關(guān)于網(wǎng)絡(luò)安全保險(xiǎn),你需要了解的5件事情
2019年09月04日
越來(lái)越多的企業(yè)組織開(kāi)始認(rèn)識(shí)到將網(wǎng)絡(luò)安全保險(xiǎn)作為整體安全戰(zhàn)略一部分的必要性�����。以下是評(píng)估�、購(gòu)買和依賴保險(xiǎn)時(shí)需要考慮的一些要點(diǎn)。
經(jīng)過(guò)多年的嘗試�,Risk Based Security 公司(提供漏洞和數(shù)據(jù)泄露情報(bào))的首席信息安全官 (CISO) Jake Kouns 終于設(shè)法讓網(wǎng)絡(luò)安全保險(xiǎn)受到他認(rèn)為應(yīng)得的關(guān)注。自 2012 年以來(lái)�,他一直在為年度 Black Hat USA 活動(dòng)提交保險(xiǎn)相關(guān)會(huì)談的想法,并且已被拒絕了四次���。但在上周于拉斯維加斯舉辦的黑帽會(huì)議上��,他成功地在一場(chǎng)關(guān)于網(wǎng)絡(luò)安全保險(xiǎn)的專題微型峰會(huì)上領(lǐng)導(dǎo)了其中一次會(huì)議����。
根據(jù) Kouns 的說(shuō)法�����,近年來(lái),圍繞網(wǎng)絡(luò)安全保險(xiǎn)的興趣和態(tài)度已經(jīng)發(fā)生了變化�,因?yàn)樵絹?lái)越多的安全管理人員和各種規(guī)模的企業(yè)都認(rèn)識(shí)到需要將其作為整體安全戰(zhàn)略的一部分。雖然 PWC 估計(jì)只有約 30% 的公司擁有網(wǎng)絡(luò)安全保險(xiǎn)或網(wǎng)絡(luò)責(zé)任保險(xiǎn)�����,但這種市場(chǎng)仍在繼續(xù)增長(zhǎng)�����。根據(jù) A.M Best 最近發(fā)布的一份報(bào)告顯示��,2018 年獨(dú)立和 “一攬子” 網(wǎng)絡(luò)安全保險(xiǎn)的直接保費(fèi)增長(zhǎng)了約 12%——從 18 億美元增加到了 20 億美元����。雖然這一增長(zhǎng)比例比過(guò)去兩年略慢,但這 20 億美元的數(shù)字仍然是 2015 年的兩倍之多���。
在其 “將網(wǎng)絡(luò)安全保險(xiǎn)融入風(fēng)險(xiǎn)管理計(jì)劃” 的主題分享中����,Kouns 向與會(huì)者介紹了投資政策的一些較佳實(shí)踐和警告���。以下是 CISO 在評(píng)估�、購(gòu)買和依賴網(wǎng)絡(luò)保險(xiǎn)時(shí)需要考慮的一些關(guān)鍵因素。
1. 如果您的企業(yè)組織還沒(méi)有網(wǎng)絡(luò)安全保險(xiǎn)�,它將會(huì)怎樣
Kouns 表示,企業(yè)組織越來(lái)越多地投資于網(wǎng)絡(luò)安全保險(xiǎn)���,因?yàn)樗麄儎e無(wú)選擇�??蛻魣?jiān)持要求合作伙伴為合規(guī)目的和監(jiān)管要求提供保險(xiǎn)憑證����。越來(lái)越多的網(wǎng)絡(luò)安全保險(xiǎn)已經(jīng)成為合同要求的一部分。
Kouns 還強(qiáng)調(diào)�����,對(duì)于那些沒(méi)有實(shí)施強(qiáng)有力的安全計(jì)劃的小型企業(yè)組織而言�,網(wǎng)絡(luò)安全保險(xiǎn)至關(guān)重要且具有財(cái)務(wù)意義。
網(wǎng)絡(luò)安全保險(xiǎn)的典型成本目前非常合理����。如果你是 CISO 并且你的公司發(fā)生了網(wǎng)絡(luò)事件,你想說(shuō)什么?‘哎呀����,對(duì)不起?’ 或者 ‘我們有合作伙伴’ 讓我們通過(guò)保險(xiǎn)理賠解決問(wèn)題。 |
2. 保險(xiǎn)范圍不是安全計(jì)劃的替代品
就像你不會(huì)因?yàn)橛衅嚤kU(xiǎn)而肆無(wú)忌憚地操縱汽車一樣,網(wǎng)絡(luò)安全保險(xiǎn)也不應(yīng)該作為放緩甚至裁減安全策略和工具投資的理由�。Kouns 說(shuō),在任何情況下�,如果企業(yè)沒(méi)有將時(shí)間和資金投入到堅(jiān)實(shí)的網(wǎng)絡(luò)安全計(jì)劃中,都不應(yīng)該購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)��。
