國際風(fēng)向標(biāo):將網(wǎng)絡(luò)安全納入公司管理層薪酬考核指標(biāo)
責(zé)編:gltian |2023-09-05 13:47:41一些公司開始將首席執(zhí)行官和其他高層領(lǐng)導(dǎo)的獎金與網(wǎng)絡(luò)安全指標(biāo)掛鉤。治理專家表示,這一舉措可能使公司更安全地抵御黑客攻擊。
這一做法在美國大公司中逐漸普及。會計和咨詢公司安永的最新研究顯示,2022年財富100強公司中,有9家將特定高管的部分短期獎金與網(wǎng)絡(luò)安全目標(biāo)相關(guān)聯(lián)。安永表示,2018年還沒有公司采取上述措施。
美國知名代理咨詢公司機構(gòu)股東服務(wù)(ISS)的數(shù)據(jù)部門ISS ESG發(fā)現(xiàn),去年全球超過15000家上市公司中,有86家采取了這種做法,包括美國制藥公司強生、倫敦證券交易所和英國Paragon銀行集團。
ISS公司高級網(wǎng)絡(luò)安全中心執(zhí)行主席William Guenther表示,網(wǎng)絡(luò)安全通常由技術(shù)和安全部門負責(zé)。但是他認(rèn)為,網(wǎng)絡(luò)安全目標(biāo)應(yīng)該提升到更高層面,并與高級高管的薪酬計劃掛鉤,這有助于將安全因素納入公司戰(zhàn)略決策。他補充道:“這雖然是一小步,卻是非常重要的一小步。”
已有企業(yè)開始實踐,
考核指標(biāo)設(shè)定具有挑戰(zhàn)性
2017年,信用評級機構(gòu)艾可飛(Equifax)發(fā)生大規(guī)模數(shù)據(jù)泄露事件,引發(fā)了總額達14億美元的消費者訴訟。此外,事件造成的與各州和解費用、技術(shù)費用總計超過10億美元。
從那時起,艾可飛就將部分高管獎金與網(wǎng)絡(luò)安全目標(biāo)掛鉤。2018年,艾可飛制定了一項多年計劃,以解決導(dǎo)致數(shù)據(jù)泄露的問題。如果未能實現(xiàn)網(wǎng)絡(luò)安全指標(biāo),高管的短期現(xiàn)金獎金將有縮水的風(fēng)險。
艾可飛董事會已將安全納入環(huán)境、社會和企業(yè)治理目標(biāo),據(jù)此確定每年高管獎金和合格員工的年度激勵計劃獎金。根據(jù)艾可飛的最新代理聲明,員工必須達到網(wǎng)絡(luò)安全部門設(shè)置的一項或多項與其職務(wù)相關(guān)的安全目標(biāo)。
像艾可飛一樣,許多公司不在公開文件中詳細說明他們的網(wǎng)絡(luò)安全指標(biāo)。但是,也有一些公司會這樣做。2022年各公司的代理文件列出了一些指標(biāo),如提高特定網(wǎng)絡(luò)安全準(zhǔn)備措施的得分、制定三年網(wǎng)絡(luò)安全計劃。
安永美洲審計委員會論壇領(lǐng)導(dǎo)Patrick Niemann表示,盡管這樣做的公司數(shù)量不多,但這些披露顯示董事會越來越關(guān)注網(wǎng)絡(luò)安全。
盡管如此,Patrick Niemann認(rèn)為,確定與薪酬掛鉤的網(wǎng)絡(luò)安全目標(biāo)仍然具有挑戰(zhàn)性。他說,并不是說某一年沒有遭受黑客攻擊就能獲得獎金,遭受黑客攻擊就會失去獎金,事情沒有這樣簡單。相關(guān)指標(biāo)正在不斷演化。他說:“他們正在嘗試各種方法。我們只能看出一點,幾乎所有董事會都將網(wǎng)絡(luò)安全視為優(yōu)先級最高的事項。”
企業(yè)推行懲罰性指標(biāo),
難以推動長效變革
有時,網(wǎng)絡(luò)安全和獎金之間的關(guān)聯(lián)更多地以懲罰而非獎勵的形式存在。
澳大利亞健康保險巨頭Medibank私人保險公司從未將具體網(wǎng)絡(luò)安全目標(biāo)與高管薪酬掛鉤。然而,2022年,公司遭遇網(wǎng)絡(luò)攻擊,損失超過4600萬美元。
這次攻擊暴露了近1000萬人的個人數(shù)據(jù),其中包括一些病歷數(shù)據(jù)。因此,Medibank董事會于上周取消了首席執(zhí)行官、首席財務(wù)官和其他兩名高層領(lǐng)導(dǎo)的短期獎金。這些高管共計失去了360萬美元獎金。
Medibank董事們在2023年年度報告中寫道,“考慮到我們客戶、股東和社區(qū)的期望,董事會行使了自由裁量權(quán)。”
Medibank發(fā)言人說,“網(wǎng)絡(luò)犯罪事件發(fā)生時,我們的董事長曾表示,會有承擔(dān)后果的時候。大家可以在我們上周發(fā)布的公告中看到這些后果是什么。這是一起嚴(yán)重的事件,必然會帶來嚴(yán)重的后果。”
高級網(wǎng)絡(luò)安全中心執(zhí)行主席William Guenther表示,公司應(yīng)該提前明確他們對高管的期望。他說,網(wǎng)絡(luò)攻擊后的采取懲罰措施,很難帶來持續(xù)變革。制定指標(biāo)需要得到支持,“否則會毫無意義。”
參考資料:wsj.com
來源:安全內(nèi)參
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