越来越多的企业组织开始认识到将网络安全保险作为整体安全战略一部分的必要性。以下是评估、购买和依赖保险时需要考虑的一些要点。
经过多年的尝试,Risk Based Security 公司(提供漏洞和数据泄露情报)的首席信息安全官 (CISO) Jake Kouns 终于设法让网络安全保险受到他认为应得的关注。自 2012 年以来,他一直在为年度 Black Hat USA 活动提交保险相关会谈的想法,并且已被拒绝了四次。但在上周于拉斯维加斯举办的黑帽会议上,他成功地在一场关于网络安全保险的专题微型峰会上领导了其中一次会议。
根据 Kouns 的说法,近年来,围绕网络安全保险的兴趣和态度已经发生了变化,因为越来越多的安全管理人员和各种规模的企业都认识到需要将其作为整体安全战略的一部分。虽然 PWC 估计只有约 30% 的公司拥有网络安全保险或网络责任保险,但这种市场仍在继续增长。根据 A.M Best 最近发布的一份报告显示,2018 年独立和 “一揽子” 网络安全保险的直接保费增长了约 12%——从 18 亿美元增加到了 20 亿美元。虽然这一增长比例比过去两年略慢,但这 20 亿美元的数字仍然是 2015 年的两倍之多。
在其 “将网络安全保险融入风险管理计划” 的主题分享中,Kouns 向与会者介绍了投资政策的一些最佳实践和警告。以下是 CISO 在评估、购买和依赖网络保险时需要考虑的一些关键因素。
1. 如果您的企业组织还没有网络安全保险,它将会怎样
Kouns 表示,企业组织越来越多地投资于网络安全保险,因为他们别无选择。客户坚持要求合作伙伴为合规目的和监管要求提供保险凭证。越来越多的网络安全保险已经成为合同要求的一部分。
Kouns 还强调,对于那些没有实施强有力的安全计划的小型企业组织而言,网络安全保险至关重要且具有财务意义。
网络安全保险的典型成本目前非常合理。如果你是 CISO 并且你的公司发生了网络事件,你想说什么?‘哎呀,对不起?’ 或者 ‘我们有合作伙伴’ 让我们通过保险理赔解决问题。
2. 保险范围不是安全计划的替代品
就像你不会因为有汽车保险而肆无忌惮地操纵汽车一样,网络安全保险也不应该作为放缓甚至裁减安全策略和工具投资的理由。Kouns 说,在任何情况下,如果企业没有将时间和资金投入到坚实的网络安全计划中,都不应该购买网络安全保险。
我担心的是,这正是有些人所听和所做的事情。我们将其称之为 ‘道德风险’。有效的安全计划需要花钱。
虽然网络安全保险可以偿还成本,但它无法减轻违规或安全事故对受害组织所造成的声誉损害。保险无法在企业发生违规行为后恢复客户对企业的信任。
3. 安全部门应该尽早参与到保险流程中
Kouns 表示,虽然关于保险的谈话通常发生在公司的财务部门,例如在首席财务官 (CFO) 层面,但网络安全部门应该在一开始就参与其中,以帮助评估保险政策和保险覆盖水平。
企业安全部门应该参与保险流程,阅读保险条款,给出自己的意见,帮助填写申请表。但事实上,我发现保险流程中并没有涉及足够多的IT安全。保险经纪人会说,‘不要担心与IT人员交谈。我会为你搞定一切事情。’ 不得不说,这是很糟糕的一种情况。
安全人员或 CISO 可以通过自身知识储备,完美地理解相关技术语言和定义,而这些都是其他技能匮乏且认识不足的人员无法做到的。此外,安全人员也更有资格确定可能涉及保险的重要保险除外范围,并可据此提出建议。为了确保保险政策能够满足贵公司的特定需求,需要就评估和采购流程的每个步骤与安全人员进行协商。
4. 确保保单要求得到满足,以保证您的索赔请求不会失效
你成功获得了一份保单,所以现在你是享受保险权益的,对吧?再慎重地想一想。您其实还有义务需要履行并且还要遵守一些要求,以便在发生违规或其他安全事件时,该保单可以为您提供赔偿。
这个问题就需要我们重新思考安全参与流程的重要性,以及对保险覆盖范围和保单细节的全面理解。您的企业组织需要满足哪些可能会被忽视的要求?如果保单中存在明确要求,但是您并没有做出适当的调整,那么一旦发生违规行为,您可能将无法获得赔偿。
5. 您的事件响应计划的某些要素可能需要更改
Kouns 强调称,一旦网络安全保险到位,可能需要调整事件响应计划中的某些步骤。这将包括您的违规报告时间表,因为正如 Kouns 指出的那样,几乎所有保险公司签发的保单都有及时报告网络事件的要求。
其次,在必须使用事件响应计划——并对其进行测试之前,制定您的IT计划至关重要。虽然许多企业组织在理论上都有自己的事件响应计划,但是相当多的企业组织实际上并没有对其进行测试。如果发生网络安全事件,您确定自己能够应对挑战吗?