關于網(wǎng)絡安全保險,你需要了解的5件事情

jasmine
近年來,圍繞網(wǎng)絡安全保險的興趣和態(tài)度已經(jīng)發(fā)生了變化,因為越來越多的安全管理人員和各種規(guī)模的企業(yè)都認識到需要將其作為整體安全戰(zhàn)略的一部分。雖然 PWC 估計只有約 30% 的公司擁有網(wǎng)絡安全保險或網(wǎng)絡責任保險,但這種市場仍在繼續(xù)增長。

越來越多的企業(yè)組織開始認識到將網(wǎng)絡安全保險作為整體安全戰(zhàn)略一部分的必要性。以下是評估、購買和依賴保險時需要考慮的一些要點。

經(jīng)過多年的嘗試,Risk Based Security 公司(提供漏洞和數(shù)據(jù)泄露情報)的首席信息安全官 (CISO) Jake Kouns 終于設法讓網(wǎng)絡安全保險受到他認為應得的關注。自 2012 年以來,他一直在為年度 Black Hat USA 活動提交保險相關會談的想法,并且已被拒絕了四次。但在上周于拉斯維加斯舉辦的黑帽會議上,他成功地在一場關于網(wǎng)絡安全保險的專題微型峰會上領導了其中一次會議。

根據(jù) Kouns 的說法,近年來,圍繞網(wǎng)絡安全保險的興趣和態(tài)度已經(jīng)發(fā)生了變化,因為越來越多的安全管理人員和各種規(guī)模的企業(yè)都認識到需要將其作為整體安全戰(zhàn)略的一部分。雖然 PWC 估計只有約 30% 的公司擁有網(wǎng)絡安全保險或網(wǎng)絡責任保險,但這種市場仍在繼續(xù)增長。根據(jù) A.M Best 最近發(fā)布的一份報告顯示,2018 年獨立和 “一攬子” 網(wǎng)絡安全保險的直接保費增長了約 12%——從 18 億美元增加到了 20 億美元。雖然這一增長比例比過去兩年略慢,但這 20 億美元的數(shù)字仍然是 2015 年的兩倍之多。

在其 “將網(wǎng)絡安全保險融入風險管理計劃” 的主題分享中,Kouns 向與會者介紹了投資政策的一些最佳實踐和警告。以下是 CISO 在評估、購買和依賴網(wǎng)絡保險時需要考慮的一些關鍵因素。

1. 如果您的企業(yè)組織還沒有網(wǎng)絡安全保險,它將會怎樣

Kouns 表示,企業(yè)組織越來越多地投資于網(wǎng)絡安全保險,因為他們別無選擇??蛻魣猿忠蠛献骰锇闉楹弦?guī)目的和監(jiān)管要求提供保險憑證。越來越多的網(wǎng)絡安全保險已經(jīng)成為合同要求的一部分。

Kouns 還強調(diào),對于那些沒有實施強有力的安全計劃的小型企業(yè)組織而言,網(wǎng)絡安全保險至關重要且具有財務意義。

網(wǎng)絡安全保險的典型成本目前非常合理。如果你是 CISO 并且你的公司發(fā)生了網(wǎng)絡事件,你想說什么?‘哎呀,對不起?’ 或者 ‘我們有合作伙伴’ 讓我們通過保險理賠解決問題。

2. 保險范圍不是安全計劃的替代品

就像你不會因為有汽車保險而肆無忌憚地操縱汽車一樣,網(wǎng)絡安全保險也不應該作為放緩甚至裁減安全策略和工具投資的理由。Kouns 說,在任何情況下,如果企業(yè)沒有將時間和資金投入到堅實的網(wǎng)絡安全計劃中,都不應該購買網(wǎng)絡安全保險。

我擔心的是,這正是有些人所聽和所做的事情。我們將其稱之為 ‘道德風險’。有效的安全計劃需要花錢。

雖然網(wǎng)絡安全保險可以償還成本,但它無法減輕違規(guī)或安全事故對受害組織所造成的聲譽損害。保險無法在企業(yè)發(fā)生違規(guī)行為后恢復客戶對企業(yè)的信任。

3. 安全部門應該盡早參與到保險流程中

Kouns 表示,雖然關于保險的談話通常發(fā)生在公司的財務部門,例如在首席財務官 (CFO) 層面,但網(wǎng)絡安全部門應該在一開始就參與其中,以幫助評估保險政策和保險覆蓋水平。

企業(yè)安全部門應該參與保險流程,閱讀保險條款,給出自己的意見,幫助填寫申請表。但事實上,我發(fā)現(xiàn)保險流程中并沒有涉及足夠多的IT安全。保險經(jīng)紀人會說,‘不要擔心與IT人員交談。我會為你搞定一切事情。’ 不得不說,這是很糟糕的一種情況。

安全人員或 CISO 可以通過自身知識儲備,完美地理解相關技術語言和定義,而這些都是其他技能匱乏且認識不足的人員無法做到的。此外,安全人員也更有資格確定可能涉及保險的重要保險除外范圍,并可據(jù)此提出建議。為了確保保險政策能夠滿足貴公司的特定需求,需要就評估和采購流程的每個步驟與安全人員進行協(xié)商。

4. 確保保單要求得到滿足,以保證您的索賠請求不會失效

你成功獲得了一份保單,所以現(xiàn)在你是享受保險權益的,對吧?再慎重地想一想。您其實還有義務需要履行并且還要遵守一些要求,以便在發(fā)生違規(guī)或其他安全事件時,該保單可以為您提供賠償。

這個問題就需要我們重新思考安全參與流程的重要性,以及對保險覆蓋范圍和保單細節(jié)的全面理解。您的企業(yè)組織需要滿足哪些可能會被忽視的要求?如果保單中存在明確要求,但是您并沒有做出適當?shù)恼{(diào)整,那么一旦發(fā)生違規(guī)行為,您可能將無法獲得賠償。

5. 您的事件響應計劃的某些要素可能需要更改

Kouns 強調(diào)稱,一旦網(wǎng)絡安全保險到位,可能需要調(diào)整事件響應計劃中的某些步驟。這將包括您的違規(guī)報告時間表,因為正如 Kouns 指出的那樣,幾乎所有保險公司簽發(fā)的保單都有及時報告網(wǎng)絡事件的要求。

其次,在必須使用事件響應計劃——并對其進行測試之前,制定您的IT計劃至關重要。雖然許多企業(yè)組織在理論上都有自己的事件響應計劃,但是相當多的企業(yè)組織實際上并沒有對其進行測試。如果發(fā)生網(wǎng)絡安全事件,您確定自己能夠應對挑戰(zhàn)嗎?

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門