美國全國公司董事協會(NACD)是專注于提高董事會領導和做法的非營利組織,該協會總裁兼首席執行官Ken Daly表示,在NACD的14000多名成員中,很多成員都表示了其領導對各自企業內信息安全話題的興趣。他指出,近年來,“安全風險不屬于企業董事會成員的職責的觀念”已經轉變,這主要是受斯諾登和Bradley Manning,以及Target和其他大型零售商的安全泄露事故的影響。
互聯網安全聯盟總裁兼首席執行官Larry Clinton在國土安全會議上表示同意Daly的看法,并提到了最近FTI咨詢公司的調查統計數據,這些數據顯示數據安全現在是企業主管和總法律顧問最關心的問題。Clinton補充說,“數據安全”取代了去年的“繼承選擇和領導過渡”,這表明信息安全已經成為企業董事會成員的主要課題。
“我們實際上已經超越了我們的第一個目標,即提高網絡安全意識,到更困難的問題,即真正了解問題,然后合作解決問題,”Clinton表示,“談論網絡安全應該成為業務的一部分,這是一回事;而真正能做到這一點,又是另一回事。”
事實上,董事會成員對信息安全問題意識的提高是好事,但這并不一定意味著董事會成員會采取更多行動來減少風險。很多NACD成員已經通過調查和非正式討論表明,對于安全話題,他們缺乏教育,其中有些人還承認他們沒有掌握必要的安全專用詞匯來有效地討論相關技術、威脅媒介和趨勢。
為了滿足對更多信息安全知識的需求,NACD在6月份發表了一本手冊,其中詳細介紹了5個一般信息安全原則,這些原則涵蓋了“有關安全風險監督,董事會需要考慮的因素”。Daly表示,這本手冊在發布后,已經下載超過1200次,隨著國土安全局已經將它選作為關注安全的私有企業的資源,它還會獲得更多的關注。NACD也將提供更多的安全資源,形式包括視頻系列以及企業會議的專家演講。對于這個NACD手冊中包含的內容,其中一條原則建議董事會成員注意與網絡風險相關的法律問題。某些州(例如加利福尼亞)已經制定了與安全泄露事故通知相關的具體指導方針,而備受矚目的數據泄露事故已經導致很多公司被起訴。為了確保企業在這種事件后不會因為忽視安全性而遭起訴,NACD手冊指出,董事會關于安全話題的討論應該在所有正式會議中記錄下來,包括對特定風險的更新和整體安全計劃及技術。
這本手冊還指出,企業董事會還應該確保他們經常與安全相關的工作人員和專家舉行會議,來討論網絡風險,并決定各自企業對這種風險的容忍程度。Daly強調,這本手冊并沒有提倡的是,在董事會安排專門的安全人員。
相反地,作為企業級戰略的一部分,所有董事會成員應該積極參與管理風險中來。這意味著,每個董事會成員和委員會應該了解“安全如何影響他們的具體領域”,然后確定自己是否已深入其中來試圖管理相應的問題,或者甚至可能聘請外部顧問來幫助他們。
“我沒有聽說過NACD成員想要把另一位專家安排在董事會,”Daly表示,“我認為這實際上違背了這個企業級的概念。”
Daly表示他希望,即使這個NACD手冊沒有為企業董事會提供所有答案,但這至少能夠將目前對信息安全的“未知”變為“不確定”,這意味著他們將接受數據泄露事故的必然性,但這種泄露事故的結果仍然會受到企業提前部署的緩解措施的影響。
京公網安備 11010502049343號