虽然美国证券交易委员会已发布 更好的网络安全治理指南 多年来,上市公司大多忽视了它们。尽管这些要求可能很难满足,但与那些没有付出努力的公司相比,付出了努力的公司创造了近四倍的股东价值。
Bitsight 和 Diligent 对数千家上市公司进行了调查,发现网络安全经验与三年到五年的平均股东总回报之间存在相关性。 (来源:Bitsight)
这是 Bitsight 和 Diligent Institute 联合进行的一项新调查的结论,调查的标题是“网络安全、审计和董事会”。该调查深入研究了全球 4,000 多家大中型公司,调查了董事的专业知识以及审计和专业风险委员会成员的背景。他们衡量了 23 个不同风险因素的网络安全专业知识,例如僵尸网络感染的存在、托管恶意软件的服务器、过时的 Web 和电子邮件通信加密证书以及面向公众的服务器上的开放网络端口。
Omega315 网络安全顾问兼首席执行官拉迪·阿德法拉 (Ladi Adefala) 表示:“通过由网络专家成员组成的专门委员会进行网络监督,而不是依赖整个董事会,董事会更有可能改善其整体安全状况和财务绩效。”与报告的结论。他就这个问题在一家财富 500 强公司工作,发现“董事会没有一个专门的委员会来花时间深入研究网络主题。他们也没有足够的成员,因此无力设立专门的网络委员会,”他说。他的咨询业务的一部分就是帮助建立这样的委员会,他称之为提供网络公民课程。
撇开人力资源不谈,糟糕的网络安全治理并不是什么新闻:上市公司多年来一直对网络安全漠不关心。例如,安全专家 大卫·弗洛德 至少从 2017 年起就一直在撰写有关此主题的文章。但新的变化是看到评估网络知识和建立持久治理是多么困难。
根据 Bitsight 报告,设立单独的董事会委员会专注于专门的风险和审计合规性会产生最佳结果。作者写道:“这些委员会更有能力深入研究特定的网络安全问题,并且可以与负责日常网络安全运营的高管建立更牢固的关系。反过来,这可以导致董事会层面制定更好的网络安全相关政策、预算和其他决策。”
调查发现,与排名最低的工业公司相比,排名最高的医疗保健和金融服务相关公司拥有广泛的网络体验。
值得注意的是,绝大多数公司在将这些专家纳入董事会和委员会方面做得很差。报告发现,5% 的受访者(以及 12% 的标准普尔 500 强公司)的董事会中有这些专家。但仅在董事会中拥有 CISO 或 CTO 并不能保证网络安全性能。 Bitsight 指出,“这些专家需要融入现有的结构”和保护措施中。
报告中没有提到另一个治理弱点:建立持久的网络弹性。这是麻省理工学院斯隆管理学院网络安全研究联盟进行的另一项调查的主题 发表于《哈佛商业评论》 去年。麻省理工学院团队对 600 名董事会成员进行了调查,发现他们与 CISO 的互动不足。不到一半的受访者与首席信息安全官有任何定期联系,大多仅限于在董事会会议上进行演示,除此之外没有太多联系。
在许多情况下,这些演示仅限于保护措施的机制,例如他们进行红队演习或网络钓鱼意识培训的频率。麻省理工学院联盟的执行董事、《哈佛商业评论》文章的合著者(与 Proofpoint 的全球驻地 CISO Lucia Milică 共同撰写)Keri Pearlson 与医学界进行了类比:“当我们接触到感染时,我们要么我们不会生病,或者如果我们确实生病了,我们体内的某些东西会自动发挥作用,让我们恢复健康。”
她补充道,“董事会需要讨论其组织的网络安全引发的风险,并评估管理这些风险的计划。”
正如阿德法拉总结的那样,“最引人注目的方法是将网络安全作为创造收入或运营敏捷性的战略资产,而不是作为运营必需品。”
