现在，公司董事会也对网络安全负有责任

美国证券交易委员会 （SEC） 的一项新裁决，即网络安全风险管理、战略、治理和事件披露，于去年秋天生效。该裁决要求上市公司披露其董事会是否有具有网络安全专业知识的成员。具体而言，注册人必须披露整个董事会、特定董事会成员或董事会委员会是否负责监督网络风险;董事会获悉网络风险的流程，以及就此主题进行讨论的频率;以及董事会或指定董事会委员会是否以及如何将网络风险视为其业务战略、风险管理和财务监督的一部分。

“简单来说，董事会在管理、治理和披露报告方面处于困境，”麻省理工学院斯隆研究联盟 （CAMS） 网络安全执行董事 Keri Pearlson 解释道。“虽然还有很多解释工作要做，但我们肯定知道这一点。

同样众所周知的是，黑客事件的可能性越来越大，公司的成本呈指数级增长。尽管最近世界各地的公司和政府都在努力加强网络安全，但数据泄露事件仍在逐年增加。数据显示，从 2022 年到 2023 年，数据泄露增加了 20%。鉴于数字工作和数字化的迅速普及，这应该不足为奇。正如美国证券交易委员会（SEC）在最近裁决随附的一份情况说明书中指出的那样，“随着注册人运营的数字化、远程工作的增长、犯罪分子将网络安全事件货币化的能力、数字支付的使用以及对第三方服务提供商信息技术服务（包括云计算技术）的日益依赖，网络安全风险也在增加。

网络弹性：响应和恢复

Pearlson 正在进行的研究包括网络安全中的组织、战略、管理和领导力问题。她目前的工作重点是董事会在网络安全中的作用。在 2023 年 1 月 《麻省理工学院斯隆管理评论 》的一篇文章《网络弹性行动计划》中，Pearlson 和她的合著者建议，董事会成员必须假设网络攻击是可能的，并发挥其监督作用，以确保高管和经理已经做好了适当的准备来应对和恢复。

“毕竟，如果我们假设每个组织都有可能被破坏或攻击的风险，并且不可能100%免受每次攻击，那么最合理的方法是确保组织能够在对运营、财务底线和组织声誉造成很少或没有损害的情况下恢复。“珀尔森说。为了适当地降低网络风险，公司领导者必须制定坚如磐石的计划，以快速响应和恢复，以便公司能够继续运营。他们需要具有网络弹性。

Pearlson 将网络弹性与 Covid 弹性实践进行了比较。“我们做了一些事情，比如呆在家里、戴口罩和接种疫苗，既可以减少我们感染新冠病毒的机会，也可以减少生病的后果。”

换句话说，目前大多数公司对网络采取的以保护为导向的方法是不够的。保护只能帮助我们缓解我们所知道的问题。但是网络犯罪分子是创新的，我们不知道我们不知道什么。他们似乎不断寻找新的方法来闯入我们的系统。Pearlson谈到了韧性的必要性，以及这种想法是如何来自高层的。Pearlson说：“虽然董事会长期以来一直在收到有关网络安全的报告，但这些报告通常每年一次，而不是专注于董事会确保其公司具有弹性所需的数据。

在 2023 年 5 月 发表在《哈佛商业评论》 上的文章《董事会正在就网络安全进行错误的对话》中，Pearlson 和合著者 Lucia Milică 评论了董事会会议期间典型网络安全演示的不足之处，这些演示通常涵盖威胁以及公司为防范威胁而实施的行动或技术。“对我们来说，这是董事会监督的错误视角。我们知道，无论我们在技术或计划上投入多少资金来阻止网络攻击，我们都无法得到完全保护。虽然花费资源来保护我们的资产至关重要，但将讨论限制在保护上会让我们面临灾难。

相反，对话需要关注弹性。例如，与其在董事会会议上详细说明组织如何建立以应对事件，成员必须关注最大的风险可能是什么，以及组织如何准备在这种情况发生时迅速从损害中恢复过来。

使用平衡计分卡方法评估风险

为此，Pearlson 开发了董事会层面网络弹性平衡计分卡 （BSCR），旨在帮助董事会和管理层进行更有成效的讨论，并了解组织在网络弹性方面面临的最大风险。受 Kaplan 和 Norton 的平衡计分卡（一种著名的衡量组织绩效的工具）的启发，Pearlson 的 BSCR 将这些关键风险领域映射为四个象限：绩效、技术、组织活动（例如人员和合规要求）和供应链。每个象限包括三个组成部分：

• 基于组织现有网络安全控制框架的定量进度指标（红-黄-绿红绿红绿灯），例如 CISA 网络安全绩效目标 （CPG）、NIST SP 800-53、ISO 27001、CIS 控制或其他控制评估;
• 根据 C 级领导者的说法，组织弹性的最大风险因素;和
• 定性行动计划，C 级领导者分享他们应对此风险的计划。

记分卡有助于将董事会报告和对话定位在组织在发生网络攻击时应关注的重点领域，特别是技术、业务的财务方面、组织方面和供应链。虽然有些公司可能需要其他象限，但这个想法是，这些重点领域中的每一个都应该有量化的衡量标准。通过在一个框架中一起查看这些指标，领导者可以得出可能遗漏的结论。

Pearlson说：“拥有控制权并不是什么新鲜事，特别是对于拥有衡量和管理其网络安全投资计划的上市公司而言。“然而，在这些测量中通常不会遇到定性风险。虽然典型的控制措施可以衡量有多少人未能通过网络钓鱼活动，这是网络安全的重要组成部分，但记分卡鼓励企业也了解存在风险的情况以及正在采取的措施。您可以在最近的 这篇《哈佛商业评论》 文章中阅读有关记分卡的更多信息。

为看板提供他们需要的信息

绝大多数领导者都明白他们正处于攻击的危险之中——他们只是不知道如何谈论它或如何处理它。虽然网络高管最容易报告技术指标或组织指标，但这些信息无助于董事会确保网络弹性的工作。“至少在最初，与董事会的对话是错误的信息，”Pearlson说。

在 Pearlson 的整个研究过程中，网络安全领导者、董事会董事和其他主题专家都表达了他们对系统资产、主动能力以及恢复速度等关键信息的兴趣。一些人希望更好地了解他们的公司维护了哪些数据类型、在哪里维护了这些数据、入侵的可能性以及入侵对业务运营的影响。超过一半的参与者想知道其组织遭受违规或网络攻击所涉及的财务美元价值。

Pearlson 的 BSCR 有助于将这些风险置于业务核心的特定领域或流程的背景下，并解决细微差别，例如：这是直接风险还是长期风险？在这方面的妥协是影响最小还是影响巨大？

Pearlson说：“网络弹性平衡计分卡是讨论事件发生时企业如何继续运营的起点。“今天只投资于保护是不够的。我们需要关注企业对网络漏洞和威胁的弹性。要做到这一点，我们需要对了解情况的运营领导者进行平衡的定性评估。

Pearlson 在麻省理工学院斯隆高管教育的两门课程中任教，帮助个人及其组织更具弹性。专为非网络专业人士设计的非技术高管网络安全领导力可帮助参与者在讨论中了解情况。董事会网络安全治理帮助董事会成员、最高管理层和其他高级管理人员快速收集网络安全战略和风险管理的基本语言和观点，以更好地履行其监督和领导职责。