Harvard Law School Forum on Corporate Governance在2024年 4月 16日有這一篇由Edna Twumwaa Frimpong、Dottie Schindlinger、Derek Vadala所寫的“Cybersecurity, audit, and the board: How does board oversight impact cybersecurity performance?“。
網路事故頻率和嚴重性的快速上升已經讓網路風險成為董事會面對的最重要挑戰之一。隨著網路威脅變得越來越複雜而普遍,董事會受到更大的壓力要有效處理網路安全風險以保障組織的利益。隨著因資料外洩的財務損失到2025年預估會達到約10.5兆美元,並且受到像美國證券交易委員會(SEC)監理機關新的壓力,董事會的監督角色變得更為重要。
董事會正優先考慮強有力的監督機制以緩解網路風險,並且在持續演變的數位世界裡維護其組織的財務健康與聲譽。然而,董事會面對網路風險所採取的方法各異,引發關於不同的董事會治理結構及策略的有效性問題。
Diligent Institute與Bitsight承認需要更深入洞察董事會在網路安全監督方面的實務運作,以及其監督對組織的影響,著手去更清楚瞭解董事會如何應對網路風險與這些方法的結果。透過此報告,作者旨在闡明幾個關鍵問題:
*網路安全績效和財務績效之間有關係嗎?
*相較於將網路風險監督指派給審計委員會,設立專門委員會進行監督時,公司在網路安全方面能否有更好表現?
*審計委員會監督網路風險是否與安全績效相關?
*董事會上出現網路專家是否與安全績效相關?
*從安全績效評等高的公司身上,我們可以學到什麼其他關於網路風險治理的知識呢?
透過解決這些問題,我們的目標是提供可行的見解得以知曉公司治理方面的最佳實務,並強化網路風險的結構性監督。
方法論
作者的分析包含了4149個橫跨澳洲、加拿大、法國、德國、日本、英國與美國公開指數之中大型公司可公開取得的資料。利用2023年十一月底從Diligent Market Intelligence取得的董事會資料,作者檢視了這些公司的董事會結構及董事技能組合背景。
作者後續找出具備專門委員會全力投入網路安全、風險或安全監督的公司。在整份報告中,作者統稱這些委員會為「專門風險委員會」。
作者也將委員會層級的網路安全監督分為三類,以評估其對網路安全風險評等之潛在影響:
1.具備專門風險委員會來監督網路安全的公司。
2.沒有專門風險委員會的公司,在此假設審計委員會負責監督網路安全風險與其他領域的企業風險。
3.既無審計委員會也無專門風險委員會,在此假設由整個董事會來監督風險。
就本報告目的來說,若符合以下標準,則作者將董事歸類為「網路安全專家」:
*他們是現任或前任的資安長(CISOs),或
*他們是網路安全公司現任或前任的執行長、資訊長(CIOs)或技術長(CTOs)。
作者還將每家公司的網路監督結構及其從Bitsight所取得相應的安全績效數據進行相關性分析。相關性分析法涉及對每個類別內的評等加以平均,以找出可辨別的模式。Bitsight根據組織安全狀態的外部可觀察的測量結果,建立網路安全評等。這些數據是在2023年十二月至2024年二月間抽取的,評等範圍從250至900分之間(以10分遞增),並分成大三類:
1.基本安全績效:評等從250至630分,佔樣本的12%。
2.中等安全績效:評等從640至730分,佔樣本的47%。
3.高等安全績效:評等從740至900分,佔樣本的41%。
主要發現
*具有高等安全評等的公司為股東創造的價值近四倍於基本安全評等公司。平均而言,位列高等安全績效範圍的公司其三至五年的股東總回報率(Total Shareholders’ Return, TSR),比身處基本安全績效範圍內的同業分別高出近372%及91%。
*擁有專門風險或審計委員會的公司平均安全績效評等較高。屬於這兩類的公司的平均安全評等為710分,而缺乏這兩個委員會的公司,其平均安全評等為650分。研究發現也顯示,具備專門風險與審計委員會公司的安全評等之分配往往偏向高等安全績效範圍,而缺乏這些委員會的公司,則通常偏向基本安全績效範圍。
*董事會上有網路安全專家並不夠。讓網路安全專家納入負責監督網路安全風險的董事會功能性委員會將對組織績效造成重要差異。董事會中僅有網路安全專家與提高安全績效評等並無關聯。在審計委員會或專門風險委員會上有網路安全專家之公司其平均安全績效評等為700分,在這兩個委員會中沒有網路安全專家的公司得到安全評等580分。儘管如此,董事會擁有網路專家的公司比例仍然明顯偏低。樣本中僅5%的公司在董事會上有網路專家。
*受到高度監管的產業在網路安全績效方面往往優於其他產業。在獲得高等安全績效評等的公司中有三分之一(33%)來自於金融服務業—平均評等為720分。不過,整體平均評等最高的是醫療照顧業的730分。相較之下,在,有近四分之一(24%)獲得基本安全績效評等的公司裡是來自工業部門,而整體績效評等最低的行業是通訊業,為630分。
沒有留言:
張貼留言