(1)美國SEC採行網路資訊安全法規,但沒有納入董事的專長
美國證券交易委員會(SEC)在2023年7月26日,以3比2的票數通過了相關法規—要求公司揭露其重大的網路資訊安全事件。公司也將必須每年報告關於網路資訊安全風險管理、策略與治理的重大資訊—不過SEC放棄了一個有爭議的提議,該提議要求公司報導董事會層級的網路資訊安全專長。
SEC一開始提出要增加第407(j)項,要求公司如果董事會中有該專才的董事的話,就必要揭露。此舉引發了很多的回饋意見,最終被取消該項建議。
SEC在定案版法規裡寫道:「考慮了各方的意見後,我們決定不採行原提議的第407(j)項。我們被說服,有效的網路資訊安全流程,很大程度是在管理階層所設計與管理的,而在風險管理和策略上具備更廣泛技能的董事會,常是在不具備特殊專長下,來有效監督管理階層,一如他們對其他複雜的技術問題一樣。」
對於董事會是否需要特定專長來解決一些問題,比如網路資訊安全、人工智慧、氣候變遷與人力資本管理,存在著不同的思維派別。許多治理專家傾向於讓董事有更整體性的專長,並專注於他們風險監督的角色。
National Association of Corporate Directors(NACD)對SEC決定放棄董事會專長要求,表示歡迎。NACD在對SEC的評論信上如此寫:「董事會上有網路資訊安全專家,也無法補強不佳的監督流程,而且不能免除整個董事會對此問題的監督責任。」NACD表示同意定案版法規,「將對專長的揭露焦點,放在真正負責減少此風險的對象上:管理階層」。
一如近年來的許多案例,許多的變革在SEC委員會上就存在著意見紛歧。
投票支持此項改革案的委員Caroline Crenshaw說:「評論證實,掌握網路資訊安全威脅與資料外洩的訊息,對瞭解一家公司是很重要的。此外,資料外洩可能會造成營收損失、客戶與業務機會的流失。這些傷害或許已經發生,或可能以流失敏感資訊、增加補救成本,以及減損股東價值的方式持續存在。」
「儘管對於網路資訊事故的有害性是已有共識,但評論者強調,現有的揭露實務在內容上、結構上與呈現上各自不同,因此建立一個對投資人具可比較性、具可信度、對決策有用的揭露,是有其需要且有利的。」
投票反對修正案的Hester Peirce抱怨,修正案忽視了SEC對企業揭露要求的權限,而且沒有真的顧及投資人的最佳利益,同時也沒有說明為何修正是必要的。她說:「這次修正案規定的揭露內容很詳細,感覺像設計來滿足駭客的需求,而非投資人對重大財務資訊的需求。」
「比如,新法規要求揭露詳細的資訊,像是關於發行公司網路資訊風險的管理流程、和治理方式,以及相關負責人員…,而揭露相關策略與治理方式,如同冒著風險將一份攻擊的路徑圖交給駭客,讓他們可以鎖定特定公司、以及了解如何進行攻擊。」
她的評論還說:「而SEC針對可能的非重大風險管理與治理揭露,逐漸變成管理公司的網路資訊防禦;新法規看起來像是一份處理網路資訊風險的遵循確認表,但SEC是沒有資格擬這份確認表的。」
NACD也表示,儘管整體來說同意此次修正案,但仍擔心,四天的報告期限,「也就是在公司被迫公開網路資訊受到侵害之前,可能無法有足夠的時間落實適當的補救與保護措施。」
資料來源:
(2)[美國]董事會仍缺乏網路安全專長
一份對標準普爾500(S&P 500)指數公司董事會組成之研究發現,88%的董事沒有網路安全專長。僅7家公司的董事會有現任或前任資訊安全長,該研究發現其中有兩家公司是同一人。
創投公司NightDragon的創辦人與執行長、同時也在達美航空(Delta Air)與軟體公司Five9擔任董事的Dave DeWalt說:「董事會缺乏這項動能持續令我驚訝」。這份研究是由NightDragon和執行軟體開發商Diligent轄下分支的研究及智庫Diligent Institute共同執行,並在9月21日對外公布。
網路專長被廣泛定義為目前或先前擔任資安長職位者;曾擔任高階技術職位、但不一定是網路方面的職位者;以及具技術經驗但未曾擔任高階職位者。
約52%的公司有某種與網路安全相近技術經驗的董事。這包括擔任網路公司的董事或與網路安全相關專業組織有隸屬關係的人。
創投公司Cyberstart的普通合夥人Emily Heath說,董事會的網路資歷如今對良好治理很重要。Heath說,在監督職責上,董事要負責確保風險受到適當管理,包括網路風險。她說:「你必須有網路知識與經驗以便知道問什麼問題。」
Diligent/NightDragon的研究結果與2022年11月華爾街日報(Wall Street Journal)所做的類似研究相近。該分析發現,在S&P 500公司的4621個董事中,僅86位在過去10年間有網路安全相關經驗。
