在2012年1月15日，时任热门鞋类电商捷步(Zappos.com)执行总裁的谢家华(TonyHsieh)给员工发了一封电子邮件。信中说，公司遭遇了黑客的网络攻击，黑客通过公司位于肯塔基州的服务器访问了公司的内部网络和系统，这封电子邮件稍后被发布到网上。在向员工披露这个坏消息后还不到一小时，谢家华向受到黑客入侵事件影响的2,400万顾客发送了另一封电子邮件，告知他们其个人数据已经泄露，包括姓名、账户号、已加密的密码、电子邮件地址、账单和发货地址、电话号码和信 用卡的最末四位数字。

　　尽管捷步披露了这起安全事故并与执法部门合作，但其母公司亚马逊很快就遭到起诉。次日，肯塔基州西区地方法院受理了起诉亚马逊的集体诉讼案。根据起诉文件，原告要求由陪审团审判，并以集体诉讼的成员会面临更大的身份窃案的风险为由要求赔偿，每人索赔金额从100美元到1,000美元不等，同时要求对方承担律师费和诉讼费用。

互动话题：您关注企业信息安全吗？

　　亚马逊曾经面对的这个情境如今已成为越来越多上市公司和组织都知道的数据安全案件中的一例。捷步的案件凸显出了一点—网络安全事故也能给原本健康的公司造成重大威胁。每天出炉的有关数据泄露案的新报道都提醒着世界各地各企业的董事们和管理层所面临的潜在危险，强调了加强网络安全—从数据保护、控制到危机响应—的需求。

　　这方面会让企业付出高昂的代价。首先是成本问题。根据总部设在密歇根州的咨询公司PonemonInstitute在2011年对50个组织进行的调研，网络犯罪年平均成本的中位数为每年590万美元。该公司会进行与隐私、数据保护和信息安全方面的调研。在受访企业中，这方面支出的成本最低为150万美元，最高为3,650万美元。

　　了解泄密事件的深远影响

　　然而，除了短期的财务损失之外，组织在商业秘密和HTH损害方面的损失要大得多。“如果他们没有意识到，也没有做准备，即使是声誉良好且HTH拥有巨大价值的公司也可能因此在一夜之间名声扫地，”美国纽约南区地区检察官普里特·巴拉拉(PreetBharara)说。

　　德汇律师事务所(Dorsey&Whitney)纽约办公室的一位律师兼Marsh&McLennanCos.合规委员会主席扎卡里·卡特(ZacharyCarter)说，数据损失会对客户产生深远的影响。网络安全事件的发生会导致更严重的长期后果，他警告说，“这可是损害业务关系的事件。”

　　极端一点说，即使是不作为也能让公司被淘汰。“无法应变的公司是生存不下去的，”位于弗吉尼亚州麦克林市的普华永道司法鉴定服务业务的合伙人大卫·伯格(DavidBurg)说。

　　根据最近的一份调研，尽管有这么多警告信号，在治理隐私和数字资产安全的时候，企业的高管人员还是没有使用最佳实践。根据卡内基梅隆大学专门研究网络安全的CyLab(网络实验室，全美著名的资讯安全教育中心—编者注)在2012年进行的企业治理调研，《福布斯》全球2,000强公司中，只有23%的企业董事会会定期审查和批准与隐私及信息技术风险相关的最高级别的政策。28%的受访企业偶尔会审核这方面的政策，但也有42%很少或根本不在这方面努力。

　　约翰·里德·斯塔克(JohnReedStark)是美国证券交易委员会(SEC)网络执法办公室的前负责人，以及专门处理网络安全事件的风险管理咨询公司StrozFriedberg在华盛顿特区办事处的负责人。他说，他与中层管理者的合作经常让他觉得企业的董事会并未有效地参与。

　　“你不能就这么看着IT人员说，‘我们公司的技术人员是你，你一定能处理这次的数据泄露，’”他说，“这种想法是不对的。数据泄露和这些入侵活动要比过去复杂得多。”

　　他说，考虑到网络攻击的复杂性，IT部门常常会感到心有余而力不足。“就好比让会给你的车换机油的人去诊断变速箱的某个严重问题，”他说，“其中所需技能是不同的。”

　　应对黑客入侵和其他IT风险

　　不管企业有多担心，关于数据泄露的坏消息还是变得越来越多。网络安全事故基本上已经成了流行病。大多数知名公司都曾遭遇黑客攻击、数据盗窃或丢失数据。在个人纪录丢失或泄密方面最大规模的安全事件中，不乏《福布斯》1,000强公司的身影，例如TJXCos.(T.J.Maxx零售连锁的所有者)以及西尔斯罗巴克(Sears,RoebuckandCo.)、索尼、哈特兰支付系统(HeartlandPaymentSystems)、维萨(Visa)、万事达(MasterCard)、美国运通(AmericanExpress)、T-Mobile、谷歌、洛克希德马丁(LockheedMartin)、花旗集团(Citigroup)和摩根大通(JPMorganChase)等公司。遭受黑客荼毒的还包括美国政府机构，包括司法部、五角大楼和白宫。

　　“没有任何行业、企业和个人能够高枕无忧，”Torrenzano集团的CEO理查德·托伦扎诺(RichardTorrenzano)说，他的公司与受到黑客攻击的公司合作进行危机管理。