我擔(dān)心的是�����,這正是有些人所聽(tīng)和所做的事情�����。我們將其稱之為 ‘道德風(fēng)險(xiǎn)’���。有效的安全計(jì)劃需要花錢���。 |
雖然網(wǎng)絡(luò)安全保險(xiǎn)可以償還成本,但它無(wú)法減輕違規(guī)或安全事故對(duì)受害組織所造成的聲譽(yù)損害�。保險(xiǎn)無(wú)法在企業(yè)發(fā)生違規(guī)行為后恢復(fù)客戶對(duì)企業(yè)的信任。
3. 安全部門應(yīng)該盡早參與到保險(xiǎn)流程中
Kouns 表示��,雖然關(guān)于保險(xiǎn)的談話通常發(fā)生在公司的財(cái)務(wù)部門��,例如在首席財(cái)務(wù)官 (CFO) 層面,但網(wǎng)絡(luò)安全部門應(yīng)該在一開(kāi)始就參與其中�,以幫助評(píng)估保險(xiǎn)政策和保險(xiǎn)覆蓋水平。
企業(yè)安全部門應(yīng)該參與保險(xiǎn)流程����,閱讀保險(xiǎn)條款,給出自己的意見(jiàn)���,幫助填寫申請(qǐng)表���。但事實(shí)上��,我發(fā)現(xiàn)保險(xiǎn)流程中并沒(méi)有涉及足夠多的IT安全�。保險(xiǎn)經(jīng)紀(jì)人會(huì)說(shuō),‘不要擔(dān)心與IT人員交談���。我會(huì)為你搞定一切事情����?!?不得不說(shuō),這是很糟糕的一種情況����。 |
安全人員或 CISO 可以通過(guò)自身知識(shí)儲(chǔ)備����,完美地理解相關(guān)技術(shù)語(yǔ)言和定義���,而這些都是其他技能匱乏且認(rèn)識(shí)不足的人員無(wú)法做到的����。此外��,安全人員也更有資格確定可能涉及保險(xiǎn)的重要保險(xiǎn)除外范圍����,并可據(jù)此提出建議。為了確保保險(xiǎn)政策能夠滿足貴公司的特定需求�,需要就評(píng)估和采購(gòu)流程的每個(gè)步驟與安全人員進(jìn)行協(xié)商。
4. 確保保單要求得到滿足�,以保證您的索賠請(qǐng)求不會(huì)失效
你成功獲得了一份保單,所以現(xiàn)在你是享受保險(xiǎn)權(quán)益的���,對(duì)吧?再慎重地想一想���。您其實(shí)還有義務(wù)需要履行并且還要遵守一些要求����,以便在發(fā)生違規(guī)或其他安全事件時(shí)���,該保單可以為您提供賠償����。
這個(gè)問(wèn)題就需要我們重新思考安全參與流程的重要性����,以及對(duì)保險(xiǎn)覆蓋范圍和保單細(xì)節(jié)的全面理解。您的企業(yè)組織需要滿足哪些可能會(huì)被忽視的要求?如果保單中存在明確要求�����,但是您并沒(méi)有做出適當(dāng)?shù)恼{(diào)整����,那么一旦發(fā)生違規(guī)行為��,您可能將無(wú)法獲得賠償���。
5. 您的事件響應(yīng)計(jì)劃的某些要素可能需要更改
Kouns 強(qiáng)調(diào)稱�,一旦網(wǎng)絡(luò)安全保險(xiǎn)到位,可能需要調(diào)整事件響應(yīng)計(jì)劃中的某些步驟�����。這將包括您的違規(guī)報(bào)告時(shí)間表����,因?yàn)檎?Kouns 指出的那樣,幾乎所有保險(xiǎn)公司簽發(fā)的保單都有及時(shí)報(bào)告網(wǎng)絡(luò)事件的要求���。
其次��,在必須使用事件響應(yīng)計(jì)劃——并對(duì)其進(jìn)行測(cè)試之前�,制定您的IT計(jì)劃至關(guān)重要��。雖然許多企業(yè)組織在理論上都有自己的事件響應(yīng)計(jì)劃��,但是相當(dāng)多的企業(yè)組織實(shí)際上并沒(méi)有對(duì)其進(jìn)行測(cè)試����。如果發(fā)生網(wǎng)絡(luò)安全事件,您確定自己能夠應(yīng)對(duì)挑戰(zhàn)嗎?
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
