埃森哲(Accenture)最近的一项研究发现,网络犯罪的全球平均成本已从2013年的720万美元上升至2017年的1170万美元。企业面临加强网络安全能力、提高网络事件管理效率的压力。

然而,在网络安全问题上,没有一刀切的方法,这使得企业管理迅速变化的风险环境变得更具挑战性。随着投资者对这一问题的警惕性增强,至关重要的是,企业要证明,它们正在加强网络防御,并得到强有力的治理结构的支持。

革命制度党的报告,加强网络安全治理,基于主要在医疗保健,金融和零售业的100家公司的研究,提供了网络安全治理的企业披露的快照和分析。研究发现,虽然公司越来越多地认识到网络风险及其影响,但公共领域的企业信息不保证投资者公司拥有充足的治理结构和措施,以处理网络安全挑战。

2017年12月,参与pri协调网络安全合作的投资者与65家上市公司召开了会议,以更好地理解他们的方法,并鼓励在这一主题上更有力地公开披露。虽然参与活动仍在进行中,但到目前为止,通过这些对话获得的一些新见解总结如下:

注意(沟通)差距:不愿展示和讲述

与在该研究中观察到的贫困公开披露的剧烈鲜明对比中,当私下对网络安全的投资者谈话时,公司通常是信息性和坦诚的。当投资者在实际实践之间判断出差异和披露的内容之间时,他们得到了各种响应,包括该公司:

  • 谨防让自己成为靶子;
  • 不想因为付出太多而失去自己的竞争优势;
  • 不愿宣称他们有强大的网络措施,以避免激怒可能想要挑战他们的安全措施的黑客;
  • 没有意识到网络安全管理被视为一种ESG风险,披露信息对投资界是有价值的;和
  • 仍在积累对这一问题的知识和理解,无法向他们认为正在寻找具体、明确答案的投资者详细报告。

获得有意义的见解:接触技术专家至关重要

参与参与的投资者通常可以接触到其投资组合公司的网络安全专家(如首席信息安全官(CISO)或数字董事),以及投资者关系或可持续发展专业人士。这被证明是一个成功的组合;虽然投资者关系和/或可持续性专业人员提供了政策、治理和报告结构的概述,但技术专家擅长讨论其战略和实施的细节,相对于威胁的前景。这向投资者揭示了网络安全政策、战略和实施之间的联系——仅从公开的企业沟通很难推断出这一点。

董事会治理:魔鬼详细

尽管正在进行的接触努力表明,围绕网络安全的治理流程比企业披露所描述的更为稳健,但仍有很大的改进空间。例如,几家公司阐明了董事会的角色、详细的报告线路,并解释了董事会如何了解网络安全问题。他们还分享了提供给董事会的信息和指标的例子,包括:

  • 网络安全策略;
  • 网络安全事件和行业水平以及控制和修复计划;
  • 网络安全实践中的战略转变,包括监管变更,如一般数据保护条例(GDPR);
  • 子公司网络安全态势及第三方运营风险;
  • 新的投资和项目;
  • 预算分配;
  • 威胁评估、数据分析、随机测试、员工意识、培训和保证;
  • 对同龄人的知识共享和对准的努力;
  • 网络安全审计结果和行动计划;和
  • 业务连续性和灾难恢复测试的结果。

然而,迄今为止,关于如何选择或更新这些指标,以及它们如何有助于董事会评估和随后加强网络安全计划的对话,提供的见解有限。企业也没有详细说明什么时候的网络入侵被认为是重要的(重要的),需要进行内部或外部报告。鉴于围绕网络入侵报告的监管要求(如GDPR)不断提高,这一问题的重要性也越来越大。

建立组织能力:一个规模就可以适合所有人

对话显示,企业普遍认识到在整个组织内建立网络能力的重要性,并相信网络安全确实是一个业务问题,而不是一个IT问题,可能影响运营模式、资本和改变项目。

话虽如此,对于网络安全专业技术在公司内部的位置,会采取不同的方法。一家公司表示,它应该存在于管理层——如果高级管理层和董事会之间有充分的互动,董事会或小组委员会成员不需要是该主题的专家。

与此相反,另一家公司修改了其治理结构,将网络责任从非董事会委员会转移到董事会,以加强董事会监督的必要性。同样,其他公司表示,它们将网络安全纳入了董事会技能矩阵,以指导对现任董事的技能和经验的评估,并找出董事会整体能力的差距。它们还明确表示,它们积极寻求招聘具有技术背景的董事,包括负责网络安全和相关风险。

还有混合公司对外部顾问和顾问作用的看法。某些公司表示,外部建议无益,因为顾问对业务有限。其他人表明,他们的委员会由网络安全问题的独立咨询委员会或顾问指导。一个这样的国际咨询委员会(委员会)构成了网络安全供应商的代表。本委员会每年两次召开董事,并与CISO和独立董事会成员分开会面,讨论网络安全相关项目。从这些会议的结果后来被突出于整个董事会和执行委员会。

员工培训与知识分享:幕后创新与协作

公司之间正在形成共识,即网络安全的有效管理涉及技术解决方案(如解决网络攻击的特定风险渠道)和行为,因为员工和客户通常被视为高风险因素。事实上,投资者注意到一些公司通过更创新的措施来促进意识文化的例子。其中包括:开发网络安全互动模块;将网络安全培训与员工奖金挂钩;聘请专门的员工,开设有关网络安全和数据隐私的课程;并在整个行业招募“信息安全冠军”[1]。

公司还清楚地认识到需要加入促进高等行业标准和更好的行为,鉴于网络事件对其各自产业的威胁。他们分享了知识共享和与同行和监管机构合作的例子,以开发最佳实践。一个这样的例子来自一家提供资源和秒工作人员到英国国家网络安全中心的公司。另一家公司明确表示,它与同行分享网络智能的每周会议。

最大化参与成功:思想的食物

根据我们迄今为止的参与观察到的基础,投资者将从与投资组合公司的网络相关讨论之后,从考虑以下因素中受益于以下因素:

  • 列出一组清晰的期望:几家公司渴望了解投资者对网络安全信息披露的预期。投资者应共同努力,就基准线披露向企业传达的信息和预期达成一致,这将对企业评估网络安全风险起到重要作用。
  • 考虑构建披露要求的最佳方法:当投资者从治理的角度提出披露要求时,公司更容易接受披露要求,即要求披露治理安排和公布现有政策,而不是有关违规或测试的商业敏感信息。
  • 想想信任的作用、地理上的接近以及过去发生的争议:投资者发现,当他们与公司的长期可信赖关系时,他们的参与更有效;身体上更接近目标公司;公司在具有网络相关争议历史的行业中运作的地方。投资者与公司拥有强大的关系,他们获得了内容专家和高级人员,包括CisoS和独立董事,包括董事。此外,与相关公司的身体更接近,为更深入的讨论提供了更大的机会,更有颜色和背景。最后,投资者报告说,如果同伴受到网络相关事件的影响,或者如果他们以前经历过严重事件,那么公司更倾向于公开谈论他们的网络政策和程序。

下一个步骤

投资者集团在2018年和2019年将继续与网络安全有关的公司,之后会有正式评估进展。还将制作调查结果的最终摘要。