關(guān)于網(wǎng)絡(luò)安全保險(xiǎn),你需要了解的5件事情
越來越多的企業(yè)組織開始認(rèn)識到將網(wǎng)絡(luò)安全保險(xiǎn)作為整體安全戰(zhàn)略一部分的必要性。以下是評估、購買和依賴保險(xiǎn)時(shí)需要考慮的一些要點(diǎn)。
經(jīng)過多年的嘗試,Risk Based Security 公司(提供漏洞和數(shù)據(jù)泄露情報(bào))的首席信息安全官 (CISO) Jake Kouns 終于設(shè)法讓網(wǎng)絡(luò)安全保險(xiǎn)受到他認(rèn)為應(yīng)得的關(guān)注。自 2012 年以來,他一直在為年度 Black Hat USA 活動提交保險(xiǎn)相關(guān)會談的想法,并且已被拒絕了四次。但在上周于拉斯維加斯舉辦的黑帽會議上,他成功地在一場關(guān)于網(wǎng)絡(luò)安全保險(xiǎn)的專題微型峰會上領(lǐng)導(dǎo)了其中一次會議。
根據(jù) Kouns 的說法,近年來,圍繞網(wǎng)絡(luò)安全保險(xiǎn)的興趣和態(tài)度已經(jīng)發(fā)生了變化,因?yàn)樵絹碓蕉嗟陌踩芾砣藛T和各種規(guī)模的企業(yè)都認(rèn)識到需要將其作為整體安全戰(zhàn)略的一部分。雖然 PWC 估計(jì)只有約 30% 的公司擁有網(wǎng)絡(luò)安全保險(xiǎn)或網(wǎng)絡(luò)責(zé)任保險(xiǎn),但這種市場仍在繼續(xù)增長。根據(jù) A.M Best 最近發(fā)布的一份報(bào)告顯示,2018 年獨(dú)立和 “一攬子” 網(wǎng)絡(luò)安全保險(xiǎn)的直接保費(fèi)增長了約 12%——從 18 億美元增加到了 20 億美元。雖然這一增長比例比過去兩年略慢,但這 20 億美元的數(shù)字仍然是 2015 年的兩倍之多。
在其 “將網(wǎng)絡(luò)安全保險(xiǎn)融入風(fēng)險(xiǎn)管理計(jì)劃” 的主題分享中,Kouns 向與會者介紹了投資政策的一些較佳實(shí)踐和警告。以下是 CISO 在評估、購買和依賴網(wǎng)絡(luò)保險(xiǎn)時(shí)需要考慮的一些關(guān)鍵因素。
1. 如果您的企業(yè)組織還沒有網(wǎng)絡(luò)安全保險(xiǎn),它將會怎樣
Kouns 表示,企業(yè)組織越來越多地投資于網(wǎng)絡(luò)安全保險(xiǎn),因?yàn)樗麄儎e無選擇。客戶堅(jiān)持要求合作伙伴為合規(guī)目的和監(jiān)管要求提供保險(xiǎn)憑證。越來越多的網(wǎng)絡(luò)安全保險(xiǎn)已經(jīng)成為合同要求的一部分。
Kouns 還強(qiáng)調(diào),對于那些沒有實(shí)施強(qiáng)有力的安全計(jì)劃的小型企業(yè)組織而言,網(wǎng)絡(luò)安全保險(xiǎn)至關(guān)重要且具有財(cái)務(wù)意義。
| 網(wǎng)絡(luò)安全保險(xiǎn)的典型成本目前非常合理。如果你是 CISO 并且你的公司發(fā)生了網(wǎng)絡(luò)事件,你想說什么?‘哎呀,對不起?’ 或者 ‘我們有合作伙伴’ 讓我們通過保險(xiǎn)理賠解決問題。 |
2. 保險(xiǎn)范圍不是安全計(jì)劃的替代品
就像你不會因?yàn)橛衅嚤kU(xiǎn)而肆無忌憚地操縱汽車一樣,網(wǎng)絡(luò)安全保險(xiǎn)也不應(yīng)該作為放緩甚至裁減安全策略和工具投資的理由。Kouns 說,在任何情況下,如果企業(yè)沒有將時(shí)間和資金投入到堅(jiān)實(shí)的網(wǎng)絡(luò)安全計(jì)劃中,都不應(yīng)該購買網(wǎng)絡(luò)安全保險(xiǎn)。
