现在公司董事会也对网络安全负有责任| 麻省理工学院新闻
美国证券交易委员会(SEC)的一项新规定被称为 网络安全风险管理、战略、治理和事件披露,于去年秋天生效。 该裁决要求上市公司披露其董事会是否有具有网络安全专业知识的成员。 具体来说,注册人需要披露整个董事会、特定董事会成员或董事会委员会是否负责网络风险的监督; 董事会了解网络风险的流程以及讨论该主题的频率; 以及董事会或指定董事会委员会是否以及如何将网络风险视为其业务战略、风险管理和财务监督的一部分。 “简单来说,董事会负责管理、治理和披露报告,”解释道 克里·皮尔森麻省理工学院斯隆研究联盟 (CAMS) 网络安全执行董事。 “虽然还有很多解释要做,但我们确信这一点。” 同样众所周知的是,黑客事件发生的可能性越来越大,公司的成本呈指数级增长。 尽管世界各地的公司和政府最近努力加强网络安全,但数据泄露事件仍在逐年增加。 数据显示一 数据泄露增加 20% 从 2022 年到 2023 年。考虑到数字工作和数字化的迅速扩散,这应该不足为奇。 正如 SEC 在一份报告中指出的 概况介绍 随着最近的裁决,“随着注册人运营的数字化、远程工作的增长、犯罪分子利用网络安全事件获利的能力、数字支付的使用以及对第三方服务提供商的日益依赖,网络安全风险也随之增加。信息技术服务,包括云计算技术。” 网络弹性:响应和恢复 皮尔森正在进行的研究包括网络安全中的组织、战略、管理和领导问题。 她目前的重点是董事会在网络安全方面的作用。 在 2023 年 1 月 麻省理工学院斯隆管理评论 文章, ”网络弹性行动计划”,皮尔森和她的合著者建议,董事会成员必须假设网络攻击是可能发生的,并行使监督职责,以确保高管和经理做好应对和恢复的适当准备。 “毕竟,如果我们假设每个组织都可能面临被破坏或攻击的风险,并且不可能 100% 免受每次攻击,那么最合理的方法是确保组织能够在几乎没有或没有受到任何损害的情况下进行恢复。运营、财务底线以及组织的声誉,”Pearlson 说道。 为了正确降低网络风险,公司领导者必须制定坚如磐石的计划来快速响应和恢复,以便公司能够继续运营。 他们需要具有网络弹性。 皮尔森将网络弹性与新冠疫情弹性实践进行了比较。 “我们做了一些事情,比如待在家里、戴口罩、接种疫苗,既可以减少感染新冠病毒的机会,也可以减少生病的后果。” 换句话说,大多数公司目前采取的以保护为导向的网络方法还不够。 保护只能帮助我们缓解我们所知道的问题。 但网络犯罪分子具有创新性,我们不知道我们不知道什么。 他们似乎不断寻找新的方法来闯入我们的系统。 皮尔森谈到了保持韧性的必要性,以及这种想法是如何来自高层的。 “虽然董事会长期以来一直在收到有关网络安全的报告,但这些报告通常每年一次,并且不关注董事会确保公司弹性所需的数据,”皮尔森说。 在 2023 年 5 […]