一位网络安全专家表示，在网络威胁和监管审查日益增加的情况下，组织需要在其整体环境、社会和治理 (ESG)战略中考虑网络安全风险。

　　Tenable 首席安全策略师 Nathan Wenzler 在接受《计算机周刊》采访时指出，ESG 计划在很多方面都是一种风险管理形式，旨在减轻企业、社会和环境面临的风险，所有这些风险都可能受到网络安全的影响。

　　事实上，投资界一直将网络安全列为 ESG 计划需要解决的主要风险之一，因为越来越多的网络攻击和数据泄露可能带来潜在的财务损失、声誉损害和业务连续性风险。

　　投资公司野村证券已经在其信用ESG评分模型中考虑了被投资公司的网络安全表现，而毕马威在报告中指出，网络安全不仅适用于ESG的治理方面，还具有社会和环境影响。

　　例如，一家制造公司可能非常关心其活动对环境的影响，因此需要考虑保护关键基础设施免受网络攻击，以及如何防止可能导致环境破坏的系统配置错误。

　　另一方面，软件公司可能更关心通过其持有的客户数据产生的社会影响。“我必须维护这些数据的隐私和完整性，并与客户建立信任，确保我不会不当使用他们的数据，也不会被犯罪分子窃取并在黑市上出售这些数据，”温茨勒说。

　　“只有最大的公司才会这么认为——他们很自然地会关注 ESG 支柱，了解是什么使这些支柱面临风险，并让网络安全、法律和财务团队参与其中。但除此之外，组织将网络安全视为风险管理功能的情况并不常见”

　　内森·温兹勒，《站得住脚》

　　“你想要从社会角度建立的信任来自于健全的网络安全实践，因此你可以告诉客户你正在采取正确的措施来保护他们的身份和财务信息，”他补充道。

　　但温茨勒表示，即使组织已经确定了其业务中存在风险的方面，建立风险状况仍然具有挑战性，因为他们往往不知道自己拥有哪些技术资产，而且缺乏评估技术风险的努力。

　　“他们不会监控网络、扫描漏洞或审查访问控制和凭证。他们没有做一些基础工作，因此他们可能没有考虑如何更好地支持 ESG，”他补充道。

　　近年来出现了各种ESG 报告框架，为组织提供有关如何道德和可持续运营的指南，以及可用于衡量其进展的指标。还有特定的 IT 安全标准和框架，包括著名的ISO 27001和政府指南，例如澳大利亚的基本八项标准。

　　一些监管机构甚至要求关键基础设施运营商和金融服务等行业的公司采用基线安全标准，但这并不意味着受监管行业之外的组织在加强网络安全方面所面临的压力较小。

　　“客户现在变得更加精明，他们了解信息泄露的影响。如果您是一家不认真对待数据隐私的公司，您的客户会将业务转移到其他地方，因为他们不想与将他们置于危险之中的公司合作。

　　“因此，他们比任何人都需要做更多的事情——他们必须采取措施，重新将网络安全视为一项业务风险职能，”温茨勒说。

　　温茨勒还警告不要陷入复选框合规陷阱，特别是那些受网络保险政策覆盖并接受保险公司网络风险审计的组织。

　　他指出，许多组织只为关键系统购买网络保险，因为代价高昂的数据泄露导致保费飙升。“但从攻击者的角度来看，我将使用那些监控较少的系统进入，从那里进行攻击，我仍然能够在你不那么关注的地方破坏你。

　　“所以，你应该关注你所有的技术资产以及人们可以公开看到的内容。每个公司都拥有很多技术。如果您没有意识到自己拥有这些东西（我们看到这种情况经常发生），即使您拥有网络保险并勾选了所有选项，您也可能会受到攻击。”

　　但是否会有更多组织将网络安全视为 ESG 计划的一部分还有待观察。温兹勒表示，这是因为网络安全在很大程度上仍然被视为一种技术和 IT 功能，这使得组织更难将其视为更广泛的风险管理工作的一部分。

　　“只有最大的公司才会这么认为——他们很自然地会关注 ESG 支柱，了解是什么使这些支柱面临风险，并让网络安全、法律和财务团队参与其中。但除此之外，组织将网络安全视为风险管理职能的情况并不常见。”