CISO、CTO和CIO的通力協作是提高企業信息安全的關鍵

Google Cloud的CISO Phil Venables強調的事項包括，與安全領導人定期會談，幫助董事會成員了解他們的IT現代化之旅的狀況以及影響企業的各種威脅。

一些人認為，董事會將網絡安全作為一個獨立的問題過于關注。為什么你認為董事會必須將網絡安全放在技術現代化的更廣泛背景下來看待?

傳統上，我們看到了一種日益增長的趨勢，即投資于網絡安全，而不是對其背后的基礎技術進行現代化改造。董事會應優先討論企業如何實現其技術基礎設施的現代化，利用內置(而不是固定)安全性的架構來提高安全性、敏捷性和效率。

傳統系統的構建或設計可能不如更現代的技術基礎設施(通常為云或類似云的內部部署)那樣安全。在過去十年中，企業在安全工具上進行了大量投資，但未能升級其整體IT基礎設施或使其軟件開發方法現代化，從而使其整個技術平臺容易受到攻擊，這一情況層出不窮。

沒有現代化的基礎設施，企業就不安全。董事會在做出商業決策時，必須通過這種視角來看待他們的網絡安全方法，以確保他們獲得現代威脅防御方法的全部好處。

董事會如何在促進創新和確保安全仍然是整個企業倡議的優先事項之間取得平衡?

世界各地的企業都在尋求利用新興技術的力量。我們看到，像AIGC這樣的工具使企業能夠改進、擴展和加速大多數業務職能的決策過程。

當董事會考慮如何最好地支持他們的企業踏上這段旅程時，他們應該對這些工具采取大膽和負責任的方法——通過三管齊下的方法與CISO合作，確保安全、擴展和發展，最大限度地降低風險。使用這種方法，董事會成員應：

·了解他們的企業計劃如何部署新興技術。

·與CISO合作，了解如何最好地利用創新技術的力量，實現更大規模的網絡安全成果。

·與CISO合作，隨時了解該領域的發展，以預測威脅。

你能描述一下CIO、CTO和CISO在合作推動更具防御性的技術平臺方面的動態嗎?在這一努力中，他們的作用如何相輔相成?

最大的誤解之一是，CISO和CIO/CTO的優先事項相互沖突——根據我的經驗，情況遠非如此。我沒有遇到過不對網絡安全以及更廣泛地說對技術和信息風險管理負有深刻責任的CIO或CTO。就像一個企業的CISO一樣，他們也經常受到董事會和執行領導層的正式問責。

CIO和CTO致力于確保安全，但通常必須在這與企業的業務或任務目標之間取得平衡，并在其IT企業中構建敏捷性。他們依賴與CISO的成功合作伙伴關系，以確保他們以集成、完全嵌入、面向工程和靈活的方式成功提供安全。

董事會如何才能更有效地參與技術在其企業內的戰略定位?他們應該問自己的管理團隊哪些問題?

董事會應該經常詢問有關技術和數字能力的問題——至少每季度一次，如果不是更多的話。與安全領導者的定期討論可幫助董事會成員了解IT現代化進程的現狀和影響其企業的各種威脅，并使其保持受教育、參與和及時了解的狀態。

董事會應該考慮向他們的管理團隊提問，以彌合常見的誤解和情報差距，確保他們感到有權就技術優先事項做出戰略決策。

需要考慮的問題包括：

·企業內部如何管理技術的使用?是否分配了明確的責任，決策結構中是否有明確的責任?

·技術的使用在多大程度上與總體業務戰略保持一致并為其提供支持，從而使現代化方法能夠量身定做以實現預期結果?

·企業的結構和運營模式如何發展，以充分利用新技術并提高安全合規采用的可能性?

當他們的安全團隊不斷追趕時，企業面臨哪些風險，董事會和高管領導層如何防止這種情況?

當今的威脅形勢繼續變得復雜，再加上人才短缺，這意味著許多企業無法在網絡威脅面前保持領先-通常只能在攻擊后才能做出反應和補救。這種反動的做法影響了企業的資源，浪費了時間和金錢。

董事會應將安全影響和總體風險作為所有業務決策的一部分來考慮，并確保與利益相關者繼續合作，以保持相關監督并幫助指導業務優先事項。

當董事會引導投資進入新的商業計劃時，他們如何確保安全考慮不會被擱置或視為事后考慮?

將安全性納入所有新的業務計劃是至關重要的。為了有效地實現這一點，董事會應該促進C級領導人，特別是CISO、CIO、CTO和首席合規官與企業領導人之間更深入的合作，將更好的安全性納入所有產品和服務，而不是將安全性視為事后考慮事項。