CISO、CTO和CIO的通力协作是提高企业信息安全的关键

Google Cloud的CISO Phil Venables强调的事项包括，与安全领导人定期会谈，帮助董事会成员了解他们的IT现代化之旅的状况以及影响企业的各种威胁。

传统上，我们看到了一种日益增长的趋势，即投资于网络安全，而不是对其背后的基础技术进行现代化改造。董事会应优先讨论企业如何实现其技术基础设施的现代化，利用内置(而不是固定)安全性的架构来提高安全性、敏捷性和效率。

传统系统的构建或设计可能不如更现代的技术基础设施(通常为云或类似云的内部部署)那样安全。在过去十年中，企业在安全工具上进行了大量投资，但未能升级其整体IT基础设施或使其软件开发方法现代化，从而使其整个技术平台容易受到攻击，这一情况层出不穷。

没有现代化的基础设施，企业就不安全。董事会在做出商业决策时，必须通过这种视角来看待他们的网络安全方法，以确保他们获得现代威胁防御方法的全部好处。

世界各地的企业都在寻求利用新兴技术的力量。我们看到，像AIGC这样的工具使企业能够改进、扩展和加速大多数业务职能的决策过程。

当董事会考虑如何最好地支持他们的企业踏上这段旅程时，他们应该对这些工具采取大胆和负责任的方法——通过三管齐下的方法与CISO合作，确保安全、扩展和发展，最大限度地降低风险。使用这种方法，董事会成员应：

最大的误解之一是，CISO和CIO/CTO的优先事项相互冲突——根据我的经验，情况远非如此。我没有遇到过不对网络安全以及更广泛地说对技术和信息风险管理负有深刻责任的CIO或CTO。就像一个企业的CISO一样，他们也经常受到董事会和执行领导层的正式问责。

CIO和CTO致力于确保安全，但通常必须在这与企业的业务或任务目标之间取得平衡，并在其IT企业中构建敏捷性。他们依赖与CISO的成功合作伙伴关系，以确保他们以集成、完全嵌入、面向工程和灵活的方式成功提供安全。

董事会应该经常询问有关技术和数字能力的问题——至少每季度一次，如果不是更多的话。与安全领导者的定期讨论可帮助董事会成员了解IT现代化进程的现状和影响其企业的各种威胁，并使其保持受教育、参与和及时了解的状态。

董事会应该考虑向他们的管理团队提问，以弥合常见的误解和情报差距，确保他们感到有权就技术优先事项做出战略决策。

需要考虑的问题包括：

当今的威胁形势继续变得复杂，再加上人才短缺，这意味着许多企业无法在网络威胁面前保持领先-通常只能在攻击后才能做出反应和补救。这种反动的做法影响了企业的资源，浪费了时间和金钱。

董事会应将安全影响和总体风险作为所有业务决策的一部分来考虑，并确保与利益相关者继续合作，以保持相关监督并帮助指导业务优先事项。

将安全性纳入所有新的业务计划是至关重要的。为了有效地实现这一点，董事会应该促进C级领导人，特别是CISO、CIO、CTO和首席合规官与企业领导人之间更深入的合作，将更好的安全性纳入所有产品和服务，而不是将安全性视为事后考虑事项。