Google Cloud的CISO Phil Venables强调的事项包括,与安全领导人定期会谈,帮助董事会成员了解他们的IT现代化之旅的状况以及影响企业的各种威胁。
一些人认为,董事会将网络安全作为一个独立的问题过于关注。为什么你认为董事会必须将网络安全放在技术现代化的更广泛背景下来看待?
传统上,我们看到了一种日益增长的趋势,即投资于网络安全,而不是对其背后的基础技术进行现代化改造。董事会应优先讨论企业如何实现其技术基础设施的现代化,利用内置(而不是固定)安全性的架构来提高安全性、敏捷性和效率。
传统系统的构建或设计可能不如更现代的技术基础设施(通常为云或类似云的内部部署)那样安全。在过去十年中,企业在安全工具上进行了大量投资,但未能升级其整体IT基础设施或使其软件开发方法现代化,从而使其整个技术平台容易受到攻击,这一情况层出不穷。
没有现代化的基础设施,企业就不安全。董事会在做出商业决策时,必须通过这种视角来看待他们的网络安全方法,以确保他们获得现代威胁防御方法的全部好处。
董事会如何在促进创新和确保安全仍然是整个企业倡议的优先事项之间取得平衡?
世界各地的企业都在寻求利用新兴技术的力量。我们看到,像AIGC这样的工具使企业能够改进、扩展和加速大多数业务职能的决策过程。
当董事会考虑如何最好地支持他们的企业踏上这段旅程时,他们应该对这些工具采取大胆和负责任的方法——通过三管齐下的方法与CISO合作,确保安全、扩展和发展,最大限度地降低风险。使用这种方法,董事会成员应:
- 了解他们的企业计划如何部署新兴技术。
- 与CISO合作,了解如何最好地利用创新技术的力量,实现更大规模的网络安全成果。
- 与CISO合作,随时了解该领域的发展,以预测威胁。
你能描述一下CIO、CTO和CISO在合作推动更具防御性的技术平台方面的动态吗?在这一努力中,他们的作用如何相辅相成?
最大的误解之一是,CISO和CIO/CTO的优先事项相互冲突——根据我的经验,情况远非如此。我没有遇到过不对网络安全以及更广泛地说对技术和信息风险管理负有深刻责任的CIO或CTO。就像一个企业的CISO一样,他们也经常受到董事会和执行领导层的正式问责。
CIO和CTO致力于确保安全,但通常必须在这与企业的业务或任务目标之间取得平衡,并在其IT企业中构建敏捷性。他们依赖与CISO的成功合作伙伴关系,以确保他们以集成、完全嵌入、面向工程和灵活的方式成功提供安全。
董事会如何才能更有效地参与技术在其企业内的战略定位?他们应该问自己的管理团队哪些问题?
董事会应该经常询问有关技术和数字能力的问题——至少每季度一次,如果不是更多的话。与安全领导者的定期讨论可帮助董事会成员了解IT现代化进程的现状和影响其企业的各种威胁,并使其保持受教育、参与和及时了解的状态。
董事会应该考虑向他们的管理团队提问,以弥合常见的误解和情报差距,确保他们感到有权就技术优先事项做出战略决策。
需要考虑的问题包括:
- 企业内部如何管理技术的使用?是否分配了明确的责任,决策结构中是否有明确的责任?
- 技术的使用在多大程度上与总体业务战略保持一致并为其提供支持,从而使现代化方法能够量身定做以实现预期结果?
- 企业的结构和运营模式如何发展,以充分利用新技术并提高安全合规采用的可能性?
当他们的安全团队不断追赶时,企业面临哪些风险,董事会和高管领导层如何防止这种情况?
当今的威胁形势继续变得复杂,再加上人才短缺,这意味着许多企业无法在网络威胁面前保持领先-通常只能在攻击后才能做出反应和补救。这种反动的做法影响了企业的资源,浪费了时间和金钱。
董事会应将安全影响和总体风险作为所有业务决策的一部分来考虑,并确保与利益相关者继续合作,以保持相关监督并帮助指导业务优先事项。
当董事会引导投资进入新的商业计划时,他们如何确保安全考虑不会被搁置或视为事后考虑?
将安全性纳入所有新的业务计划是至关重要的。为了有效地实现这一点,董事会应该促进C级领导人,特别是CISO、CIO、CTO和首席合规官与企业领导人之间更深入的合作,将更好的安全性纳入所有产品和服务,而不是将安全性视为事后考虑事项。