一次安全事故终结CEO职业生涯,这合适吗?

标签:安全网络安全信息技术企业

访客:11900  发表于:2016-12-30 10:18:17

一次安全事故终结CEO职业生涯,这合适吗?

一位CEO因在网络安全方面犯了错误而被解职,这种做法是否有助于企业的发展? 最近,奥地利飞机制造公司FACC解雇了其任职20年的CEO,因为这位高管遭遇了网络诈骗,致使公司损失了超过5000万美元。

如此这样,因一次网络安全事故而解雇一位终身任职的CEO是否合适?其他公司是否也会采取相同的措施?

2002年萨班斯-奥克斯利法案(The Sarbanes-Oxley Act)正是由于一系列广为人知的欺诈案推动出台的,例如Enron、WorldCom、Sunbeam、Xerox和Global Crossing等公司的欺诈案。在所有这些案例中,公司法人的渎职引出的萨班斯-奥克斯利法案要求实行财务和技术方面的法规,用于提高财务报告的准确性和可靠性。

部分人认为萨班斯-奥克斯利法案是作为这些诈骗事件的反应而出台的,认为实行的规章过于强制和严苛;然而,对于发现部署即使是基本的控制也举步维艰的网络安全专家和系统审计员而言,他们认为该法案是有益的。

为了增强内部控制的设计和有效性,萨班斯-奥克斯利法案要求CEO和CFO证明其财务报表的真实性,由此需要他们个人承担相应的责任。从这以后,许多广为人知的漏洞,以Target, Home Depot、Sony、TalkTalk以及最近的Austrian aircraft parts company FACC为目标,导致了CEO和其他高管的任期结束。

但这些漏洞是否为未来高管违约形成一种趋势?

先前的CEO、CFO和高管们的任期风险都已在萨班斯-奥克斯利法案中予以考虑,虽然个别的高管任期结束是由于不合规或提供了不准确的财务报告。近期违规导致的任期终止,并非是由萨班斯-奥克斯利法案的原因,它严格适用于上市公司,真正的原因是公司需要(就发生的问题)向公司股东们表个态。

支付卡工业数据安全标准(The Payment Card Industry Data Security Standard)需要高管签署认证合规性报告,在该报告中(高管)声明“上述引用ROC[合规性报告]的所有信息和本认证在所有材料方面充分代表我的评估结果。”

我们看到的是CEO和董事会成员所扮演的角色是包含个人责任的,需要他们谨慎对待。由CEO或CFO造成的网络安全方面的错误所引发的有形财务损失会导致首席信息安全官的连带责任,甚至可能使他成为高管人员的替罪羊。 CEO任期的风险不再来自于企业行为的不当。当前的CEO任期的风险基于来自能否对企业资产实现有效地控制和保护。

这并非完全不合理。把这一责任放在CEO肩上只是为了保证企业雇佣合适的首席信息安全官并采取了合适的保护措施。网络安全并非不可避免的灾祸,网络安全基于风险,而问责制最终取决于董事会。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");