国际风向标:将网络安全纳入公司管理层薪酬考核指标
安全内参9月5日消息,一些公司开始将首席执行官和其他高层领导的奖金与网络安全指标挂钩。治理专家表示,这一举措可能使公司更安全地抵御黑客攻击。
这一做法在美国大公司中逐渐普及。会计和咨询公司安永的最新研究显示,2022年财富100强公司中,有9家将特定高管的部分短期奖金与网络安全目标相关联。安永表示,2018年还没有公司采取上述措施。
美国知名代理咨询公司机构股东服务(ISS)的数据部门ISS ESG发现,去年全球超过15000家上市公司中,有86家采取了这种做法,包括美国制药公司强生、伦敦证券交易所和英国Paragon银行集团。
ISS公司高级网络安全中心执行主席William Guenther表示,网络安全通常由技术和安全部门负责。但是他认为,网络安全目标应该提升到更高层面,并与高级高管的薪酬计划挂钩,这有助于将安全因素纳入公司战略决策。他补充道:“这虽然是一小步,却是非常重要的一小步。”
已有企业开始实践,
考核指标设定具有挑战性
2017年,信用评级机构艾可飞(Equifax)发生大规模数据泄露事件,引发了总额达14亿美元的消费者诉讼。此外,事件造成的与各州和解费用、技术费用总计超过10亿美元。
从那时起,艾可飞就将部分高管奖金与网络安全目标挂钩。2018年,艾可飞制定了一项多年计划,以解决导致数据泄露的问题。如果未能实现网络安全指标,高管的短期现金奖金将有缩水的风险。
艾可飞董事会已将安全纳入环境、社会和企业治理目标,据此确定每年高管奖金和合格员工的年度激励计划奖金。根据艾可飞的最新代理声明,员工必须达到网络安全部门设置的一项或多项与其职务相关的安全目标。
像艾可飞一样,许多公司不在公开文件中详细说明他们的网络安全指标。但是,也有一些公司会这样做。2022年各公司的代理文件列出了一些指标,如提高特定网络安全准备措施的得分、制定三年网络安全计划。
安永美洲审计委员会论坛领导Patrick Niemann表示,尽管这样做的公司数量不多,但这些披露显示董事会越来越关注网络安全。
尽管如此,Patrick Niemann认为,确定与薪酬挂钩的网络安全目标仍然具有挑战性。他说,并不是说某一年没有遭受黑客攻击就能获得奖金,遭受黑客攻击就会失去奖金,事情没有这样简单。相关指标正在不断演化。他说:“他们正在尝试各种方法。我们只能看出一点,几乎所有董事会都将网络安全视为优先级最高的事项。”
企业推行惩罚性指标,
难以推动长效变革
有时,网络安全和奖金之间的关联更多地以惩罚而非奖励的形式存在。
澳大利亚健康保险巨头Medibank私人保险公司从未将具体网络安全目标与高管薪酬挂钩。然而,2022年,公司遭遇网络攻击,损失超过4600万美元。
这次攻击暴露了近1000万人的个人数据,其中包括一些病历数据。因此,Medibank董事会于上周取消了首席执行官、首席财务官和其他两名高层领导的短期奖金。这些高管共计失去了360万美元奖金。
Medibank董事们在2023年年度报告中写道,“考虑到我们客户、股东和社区的期望,董事会行使了自由裁量权。”
Medibank发言人说,“网络犯罪事件发生时,我们的董事长曾表示,会有承担后果的时候。大家可以在我们上周发布的公告中看到这些后果是什么。这是一起严重的事件,必然会带来严重的后果。”
高级网络安全中心执行主席William Guenther表示,公司应该提前明确他们对高管的期望。他说,网络攻击后的采取惩罚措施,很难带来持续变革。制定指标需要得到支持,“否则会毫无意义。”