美國證券交易委員會(Securities and Exchange Commission,SEC)提議的法規原本要求公司揭露哪些董事會成員具網路經驗,不過該條文在9月5日最後生效的法規中被拿掉了。
董事說通常難以找到董事會層級職位的適合人選。網路安全是高度技術性領域,並且該領域的經理人直到最近才被晉升到高階領導職。顧問公司Apogee Executive Advisors的創辦人與執行長Myrna Soto說,董事會工作要求廣泛的企業經驗是許多安全長所缺乏的。
也是精神航空(Spirit Airlines)、大眾(Popular)銀行集團以及薪資福利管理公司TriNet Group董事的Soto說,董事會通常要在會議有限的時間內討論網路問題。有其他問題需要他們注意,任何網路專家必須能透過對這些討論帶來貢獻以驗證他們適任。她說:「極其重要地,將來在備查名單上能把這類專長帶進董事會的候選人是非常全面的企業主管。」
NightDragon的DeWalt說,解決這個問題需要董事會與網路專家的努力。安全主管必須擴大他們的整體企業知識、公司必須將資安長的職位提升到真正的長字輩位階,而董事會必須在網路事務上接受更好的教育。
資料來源:https://www.wsj.com/articles/boards-still-lack-cybersecurity-expertise-70094266
(3)研究顯示:88%的資安主管認為組織未能解決網路安全,但與董事會定期議合有助於改善
Foundry在2023年11月9日公布了2023 Security Priorities Study,該報告結果來自於790位關於IT、公司/實體風險決策的全球受訪者。在這份第七年的研究裡,分享了以下事項的看法:組織的安全結構、已知風險、重新定位安全主管時間的挑戰,以及強化安全組織的投資。這些研究也審視了,IT與安全主管目前需注意、展望未來的安全相關優先事項。
為協助他們更快找到沒有看到的威脅、加速回應時間,以及消除耗時的任務,組織正投資AI相關的安全解決方案。他們也投資安全營運中心(不管是公司內部或外包的)以及網路保險政策。
以下是本調查的發現:
*即將出現的安全目標
安全主管們說最重要的是:對安全事故做好準備(41%),其次有36%想要改善對隱私及敏感資料之保護(從去年的第四位躍升為第二位)。公司韌性是另一個主要關切事項,有34%組織計畫會提升其IT及資料安全,其次是有33%要加強其雲端資料與系統的安全。
*安全決策者在利害關係人接受上所面對的挑戰
今年的研究發現,對安全領導人最常見的干擾是—治理和遵循方面的法規。近半的安全主管說,新的SEC法規(要求對投資人重大的網路安全事故發生四日以內揭露)會影響他們如何處理公司的網路安全措施。整體來看,有30%的組織具備判斷安全事故重大性的流程—千人以上企業的比例(38%)會多於中小企業(22%),同時有30%現在正在發展此流程。
絕大多數(88%)相信,他們的組織在處理網路安全風險方面並不成功。安全主管難以就風險的嚴重性說服組織(28%),某些組織對人員與科技投入的預算資源不足(26%),以及有的組織無法找到及留住他們所需的人才(26%)。
為了改善這個狀況,定期與董事會定期議合的最高階安全經理人,今年比例為85%(2022年為82%)。這件事被證實是有效益的—59%說他們與董事會的議合會協助強化網路安全/安全措施。此外,有25%的最高階安全經理人現在會向董事會報告,較去年的20%提高,而有半數說,他們的董事會具備網路安全相關問題的經驗。
*安全的資安決策者正投資什麼
IT主管現在透過投資新方案、增加現有安全棧支出的方式,來處理安全風險。幾乎所有(98%)安全主管說,預期他們的安全預算在未來12個月會增加或維持不變。他們計畫要增加驗證(MFA)、資料分析、保護雲端資料、雲端安全解決方案方面的支出,還要對其安全科技網路之保險政策做額外的確信。有將近四分之一的組織會考慮網路保險,58%在使用上有政策、僅21%沒有興趣。
關於詢問安全決策者在採購的哪個階段最需要供應商的協助?他們特別指出的有:評估階段(48%)、決定技術需求(43%),以及售後協商(32%)。
有67%的組織會在其安全科技裡使用AI,以跟上不斷變化的威脅、並協助彌補員工的短缺。大企業的數字比中小企業高(分別是79%與55%)。AI的用途有:偵測威脅(44%)、偵測勒索軟體(36%)、自動警報與分類(32%)以及即時風險預測(26%)。將近四分之三的安全主管(72%)說,他們有看到組織使用AI為主安全科技的效益。
在此可瀏覽該報告的摘要:https://resources.foundryco.com/download/security-priorities-executive-summary
沒有留言:
張貼留言