美国知名代理咨询公司机构股东服务（ISS）的数据部门ISS ESG发现，去年全球超过15000家上市公司中，有86家采取了这种做法，包括美国制药公司强生、伦敦证券交易所和英国Paragon银行集团。

ISS公司高级网络安全中心执行主席William Guenther表示，网络安全通常由技术和安全部门负责。但是他认为，网络安全目标应该提升到更高层面，并与高级高管的薪酬计划挂钩，这有助于将安全因素纳入公司战略决策。他补充道：“这虽然是一小步，却是非常重要的一小步。”

已有企业开始实践，

考核指标设定具有挑战性

2017年，信用评级机构艾可飞（Equifax）发生大规模数据泄露事件，引发了总额达14亿美元的消费者诉讼。此外，事件造成的与各州和解费用、技术费用总计超过10亿美元。

从那时起，艾可飞就将部分高管奖金与网络安全目标挂钩。2018年，艾可飞制定了一项多年计划，以解决导致数据泄露的问题。如果未能实现网络安全指标，高管的短期现金奖金将有缩水的风险。

艾可飞董事会已将安全纳入环境、社会和企业治理目标，据此确定每年高管奖金和合格员工的年度激励计划奖金。根据艾可飞的最新代理声明，员工必须达到网络安全部门设置的一项或多项与其职务相关的安全目标。

像艾可飞一样，许多公司不在公开文件中详细说明他们的网络安全指标。但是，也有一些公司会这样做。2022年各公司的代理文件列出了一些指标，如提高特定网络安全准备措施的得分、制定三年网络安全计划。

安永美洲审计委员会论坛领导Patrick Niemann表示，尽管这样做的公司数量不多，但这些披露显示董事会越来越关注网络安全。

尽管如此，Patrick Niemann认为，确定与薪酬挂钩的网络安全目标仍然具有挑战性。他说，并不是说某一年没有遭受黑客攻击就能获得奖金，遭受黑客攻击就会失去奖金，事情没有这样简单。相关指标正在不断演化。他说：“他们正在尝试各种方法。我们只能看出一点，几乎所有董事会都将网络安全视为优先级最高的事项。”

企业推行惩罚性指标

难以推动长效变革

有时，网络安全和奖金之间的关联更多地以惩罚而非奖励的形式存在。

澳大利亚健康保险巨头Medibank私人保险公司从未将具体网络安全目标与高管薪酬挂钩。然而，2022年，公司遭遇网络攻击，损失超过4600万美元。

这次攻击暴露了近1000万人的个人数据，其中包括一些病历数据。因此，Medibank董事会于上周取消了首席执行官、首席财务官和其他两名高层领导的短期奖金。这些高管共计失去了360万美元奖金。

Medibank董事们在2023年年度报告中写道，“考虑到我们客户、股东和社区的期望，董事会行使了自由裁量权。”

Medibank发言人说，“网络犯罪事件发生时，我们的董事长曾表示，会有承担后果的时候。大家可以在我们上周发布的公告中看到这些后果是什么。这是一起严重的事件，必然会带来严重的后果。”

高级网络安全中心执行主席William Guenther表示，公司应该提前明确他们对高管的期望。他说，网络攻击后的采取惩罚措施，很难带来持续变革。制定指标需要得到支持，“否则会毫无意义。”

企业内生网络安全同样重要，做好安全策略，安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁。 在安全沙箱中,应用程序或进程被限制在一个虚拟环境中运行,这个虚拟环境通常被称为沙箱。沙箱可以提供一些虚拟的硬件和软件资源,如文件系统、网络、操作系统等,使应用程序或进程可以在这个虚拟环境中运行,而不会对计算机系统产生任何不良影响。如果应用程序或进程试图访问沙箱之外的资源或执行危险操作。等运用。