信息安全界一直认为企业董事会未能积极参与IT安全计划,其中包括在员工和威胁缓解技术方面没有进行足够的投资。然而,信息安全专业人士可能很快要改变这种看法,根据两位专家表示,阻碍董事会成员积极参与信息安全计划的因素在于缺乏安全教育,而不是安全意识。
美国全国公司董事协会(NACD)是专注于提高董事会领导和做法的非营利组织,该协会总裁兼首席执行官Ken Daly表示,在NACD的14000多名成员中,很多成员都表示了其领导对各自企业内信息安全话题的兴趣。他指出,近年来,“安全风险不属于企业董事会成员的职责的观念”已经转变,这主要是受斯诺登和Bradley Manning,以及Target和其他大型零售商的安全泄露事故的影响。
互联网安全联盟总裁兼首席执行官Larry Clinton在国土安全会议上表示同意Daly的看法,并提到了最近FTI咨询公司的调查统计数据,这些数据显示数据安全现在是企业主管和总法律顾问最关心的问题。Clinton补充说,“数据安全”取代了去年的“继承选择和领导过渡”,这表明信息安全已经成为企业董事会成员的主要课题。
“我们实际上已经超越了我们的第一个目标,即提高网络安全意识,到更困难的问题,即真正了解问题,然后合作解决问题,”Clinton表示,“谈论网络安全应该成为业务的一部分,这是一回事;而真正能做到这一点,又是另一回事。”
事实上,董事会成员对信息安全问题意识的提高是好事,但这并不一定意味着董事会成员会采取更多行动来减少风险。很多NACD成员已经通过调查和非正式讨论表明,对于安全话题,他们缺乏教育,其中有些人还承认他们没有掌握必要的安全专用词汇来有效地讨论相关技术、威胁媒介和趋势。
为了满足对更多信息安全知识的需求,NACD在6月份发表了一本手册,其中详细介绍了5个一般信息安全原则,这些原则涵盖了“有关安全风险监督,董事会需要考虑的因素”。Daly表示,这本手册在发布后,已经下载超过1200次,随着国土安全局已经将它选作为关注安全的私有企业的资源,它还会获得更多的关注。NACD也将提供更多的安全资源,形式包括视频系列以及企业会议的专家演讲。对于这个NACD手册中包含的内容,其中一条原则建议董事会成员注意与网络风险相关的法律问题。某些州(例如加利福尼亚)已经制定了与安全泄露事故通知相关的具体指导方针,而备受瞩目的数据泄露事故已经导致很多公司被起诉。为了确保企业在这种事件后不会因为忽视安全性而遭起诉,NACD手册指出,董事会关于安全话题的讨论应该在所有正式会议中记录下来,包括对特定风险的更新和整体安全计划及技术。
这本手册还指出,企业董事会还应该确保他们经常与安全相关的工作人员和专家举行会议,来讨论网络风险,并决定各自企业对这种风险的容忍程度。Daly强调,这本手册并没有提倡的是,在董事会安排专门的安全人员。
相反地,作为企业级战略的一部分,所有董事会成员应该积极参与管理风险中来。这意味着,每个董事会成员和委员会应该了解“安全如何影响他们的具体领域”,然后确定自己是否已深入其中来试图管理相应的问题,或者甚至可能聘请外部顾问来帮助他们。
“我没有听说过NACD成员想要把另一位专家安排在董事会,”Daly表示,“我认为这实际上违背了这个企业级的概念。”
Daly表示他希望,即使这个NACD手册没有为企业董事会提供所有答案,但这至少能够将目前对信息安全的“未知”变为“不确定”,这意味着他们将接受数据泄露事故的必然性,但这种泄露事故的结果仍然会受到企业提前部署的缓解措施的影响。