信息安全社区长期以来一直认为,公??司董事会没有积极参与IT安全计划,包括对员工和威胁缓解技术的投资不足。然而,信息安全专业人员可能很快就不得不改变这种看法,据两位专家称,阻碍董事会成员积极参与信息安全计划的因素是缺乏安全教育,而不是安全意识。美国企业董事协会(NACD)的主席兼首席执行官KenDaly是一家专注于改善董事会领导力和实践的非营利组织,他说NACD的14,000多名成员中有许多人表达了他们的领导层对企业内部信息安全主题的兴趣。他指出,“安全风险不属于公司董事会成员的观念”近年来发生了变化,这主要是在斯诺登和布拉德利曼宁以及塔吉特和其他大型零售商的安全漏洞之后发生的。互联网安全联盟总裁兼首席执行官拉里·克林顿(LarryClinton)在国土安全会议上呼应戴利的观点,指出FTI咨询公司最近的一项调查显示,数据安全现在是企业高管和总法律顾问最关心的问题。.克林顿补充说,去年“数据安全”取代了“继任选择和领导层换届”,这表明信息安全已成为企业董事会成员的主要议题。克林顿说:“我们实际上已经超越了我们的第一个目标,即提高网络安全意识,转向真正理解问题然后共同解决问题的更困难的问题。”“谈论网络安全应该是业务的一部分,这是一回事;实际去做是另一回事。”董事会成员更加了解信息安全问题是一件好事,但这并不一定意味着董事会成员会采取更多行动。降低风险的措施。许多NACD成员通过调查和非正式讨论表明他们缺乏安全主题方面的教育,其中一些成员还承认他们不具备有效讨论相关技术、威胁向量和趋势所需的安全词汇。为了满足对更多信息安全知识的需求,NACD在6月发布了一本手册,详细介绍了五项通用信息安全原则,其中涵盖了“董事会在安全风险监督方面考虑的因素”。Daly说,该手册自发布以来已被下载超过1,200次,随着国土安全部将其选为以安全为重点的私营企业的资源,它将获得更多关注。NACD还将在公司会议上以视频系列和专家演讲的形式提供额外的安全资源。对于本NACD手册中包含的内容,其中一项原则建议董事会成员注意与网络风险相关的法律问题。一些州,例如加利福尼亚州,已经制定了与安全漏洞通知相关的具体准则,而备受瞩目的数据泄露事件已导致许多公司被起诉。为确保在此类事件发生后公司不会因忽视安全而被起诉,NACD手册指出,董事会关于安全主题的讨论应记录在所有正式会议中,包括特定风险和整体安全计划和技术的更新。该剧本还指出,公司董事会还应确保他们与安全相关人员和专家定期举行会议,讨论网络风险并确定各自组织对此类风险的容忍度。戴利强调,剧本不提倡的是在董事会中配备专门的安全人员。相反,所有董事会成员都应积极参与风险管理,作为企业范围战略的一部分。这意味着每个董事会成员和委员会都应该了解“安全如何影响他们的特定领域”,然后确定他们是否亲自深入其中以尝试管理问题,或者甚至可能聘请外部顾问来帮助他们。“我还没有听说过NACD成员想要让另一位专家加入董事会,”戴利说。“我认为这实际上违背了这个企业级的概念。”董事会拥有所有答案,但至少会将目前关于信息安全的“未知”变成“不确定”,这意味着他们将接受数据泄露的必然性,但此类泄露的后果仍将取决于企业部署.缓解措施的影响。