| 我擔(dān)心的是,這正是有些人所聽和所做的事情。我們將其稱之為 ‘道德風(fēng)險(xiǎn)’。有效的安全計(jì)劃需要花錢。 |
雖然網(wǎng)絡(luò)安全保險(xiǎn)可以償還成本,但它無法減輕違規(guī)或安全事故對受害組織所造成的聲譽(yù)損害。保險(xiǎn)無法在企業(yè)發(fā)生違規(guī)行為后恢復(fù)客戶對企業(yè)的信任。
3. 安全部門應(yīng)該盡早參與到保險(xiǎn)流程中
Kouns 表示,雖然關(guān)于保險(xiǎn)的談話通常發(fā)生在公司的財(cái)務(wù)部門,例如在首席財(cái)務(wù)官 (CFO) 層面,但網(wǎng)絡(luò)安全部門應(yīng)該在一開始就參與其中,以幫助評估保險(xiǎn)政策和保險(xiǎn)覆蓋水平。
| 企業(yè)安全部門應(yīng)該參與保險(xiǎn)流程,閱讀保險(xiǎn)條款,給出自己的意見,幫助填寫申請表。但事實(shí)上,我發(fā)現(xiàn)保險(xiǎn)流程中并沒有涉及足夠多的IT安全。保險(xiǎn)經(jīng)紀(jì)人會說,‘不要擔(dān)心與IT人員交談。我會為你搞定一切事情。’ 不得不說,這是很糟糕的一種情況。 |
安全人員或 CISO 可以通過自身知識儲備,完美地理解相關(guān)技術(shù)語言和定義,而這些都是其他技能匱乏且認(rèn)識不足的人員無法做到的。此外,安全人員也更有資格確定可能涉及保險(xiǎn)的重要保險(xiǎn)除外范圍,并可據(jù)此提出建議。為了確保保險(xiǎn)政策能夠滿足貴公司的特定需求,需要就評估和采購流程的每個(gè)步驟與安全人員進(jìn)行協(xié)商。
4. 確保保單要求得到滿足,以保證您的索賠請求不會失效
你成功獲得了一份保單,所以現(xiàn)在你是享受保險(xiǎn)權(quán)益的,對吧?再慎重地想一想。您其實(shí)還有義務(wù)需要履行并且還要遵守一些要求,以便在發(fā)生違規(guī)或其他安全事件時(shí),該保單可以為您提供賠償。
這個(gè)問題就需要我們重新思考安全參與流程的重要性,以及對保險(xiǎn)覆蓋范圍和保單細(xì)節(jié)的全面理解。您的企業(yè)組織需要滿足哪些可能會被忽視的要求?如果保單中存在明確要求,但是您并沒有做出適當(dāng)?shù)恼{(diào)整,那么一旦發(fā)生違規(guī)行為,您可能將無法獲得賠償。
5. 您的事件響應(yīng)計(jì)劃的某些要素可能需要更改
Kouns 強(qiáng)調(diào)稱,一旦網(wǎng)絡(luò)安全保險(xiǎn)到位,可能需要調(diào)整事件響應(yīng)計(jì)劃中的某些步驟。這將包括您的違規(guī)報(bào)告時(shí)間表,因?yàn)檎?Kouns 指出的那樣,幾乎所有保險(xiǎn)公司簽發(fā)的保單都有及時(shí)報(bào)告網(wǎng)絡(luò)事件的要求。
其次,在必須使用事件響應(yīng)計(jì)劃——并對其進(jìn)行測試之前,制定您的IT計(jì)劃至關(guān)重要。雖然許多企業(yè)組織在理論上都有自己的事件響應(yīng)計(jì)劃,但是相當(dāng)多的企業(yè)組織實(shí)際上并沒有對其進(jìn)行測試。如果發(fā)生網(wǎng)絡(luò)安全事件,您確定自己能夠應(yīng)對挑戰(zhàn)嗎?
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
