安全和遵守法规的需求正在推动身份识别管理和内容监视等技术的发展。但是，有太多的企业正在依靠技术而不是政策来处理风险管理问题。

　　市场研究公司Gartner负责研究的副总裁Paul Proctor说，我总是接到企业打来的电话，询问他们应该购买什么技术。我总是首先问他们：“你们要设法实现什么价值?你们必须从制定政策开始。”

　　Proctor说，一个遵守法规的审计的主要目标是证实你有正确的控制措施和你已经预测到了风险。

　　Proctor与分析师Mark Nicolett在Gartner遵守法规和风险管理峰会上一起发表了讲话。他警告说，技术并不是这个问题的答案。实际上，如果一个审计人员发现你的控制措施有错误，这很可能是因为你没有按照政策或者流程办事，并不是因为你选择了错误的技术。

　　他说，风险管理实际上是搞清楚你需要做什么和你应该把钱花在什么地方的关键推动因素。审计人员最终要知道你是否采取了适当的措施，你是否至少做了你的对手正在做的事情?

　　Proctor说，你需要建立一个可以辩护的案例。一旦你有了政策，技术就能够帮助你做执行政策的事情。下面是你需要知道的六个新技术。

　　1.身份识别和接入管理(IAM)。

　　2.安全信息和事件管理(SIEM)。

　　3.配置审计。

　　4.内容监视。

　　5.数据库活动监视。

　　6.治理风险和遵守法规。

　　安全=人、政策、技术

　　Proctor说，IAM是遵守法规的基石。如果你仅使用一种技术，那就应该是这个技术。这是满足美国证券交易委员会要求和安全要求的基本技术。这应该在整个企业范围内应用。如果你不能把一个ID与一个人捆绑在一起，大多数安全和风险的努力都是没有价值的。审计人员将调查谁访问了什么内容。IAM对于安全和遵守法规也是重要的。Gartner预测企业今年的IAM投资将增长60%。

　　教育出版公司Pearson的IT审计经理Dave Kilgus可能会促进IAM技术的销售。他承认，他是一个遵守法规领域的新人(该公司最近从英国搬到了美国，因此必须遵守美国证券交易委员会的规定)。但是，他补充说，与遵守法规有关的许多技术还很年轻和不成熟，用户还不熟悉。他预计，他要使用的一些封锁和跟踪技术会遇到障碍。不过，他说如果公司上层发出“买入”的指令，这个事情就会做到。

　　尽管存在含糊不清和高成本的问题，越来越多的企业还考虑使用安全信息和事件管理。SIEM是一种搜集和分析安全事件，让人们很容易检测到恶意活动的技术。分析师Nicolett指出，SIEM的生意有80%是遵守法规问题推动的。这个技术与IAM一起使用，SIEM能够告诉你你使用IAM技术的效率如何。

　　内容监视系统(CMS)和过滤工具标记有问题的内容以防止敏感的信息泄漏到公司外部。Proctor说，这个技术查找敏感的数据，显示了伟大的潜力。对于你所考虑的敏感数据，这是你必须要考虑的方面之一。在你购买这个技术之前你要搞清楚这个技术。

　　此外，企业需要了解法律含义。因此，在人力资源部门内部制定一个监视政策是非常重要的。CMS是为了发现坏的商业行为，而不是发现坏分子。毫无例外，企业应该为CMS标记的某些内容感到吃惊。但是，CMS并不能阻止这些事情发生。让用户了解什么是可以接受的使用，什么是不可以接受的。制定一个有效的政策。然后培训他们不要违反这个政策。

　　设置审计技术在你的网络中为没有经过授权的变化做上红色标记，这些变化包括由于系统故障而出现的关机时间、出现了安全漏洞和内部安全威胁等。但是，设置审计政策需要很好的定义设置政策和变化管理流程。除了已经使用这个技术的大型企业之外，许多企业正要使用这个技术。Nicolett说，这是一个比较新的领域，许多审计人员并不需要它。它是一种新出现的技术。你应该关注这个技术。

　　数据库到处都有，但是，从本质上说很难保证数据库的安全。因此，Nicolett说，他看到人们对数据库活动监视技术的兴趣正在提高。你只要看一下TJX公司的安全突破事件和支付卡行业数据安全标准你就会理解为什么数据库安全突破的代价从许多方面看都是非常昂贵的。Proctor和Nicolett都建议说，企业在对系统进行重新加密的同时要把数据库活动监视技术看作一种防止老式设备出现问题的可行的方法。

　　IT治理和政策管理技术搜集你的全部安全政策，包括安全标准、控制目标和最佳做法，然后把这些安全政策编辑成一套统一的流程、访问和设置控制。这样，人们就可以发布、阅读和承认这些安全政策。Proctor说，这将有助于企业增强外部审计能力以及减少控制措施和遵守法规报告的成本。他补充说，但是，技术不能替代政策开发工作。

　　Proctor和Nicolett建议企业把调查这些技术作为整个战略规划的一部分并且只有在评估需求和认真分析需要什么之后再选择技术。

　　最后，Proctor说，技术仅仅是实现好的流程的自动化。