违反了近1.5亿美国人的个人信息洪水的新闻过去几周,其次申请了50多级诉讼诉讼,并宣布了FTC调查,网络安全正直是在思想中的思想桌子在全国各地的会议室。 2017年9月14日,Reed Smith很高兴地举办了由Optiv的首席信息安全官员办公室执行董事Dawn-Marie Hutchinson,讨论了信息安全的最新趋势,并在这一重要的新兴地区支持董事会。走出网络研讨会,出现的最重要的问题之一并不是那么多“应该做什么?”但是董事会是什么 实际上在做,以及董事会和高管如何能够基准。

重要的是,这是全国企业董事会(“NACD”)的密切监测和广泛分析的问题。该集团不仅调查董事,而且还写了一个 手册 为官员和董事提供了广泛的指导。这一指导在一个非常关键的时期,随着市场已经充斥着白皮书和信息安全优势和CIO的其他指导,如何与董事会关于网络安全风险。与此同时,董事会在自己和他们的顾问中询问,他们应该做的或做什么。 NACD确定了它相信董事会应该在做的五件事。这些活动包括:

  1. 考虑整个企业。 网络安全不仅仅是IT问题,它应该全面接近,包括人员,过程和技术。
  2. 了解法律。 董事会应熟悉自己的法律义务和职责,以及他们负责监督的组织和业务的职责。
  3. 访问专业知识。 董事会的数量和质量与网络安全有关的讨论。除了适当的时间和讨论会议上,董事会和其他领域的董事会一起,也可以访问专家,帮助他们告知他们的决策和监督。
  4. 设定期望。 许多调查表明,虽然执行团队表示,网络安全是重要的,高级管理人员,组织中的几个层次,可能会听到不同的信息。董事会领导和利息可以帮助对齐和创造正确的音调和问责制。
  5. 管理风险。 最终,董事会可以帮助确保风险与意识地管理。董事会处于独特的职位,可识别,避免,减轻,转移或接受风险,并提供关于这些策略中的每项策略的正确组合的建议,包括识别和指导本组织的风险耐受性。

那么,董事会实际上是什么,他们如何接近这些问题?虽然在96%的NACD响应委员会的96%的全膳水平上考虑了“大图”风险,但其中只有46%的响应将识别网络风险作为全委员会中讨论的问题。相反,51%的董事会专注于审计委员会一级的网络安全风险。越来越多地,董事会已经受到一些审查,并希望加强技术和风险专业知识。与此同时,NACD的指导没有具体建议,董事会具有网络安全的专业知识,而且表明理事会本身最好配备其业务判决,以确定其成员所需的能力。

了解法律越来越重要。消费者阶级行动和网络安全相关股东衍生诉讼声称董事违反其信誉职责迅速增长,彭博据报道,这一趋势越来越多地类似于导致国会传递私人证券诉讼改革法案的股票罢工的环境。商会 举报 这四家律师事务所几乎对所有隐私和网络安全相关诉讼负责。由于难以表明董事会未能满足所需标准的困难,这些案件的大多数往往被驳回,因为董事会经常受到称为“商业判断规则”的原因。解雇针对家庭仓库的诉讼代表了股东面临的诉讼类型和挑战的良好榜样,使委员会在其“职责”中失败了。对于案件的讨论,请看看我们的 以前的帖子.

为了保护自己并获得商业判断规则的利益,董事会正在访问专业知识,设定期望,积极管理风险 - NACD的剩余建议。根据NACD的说法,77%的董事会已审查其公司目前的保护其最关键的数据资产的方法。 31%的人收到了关于这些问题的教育。 59%审查了该公司的事件响应计划。这些和其他活动可能非常有帮助,不仅可以解雇指控董事会的职责,履行职责,而且还完全避免了此类诉讼。令人惊讶的是,只有31%的董事会已经利用外部顾问来帮助他们了解风险环境。这很有趣,因为完全依赖内部资源和风险可能会限制董事会可见性,以更广泛的趋势,治理考虑和模糊的真实风险。例如,在网络安全方面拥有专业知识的许多投资者对组织至关重要,假设有一名主要信息安全官员(或同等),该人向CIO报告。用一个ciso的话来说,

“CISO的工作是告诉CIO他们的宝宝是丑陋的,没有人想听到他们的宝宝是丑陋的。”

除了对权力发言的挑战外,在没有企业范围的问题的情况下,对更广泛的风险管理考虑的部门动机进行了调整。技术预算可能很大,但为人民和流程获得资源可能很困难。尤其如此,负面失业仍然存在于安全专家。所有这些都结合起来为完美风暴创造机会。

在思考这些问题时,学习要提出的问题,提出这些问题,然后确保从答案中征求行动和问责制,将继续对董事会批判密切项。 NACD希望在相对不久的将来,100%的董事会将不得不解决网络安全问题。 NACD的董事会手册包括有用的指导和支持信息。它包括最近与评估和支持合并和收购的分析和指导 - 许多公司的越来越重要的风险区域。

在我们9月14日的网络研讨会期间,小组成员将网络安全风险管理和故意的方法总结了一个类比 - 而无法阻止网络安全事件,您可以故意管理风险。就像斑马穿过鳄鱼虫 - 侵染水域一样,组织可以理解他们不需要先走,去最后,而不应该是小的,而是就像斑马一样,他们必须越过斑马。

您可以访问我们的网络研讨会的副本,“服务器房到船上房间:当前和新兴D.&o网络安全趋势“在” 以下链接。除了网络研讨会外,我们还包括关于组织的战术考虑的有用指导的链接,以及对其法律义务的指导和风险的指导。 NACD主任关于网络风险监督的手册可以通过访问NACD获得 网站 .