为何企业董事会需要更多网络安全专业知识 - 《华尔街日报》

Anthony Vance and Michelle Lowry

2022-09-07

如果你不理解某事物，如何确保它运行良好？更糟的是，如果连“运行良好”是什么样子都不知道呢？这正是许多上市公司董事会在网络安全问题上所处的困境。

网络安全已成为威胁企业运营甚至生存的关键商业风险，董事会面临着越来越大的压力，需要确保网络安全风险得到有效管理。但传统上在战略、营销或金融等领域拥有深厚专业知识的董事会，能否有效监督他们几乎毫无经验的网络安全领域？

我们通过一项深度访谈研究调查了这个问题，研究对象包括董事、首席信息安全官或其他网络安全负责人，以及为董事会提供网络安全支持的顾问，这些人员均来自中型和大型公司。我们发现，大多数董事会对网络安全缺乏足够的了解，这极大地影响了他们的监督质量。

监管压力

美国证券交易委员会今年早些时候就这一问题提出了新规提案，要求上市公司披露董事会中谁（如果有的话）具备网络安全专业知识，以及该专业知识的性质。国会的一项法案也提出了类似规定。这意味着董事会应具备与公司面临风险相匹配的网络安全专业知识，专业知识不足会使投资者面临风险。

从表面上看，美国证券交易委员会（SEC）提出的规则与2002年《萨班斯-奥克斯利法案》类似，后者要求上市公司说明董事会审计委员会是否配备财务专家。然而，虽然财务知识是每个MBA课程的必修内容，网络安全却并非如此。我们采访的一位高管这样描述问题：“通常你不需要向审计委员会成员解释财务报表的运作原理，这是不言自明的……相比之下，（网络安全）是每个人都在努力理解’这到底意味着什么’的新领域。”

另一个重要区别在于，在《萨班斯-奥克斯利法案》实施前，大多数公司董事会已有财务专家。而我们对罗素3000指数中随机抽取的1000家公司进行分析发现，披露拥有网络安全专业背景董事的企业不足15%。因此，SEC新规可能比《萨班斯-奥克斯利法案》催生更多新任董事。

无知即风险

那么专业知识的缺乏会对网络安全监督产生哪些影响？我们的访谈揭示了若干问题。

首先，专业缺失导致监督流于表面形式。例如，董事们可能因自然倾向于关注熟悉领域，而对网络安全重视不足。他们向首席信息安全官（CISO）提出的问题可能过于基础或模板化，无法触及企业网络安全风险核心。即便获得答复，董事也可能无法理解内容，难以识别乐观表述的包装，或通过追问来判断CISO及其项目是否需要调整方向。

其次，专业知识不足的董事会往往过度依赖首席信息安全官（CISO）。许多CISO在开展有实质意义的讨论前，必须定期向董事会普及网络安全知识。一位顾问解释道：“如果你说’我们需要新灭火器’，大家都知道那是什么，自然无需解释其必要性。但如果说’我需要新的数据防泄漏软件’，就可能得先说明这是什么以及为何重要。”

这种知识普及工作必然限制CISO在有限董事会时间内能汇报的内容。更糟的是，这会导致董事会成员对CISO形成理解层面的依赖。

除知识普及外，许多CISO还会主动指导董事会：应该接收哪些信息、提出哪些问题、网络安全目标指标该如何设定。这种循环监督模式——即被监督对象（CISO）决定自身如何被监督——缺乏独立性，显然存在问题。

独立性缺失的危险信号之一是：我们采访的大多数CISO坦言，鉴于董事会缺乏专业知识，他们在汇报时难免会过滤棘手问题。相比之下，受访董事大多认为CISO不会如此筛选报告，即便这么做也能被识破。网络安全专业知识能帮助董事更有效判断CISO是否提供了完整、未经修饰的事实。

正如许多董事对网络安全监督职责准备不足一样，许多首席信息安全官（CISO）在参与董事会互动时同样措手不及。CISO们难以把握董事会需要哪些信息以及应如何汇报。多数人技术背景出身，尚未学会将网络安全威胁转化为董事会能理解的商业风险。当董事会成员缺乏专业知识且无法与CISO有效沟通时，这种脱节会进一步恶化。

增值效益与潜在隐忧

值得庆幸的是，我们也观察到许多具备网络安全专长的董事带来积极影响的案例。这些董事能与CISO深入探讨问题，必要时对其网络安全方案提出质询。他们还能充当董事会与CISO之间的桥梁，为CISO向高管层争取资源和组织变革时提供政治资本支持，成为CISO的宝贵助力。

研究表明，通过直接管理网络安全实践获得的真实专业经验能带来最大效益。但即便对董事会专业知识进行适度投入（如网络安全培训），也能产生显著回报。

并非所有受访者都认为董事会需要网络安全专家。主要顾虑包括：董事会更倾向任命具有广泛高管经验（能惠及多业务领域）的董事，而非仅精通网络安全等单一技能的人选；另有担忧认为专家存在可能导致其他董事推卸自身监督责任；部分高管指出，专业背景的董事可能越界干预具体网络安全管理工作。尽管存在这些保留意见，普遍共识认为：专业素养能使董事对网络安全风险实施主动的、增值的监督——这是非专业人士无法实现的。

用我们受访者的话简单来说，网络安全专业知识让董事们能够“知道什么是好的”。我们的研究强调了像美国证券交易委员会（SEC）提出的那些规则的必要性。随着公司面临的网络安全威胁增加，董事会的网络安全专业知识也应相应提升。

Vance博士是弗吉尼亚理工大学的商业信息技术教授和Commonwealth Cyber Initiative研究员。Lowry博士是弗吉尼亚理工大学的会计学助理教授。弗吉尼亚理工大学会计学助理教授Marshall Vance对本文亦有贡献。可通过[email protected]联系他们。

本文刊登于2022年9月9日的印刷版，标题为《为什么公司董事会需要更多网络安全专业知识》。