董事会究竟具备多少网络安全专业知识？——《华尔街日报》

自去年以来，标普500公司中具备网络安全经验的董事人数激增。但在董事会因安全漏洞面临更严格审查的当下，其整体网络安全专业素养仍处于较低水平。

《华尔街日报》专业研究部门数据显示，截至8月31日，113家企业的107名董事拥有网络安全专业背景。这些董事共占据124个标普500董事会席位，占该指数所有公司董事会成员的2.3%。去年11月的同项研究显示，当时91家公司的86名董事持有100个董事会席位。

艾可飞首席信息安全官、软件公司UKG董事贾米尔·法尔希表示，增长主因是企业日益认识到网络安全对长期业绩的核心作用。网络犯罪对企业构成持续扩大的重大风险，可能导致运营中断、声誉受损，若未能保护数据还将面临法律追责甚至监管处罚。

今年7月美国证券交易委员会通过的新规，要求董事会加强网络安全风险监督，这也成为吸纳网络安全专业董事的额外动因。

认知与现实的差距

我们最新研究中发现的董事网络安全经验匮乏现象，与《华尔街日报》专业研究部门和美国公司董事协会今年早前的调查结果形成反差。在472名董事会成员的反馈中，76%声称其董事会至少有一名网络安全专家，其中19%表示拥有至少三位具备该专长的董事。

这种对比表明，某些董事可能高估了不具备网络安全专业背景的董事会成员在该领域的专业能力。法尔希表示，让至少具备一定技术知识的人进入董事会已是重大进步，但若目标是真正实现对网络安全的有效监督，董事必须具备相关职业经验。

他认为，若董事会中没有具备网络安全专项知识的董事，企业就难以宣称其能有效监管网络安全风险。“他们可以这样宣称，但除非存在特殊情况，否则这种说法并不可信，“他说道，“这就好比一个完全由首席信息安全官组成的董事会声称自己能有效监督财务风险。理论上可能，但实际可能性极低。”

在我们最新研究的107名具备此类专业知识的董事中，82人拥有高管职位经历，其中包括8名曾任首席信息安全官和68名曾任首席信息官。其余25名董事的资质来源于曾任政府网络安全高级职务，或曾领导/创立网络安全公司。该研究分析了FactSet数据、公开传记及社交媒体资料。

研究中超过半数具备网络安全经验的董事就职于金融服务和信息技术企业的董事会。约四分之一任职于工业和医疗保健公司的董事会。

多数行业领域都增加了具有网络安全经验的董事，但医疗保健和通信服务行业维持原有水平，房地产行业则失去了所有网络安全背景的董事。我们在2022年发现的4名具备网络安全经验的房地产行业董事中，2人已离任，另2人因离开网络安全核心岗位时间过长而不再符合研究标准。

无需经验？

并非所有人都认为每家公司的董事会都需要一位具备网络安全经验的董事。“董事会席位是有限资源，不可能为每个专业领域都聘请一位董事，“网络安全公司Netskope云战略负责人、IBM前首席信息安全官Shamla Naidoo表示，“网络风险治理与其他领域的风险管理并无本质区别。”

Naidoo进一步指出，即便在数据泄露事件促使董事会提升网络安全风险管理能力时，单纯聘请一位网络安全专家进入董事会也未必是最佳方案。“这种应对企业新风险的方式既不可持续也欠考虑，“她说道。相反，她主张打造"一个由多位精通网络知识的董事组成的明智董事会”。

无论董事会如何构成，多数董事对其处理网络安全事件的能力并不自信。尽管约四分之三接受《华尔街日报》专业版/全美公司董事协会调查的董事表示其董事会至少有一位网络安全专家，但仅有30%将董事会监督网络安全危机的能力评为"专家级"或"高级”。这表明多数企业在应对数据泄露时仍可能犯错——这些错误将引发对董事会履职能力的质疑，尤其当董事会缺乏网络安全经验人士时。

罗布·斯隆是《华尔街日报》专业版调研总监，联系方式：[email protected]。

截至8月底，标普500公司董事会中具有网络安全专业经验的董事占比仅为2.3%。图片来源：iStockphoto/Getty Images刊载于2023年9月28日印刷版，原标题为《董事会真正具备多少网络安全专业知识？并不多》。