网络安全：企业董事会中的优先议题

关键要点

网络安全问题日益严重，企业需将其提升至董事会讨论层面。SEC提议要求公司定期披露网络安全治理能力。企业需在所有商业决策中考虑网络安全。定期风险评估至关重要，以确保公司安全态势的透明度和适应性。

近年来，网络攻击的威胁令安全专业人士深感紧迫，而这一议题也逐渐超越了IT部门，进入了公司管理层的视野。如今，各行各业的公司面临来自意图或无意行为导致的网络安全事件风险，这些事件的成本和频率不断上升。从商业中断、收入损失、赎金支付、修复费用到法律后果、网络保险及品牌形象的损害，网络安全事件的成本在2020年至2022年间暴涨了13 1。因此，将网络安全提升至董事会层面是当务之急。

除了成本，近期的诸如俄罗斯乌克兰战争和国家级网络攻击等问题，使得网络安全的价值愈加清晰。大多数组织都同意，董事会应关注网络安全，但具体的讨论内容仍不明确。这场风险愈发高企，后果也愈加严重，网络安全问题不应再被视作次要议题，而SEC的提议或将促使公司更加重视这一领域。

增设具备网络安全专长的董事会成员

SEC提出的“网络安全风险管理、战略、治理与事件披露”提案，要求美国公司定期披露其网络安全治理能力。这意味着董事会需对网络安全问题进行共同监督，包括拥有网络安全背景的董事数量及其培训和专业知识。这使得投资者能够通过这些披露判断组织的潜在网络风险。目前，大部分美国上市公司董事会中并没有具备网络经验的成员。根据WSJ Pro Research的数据，近100家标普500公司的董事中只有19在过去10年内拥有专业的网络安全经验。这一短缺不仅反映出董事会对这一专长的重视程度不高，也预示着未来几年必须进行重大变革。

然而，网络风险、事件评估和网络安全管理不应仅由一小部分人肩负。多个董事会成员应共同承担网络安全监督的委员会责任，倡导并监督公司的网络安全运营。

将网络安全置于董事会讨论的前沿

委员会成立后，应当把网络安全问题贯穿于每次讨论中，有两种方式可以推动这一点。

飞鸟机场

首先，我们需要为其他董事会成员提供网络安全风险的具体背景，清楚地说明这些决策为何至关重要。网络安全和网络风险常常被认为是工程性决策，而未被纳入更广泛的商业决策之中，因为其技术性被认为较强。如今，我们必须以商业目标和目的为视角来审视与网络安全相关的决策。首先引入成本的因素，因为平均数据泄露成本已超过435万美元。

其次，公司在每项业务决策中都需要考虑网络安全，特别是在涉及新收购、新供应商或新应用和共享数据的工具时。这些关系带来了第三方风险，这被认为是主要网络攻击的首要原因。此外，在预算分配方面，公司绝不能低估强大安全态势的重要性。将网络安全风险引入每一个决策，能够在尽早阶段提高意识、问责性和后果考虑。