雖然美國證券交易委員會已發布 更好的網路安全治理指南 多年來,上市公司大多忽視了它們。儘管這些要求可能很難滿足,但與那些沒有付出努力的公司相比,付出了努力的公司創造了近四倍的股東價值。
Bitsight 和 Diligent 對數千家上市公司進行了調查,發現網路安全經驗與三年到五年的平均股東總回報之間存在相關性。 (來源:Bitsight)
這是 Bitsight 和 Diligent Institute 聯合進行的一項新調查的結論,調查的標題是“網路安全、審計和董事會」。該調查深入研究了全球 4,000 多家大中型公司,調查了董事的專業知識以及審計和專業風險委員會成員的背景。他們衡量了 23 個不同風險因素的網路安全專業知識,例如殭屍網路感染的存在、託管惡意軟體的伺服器、過時的 Web 和電子郵件通訊加密憑證以及面向公眾的伺服器上的開放網路連接埠。
Omega315 網路安全顧問兼執行長拉迪·阿德法拉(Ladi Adefala) 表示:「與依賴整個董事會相比,透過由網路專家成員組成的專門委員會進行網路監督的董事會更有可能改善其整體安全狀況和財務績效。」與報告的結論。他在一家財富 500 強公司就這個問題工作,發現「董事會沒有一個專門的委員會來花時間深入研究網路主題。他們也沒有足夠的成員,因此無力設立專門的網路委員會,」他說。他的諮詢業務的一部分是幫助建立這樣的委員會,他稱之為提供網路公民課程。
撇開人力資源不談,糟糕的網路安全治理並不是什麼新聞:上市公司多年來一直對網路安全漠不關心。例如,安全專家 大衛·弗洛德 至少從 2017 年起就一直在撰寫有關此主題的文章。但新的變化是看到評估網絡知識和建立持久治理是多麼困難。
根據 Bitsight 報告,設立單獨的董事會委員會專注於專門的風險和審計合規性會產生最佳結果。作者寫道:「這些委員會更有能力深入研究特定的網路安全問題,並且可以與負責日常網路安全營運的高階主管建立更牢固的關係。反過來,這可以導致董事會層面製定更好的網路安全相關政策、預算和其他決策。”
調查發現,與排名最低的工業公司相比,排名最高的醫療保健和金融服務相關公司擁有廣泛的網路體驗。
值得注意的是,絕大多數公司在將這些專家納入董事會和委員會方面做得很差。報告發現,5% 的受訪者(標準普爾 12 強公司中有 500%)的董事會中有這些專家。但僅在董事會中擁有 CISO 或 CTO 並不能保證網路安全效能。 Bitsight 指出,「這些專家需要融入現有的結構」和保護措施中。
報告中沒有提到另一個治理弱點:建立持久的網路彈性。這是麻省理工學院斯隆管理學院網路安全研究聯盟進行的另一項調查的主題 發表於《哈佛商業評論》 去年。麻省理工學院團隊對 600 名董事會成員進行了調查,發現他們與 CISO 的互動不足。不到一半的受訪者與首席資訊安全官有任何定期聯繫,大多僅限於在董事會會議上進行演示,除此之外沒有太多聯繫。
在許多情況下,這些演示僅限於保護措施的機制,例如他們進行紅隊演習或網路釣魚意識培訓的頻率。麻省理工學院聯盟的執行董事、《哈佛商業評論》文章的合著者(與 Proofpoint 的全球駐地 CISO Lucia Milică 共同撰寫)Keri Pearlson 與醫學界進行了類比:「當我們接觸到感染時,我們要么我們不會生病,或者如果我們確實生病了,我們體內的某些東西會自動發揮作用,讓我們恢復健康。”
她補充道,“董事會需要討論其組織的網路安全引發的風險,並評估管理這些風險的計劃。”
正如阿德法拉總結的那樣,“最引人注目的方法是將網路安全作為創造收入或運營敏捷性的戰略資產,而不是作為運營必需品。”
