当组织中发生安全/网络安全漏洞时, 今天我们能认出的不是安全/网络安全主管, 在其他名字中, 担任首席信息安全官, 商业资讯保安主任, 首席信托官)走出去面对媒体,将事实告知公众舆论, 而是一位发言人或一位高层管理人员承担了传达不良事件细节的挑战, 它的影响以及组织如何采取行动来解决这种情况. 从这个意义上说, 责任不是执行的, 但是指令和政治, 位于董事会, 谁将在其网络风险监管工作中接受评估,以及他们的决定是否会影响公司可能出现的安全漏洞的结果.
此时此刻, 董事会成员被问及其受托责任和可能违反应有注意的行为,这些行为可能导致他们以管理人或公司代表的身份在股东面前受到制裁或法律影响. 因此, 每个董事会成员都应该充分了解公司的网络安全努力和态势, 并鼓励对话回答以下问题, 等, 然后跟进并确保他们是 在适当的董事会级别处理 在该组织的执行委员会中:
- 我们是否优先考虑适当的网络安全技术和能力?
- 我们的技术优先级是否与我们的网络安全能力一致?
- 我们是否投资于正确的网络安全技术和能力?
- 我们可以, 那我们呢?, 准确而自信地衡量我们的风险偏好, 向监管机构和高管提供透明度?
- 我们是否有足够和合适的人才来维持现有的能力, 同时也支持未来网络的成熟和扩张?
- 我们是否已经测试并确保了针对不利网络事件的网络恢复能力?
很明显,该组织将在某个时候成功地进行网络攻击,但这并不意味着它要对这些影响负责, 但它的准备水平和反应能力与它的风险偏好声明有关, 这样就可以评估董事会的监督和保证工作做得有多好, 面对一种不断变化和动态的风险,宣告应有的谨慎和勤勉, 这需要一个长期的审查和不断的调整,以维持一个符合公司能够承受的风险能力的运营门槛,而不会失去其经营利润率.
因此, 每个董事会成员, 作为一种保护和确保他们在网络风险监管方面的尽职调查和应有的谨慎的方式, 至少应进行下列活动并作记录吗, 不影响为合议决定而建立的沟通 定义用于处理和监控与网络安全相关的风险:
- 定期参加董事会会议并参与讨论
- 提出问题并确保他们理解正在讨论的问题
- 审查和批准董事会作出的所有重大决定
- 了解公司法律及管治的最新发展
- 如果他们对自己作为董事的法律义务有疑问,请寻求法律建议
尽管董事会成员不需要是网络风险问题方面的专家(尽管最近董事会中越来越多地出现了这种情况)。, 认识和分析组织运作的场景以及其价值承诺在数字环境中如何受到影响是很重要的, 以及定义其行动的监管框架的演变,这可能会在中长期内产生紧张关系,因为实施创新战略会以特定方式受到监管的限制, 而且行动的选择有限.
编者按: 关于这个话题的更多见解,请阅读杰米的文章2024 ISACA杂志 article, 卷4,提高董事会的网络风险成熟度、治理和管理水平.”
