越来越多的组织认识到将网络保险作为其整体安全战略的一部分的必要性。以下是评估、购买和依赖保险时需要考虑的一些要点。经过多年的尝试,提供漏洞和数据泄露情报的RiskBasedSecurity的首席信息安全官(CISO)JakeKouns终于成功地让网络安全保险获得了他认为应有的关注。自2012年以来,他一直在为一年一度的BlackHatUSA活动提交与保险相关的演讲想法,但已被拒绝四次。但在上周于拉斯维加斯举行的黑帽大会上,他成功地主持了一场专门针对网络安全保险的微型峰会的其中一场会议。根据Kouns的说法,随着越来越多的安全主管和各种规模的企业认识到有必要将其作为整体安全战略的一部分,近年来人们对网络安全保险的兴趣和态度发生了变化。虽然PWC估计只有大约30%的公司拥有网络安全或网络责任保险,但这个市场仍在继续增长。根据A.MBest最近的一份报告,独立和“捆绑”网络安全保险的直接保费在2018年增长了约12%——从18亿美元增加到20亿美元。虽然增幅略低于过去两年,但20亿美元的数字仍是2015年的两倍多。在主题为“将网络安全保险纳入风险管理计划”的主题演讲中,Kouns向与会者介绍了一些投资政策的最佳实践和注意事项。以下是CISO在评估、购买和依赖网络保险时需要考虑的一些关键因素。1.如果您的组织还没有网络安全保险会怎样?Kouns说,组织越来越多地投资于网络安全保险,因为他们别无选择。客户坚持要求合作伙伴出于合规目的和监管要求提供保险证明。网络安全保险越来越成为合同要求的一部分。Kouns还强调,网络安全保险至关重要,对于没有到位的强大安全计划的小型企业组织具有财务意义。网络安全保险的典型成本目前非常合理。如果您是CISO,并且您的公司发生了网络事件,您会怎么说?'哎呀,对不起?'或“我们有合作伙伴”让我们通过保险索赔解决问题。2.保险范围不能替代安全计划正如你不会因为有汽车保险而鲁莽驾驶汽车一样,网络安全保险不应该成为放慢甚至削减安全策略和工具投资的理由.Kouns说,如果企业没有在可靠的网络安全计划上投入时间和金钱,在任何情况下都不应购买网络安全保险。我担心的是,这正是某些人正在听到和正在做的事情。我们称之为“道德风险”。有效的安全计划需要花钱。虽然网络安全保险可以补偿成本,但它无法减轻违规或安全事件可能对受害组织造成的声誉损害。保险无法在业务违规后恢复客户对业务的信任。3.安全应该在保险流程的早期参与Kouns说,虽然关于保险的讨论经常发生在公司的财务部门,例如在CFO级别,网络安全应该从一开始就参与进来,以帮助评估保险政策和覆盖水平。公司保障部门应参与投保过程,阅读保单条款,发表意见,并协助填写申请表。但实际上,我发现保险流程中的IT安全保障不够。保险经纪人会说,‘不用担心与IT人员交谈。我会为你打理一切。’我不得不说,这是一个非常糟糕的情况。安全人员或CISO可以使用自己的知识库来完美理解相关的技术语言和定义,这是其他技能和理解力较低的人无法做到的。此外,保安人员也更有资格识别保险可能涉及的重要保险除外责任,并据此提出建议。为确保保险政策满足您公司的特定需求,在评估和采购过程的每一步都需要咨询保安人员。4.确保满足保单要求,以免您的索赔失效。您设法获得了保单,所以现在您已经得到保障,对吗?再想一想。您实际上有义务履行并遵守要求,以便该政策可以在发生违规或其他安全事件时对您进行赔偿。这个问题要求我们重新思考安全参与流程的重要性以及对保险范围和保单细节的全面理解。您的组织需要满足哪些可能被忽视的要求?如果政策中有具体要求,但您没有做出相应的调整,一旦违反,您可能无法获得赔偿。5.您的事件响应计划的某些要素可能需要更改Kouns强调,一旦网络安全保险到位,您的事件响应计划中的某些步骤可能需要调整。这将包括您的违规报告时间表,因为正如Kouns指出的那样,几乎所有保险公司发布的保单都要求及时报告网络事件。其次,在必须使用事件响应计划之前制定您的IT计划并对其进行测试至关重要。虽然许多组织在理论上都有适当的事件响应计划,但很多组织并没有实际测试它。如果发生网络安全事件,你确定能应对挑战吗?【本文为专栏作者“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
