每一家企业的高阶主管团队和董事会,目前都在自问一个有关网络风险的问题:我们可以采取什么不同的做法,以避免成为下一个Equifax、雅虎(Yahoo)或塔吉特百货(Target),并保护我们的股东价值?

答案在于彻底重新架构最高管理阶层中的一个主要角色,那就是财务官的角色。财务官只专注于管理公司的财务风险,这么做现在已经不够了,或者不再被接受。在这个新时代,财务官必须与资讯安全官合作解决网络风险落差的问题,也就是已处理与未处理的已知威胁之间的风险落差,之所以会有这种落差,可能是因为安全工具不足,或威胁躲过侦测。

落差越大,发生事故的风险就越大,可能得花费数百万美元善后,并造成业务损失和股价下跌。最具风险意识公司的财务官,会运用以下的策略:

与资讯安全官携手合作。财务官必须与资讯安全官合作,以了解公司的安全风险,以及与其相关的所有财务成本。目前,大多数财务官和安全执行人员,在加强公司对抗网络攻击方面缺乏联系:最近的资料显示,39%的资讯科技人员不认为自家公司的高阶经理人,了解安全漏洞可能对公司声誉造成的冲击。财务官若能成为安全团队的积极成员,而不是被动的观察者,再搭配执行官和其他决策高层,就能通过更加聚焦和有效的网络安全技术组合,大幅缩减营收的损失。一些财务官正和自家的资讯安全官合作,实际模拟公司的网络风险落差。最有效的合作关系,会在每周进行网络风险检讨。

从你的网络安全组合中创造红利。尽管近年来企业的安全支出已有增加,但安全方面的投资仍然严重不足。资讯科技预算通常占公司营收的3%到7%,而安全预算通常占资讯科技支出的5%

也就是说,财务官投资公司的网络安全会有好处。2016年的一份报告发现,过去两年间,资讯安全方面投资较多的公司,遭受到的资讯外泄事件较平均值少了6.8次,节省超过五百万美元。不过,资料和连结设备的爆炸性出现(根据Gartner的资料,目前有82亿个物联网和智能设备),持续扩大了公司遭受的攻击面,而这些公司不久前才相对受到安全的周边保护,直到最近情况有了改变。

这些新设备代表了效率和风险之间的妥协,因为在很大程度上传统工具无法检测到这些设备。需要有新的方法,才能处理今日数字商业领域的现实,以及不断变化的威胁水准。

对财务官很重要的一点,是应了解这些新的风险在哪里。我们不能再像过去那样忽视安全预算和分项项目,我们必须参与思考支出相关费用的策略,以及处理人员与流程的策略。公司不应期待我们能了解这种技术或它运作的原理,但我们应该了解它为什么很重要,包括了解每一项新投资,在消除网络风险落差和奠定公司长期成功当中扮演的角色。

更了解网络风险落差和相关财务风险之后,财务官、资讯安全官可以确保我们的安全技术组合能够长久运作。以这种方式投资我们的安全预算,不仅能改善我们的整体安全情况,更能创造长期红利。

对网络风险负责。考虑到网络风险与财务风险之间越来越不同的新关系,财务官最终应该对网络风险负责。根据最近的一项研究,资讯外泄导致公司股价平均下跌5%,平均营收减少340万美元。而且,一旦欧盟的“个人数据保护规范”(General Data Protection Regulation)自2018年5月开始生效后,数据外泄可能导致高达两千万欧元的罚款,约相当于前一个会计年度全球年营业额的4%。

由于这些风险,财务官不能单打独斗,而应该和其他相关人士密切合作,包括与管理这个风险有明确和既定利益的人,像是资讯安全官。为此,最具前瞻性的执行官最终会考虑把安全措施和成功因素,纳入财务官的奖金考量因素,并要求财务官和资讯安全官定期向董事会更新资讯。

(作者:史蒂夫·文茨)