CISO、CTO和CIO的通力協(xié)作是提高企業(yè)信息安全的關(guān)鍵

責(zé)任編輯:cres

作者:Mirko Zorz

2023-10-19 14:25:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在訪談中,Google Cloud的CISO Phil Venables討論了Google最近發(fā)布的一份報告的結(jié)果,該報告涉及與最高管理層,特別是CIO、CTO和CISO的合作,以跟上趨勢并確定安全的優(yōu)先順序,而不是將其視為事后考慮的事項。

Google Cloud的CISO Phil Venables強調(diào)的事項包括,與安全領(lǐng)導(dǎo)人定期會談,幫助董事會成員了解他們的IT現(xiàn)代化之旅的狀況以及影響企業(yè)的各種威脅。
 
一些人認為,董事會將網(wǎng)絡(luò)安全作為一個獨立的問題過于關(guān)注。為什么你認為董事會必須將網(wǎng)絡(luò)安全放在技術(shù)現(xiàn)代化的更廣泛背景下來看待?
 
傳統(tǒng)上,我們看到了一種日益增長的趨勢,即投資于網(wǎng)絡(luò)安全,而不是對其背后的基礎(chǔ)技術(shù)進行現(xiàn)代化改造。董事會應(yīng)優(yōu)先討論企業(yè)如何實現(xiàn)其技術(shù)基礎(chǔ)設(shè)施的現(xiàn)代化,利用內(nèi)置(而不是固定)安全性的架構(gòu)來提高安全性、敏捷性和效率。
 
傳統(tǒng)系統(tǒng)的構(gòu)建或設(shè)計可能不如更現(xiàn)代的技術(shù)基礎(chǔ)設(shè)施(通常為云或類似云的內(nèi)部部署)那樣安全。在過去十年中,企業(yè)在安全工具上進行了大量投資,但未能升級其整體IT基礎(chǔ)設(shè)施或使其軟件開發(fā)方法現(xiàn)代化,從而使其整個技術(shù)平臺容易受到攻擊,這一情況層出不窮。
 
沒有現(xiàn)代化的基礎(chǔ)設(shè)施,企業(yè)就不安全。董事會在做出商業(yè)決策時,必須通過這種視角來看待他們的網(wǎng)絡(luò)安全方法,以確保他們獲得現(xiàn)代威脅防御方法的全部好處。
 
董事會如何在促進創(chuàng)新和確保安全仍然是整個企業(yè)倡議的優(yōu)先事項之間取得平衡?
 
世界各地的企業(yè)都在尋求利用新興技術(shù)的力量。我們看到,像AIGC這樣的工具使企業(yè)能夠改進、擴展和加速大多數(shù)業(yè)務(wù)職能的決策過程。
 
當(dāng)董事會考慮如何最好地支持他們的企業(yè)踏上這段旅程時,他們應(yīng)該對這些工具采取大膽和負責(zé)任的方法——通過三管齊下的方法與CISO合作,確保安全、擴展和發(fā)展,最大限度地降低風(fēng)險。使用這種方法,董事會成員應(yīng):
 
·了解他們的企業(yè)計劃如何部署新興技術(shù)。
·與CISO合作,了解如何最好地利用創(chuàng)新技術(shù)的力量,實現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全成果。
·與CISO合作,隨時了解該領(lǐng)域的發(fā)展,以預(yù)測威脅。
 
你能描述一下CIO、CTO和CISO在合作推動更具防御性的技術(shù)平臺方面的動態(tài)嗎?在這一努力中,他們的作用如何相輔相成?
 
最大的誤解之一是,CISO和CIO/CTO的優(yōu)先事項相互沖突——根據(jù)我的經(jīng)驗,情況遠非如此。我沒有遇到過不對網(wǎng)絡(luò)安全以及更廣泛地說對技術(shù)和信息風(fēng)險管理負有深刻責(zé)任的CIO或CTO。就像一個企業(yè)的CISO一樣,他們也經(jīng)常受到董事會和執(zhí)行領(lǐng)導(dǎo)層的正式問責(zé)。
 
CIO和CTO致力于確保安全,但通常必須在這與企業(yè)的業(yè)務(wù)或任務(wù)目標(biāo)之間取得平衡,并在其IT企業(yè)中構(gòu)建敏捷性。他們依賴與CISO的成功合作伙伴關(guān)系,以確保他們以集成、完全嵌入、面向工程和靈活的方式成功提供安全。
 
董事會如何才能更有效地參與技術(shù)在其企業(yè)內(nèi)的戰(zhàn)略定位?他們應(yīng)該問自己的管理團隊哪些問題?
 
董事會應(yīng)該經(jīng)常詢問有關(guān)技術(shù)和數(shù)字能力的問題——至少每季度一次,如果不是更多的話。與安全領(lǐng)導(dǎo)者的定期討論可幫助董事會成員了解IT現(xiàn)代化進程的現(xiàn)狀和影響其企業(yè)的各種威脅,并使其保持受教育、參與和及時了解的狀態(tài)。
 
董事會應(yīng)該考慮向他們的管理團隊提問,以彌合常見的誤解和情報差距,確保他們感到有權(quán)就技術(shù)優(yōu)先事項做出戰(zhàn)略決策。
 
需要考慮的問題包括:
 
·企業(yè)內(nèi)部如何管理技術(shù)的使用?是否分配了明確的責(zé)任,決策結(jié)構(gòu)中是否有明確的責(zé)任?
·技術(shù)的使用在多大程度上與總體業(yè)務(wù)戰(zhàn)略保持一致并為其提供支持,從而使現(xiàn)代化方法能夠量身定做以實現(xiàn)預(yù)期結(jié)果?
·企業(yè)的結(jié)構(gòu)和運營模式如何發(fā)展,以充分利用新技術(shù)并提高安全合規(guī)采用的可能性?
 
當(dāng)他們的安全團隊不斷追趕時,企業(yè)面臨哪些風(fēng)險,董事會和高管領(lǐng)導(dǎo)層如何防止這種情況?
 
當(dāng)今的威脅形勢繼續(xù)變得復(fù)雜,再加上人才短缺,這意味著許多企業(yè)無法在網(wǎng)絡(luò)威脅面前保持領(lǐng)先-通常只能在攻擊后才能做出反應(yīng)和補救。這種反動的做法影響了企業(yè)的資源,浪費了時間和金錢。
 
董事會應(yīng)將安全影響和總體風(fēng)險作為所有業(yè)務(wù)決策的一部分來考慮,并確保與利益相關(guān)者繼續(xù)合作,以保持相關(guān)監(jiān)督并幫助指導(dǎo)業(yè)務(wù)優(yōu)先事項。
 
當(dāng)董事會引導(dǎo)投資進入新的商業(yè)計劃時,他們?nèi)绾未_保安全考慮不會被擱置或視為事后考慮?
 
將安全性納入所有新的業(yè)務(wù)計劃是至關(guān)重要的。為了有效地實現(xiàn)這一點,董事會應(yīng)該促進C級領(lǐng)導(dǎo)人,特別是CISO、CIO、CTO和首席合規(guī)官與企業(yè)領(lǐng)導(dǎo)人之間更深入的合作,將更好的安全性納入所有產(chǎn)品和服務(wù),而不是將安全性視為事后考慮事項。
 
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號