kacee. Benson

世界经济论坛列出了网络安全违规,作为当今世界面临的五个最严重的风险之一,估计到2021年的全球成本达到6万亿美元。因此,许多公司开始意识到对网络威胁的警惕需要优先考虑在风险管理计划中而不是思想之后。潜在的网络攻击的后果远远超出公司的IT部门,可以在几分钟内包围公司的声誉和生计。考虑到股权的价值和他们所需的信托职责,董事会应理解SEC和监管机构,法律专家和最近的特拉华州的指导,建立具体和具体计划,以尽量减少网络安全正面风险。

在Re Caremark Int'l Inc.衍生诉讼 (“ car“)为企业风险和法律责任领导的董事职责提供了广泛的参考。据校长Allen表示,董事的义务“包括诚意确保董事会终止的公司信息和报告制度存在的责任存在”总理艾伦解释说,这种信息系统的深度留给了企业判决规则但仍然存在善意的义务。

近20年后 car,特拉华州的校长审查了一套衍生行动诉讼,其中股东大学金融公司(“首都一”)据称,董事违反了忠诚的信托义务,并不是富集自己,同时有意识地忽视了公司内的监督责任。法院澄清说,为了获得成功 car 监督申请,原告必须在他们的恳求,特别是“企业创伤与董事会之间的充分联系”。通过这一联系,据校长Bouchard称,原告可以恳求董事会意识到企业不当行为,并以恶意行事“有意识地忽视其责任解决这种不当行为”。法律标准规定 car雷士 是众所周知的高标准和极其困难的标准,原告克服成功在判决中取得成功。总理艾伦注意到这一点 car 当他写的时候,证明董事违反了职责“可能是公司法中最困难的理论,原告可能希望赢得判决。”

在履行其职责的责任方面,在网络安全方面履行责任时,原告股东克服的艰难法律标准不应给出董事会是一种虚假的安全感。美国证券委员会比以往任何时候都在涉及的法律领域。今年早些时候,SEC发布了广泛关注的指导,朝着网络相关问题的披露要求。该指导强调了及时披露投资者关于所有网络相关事件的重要性。此外,秒讨论了委员会监督风险,因为它与网络安全有关。公司必须披露公司风险监督的董事作用,使本揭露“应为投资者提供重要信息,了解公司如何察觉其董事会的作用以及董事会与高级管理层管理材料风险之间的关系面对公司。“在网络安全风险是公司业务的材料的范围内,这些讨论包括董事会在管理网络安全风险方面的作用。

虽然近期在最近的指导下没有提供董事会的具体政策和程序,但它强烈建议,由于董事会欠公司的广泛职责,它认为,它必须采取一般的方法。 2014年,引用了2000年代的金融危机,前部第四次委员会Luis Aguilar讨论了董事会可能一直在做足够的可能性来管理其公司内的风险,并且监督导致“导致未经毁灭的数十亿的破坏的”不合理的风险行为。在股东价值。“秒修订了关于委员会因危机而参与风险管理的披露要求,并根据2013年的代理申请 &P 200公司,董事会几乎普遍承担公司内部风险监督的全部责任。虽然令人救置令人愉悦的是,公司越来越关注优先考虑风险管理,但如果存在这种模式,这并没有立即清楚,这表明董事会还包括网络安全的环境风险管理策略。

例如,遵循2013年假日购物季节的目标安全漏洞影响近4100万消费者支付账户和6000万个目标客户的联系信息,突出的代理咨询公司呼吁股东转变为未能做足够的董事“以确保目标的系统坚持安全威胁。“目标承认其工作人员拒绝对之前的潜在恶意活动的警报行事。因此,目标发现了持续诉讼和国会听证会的目标,导致最终支付1850万美元的多银河解决。

根据Aguilar的,目标违约的后果应将董事纳入通知,主动解决与网络攻击相关的风险。“目标的结算条款要求公司提供:制定和维护全面的信息安全计划;聘请负责执行该计划的行政或官员;聘请独立专家进行安全评估;维护和支持公司网络上的数据安全软件;将持卡人数据分离在网络的其余部分;并采取措施控制网络访问,包括密码旋转策略和双因素身份验证。其中一些要求直接涉及董事会层面的公司治理,从而提供可接受的步骤董事会的概要,可以采取措施,减轻风险并履行其忠诚度,包括监督义务。其中一些要求镜像网络安全和公司治理领域的法律专家建议。其他建议包括对数据安全披露的定期审查,以确保肯定遵守,定期审查和升级适当的保险范围,以保护如果公司的执行管理团队对网络的跨职能特征具有意识风险并不会将其视为仅由IT部门处理的风险,希望旨在监督网络安全计划制定的法律顾问,最重要的是,对于董事会仍然直接参与监督责任,而不是分配给专业风险委员会。如果董事会没有网络安全专家,他们应该主动并聘请外部专家来提供这项服务或在船上带来经验丰富的专业人士。事实上,在美国参议院介绍的条例草案,2017年的网络安全披露法案,将要求公司在其证券委员会提出委员会的申请,无论是否在董事会上有一个网络安全专家,如果没有,则采取哪些步骤来实现这一差距。

总之,Cyber​​attacks是非常有形的威胁,并且更多的是可预见的现实,而不是存在的风险。在履行欠公司的职责,如讨论的公司 car雷士并尽量减少潜在的个人责任,董事和官员需要面对网络安全问题,正如财务审计和其他公司治理问题一样,以及传统上分配给对公司成功至关重要的问题的资源。网络安全漏洞的后果极其昂贵和持续,因此,企业将通过综合政策和程序制定预防初始投资比在攻击之后诉诸这些资源,而且相当努力拯救公司的声誉,也许,一个人在董事会内的立场。   

  kacee. 是一名4L晚间学生,2018年12月毕业。她目前在全年21世纪的全职工作,作为搬迁总监&业务发展。她是Lucinda封闭纪念奖卓越的国际法/国际商业交易的接受者,以及拓长大学特拉华法学院尊严的尊严尊严的参与者。

建议引文: Kacee Benson, 不再存在存在的威胁:最大限度地减少网络安全风险和遵守职责,德尔。J. Corp. L.(2018年9月26日), www.djcl.org/archives 6753..