為何企業董事會需要更多網絡安全專業知識 - 《華爾街日報》

Anthony Vance and Michelle Lowry

2022-09-07

如果你不理解某事物，如何確保它運行良好？更糟的是，如果連“運行良好”是什麼樣子都不知道呢？這正是許多上市公司董事會在網絡安全問題上所處的困境。

網絡安全已成為威脅企業運營甚至生存的關鍵商業風險，董事會面臨着越來越大的壓力，需要確保網絡安全風險得到有效管理。但傳統上在戰略、營銷或金融等領域擁有深厚專業知識的董事會，能否有效監督他們幾乎毫無經驗的網絡安全領域？

我們通過一項深度訪談研究調查了這個問題，研究對象包括董事、首席信息安全官或其他網絡安全負責人，以及為董事會提供網絡安全支持的顧問，這些人員均來自中型和大型公司。我們發現，大多數董事會對網絡安全缺乏足夠的瞭解，這極大地影響了他們的監督質量。

監管壓力

美國證券交易委員會今年早些時候就這一問題提出了新規提案，要求上市公司披露董事會中誰（如果有的話）具備網絡安全專業知識，以及該專業知識的性質。國會的一項法案也提出了類似規定。這意味着董事會應具備與公司面臨風險相匹配的網絡安全專業知識，專業知識不足會使投資者面臨風險。

從表面上看，美國證券交易委員會（SEC）提出的規則與2002年《薩班斯-奧克斯利法案》類似，後者要求上市公司説明董事會審計委員會是否配備財務專家。然而，雖然財務知識是每個MBA課程的必修內容，網絡安全卻並非如此。我們採訪的一位高管這樣描述問題：“通常你不需要向審計委員會成員解釋財務報表的運作原理，這是不言自明的……相比之下，（網絡安全）是每個人都在努力理解’這到底意味着什麼’的新領域。”

另一個重要區別在於，在《薩班斯-奧克斯利法案》實施前，大多數公司董事會已有財務專家。而我們對羅素3000指數中隨機抽取的1000家公司進行分析發現，披露擁有網絡安全專業背景董事的企業不足15%。因此，SEC新規可能比《薩班斯-奧克斯利法案》催生更多新任董事。

無知即風險

那麼專業知識的缺乏會對網絡安全監督產生哪些影響？我們的訪談揭示了若干問題。

首先，專業缺失導致監督流於表面形式。例如，董事們可能因自然傾向於關注熟悉領域，而對網絡安全重視不足。他們向首席信息安全官（CISO）提出的問題可能過於基礎或模板化，無法觸及企業網絡安全風險核心。即便獲得答覆，董事也可能無法理解內容，難以識別樂觀表述的包裝，或通過追問來判斷CISO及其項目是否需要調整方向。

其次，專業知識不足的董事會往往過度依賴首席信息安全官（CISO）。許多CISO在開展有實質意義的討論前，必須定期向董事會普及網絡安全知識。一位顧問解釋道：“如果你説’我們需要新滅火器’，大家都知道那是什麼，自然無需解釋其必要性。但如果説’我需要新的數據防泄漏軟件’，就可能得先説明這是什麼以及為何重要。”

這種知識普及工作必然限制CISO在有限董事會時間內能彙報的內容。更糟的是，這會導致董事會成員對CISO形成理解層面的依賴。

除知識普及外，許多CISO還會主動指導董事會：應該接收哪些信息、提出哪些問題、網絡安全目標指標該如何設定。這種循環監督模式——即被監督對象（CISO）決定自身如何被監督——缺乏獨立性，顯然存在問題。

獨立性缺失的危險信號之一是：我們採訪的大多數CISO坦言，鑑於董事會缺乏專業知識，他們在彙報時難免會過濾棘手問題。相比之下，受訪董事大多認為CISO不會如此篩選報告，即便這麼做也能被識破。網絡安全專業知識能幫助董事更有效判斷CISO是否提供了完整、未經修飾的事實。

正如許多董事對網絡安全監督職責準備不足一樣，許多首席信息安全官（CISO）在參與董事會互動時同樣措手不及。CISO們難以把握董事會需要哪些信息以及應如何彙報。多數人技術背景出身，尚未學會將網絡安全威脅轉化為董事會能理解的商業風險。當董事會成員缺乏專業知識且無法與CISO有效溝通時，這種脱節會進一步惡化。

增值效益與潛在隱憂

值得慶幸的是，我們也觀察到許多具備網絡安全專長的董事帶來積極影響的案例。這些董事能與CISO深入探討問題，必要時對其網絡安全方案提出質詢。他們還能充當董事會與CISO之間的橋樑，為CISO向高管層爭取資源和組織變革時提供政治資本支持，成為CISO的寶貴助力。

研究表明，通過直接管理網絡安全實踐獲得的真實專業經驗能帶來最大效益。但即便對董事會專業知識進行適度投入（如網絡安全培訓），也能產生顯著回報。

並非所有受訪者都認為董事會需要網絡安全專家。主要顧慮包括：董事會更傾向任命具有廣泛高管經驗（能惠及多業務領域）的董事，而非僅精通網絡安全等單一技能的人選；另有擔憂認為專家存在可能導致其他董事推卸自身監督責任；部分高管指出，專業背景的董事可能越界干預具體網絡安全管理工作。儘管存在這些保留意見，普遍共識認為：專業素養能使董事對網絡安全風險實施主動的、增值的監督——這是非專業人士無法實現的。

用我們受訪者的話簡單來説，網絡安全專業知識讓董事們能夠“知道什麼是好的”。我們的研究強調了像美國證券交易委員會（SEC）提出的那些規則的必要性。隨着公司面臨的網絡安全威脅增加，董事會的網絡安全專業知識也應相應提升。

Vance博士是弗吉尼亞理工大學的商業信息技術教授和Commonwealth Cyber Initiative研究員。Lowry博士是弗吉尼亞理工大學的會計學助理教授。弗吉尼亞理工大學會計學助理教授Marshall Vance對本文亦有貢獻。可通過[email protected]聯繫他們。

本文刊登於2022年9月9日的印刷版，標題為《為什麼公司董事會需要更多網絡安全專業知識》。