Source: CNBC
微软最近遭到美国政府和竞争对手的抨击,因为去年夏天未能阻止中国黑客入侵其系统。作为回应,这家科技巨头做出了一项改变:将高管薪酬更紧密地与网络安全挂钩。四月份,美国国家安全局的网络安全审查委员会将微软去年夏天的一次被归因于中国的入侵描述为“可以避免的。美国国土安全部的网络安全审查委员会指出了“一连串的错误”以及微软的企业文化“将企业安全投资和严格风险管理摆在次要位置。竞争对手利用了网络安全漏洞,谷歌本周发表了一篇博客文章,强调政府的调查结果,并指出,“网络安全审查委员会的报告还突显了包括谷歌在内的许多供应商已经采取了防范报告中所述战术的工程方法。CrowdStrike在其网站上醒目展示了政府的结论。来源自中国和俄罗斯的国家级攻击正在增加,并瞄准跨经济的企业,以及美国政府和社会基础设施。微软一直是一个非常重要的目标,包括来自俄罗斯和中国的黑客攻击。美国政府正对公司施加越来越大的压力,要求其改善网络安全协议,微软的高级企业律师布拉德·史密斯被要求在国会山作证。微软处于损害控制模式中。在一月份被归因于俄罗斯黑客攻击高管电子邮件账户后,公司按照新的联邦网络安全披露规定披露了事件,尽管从技术上讲,这不是一次公司法律要求分享的“重要”黑客攻击,这导致其他公司讨论新的披露规则应该在哪里划线。微软决定将高管薪酬与成功的网络安全性能挂钩,这促使其他公司开始讨论。微软在去年十一月推出了其“安全未来计划”,这个月早些时候,公司在一篇来自微软安全执行副总裁查理·贝尔的博客文章中概述了作为SFI目标的一部分,公司将“通过公司高级领导团队在满足我们的安全计划和里程碑方面的进展基础上,落实责任。一位微软发言人拒绝提供有关薪酬的具体信息,但说作为一个在世界数字生态系统中扮演重要角色的公司,微软有责任把网络安全作为首要任务。
这是公司“为进一步支持以安全为先文化所做的重要治理变化之一,”发言人说。公司通常在年度会议代理中提供更多细节,尽管通常仅在公司短期计划中提供有限的细节。近年来,许多财富500强公司,包括苹果,都已经增加了与ESG指标有关的奖励。风险管理和安全目标一直是高管薪酬的一部分,可以追溯到ESG崛起之前的一个时代——例如,采矿和能源公司,以及制造商和工业公司,将奖金与环境保护和员工安全挂钩。自微软采取行动以来,其他公司已经开始就与网络安全相关的高管薪酬进行讨论,这是皮尔·迈耶执行高级经理阿拉普·沙阿说的。他说,这种作为薪酬实践并不常见,但他补充说,“在微软的公告后,我接到了打电话询问‘我们应该这样做吗?会有效果吗?’的电话……这些对话与我们几年前与ESG指标展开的对话非常类似,但有相当一部分企业采纳了它们。沙阿说,可以提出一个论点,即网络安全是一个核心问题,可以与采矿或工业安全相提并论。但在这个案例中,在一家零售商和网络安全等领域之外的行业,如金融服务和医疗保健——这些一直是高调黑客攻击的目标——将最高级别人员的高管薪酬与网络安全挂钩还不够明显。一些公司认为,网络安全已经融入他们的文化,并认为这样的举措是多余的,但随着黑客威胁的升级和网络安全支出对微软等公司底线的重要性增加,这种新的高管薪酬指标可能是迫切需要的。专家认为让高管薪酬在一定程度上取决于实现网络安全目标是树立公司顶层安全文化的一个良好开端,这对于公司的成功至关重要。内外传递的最重要的信息是,将网络安全确保到文化中非常重要,越来越多的公司会效仿,无论其利益是否显著,”沙阿说。他们想要做的是确保这种文化变得根深蒂固,通往这个目标的途径是将其与薪酬挂钩。麻省理工学院信息技术教授斯图尔特·马德尼克说:“网络安全必须融入组织的文化中。但在公司内部优先考虑安全可能较为困难,因为这往往意味着将资金投入到不清晰反映企业底线的地方。
公司的文化优先考虑其他事物而不是安全和风险管理,”马德尼克说。你如何知道自己有多安全?也许当时没有人以你为目标。但如果销售额增加了20%,那就是银行里的钱。马德尼克的研究显示,公司文化中的差距往往是造成高调黑客攻击的元凶,而不仅仅是微软的例子。预防,他说,不仅仅是为了事后诸葛亮,而是更具有前瞻性。在最近一篇文章中,他引用了麻省理工学院对近年来Equifax和Capital One安全漏洞的研究,作为其他突出案例。虽然一些风险是真正令人意外,不太可能事先被认识到的,但许多风险更像是人们知道有缺陷的防盗报警器,”他说。Equifax和Capital One没有回应置评请求。马德尼克描述了公司心态往往是“系统性的、半意识的决策制定。这意味着管理决策是在不分析决策引入的网络风险的情况下做出的。将高管薪酬与安全目标挂钩不一定意味着公司文化中这种做法从一定程度上消失,但他说这具有标志性的意义,从这种象征性的时代中,实际可能的确会发生。对于微软来说,风险比大多数组织都要高。其平台和系统是如此无处不在,无论是在商业界还是政府部门,都几乎不可能摆脱它。Proofpoint网络安全供应商的网络安全策略执行副总裁瑞安·卡勒默说:“从生产力的角度来看,没有可替代微软的选择。
你必须做疯狂的事情才能尝试在没有它的情况下工作。为微软增加了复杂性的是,它的平台具有分层结构,成功的迭代通常是通过自90年代以来的传统应用程序支持的,存在一个层面。这是一个安全的噩梦,”卡勒默说。为国务院到Joe's Crab Shack提供一个MS365平台是一个不错的商业模式,只是它不适合传统的安全措施。在一些传统系统中内置的体系架构原则设计时是“在勒索软件真正存在的情况下,除了软盘”,他说。这导致公司积累了大量所谓的“技术债务”——数十年的技术债务——可以被国家滥用和允许外国情报机构“窃取他们想要的任何东西,”他补充说。微软被困在两种相互竞争的冲动之间,卡勒默说,安全对于微软来说既是一种烦恼又是一个利润中心。这是因为微软是全球最大的网络安全供应商,去年的年度收入达到200亿美刀。他说,尽管这个举措是一个很好的姿态,但没有具体细节,很难评估。高管薪酬公式的缺乏细节使人很难正确评估激励措施。许多公司在高管薪酬奖金部分采用了ESG指标,而不是更重要的长期激励计划。沙阿说。这是让你言出必行。奖金可能占高管薪酬的平均20%,在奖金池中,非核心财务指标如ESG只占潜在价值的20%。
将高管薪酬与网络安全挂钩是开始树立企业顶层安全文化的重要一步,这对企业的成功至关重要。" } ```
