的。这是一个有趣的事业选择。无论如何，公司如何才能确保其 GRC 实践与其组织文化和道德价值观保持一致？您已经回答了这个问题。我喜欢这个问题。原因是

许多组织和许多人倾向于认为，哦，网络安全是一件非常复杂的事情。这是只有 IT 和安全团队需要关注的事情。但归根结底，网络安全是所有员工的事情。不仅仅是任何人。一个主要原因是，在网络安全漏洞方面，人是最大的薄弱环节。大约 80% 的事件是由于人为错误造成的。也许他们点击了一个网络钓鱼电子邮件。也许他们插入了一个随机找到的 USB。或者也许他们的个人设备容易受到攻击，他们也为工作电子邮件使用了相同的密码，所以……

这也会导致问题。因此，回答这个问题的简单方法是确保您正在努力实现的 GRC 和控制措施与公司价值观和文化相符。您想将其与文化相结合。GRC 的一部分，这可以争论，有些人不同意，但我认为 GRC 的一部分是网络安全意识和培训。因此，对抗的最佳方法

黑客是教育您的最终用户和教育您的员工。而最好的方法之一就是通过网络安全意识。因此，您希望确保您的员工知道发生事情时该怎么做，该避免什么，确保他们了解如果出现不同的事件，该如何处理。他们并不害怕他们。是的。

是的，从本质上讲，因为……

不，我不知道。你是绝对正确的。因为我也是不同大学的网络安全讲师。有时当我谈到所有存在的威胁时，有些学生会说，我不想再上网了。我不信任我的电脑，你知道，一旦你了解了它，这是正常的。对。但关键是平衡它并正确地解释它。对。我与一家名为 Hacker Rangers 的公司合作。并且

他们是一个教育/网络安全意识平台，但它是游戏化的，对吧？所以就像，你是一个，你可以是一个游戏玩家。你得到某些客户。如果您做某些事情，他们会给您一个网络钓鱼模拟。如果您猜对了所有原因，为什么它是一个网络钓鱼电子邮件，您会获得积分，您可以在部门之间进行竞争。我认为这是一个很好的网络安全意识计划的绝佳例子，因为它

不会吓到他们，但它有助于教育他们，对吧？如果您将其与面对面的网络安全意识相结合，我认为这将真正融入文化中，我认为这将真正帮助他们理解 GRC 的道德价值观。您可以将其整合到您的组织中，对吧？找到网络钓鱼电子邮件有很多经济奖励，但有一些领先图表，例如，哦，我找到了 10 个

没错，没错。我见过一些组织说，嘿，哪个部门在网络钓鱼方面的得分最高，就可以获得额外的 6 个小时的带薪休假之类的东西。这让人们行动起来，你知道，或者他们提供金钱奖励之类的东西。

好吧，这是值得的，对吧？因此，它引出了这个问题。组织在 GRC 框架内实施持续监控和报告时面临哪些挑战？

我会说监控和报告本身的行为非常困难，对吧？您首先必须做的是克服变得合规的障碍，对吧？这需要，这可能需要几个月，甚至几年，对吧？然后在您这样做之后，确保您不要仅仅说，好吧，我们获得了认证，我们现在已经合规了，现在我们好了。有些公司只是说，好吧，我们完成了。但是

如果您不从一开始就持续监控和报告，那么继续监控它就会变得困难，对吧？所以，

当您启动项目时，应该进行持续的文档记录。应该考虑到最终目标。您还应该说，好的，在我们完成此操作后，我们现在可以做些什么来确保我们将来继续监控它？对。因此，确保您在最前面设定了这个期望会有所帮助。为什么？因为它会影响您决定使用的工具。它可能会影响您选择的供应商。

供应商可能会说，哦，我们会帮助您完成合规性，但之后我们就完成了。其他供应商会说，好的，我们会帮助您完成合规性，但我们会为您进行监控，然后让您处于一个良好的状态，这样当您必须重新获得认证时，那么它会更容易，因为您之前已经做过，或者我们会为您做。因此，最重要的一点是确保您整体上做到这一点，并确保您牢记这一期望。

今天，我们与网络安全和合规专家 Andry Rakotomalala 坐下来，探讨 GRC（治理、风险和合规）如何帮助组织保护数据、降低风险并适应不断变化的网络安全环境。另请查看我们的教育平台 IE Academy。</context> <raw_text>0 是的。这是一个持续改进的过程，对吧？您可以尽可能多地谈论自动化，但大部分工作在一开始看起来很多，但您可以自动化其中很大一部分。因此，以后不会给您的员工带来太大的负担，对吧？百分之百。你明白了。是的。太棒了。好的。嗯，

那么，集成 GLC 框架如何增强组织抵御不断变化的网络安全威胁的能力呢？我认为我们之前已经讨论过这个问题，但网络安全的问题在于，这个整个工作或行业之所以存在，是因为有一群不法分子试图访问他们不应该访问的东西，对吧？而且

这在不断发展变化。它在不断改进。因此，对于网络安全来说，实施有助于保护组织的控制措施至关重要，并且对于预防这些措施非常重要。我不会。是的。为了预防和减轻这些风险。所以这是一个简单的概念。

我知道人们都熟悉防火墙，对吧？如果您不知道防火墙是什么，可以把它想象成一个渔网。在这个渔网中，这是一个神奇的渔网，它允许某些鱼通过。但如果鲨鱼或坏鱼试图通过，它们就会被阻止。它有一些规则和技术可以做到这一点。

