近年來,環境、社會和治理(ESG)標準已成為企業績效、聲譽和風險緩解的關鍵指標。成功實施ESG計劃不僅對公司的社會和社群形象加分,還可以對潛在的業績產生正面影響,贏得投資人信心。眾所周知的ESG內容除碳排放,人資發展,負責任的投資和商業道德之外,個資隱私和網路安全正迅速成為在其ESG計劃中披露的重要話題。與CSR 廣泛理想願景的概念相較之下,ESG 更像實際的管理策略。
ESG指標評鑑通常揭露了傳統財務分析無法充分闡明的機會或風險項目。以網路安全為例:鑒於當今雲端的應用和網際網路連接技術的全球影響力,在網路技術優勢的另一面存在哪些ESG風險,以及它們對投資者和更廣大的一般大眾有什麼影響?
根據2019年RBC全球資產管理責任投資調查,全球近三分之二的機構投資者擔心網路安全威脅對其投資的影響,使其成為投資者最重要的環境,社會和治理(ESG)風險。雖然歐洲,英國,美洲,加拿大各地區存在些許差異,而調查的投資者中,67%的人表示擔心網路安全。反貪腐是第二位關注問題,其次是水資源。同樣的在RBS Global Asset Management 2021年,對機構投資者進行的一項調查中,網路安全被列為投資者最關心的第二高ESG問題,僅次於反貪腐。值得注意的是,MSCI (Morgan Stanley Capital International) 作為ESG評級的領導者,將隱私和資料安全作為其ESG評級框架中的幾十個關鍵問題之一;顯然,投資者正在意識到網路安全漏洞造成的深遠的企業風險。
ESG標準根據某些與社會相關的道德標準(例如,生態影響和社區福祉)評估公司的表現。越來越多地將隱私和資料安全保護視為重要指標(也只有這兩項),但可能在傳統財務報表中無法顯現。希望為具有社會意識的投資者說明,瞭解具備隱私和資訊安全成效的公司,可以在可持續性或影響報告中,利用ESG的標準來突顯出其策略和實務。雖然組織可以使用自己的框架來評估其隱私和資訊安全計劃,但標準化ESG指標有助於跨組織比較。
投資者關切資訊網路安全,另一個重大原因可能是源自於網路攻擊的成本非常低,但後果卻可能很殘酷。遭受網路攻擊、勒索攻擊的損失可能很嚴重,可能會影響所有利益相關者的利益,影響公司的運營,包括影響員工的工作方式,造成品牌信譽損害,從而嚴重危及客戶、供應商和合作夥伴的忠誠度與信任,甚至最終可能無法繼續營運。違規行為還可能影響客戶、承包商和供應商相關的敏感資訊。如果是關鍵基礎建設,能源產業的公司組織,公用事業停擺,還可能影響整個國家的國計民生。
隨著各種更嚴格的法規及監管辦法陸續實施,公司可能會面臨法律責任,這使得網路安全成為投資者關注公司治理的關鍵議題。
然而資安事件揭露資訊的透明度拿捏,對公司而言並不容易掌握。通常發生重大資安攻擊之後,資安管理人員對其處理過程及細節,除了管理法規規定,重大安全事件必須依法公開訊息外,其他大多不願透露。過多的揭露反而讓外界探知組織的弱點。以現今的ESG評估指標,對於網路安全方面的評估的確很少,或者不明確。投資者很難透過公開揭露資訊,檢視公司個資隱私和安全控制的指標來了解;更不用提要求提供有關風險管理,到董事會等級的資安治理策略等資訊。 獲取這些資訊並與其他公司之間的指標比較,因為沒有存在廣泛被承認的網路安全風險指標,仍然具有相當難度。
要使網路安全與更廣泛的ESG因素保持一致,公司需要採取有組織的網路安全策略執行和報告方法
- 制定網路安全策略,從一開始就建立風險思維為主軸的零信任網路安全方法,而不是放在事後回溯涉及隱私和網路安全的事件。
- 制定網路安全治理。將問責制度納入網路安全運作:公司應確定負責網路安全行動計劃的負責人;並制定資安治理指標,以ESG監控與網路安全相關的目標,隨時間推移進展精進。
- 與監管機構網路安全框架保持一致。公司應依照合適的立法和相關行業標準框架,並檢查其治理框架是否符合這些標準。這些法規包括ESG特定的法規,或者如歐盟的GDPR等。
- 營造問責 (accountability) 和透明的文化。網路安全需要內化於各層面的內部流程中。必須確保董事會和管理階層的支援,以確保所有網路安全計劃的持續推進。管理層必須定期評估(review)資訊安全治理問題,IT不能再是唯一知情的管理單位。