關於網絡安全保險,你需要了解的5件事情
越來越多的企業組織開始認識到將網絡安全保險作爲整體安全戰略一部分的必要性。以下是評估、購買和依賴保險時需要考慮的一些要點。
經過多年的嘗試,Risk Based Security 公司(提供漏洞和數據泄露情報)的首席信息安全官 (CISO) Jake Kouns 終於設法讓網絡安全保險受到他認爲應得的關注。自 2012 年以來,他一直在爲年度 Black Hat USA 活動提交保險相關會談的想法,並且已被拒絕了四次。但在上週於拉斯維加斯舉辦的黑帽會議上,他成功地在一場關於網絡安全保險的專題微型峯會上領導了其中一次會議。
根據 Kouns 的說法,近年來,圍繞網絡安全保險的興趣和態度已經發生了變化,因爲越來越多的安全管理人員和各種規模的企業都認識到需要將其作爲整體安全戰略的一部分。雖然 PWC 估計只有約 30% 的公司擁有網絡安全保險或網絡責任保險,但這種市場仍在繼續增長。根據 A.M Best 最近發佈的一份報告顯示,2018 年獨立和 “一攬子” 網絡安全保險的直接保費增長了約 12%——從 18 億美元增加到了 20 億美元。雖然這一增長比例比過去兩年略慢,但這 20 億美元的數字仍然是 2015 年的兩倍之多。
在其 “將網絡安全保險融入風險管理計劃” 的主題分享中,Kouns 向與會者介紹了投資政策的一些最佳實踐和警告。以下是 CISO 在評估、購買和依賴網絡保險時需要考慮的一些關鍵因素。
1. 如果您的企業組織還沒有網絡安全保險,它將會怎樣
Kouns 表示,企業組織越來越多地投資於網絡安全保險,因爲他們別無選擇。客戶堅持要求合作伙伴爲合規目的和監管要求提供保險憑證。越來越多的網絡安全保險已經成爲合同要求的一部分。
Kouns 還強調,對於那些沒有實施強有力的安全計劃的小型企業組織而言,網絡安全保險至關重要且具有財務意義。
網絡安全保險的典型成本目前非常合理。如果你是 CISO 並且你的公司發生了網絡事件,你想說什麼?‘哎呀,對不起?’ 或者 ‘我們有合作伙伴’ 讓我們通過保險理賠解決問題。
2. 保險範圍不是安全計劃的替代品
就像你不會因爲有汽車保險而肆無忌憚地操縱汽車一樣,網絡安全保險也不應該作爲放緩甚至裁減安全策略和工具投資的理由。Kouns 說,在任何情況下,如果企業沒有將時間和資金投入到堅實的網絡安全計劃中,都不應該購買網絡安全保險。
我擔心的是,這正是有些人所聽和所做的事情。我們將其稱之爲 ‘道德風險’。有效的安全計劃需要花錢。
雖然網絡安全保險可以償還成本,但它無法減輕違規或安全事故對受害組織所造成的聲譽損害。保險無法在企業發生違規行爲後恢復客戶對企業的信任。
3. 安全部門應該儘早參與到保險流程中
Kouns 表示,雖然關於保險的談話通常發生在公司的財務部門,例如在首席財務官 (CFO) 層面,但網絡安全部門應該在一開始就參與其中,以幫助評估保險政策和保險覆蓋水平。
企業安全部門應該參與保險流程,閱讀保險條款,給出自己的意見,幫助填寫申請表。但事實上,我發現保險流程中並沒有涉及足夠多的IT安全。保險經紀人會說,‘不要擔心與IT人員交談。我會爲你搞定一切事情。’ 不得不說,這是很糟糕的一種情況。
安全人員或 CISO 可以通過自身知識儲備,完美地理解相關技術語言和定義,而這些都是其他技能匱乏且認識不足的人員無法做到的。此外,安全人員也更有資格確定可能涉及保險的重要保險除外範圍,並可據此提出建議。爲了確保保險政策能夠滿足貴公司的特定需求,需要就評估和採購流程的每個步驟與安全人員進行協商。
4. 確保保單要求得到滿足,以保證您的索賠請求不會失效
你成功獲得了一份保單,所以現在你是享受保險權益的,對吧?再慎重地想一想。您其實還有義務需要履行並且還要遵守一些要求,以便在發生違規或其他安全事件時,該保單可以爲您提供賠償。
這個問題就需要我們重新思考安全參與流程的重要性,以及對保險覆蓋範圍和保單細節的全面理解。您的企業組織需要滿足哪些可能會被忽視的要求?如果保單中存在明確要求,但是您並沒有做出適當的調整,那麼一旦發生違規行爲,您可能將無法獲得賠償。
5. 您的事件響應計劃的某些要素可能需要更改
Kouns 強調稱,一旦網絡安全保險到位,可能需要調整事件響應計劃中的某些步驟。這將包括您的違規報告時間表,因爲正如 Kouns 指出的那樣,幾乎所有保險公司簽發的保單都有及時報告網絡事件的要求。
其次,在必須使用事件響應計劃——並對其進行測試之前,制定您的IT計劃至關重要。雖然許多企業組織在理論上都有自己的事件響應計劃,但是相當多的企業組織實際上並沒有對其進行測試。如果發生網絡安全事件,您確定自己能夠應對挑戰嗎?