信不信由你，这就像第一层防御措施之一。现在，假设其中一条鱼也是神奇的，并且设法穿过了渔网，穿过了防火墙。如果它们穿过了防火墙，进入了网络，它们就可以感染一台计算机，对吧？正确的。

但这台计算机不会影响其他任何计算机，因为有一个叫做网络分段的概念。网络分段是将不同的部门放在不同的桶中。因此，您将所有计算机放在不同的桶中。它是分段的，因此，如果其中一个部门或其中一台计算机被感染或存在威胁，它们就无法离开该桶。

它们会留在那里，因为有合适的工具，有合适的网络分段控制。这只是一个 GRC 控制可以保护组织的绝佳例子。一台计算机被感染与例如 10,000 台计算机被感染之间的区别直接解释了 GRC 的影响。GRC 实施了这些控制措施，因此，如果发生事件，其影响将远低于没有这些控制措施的情况。

两者之间存在巨大差异。但在我看来，这些框架和 GRC 认证和认可设定了这些控制措施和工具。网络分段只是一个例子。还有很多其他的方法可以保护您的组织。

我不知道为什么我会想到这个，但我正在想到泰坦尼克号。分段就像船体内的防水隔舱。这是针对船体上的实际漏洞。但是，您还会有其他措施，例如更好的瞭望员，也许是用于寻找冰山的雷达技术，然后是撞击后的措施。

减灾过程，例如如何清理损坏，阻止船只下沉。这就是 GRC 的作用，对吧？是的，完全正确。你应该开始从事 GRC 工作，克里斯托弗。我痴迷于泰坦尼克号，我能说什么呢？您能否分享您对 GRC 未来发展的看法，尤其是在技术进步和自动化的背景下？是的，我的意思是，

有很多变化即将到来。我的一些同事告诉我一些可能出现的、可能变得更重要的不同认证。但关于人工智能，它将在多个领域发挥重要作用。原因是，合规性将实现更多自动化。人工智能工具将越来越擅长自动化它们。然后将会有先进的编程

精度，我认为，在风险管理方面。许多网络安全工作可以由人类完成，但人类的错误率更高，对吧？因此，当您使用人工智能时，它可以更精确，更准确。这样做的结果是，它可以为我们提供，我之前提到过仪表板，它可以为我们提供有关我们在合规性方面所处位置的实时视图，因为人工智能将能够

查看数据并能够实时向我们解释，嘿，顺便说一句，由于添加到您的网络或组织中的这个新工具，您违反了规定。它不符合这些不同的规则。正确的。所以，

人工智能和自动化将带来许多好处。话虽如此，我还想说，也有一些潜在的缺点。人工智能本身的概念需要考虑一些伦理问题，对吧？因此，有时人工智能可能会存在偏差。它可能会根据……做出不公平或关键的决策。

您提供给它的数据集。然后还有数据隐私问题。因此，由于人工智能利用大量数据，那么它确实需要输入大量数据才能……才能遵守该规定。最后，还有监管方面的……

担忧。目前，人工智能正在发展。它开始获得更多关注。因此，很可能会对人工智能设置一些保障措施，这可能会影响 GRC。话虽如此，根据我的经验，我认为 GRC 更像是一种额外的好处和帮助，而不是一种

它是一种损害，因为如果您能够节省人工时间、获得更准确的信息、自动化任务以及获得改进的技术和捕获带来的实时反馈，我认为这是一个很大的优势。所以，

GRC 的未来非常光明。将会有很多 GRC 职位出现。我一直鼓励人们关注 GRC 和隐私方面的网络安全职业，因为这些职业正在蓬勃发展。这些确实存在。并非所有网络安全专业人员都需要知道如何黑客攻击或如何编写代码等等。但是，技术理解非常重要。但我认为 GRC 的未来将非常适合人工智能。

好的。非常有趣。此外，人工智能永远不会感到厌倦。它总是警惕的。是的。它一直在观察，我想你可以这么说。一直在观察。就像你说的，它以数据为食。是的。它可能会带来一些严重的问题。有趣。好的。您认为我们是否应该讨论与 GRC 相关的其他内容，而我们尚未提及？

我们应该结束了吗？是的。我的意思是，总而言之，如果您从这次谈话或这次播客中获得任何收获，如果您坚持到最后，非常感谢您。我们非常重视您的时间。我要说的是，GRC 是一种由不同组织实施保障措施和规定的实践。它们因不同的地区、不同的行业和不同的平台而异。

我认为 GRC 的重要性在于从监管角度更好地保护企业，对吧？GRC 的一部分只是网络安全意识和培训，我认为这对于教育最终用户来说非常非常重要，因为网络安全不仅仅是 IT 和安全团队的事情，而是所有员工的事情。所以我认为这就是我想结束的内容。

太棒了。在我们结束之前，您是否想宣传任何社交媒体网站或课程？是的，当然。我与 Hacker Rangers 合作。因此，我建议您查看 hackerrangers.com。我还有一门名为“网络安全清晰度”的网络安全课程。我进行网络安全意识培训。我还进行 GRC 评估并进行合同工作。

通过它。它在 Instagram 和 TikTok 等平台上被称为“网络安全清晰度”。但这些是我拥有的并喜欢教授的课程。如果有人想进入网络安全行业，我也会进行指导。感谢您的时间，安德烈。这非常有趣。哦，我很高兴你没有睡着，克里斯托弗。感谢您的邀请。谢谢。

这就是本期 Lexicon 节目的全部内容。感谢大家收听并成为我们今天的嘉宾。与往常一样，请关注我们的社交媒体渠道，获取最新的科学和技术新闻。此外，不要忘记探索 iAcademy 以了解新的课程。再见。