美國全國公司董事協(xié)會(NACD)是專注于提高董事會領(lǐng)導和做法的非營利組織，該協(xié)會總裁兼首席執(zhí)行官Ken Daly表示，在NACD的14000多名成員中，很多成員都表示了其領(lǐng)導對各自企業(yè)內(nèi)信息安全話題的興趣。他指出，近年來，“安全風險不屬于企業(yè)董事會成員的職責的觀念”已經(jīng)轉(zhuǎn)變，這主要是受斯諾登和Bradley Manning，以及Target和其他大型零售商的安全泄露事故的影響。

互聯(lián)網(wǎng)安全聯(lián)盟總裁兼首席執(zhí)行官Larry Clinton在國土安全會議上表示同意Daly的看法，并提到了最近FTI咨詢公司的調(diào)查統(tǒng)計數(shù)據(jù)，這些數(shù)據(jù)顯示數(shù)據(jù)安全現(xiàn)在是企業(yè)主管和總法律顧問最關(guān)心的問題。Clinton補充說，“數(shù)據(jù)安全”取代了去年的“繼承選擇和領(lǐng)導過渡”，這表明信息安全已經(jīng)成為企業(yè)董事會成員的主要課題。

“我們實際上已經(jīng)超越了我們的第一個目標，即提高網(wǎng)絡(luò)安全意識，到更困難的問題，即真正了解問題，然后合作解決問題，”Clinton表示，“談?wù)摼W(wǎng)絡(luò)安全應(yīng)該成為業(yè)務(wù)的一部分，這是一回事;而真正能做到這一點，又是另一回事。”

事實上，董事會成員對信息安全問題意識的提高是好事，但這并不一定意味著董事會成員會采取更多行動來減少風險。很多NACD成員已經(jīng)通過調(diào)查和非正式討論表明，對于安全話題，他們?nèi)狈逃?，其中有些人還承認他們沒有掌握必要的安全專用詞匯來有效地討論相關(guān)技術(shù)、威脅媒介和趨勢。

為了滿足對更多信息安全知識的需求，NACD在6月份發(fā)表了一本手冊，其中詳細介紹了5個一般信息安全原則，這些原則涵蓋了“有關(guān)安全風險監(jiān)督，董事會需要考慮的因素”。Daly表示，這本手冊在發(fā)布后，已經(jīng)下載超過1200次，隨著國土安全局已經(jīng)將它選作為關(guān)注安全的私有企業(yè)的資源，它還會獲得更多的關(guān)注。NACD也將提供更多的安全資源，形式包括視頻系列以及企業(yè)會議的專家演講。對于這個NACD手冊中包含的內(nèi)容，其中一條原則建議董事會成員注意與網(wǎng)絡(luò)風險相關(guān)的法律問題。某些州(例如加利福尼亞)已經(jīng)制定了與安全泄露事故通知相關(guān)的具體指導方針，而備受矚目的數(shù)據(jù)泄露事故已經(jīng)導致很多公司被起訴。為了確保企業(yè)在這種事件后不會因為忽視安全性而遭起訴，NACD手冊指出，董事會關(guān)于安全話題的討論應(yīng)該在所有正式會議中記錄下來，包括對特定風險的更新和整體安全計劃及技術(shù)。

這本手冊還指出，企業(yè)董事會還應(yīng)該確保他們經(jīng)常與安全相關(guān)的工作人員和專家舉行會議，來討論網(wǎng)絡(luò)風險，并決定各自企業(yè)對這種風險的容忍程度。Daly強調(diào)，這本手冊并沒有提倡的是，在董事會安排專門的安全人員。

相反地，作為企業(yè)級戰(zhàn)略的一部分，所有董事會成員應(yīng)該積極參與管理風險中來。這意味著，每個董事會成員和委員會應(yīng)該了解“安全如何影響他們的具體領(lǐng)域”，然后確定自己是否已深入其中來試圖管理相應(yīng)的問題，或者甚至可能聘請外部顧問來幫助他們。

“我沒有聽說過NACD成員想要把另一位專家安排在董事會，”Daly表示，“我認為這實際上違背了這個企業(yè)級的概念。”

Daly表示他希望，即使這個NACD手冊沒有為企業(yè)董事會提供所有答案，但這至少能夠?qū)⒛壳皩π畔踩?ldquo;未知”變?yōu)?ldquo;不確定”，這意味著他們將接受數(shù)據(jù)泄露事故的必然性，但這種泄露事故的結(jié)果仍然會受到企業(yè)提前部署的緩解措施的影響。