Google Cloud的CISO Phil Venables強(qiáng)調(diào)的事項(xiàng)包括，與安全領(lǐng)導(dǎo)人定期會談，幫助董事會成員了解他們的IT現(xiàn)代化之旅的狀況以及影響企業(yè)的各種威脅。

一些人認(rèn)為，董事會將網(wǎng)絡(luò)安全作為一個(gè)獨(dú)立的問題過于關(guān)注。為什么你認(rèn)為董事會必須將網(wǎng)絡(luò)安全放在技術(shù)現(xiàn)代化的更廣泛背景下來看待?

傳統(tǒng)上，我們看到了一種日益增長的趨勢，即投資于網(wǎng)絡(luò)安全，而不是對其背后的基礎(chǔ)技術(shù)進(jìn)行現(xiàn)代化改造。董事會應(yīng)優(yōu)先討論企業(yè)如何實(shí)現(xiàn)其技術(shù)基礎(chǔ)設(shè)施的現(xiàn)代化，利用內(nèi)置(而不是固定)安全性的架構(gòu)來提高安全性、敏捷性和效率。

傳統(tǒng)系統(tǒng)的構(gòu)建或設(shè)計(jì)可能不如更現(xiàn)代的技術(shù)基礎(chǔ)設(shè)施(通常為云或類似云的內(nèi)部部署)那樣安全。在過去十年中，企業(yè)在安全工具上進(jìn)行了大量投資，但未能升級其整體IT基礎(chǔ)設(shè)施或使其軟件開發(fā)方法現(xiàn)代化，從而使其整個(gè)技術(shù)平臺容易受到攻擊，這一情況層出不窮。

沒有現(xiàn)代化的基礎(chǔ)設(shè)施，企業(yè)就不安全。董事會在做出商業(yè)決策時(shí)，必須通過這種視角來看待他們的網(wǎng)絡(luò)安全方法，以確保他們獲得現(xiàn)代威脅防御方法的全部好處。

董事會如何在促進(jìn)創(chuàng)新和確保安全仍然是整個(gè)企業(yè)倡議的優(yōu)先事項(xiàng)之間取得平衡?

世界各地的企業(yè)都在尋求利用新興技術(shù)的力量。我們看到，像AIGC這樣的工具使企業(yè)能夠改進(jìn)、擴(kuò)展和加速大多數(shù)業(yè)務(wù)職能的決策過程。

當(dāng)董事會考慮如何最好地支持他們的企業(yè)踏上這段旅程時(shí)，他們應(yīng)該對這些工具采取大膽和負(fù)責(zé)任的方法——通過三管齊下的方法與CISO合作，確保安全、擴(kuò)展和發(fā)展，最大限度地降低風(fēng)險(xiǎn)。使用這種方法，董事會成員應(yīng)：

• 了解他們的企業(yè)計(jì)劃如何部署新興技術(shù)。
• 與CISO合作，了解如何最好地利用創(chuàng)新技術(shù)的力量，實(shí)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全成果。
• 與CISO合作，隨時(shí)了解該領(lǐng)域的發(fā)展，以預(yù)測威脅。

你能描述一下CIO、CTO和CISO在合作推動更具防御性的技術(shù)平臺方面的動態(tài)嗎?在這一努力中，他們的作用如何相輔相成?

最大的誤解之一是，CISO和CIO/CTO的優(yōu)先事項(xiàng)相互沖突——根據(jù)我的經(jīng)驗(yàn)，情況遠(yuǎn)非如此。我沒有遇到過不對網(wǎng)絡(luò)安全以及更廣泛地說對技術(shù)和信息風(fēng)險(xiǎn)管理負(fù)有深刻責(zé)任的CIO或CTO。就像一個(gè)企業(yè)的CISO一樣，他們也經(jīng)常受到董事會和執(zhí)行領(lǐng)導(dǎo)層的正式問責(zé)。

CIO和CTO致力于確保安全，但通常必須在這與企業(yè)的業(yè)務(wù)或任務(wù)目標(biāo)之間取得平衡，并在其IT企業(yè)中構(gòu)建敏捷性。他們依賴與CISO的成功合作伙伴關(guān)系，以確保他們以集成、完全嵌入、面向工程和靈活的方式成功提供安全。

董事會如何才能更有效地參與技術(shù)在其企業(yè)內(nèi)的戰(zhàn)略定位?他們應(yīng)該問自己的管理團(tuán)隊(duì)哪些問題?

董事會應(yīng)該經(jīng)常詢問有關(guān)技術(shù)和數(shù)字能力的問題——至少每季度一次，如果不是更多的話。與安全領(lǐng)導(dǎo)者的定期討論可幫助董事會成員了解IT現(xiàn)代化進(jìn)程的現(xiàn)狀和影響其企業(yè)的各種威脅，并使其保持受教育、參與和及時(shí)了解的狀態(tài)。

董事會應(yīng)該考慮向他們的管理團(tuán)隊(duì)提問，以彌合常見的誤解和情報(bào)差距，確保他們感到有權(quán)就技術(shù)優(yōu)先事項(xiàng)做出戰(zhàn)略決策。

需要考慮的問題包括：

• 企業(yè)內(nèi)部如何管理技術(shù)的使用?是否分配了明確的責(zé)任，決策結(jié)構(gòu)中是否有明確的責(zé)任?
• 技術(shù)的使用在多大程度上與總體業(yè)務(wù)戰(zhàn)略保持一致并為其提供支持，從而使現(xiàn)代化方法能夠量身定做以實(shí)現(xiàn)預(yù)期結(jié)果?
• 企業(yè)的結(jié)構(gòu)和運(yùn)營模式如何發(fā)展，以充分利用新技術(shù)并提高安全合規(guī)采用的可能性?

當(dāng)他們的安全團(tuán)隊(duì)不斷追趕時(shí)，企業(yè)面臨哪些風(fēng)險(xiǎn)，董事會和高管領(lǐng)導(dǎo)層如何防止這種情況?

當(dāng)今的威脅形勢繼續(xù)變得復(fù)雜，再加上人才短缺，這意味著許多企業(yè)無法在網(wǎng)絡(luò)威脅面前保持領(lǐng)先-通常只能在攻擊后才能做出反應(yīng)和補(bǔ)救。這種反動的做法影響了企業(yè)的資源，浪費(fèi)了時(shí)間和金錢。

董事會應(yīng)將安全影響和總體風(fēng)險(xiǎn)作為所有業(yè)務(wù)決策的一部分來考慮，并確保與利益相關(guān)者繼續(xù)合作，以保持相關(guān)監(jiān)督并幫助指導(dǎo)業(yè)務(wù)優(yōu)先事項(xiàng)。

當(dāng)董事會引導(dǎo)投資進(jìn)入新的商業(yè)計(jì)劃時(shí)，他們?nèi)绾未_保安全考慮不會被擱置或視為事后考慮?

將安全性納入所有新的業(yè)務(wù)計(jì)劃是至關(guān)重要的。為了有效地實(shí)現(xiàn)這一點(diǎn)，董事會應(yīng)該促進(jìn)C級領(lǐng)導(dǎo)人，特別是CISO、CIO、CTO和首席合規(guī)官與企業(yè)領(lǐng)導(dǎo)人之間更深入的合作，將更好的安全性納入所有產(chǎn)品和服務(wù)，而不是將安全性視為事后考慮事項(xiàng)。