网络安全专家被董事会忽视
本文由《议程》提供,这是一份专注于公司董事会的《金融时报》专业刊物
研究人员表示,董事会缺乏网络安全专业知识,但首席信息安全官却难以被任命为高层管理人员。
Diligent Corporation 总裁兼高露洁棕榄公司董事丽莎·爱德华兹 (Lisa Edwards) 表示,网络攻击是公司面临的一大风险。Diligent在 1 月份进行的一项调查显示,64% 的英国公司表示,在过去 18 个月中,他们曾遭遇过网络攻击——主要是因为更多员工在家办公——75% 的公司因此遭受了收入损失。
招聘公司 Heidrick & Struggles 本月发布的一项调查显示,英国 52% 的首席信息安全官愿意加入董事会。
高管搜索公司 Amrop 的全球数字业
务负责人乔布·沃霍夫 (Job Voorhoeve) 表示,董事会通常只有在出现漏洞后才会关注网络安全。
他以丹麦航运公司马士基的经历为例,说明网络攻击造成的高昂成本。2017 年,该集团表示,其系统遭到入侵造成的损失高达 3 亿美元。
事件发生时,马士基董事长 Jim Hagemann Snabe 已上任三个月。Snabe 曾是一名技术高管,因其数字经验而被聘用,他确保马士基加强的网络安全可以被视为一项竞争优势。
董事们经常忽视网络安全专家担任董事会职务,因为他们的经验被认为太过狭隘。董事会通常更有兴趣招聘一名首席财务官,因为公司的技术高管要向其汇报工作。
美国搜索公司 JWC Partners 的创始人詹妮弗·克里斯滕森 (Jennifer Christensen) 表示,董事会之所以如此不情愿,是因为他们想要具有战略广度的人,而不是“只能谈论一个话题的人”。
根据英国《金融时报》专业刊物《议程》对美国董事的调查,许多董事会并不提供董事职位,而是依靠员工或外部顾问来提供网络专业知识。
一位受访者表示:“我们计划依靠首席信息安全
官的意见和外部资源来协助董事会。”
另一位员工表示:“我们有员工,我们也利用外部的专业知识。”
英国公司尤其不愿意任命具有专业背景的董事。只有 10% 的董事会成员拥有网络安全经验。
专家表示,这个数字应该更高。埃森哲金融服务人才和组织全球负责人安迪·杨 (Andy Young) 表示,他的公司建议银行董事会中25% 的董事应具有技术经验。
德勤首席信息安全官吉滕德·阿罗拉 (Jitender Arora) 表示:“董事会应将网络风险的运营监督委托给一个小组委员会,该委员会的职责可能因行业和监管环境而异。”
“例如,根据治理结构,它可以是 号码数据 审计和风险委员会、运营风险委员会或网络风险委员会。现在越来越多的公司设立了技术监督委员会。”
在全球范围内,任命具有专业背景的董事的人数正在增加。这些人包括拥有技术技能的人,也包括人力资源和法律等学科的专家。根据Diligent 的研究,这一比例在 2021 年达到 18.9%,但在英国,这一数字仅为 11.9% 。
德勤伦敦高级合伙人兼副主席威廉·塔什 (William Touche) 表示,监管机构正在加大对风险进行监督和挑战的压力。
“这可能导致网络报告变得越来越健全
特别是一些监管机构提议在年度报告中披露网络风险评估和管理活动,因为其重要性以及出现问题时的后果,”Touche说。
德勤最近的研究显示,如果董事会只有一名技术专家,那么可能会过于依赖一名董事“放过董事会其他成员” 。
杨说,依赖单个人可能会导致讨论和辩论太少。
Voorhoeve 表示,漏洞因行业而异。例如,在教育或招聘领域,许多人会登录公司的系统,这增加了漏洞的机会。然而,在基础设施公司,可以访问系统的人较少,但攻击的影响可能更大。
PA Consulting 网络 内容营销清单:优化帖子以使其位于顶部 安全专家 Cate Pye 表示,公司的网络安全团队应该具备足够的知识来为业务战略做出贡献。但她表示,外部专家(无论是顾问还是非执行董事)都可以带来其他方面的经验,并提供判断依据。
英国网络安全委员会正在制定专业标准
这将有助于董事会了解其组织 移动线索 的能力,该委员会董事会主席克劳迪娅·纳坦森 (Claudia Natanson) 表示。“董事会层面必须具备网络专业知识来帮助推进必要的变革。”本文基于 Amanda Gerut 为Agenda撰写的一篇文章。
类别:特色