各种规模和各行各业的组织都容易受到网络安全风险的影响——威胁和漏洞的动态格局以及相应的可能的缓解控制的过载。麻省理工学院高级讲师Keri Pearlson是麻省理工学院斯隆管理学院网络安全研究联盟的执行董事，也是麻省理工学院斯隆管理学院高管教育新课程“董事会网络安全治理”的讲师，她知道企业如何才能领先于这种风险。在这里，她描述了当前的威胁，并探讨了董事会如何降低他们对抗网络犯罪的风险。

问:2023年网络攻击的现状对企业意味着什么?

答:去年我们讨论了疫情如何加剧了恐惧、不确定性、怀疑和混乱，为恶意行为者在我们的组织和家庭中进行网络恶作剧打开了新的大门。我们看到勒索软件和其他网络攻击的增加，我们看到运营高管和董事会越来越关心如何保证组织的安全。从那以后，我们看到网络事件不断升级，其中许多事件不再成为头条新闻，除非它们非常独特、具有破坏性或与以前的事件不同。对于网络安全专业人员发明的每一项新技术来说，恶意行为者找到绕过它的方法只是时间问题。2023年，随着我们进入下一个保障组织安全的阶段，我们需要新的领导方法。

在很大程度上，这意味着确保我们的董事会具备深厚的网络安全能力。网络风险是如此重要，以至于负责任的董事会不能再忽视它或直接将其委托给风险管理专家。事实上，一个组织的董事会在保护数据和系统的未来方面发挥着独特的至关重要的作用，因为他们对股东负有受托责任，并有责任监督和减少业务风险。

随着这些网络威胁的增加，以及公司相应地增加其网络安全预算，监管机构也在推进对公司的新要求。今年3月，美国证券交易委员会发布了一项名为网络安全风险管理、战略、治理和事件披露的拟议规则。在文件中，SEC描述了其要求上市公司披露其董事会是否拥有网络安全专业人员的意图。具体而言，注册人将被要求披露是整个董事会、特定董事会成员还是董事会委员会负责监督网络风险;向董事会通报网络风险的流程，以及就该主题进行讨论的频率;董事会或指定的董事会委员会是否以及如何将网络风险视为其业务战略、风险管理和财务监督的一部分。

问:董事会如何帮助组织减轻网络风险?

答:根据我和CAMS的同事进行的研究，大多数组织关注的是网络保护而不是网络弹性，我们认为这是一个错误。一家只投资于保护的公司无法管理在网络事件发生时重新启动和运行的相关风险，而且他们也无法对新法规做出适当的回应。弹性意味着为恢复和业务继续制定一个实际的计划。

当然，保护是恢复力的一部分，但如果说大流行教会了我们什么的话，那就是它教会我们，恢复力是一种经受攻击并在对我们的行动影响最小的情况下迅速恢复的能力。一个网络弹性组织的最终目标将是零中断的网络入侵-没有影响的运营，财务，技术，供应链或声誉。董事会成员应该问，什么情况下才会出现这种情况?他们还应该确保高管和经理们已经为应对和恢复做好了适当的准备。

成为一名知识渊博的董事会成员并不意味着成为一名网络安全专家，但它确实意味着了解基本概念、风险、框架和方法。这意味着有能力评估管理层是否适当理解相关威胁，是否有适当的网络战略，并能够衡量其有效性。今天，董事会成员需要在这些关键领域进行集中培训，以执行他们的使命。不幸的是，许多企业未能利用董事会的这一能力，或使董事会成员对战略、协议和紧急行动计划作出积极贡献。

我和CAMS的同事斯图尔特·马德尼克(Stuart Madnick)和凯文·鲍尔斯(Kevin Powers)一起，教授麻省理工学院斯隆管理学院(MIT Sloan Executive Education)的一门新课程——董事会网络安全治理，旨在帮助企业及其董事会跟上进度。与会者将探讨该委员会在网络安全方面的作用，以及入侵规划、响应和缓解。我们还将讨论即将出台的许多新法规的影响和要求，这些法规不仅来自美国证券交易委员会，还来自白宫、国会以及世界上大多数州和国家，它们正在向公司施加更多的高层责任。

问:有哪些公司，特别是董事会，在网络安全领域取得成功的例子?

答:为了确保董事会的技能反映市场的模式，联邦快递(FedEx)、孩之宝(Hasbro)、PNC和联合包裹(UPS)等公司已经改变了他们管理网络风险的方法，从董事会的网络专业知识开始。在这样的公司，建立弹性始于董事会制定的基于商业和经济分析的明确计划。

在我们研究的一家公司中，首席执行官意识到他的董事会不太了解网络攻击的业务背景或财务风险，所以他聘请了第三方咨询公司进行网络安全成熟度评估。公司首席信息官向企业风险管理小组委员会提交了报告的结果，围绕网络安全不同投资的业务和财务影响展开了富有成效的对话。

另一家公司则把董事会的重点放在了网络安全项目和运营风险的协调上。CISO、首席风险官和董事会合作，从风险角度了解组织的风险敞口，从而优化他们的网络保险政策，以减轻新了解的风险。

从这些例子中得到的一个重要启示是，使用风险、弹性和声誉的语言来弥合技术网络安全需求与董事会执行的监督责任之间的差距的重要性。董事会需要了解网络风险带来的财务风险，而不仅仅是网络演示文稿中常见的技术成分。

网络风险不会消失。它每天都在升级，变得越来越复杂。让你的董事会“参与进来”是满足新的指导方针的关键，为网络安全计划提供充分的监督，并使组织更具弹性。

注：本文由院校官方新闻直译，仅供参考，不代表指南者留学态度观点。