过去几周,随着近1.5亿美国人个人信息的泄露,新闻不断泛滥,迄今为止,已经提起了50多起集体诉讼,以及宣布进行FTC调查,网络安全正成为人们关注的焦点。全国会议室中的餐桌。 2017年9月14日,技术与法度(Technology and law)很高兴接待Optiv首席信息安全官办公室执行总监Dawn-Marie Hutchinson,讨论信息安全的最新趋势并为这一重要的新兴领域提供支持。从网络研讨会中走出来,最重要的问题之一不是“董事会应该做什么?”。但是什么是木板 实际在做,以及董事会和高管如何进行基准测试。

重要的是,这是美国公司董事协会(“ NACD”)密切监视和广泛分析的一个问题。该小组不仅接受了董事调查,而且还撰写了一份 手册 在高级管理人员和董事的指导下。该指南正值关键时刻,因为市场上充斥着白皮书以及针对信息安全专业人员和CIO的其他指南,涉及如何与董事会讨论网络安全风险。同时,董事会在彼此之间及其顾问之间询问他们应该做什么或正在做什么。 NACD确定了董事会认为应该做的五件事。这些活动包括:

  1. 考虑整个企业。 网络安全不仅仅是一个IT问题,而且应该从人,流程和技术等方面进行全面处理。
  2. 了解法律。 董事会应熟悉自己的法律义务和职责,以及要负责监督的组织和业务的法律义务和职责。
  3. 访问专业知识。 董事会与网络安全相关的讨论的数量和质量均至关重要。除了在会议上安排适当的时间和讨论外,与其他领域一样,董事会可以并且应该与专家接触,以帮助其决策和监督。
  4. 设定期望。 许多调查表明,尽管执行团队说网络安全很重要,但组织中几级以下的高级管理人员可能会听到不同的信息。董事会的领导和兴趣可以帮助调整并建立正确的语气和责任感。
  5. 管理风险。 最终,董事会可以帮助确保有意管理风险。董事会具有独特的地位,可以识别,避免,减轻,转移或接受风险,并就每种策略的正确组合提供建议,包括识别和指导组织的风险承受能力。

那么,董事会实际上在做什么,以及他们如何解决这些问题?尽管有96%的NACD响应委员会在整个董事会中都考虑了“大图”风险,但只有46%的响应者认为网络风险是整个董事会中讨论的问题。相反,有51%的董事会在审计委员会层面关注网络安全风险。董事会越来越多地受到审查,并希望加强技术和风险专业知识。同时,NACD的指南没有具体建议董事会拥有网络安全专业知识,而是建议董事会本身最有能力根据其业务判断来确定其成员所需的能力。

了解法律越来越重要。消费者集体诉讼和与网络安全相关的股东衍生诉讼指控指责董事违反了其信托职责,这种情况正在迅速增长。彭博社报道说,这种趋势越来越类似于股票罢工诉讼的环境,导致国会通过了《私人证券诉讼改革法案》。商会 报告 四家律师事务所几乎负责所有与隐私和网络安全相关的诉讼。由于很难证明董事会未能达到所要求的护理标准,因此大多数此类案件都将被驳回,因为董事会通常会受到所谓的“业务判断规则”的保护。对家得宝提起的诉讼的驳回代表了诉讼类型的一个很好的例子,也说明了股东提出指控称董事会履行职责失败所面临的挑战。有关此案的讨论,请参阅我们的 以前的帖子.

为了保护自己并从业务判断规则中受益,董事会正在获取专业知识,设定期望并主动管理风险-NACD的其余建议。根据NACD的调查,有77%的董事会已审查了其公司目前用于保护其最关键数据资产的方法。 31%的人接受了有关该问题的教育。 59%的人已经审查了公司的事件响应计划。这些活动和其他活动非常有帮助,不仅可以免除指控董事会职务失败的诉讼,而且可以完全避免此类诉讼。令人惊讶的是,只有31%的董事会利用了外部顾问来帮助他们了解风险环境。这很有趣,因为仅依靠内部资源和风险可能会限制董事会对更广泛的趋势,治理方面的考虑并掩盖实际风险。例如,许多具有网络安全专长的投资者对组织持批评态度,这些组织假设有首席信息安全官(或同等职位)向首席信息官报告。用一位CISO的话来说,

“ CISO的职责是告诉CIO他们的孩子很丑,而且没人愿意听到他们的孩子很丑。”

除了挑战说真话,如果没有企业范围内的问题解决方法,就很难使部门动机与更广泛的风险管理考虑相一致。技术预算可能很大,但是为人员和流程获取资源可能很困难。对于安全专家而言,持续存在负面失业的情况尤其如此。所有这些结合在一起,为完美的风暴创造了机会。

在仔细研究这些问题时,了解董事会要提出的问题,提出问题,然后确保行动和问责制对董事会至关重要。 NACD预计,在相对不久的将来,100%的董事会将不得不解决网络安全问题。 NACD的董事会手册包括有用的指导和支持信息。它包括有关评估和支持并购的最新分析和指导,这对许多公司而言是越来越重要的风险领域。

在我们9月14日的网络研讨会期间,小组成员以类推的方式总结了网络安全风险管理和故意性的方法-虽然您无法阻止网络安全事件,但可以有目的地进行风险管理。就像斑马穿越鳄鱼出没的水域一样,组织可以理解,他们不需要先走,最后走,而且不应该很小,但是就像斑马一样,它们必须穿越。

您可以访问我们的网络研讨会的副本,“服务器间到董事会间:最新的和新兴的&O网络安全趋势” 以下连结。在网络研讨会的同时,我们还提供了指向有关组织战术考虑的有用指南的链接,以及有关董事会的法律义务和风险的指南的链接。可以通过访问NACD获得NACD董事关于网络风险监督的手册。 网站.