關(guān)于網(wǎng)絡(luò)安全保險�,你需要了解的5件事情
2019年09月04日
越來越多的企業(yè)組織開始認(rèn)識到將網(wǎng)絡(luò)安全保險作為整體安全戰(zhàn)略一部分的必要性。以下是評估�、購買和依賴保險時需要考慮的一些要點。
經(jīng)過多年的嘗試���,Risk Based Security 公司(提供漏洞和數(shù)據(jù)泄露情報)的首席信息安全官 (CISO) Jake Kouns 終于設(shè)法讓網(wǎng)絡(luò)安全保險受到他認(rèn)為應(yīng)得的關(guān)注��。自 2012 年以來��,他一直在為年度 Black Hat USA 活動提交保險相關(guān)會談的想法�,并且已被拒絕了四次����。但在上周于拉斯維加斯舉辦的黑帽會議上,他成功地在一場關(guān)于網(wǎng)絡(luò)安全保險的專題微型峰會上領(lǐng)導(dǎo)了其中一次會議�����。
根據(jù) Kouns 的說法���,近年來�����,圍繞網(wǎng)絡(luò)安全保險的興趣和態(tài)度已經(jīng)發(fā)生了變化����,因為越來越多的安全管理人員和各種規(guī)模的企業(yè)都認(rèn)識到需要將其作為整體安全戰(zhàn)略的一部分。雖然 PWC 估計只有約 30% 的公司擁有網(wǎng)絡(luò)安全保險或網(wǎng)絡(luò)責(zé)任保險����,但這種市場仍在繼續(xù)增長。根據(jù) A.M Best 最近發(fā)布的一份報告顯示����,2018 年獨(dú)立和 “一攬子” 網(wǎng)絡(luò)安全保險的直接保費(fèi)增長了約 12%——從 18 億美元增加到了 20 億美元。雖然這一增長比例比過去兩年略慢����,但這 20 億美元的數(shù)字仍然是 2015 年的兩倍之多。
在其 “將網(wǎng)絡(luò)安全保險融入風(fēng)險管理計劃” 的主題分享中����,Kouns 向與會者介紹了投資政策的一些較佳實踐和警告。以下是 CISO 在評估�����、購買和依賴網(wǎng)絡(luò)保險時需要考慮的一些關(guān)鍵因素���。
1. 如果您的企業(yè)組織還沒有網(wǎng)絡(luò)安全保險�,它將會怎樣
Kouns 表示���,企業(yè)組織越來越多地投資于網(wǎng)絡(luò)安全保險��,因為他們別無選擇�����?�?蛻魣猿忠蠛献骰锇闉楹弦?guī)目的和監(jiān)管要求提供保險憑證��。越來越多的網(wǎng)絡(luò)安全保險已經(jīng)成為合同要求的一部分����。
Kouns 還強(qiáng)調(diào)��,對于那些沒有實施強(qiáng)有力的安全計劃的小型企業(yè)組織而言���,網(wǎng)絡(luò)安全保險至關(guān)重要且具有財務(wù)意義���。
網(wǎng)絡(luò)安全保險的典型成本目前非常合理�。如果你是 CISO 并且你的公司發(fā)生了網(wǎng)絡(luò)事件��,你想說什么?‘哎呀�����,對不起?’ 或者 ‘我們有合作伙伴’ 讓我們通過保險理賠解決問題��。 |
2. 保險范圍不是安全計劃的替代品
就像你不會因為有汽車保險而肆無忌憚地操縱汽車一樣�����,網(wǎng)絡(luò)安全保險也不應(yīng)該作為放緩甚至裁減安全策略和工具投資的理由�����。Kouns 說����,在任何情況下,如果企業(yè)沒有將時間和資金投入到堅實的網(wǎng)絡(luò)安全計劃中����,都不應(yīng)該購買網(wǎng)絡(luò)安全保險�����。
我擔(dān)心的是��,這正是有些人所聽和所做的事情。我們將其稱之為 ‘道德風(fēng)險’���。有效的安全計劃需要花錢����。 |
雖然網(wǎng)絡(luò)安全保險可以償還成本�,但它無法減輕違規(guī)或安全事故對受害組織所造成的聲譽(yù)損害。保險無法在企業(yè)發(fā)生違規(guī)行為后恢復(fù)客戶對企業(yè)的信任�����。
3. 安全部門應(yīng)該盡早參與到保險流程中
Kouns 表示���,雖然關(guān)于保險的談話通常發(fā)生在公司的財務(wù)部門�,例如在首席財務(wù)官 (CFO) 層面����,但網(wǎng)絡(luò)安全部門應(yīng)該在一開始就參與其中���,以幫助評估保險政策和保險覆蓋水平。
企業(yè)安全部門應(yīng)該參與保險流程��,閱讀保險條款�,給出自己的意見,幫助填寫申請表�����。但事實上���,我發(fā)現(xiàn)保險流程中并沒有涉及足夠多的IT安全����。保險經(jīng)紀(jì)人會說���,‘不要擔(dān)心與IT人員交談����。我會為你搞定一切事情��。’ 不得不說����,這是很糟糕的一種情況。 |
安全人員或 CISO 可以通過自身知識儲備�����,完美地理解相關(guān)技術(shù)語言和定義��,而這些都是其他技能匱乏且認(rèn)識不足的人員無法做到的��。此外�,安全人員也更有資格確定可能涉及保險的重要保險除外范圍�����,并可據(jù)此提出建議����。為了確保保險政策能夠滿足貴公司的特定需求,需要就評估和采購流程的每個步驟與安全人員進(jìn)行協(xié)商��。
4. 確保保單要求得到滿足�,以保證您的索賠請求不會失效
你成功獲得了一份保單����,所以現(xiàn)在你是享受保險權(quán)益的��,對吧?再慎重地想一想���。您其實還有義務(wù)需要履行并且還要遵守一些要求���,以便在發(fā)生違規(guī)或其他安全事件時,該保單可以為您提供賠償�����。
這個問題就需要我們重新思考安全參與流程的重要性�����,以及對保險覆蓋范圍和保單細(xì)節(jié)的全面理解�����。您的企業(yè)組織需要滿足哪些可能會被忽視的要求?如果保單中存在明確要求��,但是您并沒有做出適當(dāng)?shù)恼{(diào)整���,那么一旦發(fā)生違規(guī)行為���,您可能將無法獲得賠償�。
5. 您的事件響應(yīng)計劃的某些要素可能需要更改
Kouns 強(qiáng)調(diào)稱�����,一旦網(wǎng)絡(luò)安全保險到位�����,可能需要調(diào)整事件響應(yīng)計劃中的某些步驟��。這將包括您的違規(guī)報告時間表��,因為正如 Kouns 指出的那樣��,幾乎所有保險公司簽發(fā)的保單都有及時報告網(wǎng)絡(luò)事件的要求����。
其次����,在必須使用事件響應(yīng)計劃——并對其進(jìn)行測試之前�,制定您的IT計劃至關(guān)重要����。雖然許多企業(yè)組織在理論上都有自己的事件響應(yīng)計劃,但是相當(dāng)多的企業(yè)組織實際上并沒有對其進(jìn)行測試����。如果發(fā)生網(wǎng)絡(luò)安全事件,您確定自己能夠應(yīng)對挑戰(zhàn)嗎?
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
