企业需要安全专家进入董事会
作者:星期日, 八月 23, 20150

两年前,建筑与工程公司Parsons Corp.的董事会准备引入一个新人。

自然,他们想要一个具有沟通和领导能力的人。但他们也需要一些新的:一位能够带领他们对抗黑客、网络盗窃、电子间谍、数字破坏者和其他任何想要在互联网世界中造成混乱的人的人。

这家位于帕萨迪纳的公司最新进的董事会成员是苏珊尼·瓦崔诺特(Suzanne Vautrinot),她是退休的空军少将,曾帮助建立美国国防部的网络司令部,并领导过空军的IT和线上战斗群。

Parsons站在一次公司治理快速变革的前沿:提升网络安全专家在董事会内的地位,尽管董事会这个栖息地传统上被前CEO和市场及财务专家占据着。

11

最近的几个月,美国国际集团(AIG)、黑莓、CMS能源、通用汽车和富国银行(Wells Fargo)都在董事会内引入了一名具有计算机安全知识的成员。达美航空和艺康集团也在过去的几年内这样做了。

原因很明晰。针对大公司的网络攻击数量从2013年到2014年突飞猛进,攀升了44%。根据劳合社(Lloyd’s of London)估计,网络犯罪导致的经营成本每年超过四千亿美金。

董事会有责任提醒高管设立目标并列出相应的实现计划,并质疑未来会出现的挑战。这并没有充分表明网络安全风险可能被证明代价高昂:在金钱、声誉、法律、时间、客户流失方面。

问问塔吉特吧。自从黑客两年前攻破了其支付系统,该公司已经花费了2亿5600万美元清理混乱,保险将偿付其中的三分之一。尽管收入只是损失了一小部分,这种损害已经足以让公司的首席执行官被解雇,还在几个月内吓跑了很多客户。针对受影响客户的几场政府调查和法律诉讼还在进行中。

在其它案例中,窃贼会盗取敏感的企业数据,可能会导致对手取得竞争优势,削弱和减少其声誉。

数据显示,公司董事会有很长的路要走。美国全国董事协会(National Assn. of Corporate Directors)今年的调查显示,只有11%的上市公司董事会对网络安全有深度理解。纽交所和Veracode安全公司做的一项访谈显示,三分之二的受访董事认为公司对网络攻击准备不足。而且,根据普华永道报告,30%的董事会从来就没有讨论过网络安全

事实令人瞩目。猎头公司RSR Partners总裁盖瑞·马特斯(Gary Matus)表示,“董事会对不竭尽全力保护客户,保护收益流负有一部分责任。要给人们信心,必须尽可能寻求建议。”

对Pasons董事长查尔斯·哈灵顿(Charles Harrington)而言,根本不必想就应该在董事会内加入一个安全专家。Parsons公司的业务本质上需要这样做。Parsons通常进行受雇于政府的机密公司,比如建设桥梁、工厂和军事基地。哈灵顿意识到,这些项目的IT网络需要保护。计算机病毒正在散播,可能摧毁Parsons承建的设施。他将未来称为“电子战场”,正带领公司为未来准备。

他收购了两家信息安全公司。将其业务和Parsons的工程师和科学家整合,他们准备先发制人,而不是事后聪明。

哈灵顿知道方向是正确的,但他需要一个具有新视角的人,以帮他在董事会上策划、沟通这个战略。他引入了瓦崔诺特,将她评价为“一个奇人,拥有深厚的技术功底和董事会所需要的沟通能力。”而且她“不怕深挖,弄脏自己的手。”

她不是个橡皮图章。瓦崔诺特访问了公司的网络安全团队。她帮忙想了怎么能够说服对网络安全服务支付费用,并把它比作前几年试图说服人们戴自行车头盔。在董事会里,她不使用术语,将这次机会解释成保护铁路、收费公路的骨干的机会。她解释了这家15000名员工的公司应当如何在不断的网络威胁中保护自己的全球网络,因为Parsons的项目十分敏感。

“你可以带来激情,你可以成为冠军,你可以提出好问题”,她说。

“你可以帮助其他董事会成员看清它是可行的吗?我们可以这样做,并且作为一家公司成长吗?”

640

今年二月,瓦崔诺特加入了富国银行,这家公司正在为在信息安全方面节约成本大量投入资金。她还是艺康和赛门铁克的董事会成员。

对像瓦崔诺特这样的董事会成员的需求正不断增加,董事猎头表示。

普华永道的美国区网络安全领导人员大卫·伯格(David Burg)说,他目前仍在收到各公司董事会发来的要求,要求最基本的网络安全教育,数量令人惊异。举例而言,普华永道会帮助公司对比和竞争者之间的安全措施的区别。

在这次趋势中存在一个大问题:缺乏具有足够网络安全能力的董事会候选人。

国际信息系统审计协会(ISACA)的风险和安全顾问约翰·皮龙蒂(John Pironti),正敦促其成员在这个“敏感期的大驼峰”承担更多责任,这样他们在未来就能承担更重要的顾问角色,包括成为董事会成员。

哈灵顿对这个问题很开放。三年前Parsons公司的董事会决定允许其员工加入其它公司的董事会,虽然他们还没有收到任何请求。

“取决于一家公司的网络对他们多么重要,绝对的,在董事会上加入某些人可以改变整个对话。不管怎么样,网络都会找到进入我们的议程的方法。”

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章