现在公司董事会也对网络安全负有责任| 麻省理工学院新闻

美国证券交易委员会（SEC）的一项新规定被称为 网络安全风险管理、战略、治理和事件披露，于去年秋天生效。 该裁决要求上市公司披露其董事会是否有具有网络安全专业知识的成员。 具体来说，注册人需要披露整个董事会、特定董事会成员或董事会委员会是否负责网络风险的监督； 董事会了解网络风险的流程以及讨论该主题的频率； 以及董事会或指定董事会委员会是否以及如何将网络风险视为其业务战略、风险管理和财务监督的一部分。

“简单来说，董事会负责管理、治理和披露报告，”解释道 克里·皮尔森麻省理工学院斯隆研究联盟 (CAMS) 网络安全执行董事。 “虽然还有很多解释要做，但我们确信这一点。”

同样众所周知的是，黑客事件发生的可能性越来越大，公司的成本呈指数级增长。 尽管世界各地的公司和政府最近努力加强网络安全，但数据泄露事件仍在逐年增加。 数据显示一 数据泄露增加 20% 从 2022 年到 2023 年。考虑到数字工作和数字化的迅速扩散，这应该不足为奇。 正如 SEC 在一份报告中指出的 概况介绍 随着最近的裁决，“随着注册人运营的数字化、远程工作的增长、犯罪分子利用网络安全事件获利的能力、数字支付的使用以及对第三方服务提供商的日益依赖，网络安全风险也随之增加。信息技术服务，包括云计算技术。”

网络弹性：响应和恢复

皮尔森正在进行的研究包括网络安全中的组织、战略、管理和领导问题。 她目前的重点是董事会在网络安全方面的作用。 在 2023 年 1 月 麻省理工学院斯隆管理评论 文章， ”网络弹性行动计划”，皮尔森和她的合著者建议，董事会成员必须假设网络攻击是可能发生的，并行使监督职责，以确保高管和经理做好应对和恢复的适当准备。

“毕竟，如果我们假设每个组织都可能面临被破坏或攻击的风险，并且不可能 100% 免受每次攻击，那么最合理的方法是确保组织能够在几乎没有或没有受到任何损害的情况下进行恢复。运营、财务底线以及组织的声誉，”Pearlson 说道。 为了正确降低网络风险，公司领导者必须制定坚如磐石的计划来快速响应和恢复，以便公司能够继续运营。 他们需要具有网络弹性。

皮尔森将网络弹性与新冠疫情弹性实践进行了比较。 “我们做了一些事情，比如待在家里、戴口罩、接种疫苗，既可以减少感染新冠病毒的机会，也可以减少生病的后果。”

换句话说，大多数公司目前采取的以保护为导向的网络方法还不够。 保护只能帮助我们缓解我们所知道的问题。 但网络犯罪分子具有创新性，我们不知道我们不知道什么。 他们似乎不断寻找新的方法来闯入我们的系统。 皮尔森谈到了保持韧性的必要性，以及这种想法是如何来自高层的。 “虽然董事会长期以来一直在收到有关网络安全的报告，但这些报告通常每年一次，并且不关注董事会确保公司弹性所需的数据，”皮尔森说。

在 2023 年 5 月 哈佛商业评论 文章， ”董事会关于网络安全的对话是错误的”，Pearlson 和合著者 Lucia Milică 评论了董事会会议期间典型网络安全演示的不足，这些演示通常涵盖威胁以及公司正在实施的防范措施或技术。 “对我们来说，这是董事会监督的错误观点。 我们知道，无论我们在技术或计划上投入多少钱来阻止网络攻击，我们都无法得到完全保护。 虽然花费资源来保护我们的资产至关重要，但将讨论仅限于保护只会让我们陷入灾难。”

相反，谈话需要关注韧性。 例如，成员们不必在董事会会议上详细讨论组织如何应对事件，而必须关注最大的风险可能是什么，以及组织如何准备在这种情况下快速从损害中恢复过来。发生。

使用平衡计分卡方法评估风险

为此，皮尔森开发了 董事会级网络弹性平衡计分卡 (BSCR)，旨在帮助董事会和管理层进行更富有成效的讨论并了解组织对网络弹性的最大风险。 受 Kaplan 和 Norton 的平衡计分卡（一种用于衡量组织绩效的著名工具）的启发，Pearlson 的 BSCR 将这些关键风险领域映射到四个象限：绩效、技术、组织活动（例如人员和合规性要求）和供应链。 每个象限包括三个组成部分：

• 基于组织现有网络安全控制框架的定量进度指标（红黄绿信号灯），例如 CISA 网络安全绩效目标 (CPG)、NIST SP 800-53、ISO 27001、CIS 控制或其他控制评估；
• 首席级领导者认为，组织弹性的最大风险因素； 和
• 定性行动计划，首席级领导者将分享他们解决这一风险的计划。

记分卡有助于将董事会报告和对话引导到组织在发生网络攻击时应关注的重点领域，特别是技术、业务财务方面、组织方面和供应链。 虽然有些公司可能需要其他象限，但我们的想法是每个重点领域都应该有定量措施。 通过在一个框架中综合考虑这些指标，领导者可以得出否则可能会被忽略的结论。

“拥有控制权并不是什么新鲜事，特别是对于拥有衡量和管理网络安全投资计划的上市公司来说，”皮尔森说。 “然而，这些测量中通常不会遇到定性风险。 虽然典型的控制措施可以衡量有多少人未能通过网络钓鱼活动（网络钓鱼活动是网络安全的重要组成部分），但记分卡鼓励企业了解存在风险的内容以及正在采取的措施。” 您可以在此处阅读有关记分卡的更多信息 最近的 哈佛商业评论 文章。

为董事会提供他们需要的信息

绝大多数领导人都知道他们正面临攻击的危险——他们只是不知道如何谈论它或该怎么做。 虽然网络高管最容易报告技术指标或组织指标，但此信息无助于董事会确保网络弹性的工作。 “对于与董事会的对话来说，至少在最初，这是错误的信息，”皮尔森说。

在 Pearlson 的研究中，网络安全领导者、董事会董事和其他主题专家表达了他们对有关系统资产、主动能力以及恢复速度的关键信息的兴趣。 有些人希望更好地了解他们的公司维护的数据类型、维护位置、泄露的可能性以及泄露对业务运营的影响。 超过一半的参与者想知道其组织遭受破坏或网络攻击所涉及的财务美元价值。

Pearlson 的 BSCR 有助于将这些风险置于业务核心的特定领域或流程的背景下，并解决细微差别，例如：这是直接风险还是长期风险？ 这方面的妥协会产生最小的影响还是巨大的影响？

“网络弹性平衡计分卡是讨论事件发生时企业如何继续运营的起点，”Pearlson 说。 “今天仅投资于保护是不够的。 我们需要关注企业对网络漏洞和威胁的抵御能力。 为此，我们需要了解情况的运营领导者进行平衡、定性的评估。”

皮尔森教授两门麻省理工学院斯隆管理学院高管教育课程，帮助个人及其组织更具弹性。 专为非网络专业人士设计， 非技术高管的网络安全领导力 帮助参与者在讨论中变得知识渊博。 董事会的网络安全治理 协助董事会成员、最高管理层领导和其他高级管理人员快速收集网络安全战略和风险管理的基本语言和观点，以更好地履行其监督和领导职责。