　　除了黑客入侵外，网络安全事件还包括常规威胁，例如笔记本电脑被盗、内部人员欺诈、文件销毁—甚至还包括从不经意间散布到公共网站上的信息中提取出的数据。

　　在另一项衡量网络安全事故频率上升的指标中，接受Ponemon调研的50家公司在2011年每周72次被黑客成功入侵—平均每个组织遭遇1.4次，比2010年增加44%次。重要的刑事案件涉及恶意代码、拒绝服务(DoS)攻击、盗窃和劫持设备以及恶意内部人士。

　　准备迎接巨变

　　黑客入侵现在已经变得太容易了，互联网上有免费的黑客软件，还有YouTube视频提供指导。网络攻击的来源既有意在求财的组织严密的全球化犯罪团伙，也有所谓的“黑客活动家”(hactivist)，这些人把侵入企业服务器(包括拒绝服务攻击)当作进行抗议的手段。

　　尽管过去的黑客攻击范围更广泛，现在各路黑客专盯某一类人—最有可能暴露于攻击之下且手握大量数据的人—例如CEO、行政助理和董事。后者对黑客来说简直是大肥羊，因为他们常常任职于不止一家公司。“黑客往往很轻易就能入侵特定人员的账户，再针对他们拥有的资产下手，”里什·贝希(RichBaich)说，他是德勤(Deloitte&Touche)位于北卡罗莱纳州夏洛特市办事处的一位专门处理企业安全和隐私的合伙人。

　　“真正的问题是，坏人的技术和技巧进步得比好人快，”TeleTechHoldings的审计委员会主席和太阳信托银行(SunTrustBanks)董事威廉·林内布林格(WilliamLinnenbringer)说。

　　优先重视网络风险

　　甫瀚咨询(Protiviti)纽约公司董事总经理兼IT安全和隐私实践负责人贾尔·斯莱普(CalSlemp)说，公司必须确保优先重视网络风险。“你在尝试维护内部使用或公开信息的安全方面所投入的时间、精力和资金应当比你投入在关键或敏感信息方面的多，他说，你应当对这些投入区别对待，更多地保护更重要、更敏感的信息。”

　　巴拉拉说，企业应当消除危害最大的网络接入点。“黑客或者想要通过计算机系统搞破坏的人会选择最疏于防范、最容易被当作目标的公司，这是常识，”他说，“他们要做的就是沿着走廊一直走，看看哪些门没锁。保护措施的目的就是为了确保尽一切可能让这些门时刻上锁。”

　　总部位于达拉斯的电子邮件加密公司ZixCorp的副总裁、法律总顾问和法务秘书吉姆·布拉希尔斯(JimBrashear)说，高管和公司领导者需要询问的问题与其他风险领域相同。这些问题应当覆盖披露、信誉、风险管理、黑客入侵、合同以及数据泄露问题。例如：你有什么数据泄露的响应预案？现有信誉管理预案是什么样的？你针对技术支持关闭事件所导致的收入损失参加了什么样的保险计划？

　　此外，公司应当时刻做好准备对危机进行快速响应。托伦扎诺把飞速运行的互联网中的一天定义为8个小时，因此动作迟缓的公司内48小时的响应时间几乎相当于在数字世界的时空中等上一个星期。他说，关键的公司高管应当接受训练，以快速响应互联网攻击，包括法务、人力资源、市场、销售、通讯和投资人关系部门的管理者。

　　管理层还需要考虑如何与政府机构合作。“人们需要培养尽早披露和与执法机构沟通的文化，”巴拉拉说，“挽救一家公司—和避免给一个甚至更多行业的其他人带来巨大损失—的最快方法就是让执法部门有能力抓住那些坏蛋。如果公司都立刻通知执法部门就能最大限度地提高这种可能性。”

　　“我们能理解，各公司过去都多少有些不情愿直接向执法机构求助，”巴拉拉说，“但我们法庭的检控官和调查员都对与企业网络安全相关的问题高度敏感，并且对他们的遭遇特别能够感同身受。”

　　总之，专家说，网络安全的问题可归纳为风险管理的常理。如果企业体制比较稳固，会审查公司的所有风险，任何重要问题—从网络问题到合规问题&mdHTH定位公司ash;都能够自然地得到董事会的关注。

　　“如果你的企业风险管理流程 真的很强大，这些类型的风险—如果这些风险真的即将爆发—应当向上报告，并得到整个管理层的关注，”PetSmartInc.的审计主席兼DoverCorp.和LowesCo.的董事理查德·洛赫里奇(RichardLochridge)说，“你应当重点关注你认为风险较高且可能给公司带来潜在危害的问题。你必须把精力集中到能令你受益最大的地方。”

　　普华永道的伯格说，事实上最精明的公司可以利用网络安全作为超越对手的工具。“网络和现实安全过去通常都被视为成本，”伯格说，“如今，网络安全已经变为企业战略、HTH保护和企业长期生存的中心。具有先发制人思维的董事会和高级管理人员都有丰富经验并理解这些问题，还会很快发现保护公司的机会。”

　　原文经许可，摘自Charles Keenan发表在Corporate Board Member杂志2012年第二季度第十五卷第二期上的The Invisible Threat一文。Corporate Board Member于2012年登记版权。秦岭译。

　　本中文版由世界经理人（www.ceconline.com）组织翻译并编辑。