随着董事会更加关注网络安全，他们是否忽视了最大的威胁之一？——《华尔街日报》

大多数企业似乎并未指导董事如何预判、应对或规避针对他们的网络攻击。插图：乔恩·克劳斯董事会成员正为其监管企业的网络安全战略承担更多责任，但他们可能忽略了组织最脆弱的环节之一——他们自身。

我们在对数十家不同企业和行业的董事进行系列访谈与调研时，揭示了这个令人不安的事实。这是我们关于董事会与网络安全议题的广泛研究的一部分。

过去十年间，网络安全监督已成为董事会的附加职责，董事们需更负责确保组织建立抵御攻击的坚固防线。这意味着董事如今不仅能接触大量敏感数据，还可获取企业网络防御的详细战术信息。

尽管如此，董事们传统上并未被纳入企业网络安全防护范围。我们调研的大多数企业也未曾指导董事如何预判、应对或规避网络攻击。

结果就是：这些负责确保企业安全防护的董事会成员本身，很可能成为组织网络防御中最薄弱的环节。

毫无防备

企业高管可通过技术主管汇报、模拟攻击的桌面推演、关键网络安全指标报告等方式让董事会了解企业防护准备。但所有这些措施都未帮助董事建立抵御针对其个人攻击的韧性。

毫无疑问，他们处于独特的脆弱境地。例如，根据我们所做的研究，我们知道许多董事会成员几乎完全远程工作，这意味着他们通过电子方式共享大量敏感信息。此外，董事通常不参与——因此也无法受益于——那些有助于让公司员工保持网络安全意识的培训项目、定期沟通和非正式的茶水间讨论。由于董事会可能仅定期收到网络安全状态更新，董事们可能需要一段时间才能识别并充分理解新兴威胁，比如人工智能驱动的网络攻击，以及这些攻击如何被用来针对他们个人。

几位董事会成员告诉我们，一些董事使用公共电子邮件账户——而不是官方或加密的消息系统或文档管理平台——来共享董事会信息和通信。一位董事评论说，她认为董事会用于共享会议文件的平台是安全的，但她并不十分确定。

其他董事会成员表示，虽然他们会收到关于诸如员工测试钓鱼邮件失败率等有限简报，但他们自己从未接受过关于如何加强个人防护的培训。还有一些人报告说，尽管对网络安全的关注日益增加，但许多董事会中并没有一位具有网络安全背景或接受过正式网络安全培训的董事，可以帮助其他董事会成员为针对性攻击做好准备并做出响应。

可以采取哪些措施？

鉴于这种风险，董事会可以采取哪些措施？

首先，针对普通员工的网络安全教育培训项目可调整为面向董事定制化设计。

其次，定制化的桌面演练——让董事会成员模拟应对假设性网络攻击事件——能有效提升董事对直接攻击的识别与防范能力。这种沉浸式演练会激发参与者的情绪反应，使其比常规讨论更投入地思考真实攻击中的应对策略。

第三，企业可将董事纳入钓鱼邮件模拟测试，通过发送虚假邮件评估其反应，并据此开发针对性培训工具。这类模拟攻击及后续培训可专门为董事群体量身定制。

最后，一对一专家辅导可能是最高效的培训方式，由安全专家根据每位董事的个性化需求和时间安排提供专属指导。

当前几乎所有网络安全资源都集中于保护企业实体（员工、管理层、业务流程及技术等），但董事群体同样需要纳入安全防护体系。随着董事会承担企业网络安全战略监督职责的法定要求不断增强，我们必须采取更多措施来守护这些"守护者"。

杰弗里·普劳德富特任本特利大学副教授，同时担任MIT斯隆网络安全研究中心(CAMS)研究员；克里·珀尔森为CAMS执行主任；斯图尔特·马德尼克作为CAMS创始主任亦参与本研究。作者联系方式：[email protected]。