网络安全的成功离不开CISO、CTO和CIO的通力协作

Google Cloud 首席信息安全官 (CISO) Phil Venables 近日在接受helpnetsecurity采访时讨论了最近 Google 发布的关于董事会与 C级高管（特指 CIO、CTO 和 CISO）合作提高网络安全重要性和优先级的报告。

他强调，定期与安全领导者进行交谈有助于董事会成员了解他们的 IT 现代化之旅的状态以及影响组织的各种威胁。

采访内容编译整理如下：

有些人认为，董事会往往把网络安全看作是一个孤立的问题，为什么你认为董事会必须在技术现代化的大背景下看待网络安全？
传统上，我们看到围绕投资于网络安全的趋势正在增长，但并没有在现代化其背后的基础技术上进行投资。董事会应该优先考虑如何使组织现代化其技术基础设施，利用安全性内置的架构，而不是附加上去，以驱动更好的安全性、敏捷性和效率。
遗留系统可能没有像更现代的技术基础设施（通常是云或类似云的本地）那样被构建或设计得那么安全。在过去的十年中，已经有很多企业在安全工具上进行了大量投资，但未能升级他们的整体 IT 基础设施或现代化他们的软件开发方法，使他们的整个技术平台容易受到攻击。
没有现代化的基础设施，组织就不安全。董事会在做出商业决策时必须通过这个视角来看待他们对网络安全的方法，以确保他们充分利用现代化的威胁保护方法。

董事会如何平衡促进创新和安全优先之间的关系？
组织在各地都在寻求利用新兴技术的力量。我们看到像生成性 AI 这样的工具使组织能够在大多数业务功能中改进、扩展和加速决策过程。
当董事会考虑如何最好地支持他们的组织在这个旅程中时，他们应该对这些工具采取大胆而负责任的方法 – 通过与 CISO 合作采用三管齐下的方法来最大限度地减少风险，确保安全、扩展和发展。使用这种方法，董事会成员应该：

• 了解他们的组织计划如何部署新兴技术。
• 与 CISO 合作，了解如何最好地利用创新技术的力量，以大规模实现更好的网络安全结果。
• 与 CISO 合作，保持对这个领域的发展的了解，以预测威胁。

你能介绍一下 CIO、CTO 和 CISO 在合作驱动更具防御性的技术平台之间的动态吗？他们在这个过程中的角色如何相互补充？
其中一个最大的误解是 CISO 和 CIO/CTO 有冲突的优先事项 – 在我的经验中，情况并非如此。我还没有遇到一个 CIO 或 CTO 不深感对网络安全以及更广泛的技术和信息风险管理负责任的。像组织的 CISO 一样，他们通常也被董事会和执行领导层正式追究责任。
CIO 和 CTO 投入确保安全性，但经常需要平衡这一点与组织的业务或任务目标，并在他们的 IT 组织中建立敏捷性。他们依赖与 CISO 的成功合作，以确保他们以一种集成的、完全嵌入的、面向工程的和敏捷的方式成功地提供安全性。

董事会如何更有效地参与其组织内技术的战略定位？他们应该问他们的管理团队什么问题？
董事会应该经常询问关于技术和数字能力的问题 – 至少每季度一次，如果不是更多。与安全领导者的定期讨论有助于董事会成员保持教育、参与并了解 IT 现代化之旅的状态以及影响他们组织的各种威胁。
董事会应该考虑询问他们的管理团队一些问题，以弥合常见的误解和情报差距，确保他们有权做出关于技术优先事项的战略决策。
需要考虑的问题包括：

• 技术在组织内的使用是如何被管理的？是否分配了明确的责任，并在决策结构中有责任的清晰性？
• 技术的使用如何与支持整体业务战略相一致，以便现代化方法可以量身定制以实现预期的结果？
• 组织的结构和运营模式如何演变，以充分利用新技术并增加安全和合规采用的可能性？

当他们的安全团队不断追赶时，组织面临什么风险，董事会和执行领导层如何防止这种情况发生？
当今的威胁景观持续增长复杂性，并且由于人才短缺，许多组织未能领先于网络威胁 – 通常只能在攻击后作出反应和补救。这种反应式方法影响了组织的资源，浪费了时间和金钱。
董事会应该考虑作为所有商业决策的一部分的安全影响和整体风险，并确保与利益相关者保持持续合作，以保持相关的监督并帮助指导业务优先事项。

当董事会指导投资于新的商业计划时，他们如何确保安全考虑不被边缘化或被视为事后思考？
确保安全性被纳入所有新的商业计划是至关重要的。为了有效实现这一点，董事会应该促进 C级高管，尤其是CISO、CIO、CTO、CCO（首席合规官）和业务领导者之间更深入的合作，以更好地将安全性纳入所有产品和服务中，而不是将安全性视为事后的思考。