国际风向标:将网络安全纳入公司管理层薪酬考核指标

一颗小胡椒2023-09-05 14:14:52

安全内参9月5日消息,一些公司开始将首席执行官和其他高层领导的奖金与网络安全指标挂钩。治理专家表示,这一举措可能使公司更安全地抵御黑客攻击。

这一做法在美国大公司中逐渐普及。会计和咨询公司安永的最新研究显示,2022年财富100强公司中,有9家将特定高管的部分短期奖金与网络安全目标相关联。安永表示,2018年还没有公司采取上述措施。

美国知名代理咨询公司机构股东服务(ISS)的数据部门ISS ESG发现,去年全球超过15000家上市公司中,有86家采取了这种做法,包括美国制药公司强生、伦敦证券交易所和英国Paragon银行集团

ISS公司高级网络安全中心执行主席William Guenther表示,网络安全通常由技术和安全部门负责。但是他认为,网络安全目标应该提升到更高层面,并与高级高管的薪酬计划挂钩,这有助于将安全因素纳入公司战略决策。他补充道:“这虽然是一小步,却是非常重要的一小步。”

已有企业开始实践,

考核指标设定具有挑战性

2017年,信用评级机构艾可飞(Equifax)发生大规模数据泄露事件,引发了总额达14亿美元的消费者诉讼。此外,事件造成的与各州和解费用、技术费用总计超过10亿美元。

从那时起,艾可飞就将部分高管奖金与网络安全目标挂钩。2018年,艾可飞制定了一项多年计划,以解决导致数据泄露的问题。如果未能实现网络安全指标,高管的短期现金奖金将有缩水的风险。

艾可飞董事会已将安全纳入环境、社会和企业治理目标,据此确定每年高管奖金和合格员工的年度激励计划奖金。根据艾可飞的最新代理声明,员工必须达到网络安全部门设置的一项或多项与其职务相关的安全目标。

像艾可飞一样,许多公司不在公开文件中详细说明他们的网络安全指标。但是,也有一些公司会这样做。2022年各公司的代理文件列出了一些指标,如提高特定网络安全准备措施的得分、制定三年网络安全计划。

安永美洲审计委员会论坛领导Patrick Niemann表示,尽管这样做的公司数量不多,但这些披露显示董事会越来越关注网络安全。

尽管如此,Patrick Niemann认为,确定与薪酬挂钩的网络安全目标仍然具有挑战性。他说,并不是说某一年没有遭受黑客攻击就能获得奖金,遭受黑客攻击就会失去奖金,事情没有这样简单。相关指标正在不断演化。他说:“他们正在尝试各种方法。我们只能看出一点,几乎所有董事会都将网络安全视为优先级最高的事项。”

企业推行惩罚性指标,

难以推动长效变革

有时,网络安全和奖金之间的关联更多地以惩罚而非奖励的形式存在。

澳大利亚健康保险巨头Medibank私人保险公司从未将具体网络安全目标与高管薪酬挂钩。然而,2022年,公司遭遇网络攻击,损失超过4600万美元。 

这次攻击暴露了近1000万人的个人数据,其中包括一些病历数据。因此,Medibank董事会于上周取消了首席执行官、首席财务官和其他两名高层领导的短期奖金。这些高管共计失去了360万美元奖金。

Medibank董事们在2023年年度报告中写道,“考虑到我们客户、股东和社区的期望,董事会行使了自由裁量权。”

Medibank发言人说,“网络犯罪事件发生时,我们的董事长曾表示,会有承担后果的时候。大家可以在我们上周发布的公告中看到这些后果是什么。这是一起严重的事件,必然会带来严重的后果。”

高级网络安全中心执行主席William Guenther表示,公司应该提前明确他们对高管的期望。他说,网络攻击后的采取惩罚措施,很难带来持续变革。制定指标需要得到支持,“否则会毫无意义。”

网络安全董事会
本作品采用《CC 协议》,转载必须注明作者和本文链接
董事会和高层管理人员对网络安全的错误提问,导致糟糕的投资决策。Gartner 预测表明,在网络安全方面的支出在放缓,2018年,网络安全复合增长率为12%,到2023年,降到只有7%。Gartner的客户也报告说,给董事会提交了多年的网络安全季度报告后,董事会现在开始犹豫,要求改进数据,了解多年的大力投资之后,都完成了哪些目标。
Gartner在2020年CISO有效性调查中发现,78%的CISO拥有来自不同网络安全厂商的超过16个产品工具;12%甚至拥有46个或更多。
据报告显示,企业C级高管对网络安全的漠视正在使制造企业面临严重的数据泄露风险。
2022年安全态势报告
2022-03-04 06:10:20
报告显示,随着组织迁移到云端,勒索软件的兴起和普遍存在的网络安全问题,企业越来越希望可以通过货币形式衡量网络风险,网络安全团队正在努力衡量和改善他们的安全态势,以及网络攻击对业务的影响。 该报告由 Cyber security Insiders 制作,该社区拥有 500,000 名信息安全专业人士在线社区,旨在探索网络安全运营的最新趋势、主要挑战、差距和解决方案等。 主要发现 • 62%
几个月前,一个勒索软件团伙声称入侵了该公司的系统。该网络立即被关闭,并采取措施保护了现场环境。该公司表示,受影响的个人已于7月收到通知,并提供12个月的免费身份保护和信用监控服务。Black Basta勒索软件团伙在6月底宣布对美国埃尔比特系统公司进行黑客攻击。自 2017年6月以来,该技术已被记录在案。该研究称,部分问题在于安全、检测和响应系统的孤立性质。
东盟近一半的企业在董事会层面上提出了网络安全问题,其中68%的企业提高了在安全工作上的预算,46%的企业正在计划弥补现有的安全缺陷。
分析公司Gartner的调研结果显示,网络攻击之于大型企业已是司空见惯,董事会现在将网络安全视为仅次于监管合规的第二大风险来源。
立场不同是董事会成员和CISO并不总是一致的根本原因。许多董事会仍将网络安全视为纯粹的技术问题。当美国证券交易委员会提出的修正案成为现实时,我预计董事会将更加关注网络安全问题。这些修正案还将鼓励董事会网络安全考虑纳入其整体业务战略。此外,董事会应要求其企业定期进行风险评估,并审查网络安全报告,这将提供有关企业网络安全态势的概述。
德勤公司的分析师提出了一系列预测,并指出了网络安全、未来的前瞻性以及业务弹性在帮助企业更好地控制未来威胁行为者的风险方面发挥的重要作用。认识到稳健的网络安全态势对财务影响的直接价值,使企业董事会能够更有效地监督网络安全风险管理活动。美国证券交易委员会最近的建议强调了治理、风险管理、战略和及时通知投资者,这应该鼓励领导者考虑以网络风险和企业董事会为中心,发展和塑造他们当前和未来的业务模式。
乌卡时代企业面临的网络安全挑战日益严峻,根据网络犯罪杂志的预测数据,2023年全球网络犯罪“GDP”可能高达8万亿美元,成为仅次于中美的第三大“经济体”。近日,德勤的安全分析师们分享了他们对2023年的网络安全战略预测,希望能帮助企业调整安全策略,更好地管理和控制暴露面。
一颗小胡椒
暂无描述