如果您的公司今天被一个网络攻击,它会衡量账单吗?整个账单,包括监管罚款的成本,潜在的诉讼,损害您的组织品牌,以及硬件和软件维修,恢复和保护?
鉴于网络图案价格以惊人的速度上升,这是一个值得仔细考虑的问题。第二届年度网络犯罪研究的成本据报道,去年8月发布的,报道,一家公司网络犯罪的中位年级成本为590万美元 - 从2010年中位数增加了56%。
越来越多的保险公司正在提供在数据泄露和其他恶意黑客的情况下提供保护的政策。但他们遇到了一些销售困难 - 部分原因是溢价的成本可能是惊人的。
律师和信息安全领导人表示,许多高管认为,据称标准的公司保险政策或一般责任政策涵盖与黑客攻击有关的损失,或者他们的核糖蛋白,如果他们拥有它们,将涵盖与违规有关的所有费用。大多数时候,他们不会。
2011年2月由Forrester Research Analyst Khalid Kark表示,许多公司仍在努力了解这些政策的基础知识,这些政策是由ACE USA,Chubb,Hartford和St. Paul旅客Cos提供的。最常见的问题围绕着哪些类型的政策,他们涵盖的是什么,如何选择合适的政策以及是否需要这些保险。
IT领导者特别可能会困惑,因为Tech Execs传统上没有关于公司保险的决定。同样,通常确实使保险决策的风险管理和法律团队没有习惯于宣告其咨询的IT对应物。
然而,当决定是购买网络保险和确定购买的覆盖范围时,它的投入是至关重要的。
“IT人民和风险人们拼命地需要聚在一起谈论信息技术的风险以及违约的可能性和结果,”IT风险顾问和2012年IT安全理事会主席安全专业人士组织ASIS International.。
覆盖了什么,不是什么
一些公司购买标准保险政策并认为它们完全受到保护,而不是意识到该政策可能涵盖物理性质但不是无形资产。例如,属性保险策略将涵盖由不满的员工击杀的服务器的成本,但由于服务器停机时间不会涵盖该公司的责任,因为服务器停机时间未能为客户执行服务。
责任保险通常提供诉讼或索赔的保护,但Fergus指出,一般责任,错误和遗漏,以及董事和官员责任保险政策不会涵盖电子数据丢失或缺乏对该数据的访问产生的索赔。
Chubb副总裁Ken Goldstein Cos。在沃伦,N.J.解释说,网络核心落入两家普通桶。第一个桶涵盖与第三方负债相关的成本 - 也就是说来自其他组织的索赔。第二个涵盖了一方的费用和损失 - 这是对自己的组织造成损害。此外,可以提供涵盖其他成本的策略,例如第三方通知和公关费用。
当然,公司可以购买策略来解决第一和第三方,因此他们涵盖了一系列情景 - 从通知其数据被违反的客户的成本,甚至雇用法医队的费用Goldstein说,敲诈勒索的需求成本。
IT担任保险专家?
旧金山基于国家律师事务所Duane Morris的旧金山合作伙伴表示,考虑到政策需要确定他们需要的覆盖范围以及是否有意义与该报告相关的保险。
这就是它进来的地方。组织的风险管理和法律人员了解保险公司和排除的语言,但没有人能够更好地理解和阐明组织的信息安全系统,而不是运行它的人。“CIO是在处理信息系统的前线上,应该了解实际和潜在的问题,”Sinrod说。
保险公司将想知道在编写任何政策之前公司存在的安全性,他们甚至可能需要第三方审计,以验证普华永道的主要和安全基准专家Mark Lobel,主体和安全基准专家。因此,公司必须确保他们遵循其行业的最佳信息安全实践。
然后,IT领导者应该确定潜在的威胁,他们将发生的可能性,以及如果发生这种威胁,这种威胁如何影响组织。“如果您不明白风险,则无法确保[正确],”Lobel解释说。
并非所有公司 - 或所有IT部门 - 对自我审查的舒适,指出了Asis International的Fergus。“有一个态度的态度,”他说。“人们可能会知道他们脆弱,但他们不想写下来。”
贴纸冲击
弗格斯说,即使已经完成了他们尽职调查的公司也可以用于颠簸。“他们出去了[保险]运营商,他们得到了贴纸的震惊。”这是因为控制率保险可以造价7,000美元至每百万美元亏损。随着可能总共有数百百万美元的损失,涵盖了这种成本的政策可以带来一个惊人的价格标签。
决定购买的覆盖率有多少可能是棘手的。太少了,你不覆盖你的曝光。太多了,你面临着天空高级保费的前景。在塔沃森的2011年风险和财务经理调查61%的携带网络责任政策的响应公司表示,他们已经购买了1000万美元至4990万美元的覆盖范围;只有8%的覆盖范围购买了5000万美元或以上的政策。
一些公司看一下覆盖范围和搁置的成本。其他人担心支出,特别是鉴于一些高调的案例,其中保险公司和组织在法庭上提交索赔。索尼和犹他大学是参与此类案件的组织之一。
非营利性国际信息系统安全认证财团执行董事Hord Tipton表示,他的组织不携带网络核心。他争辩的公司可能会成为松懈。“一家公司不应该让自满就是因为他们被保险,”他警告道。
更重要的是,Tipton维护,保险无法帮助他的组织恢复最有价值的资产,这可能失去违规行为:它的声誉。
Chubb的Goldstein计数器认为,公司可能会发现他们可以在击中他们的声誉中生存,以意识到修复其他损害的成本将会做到这一点。正如他所指出的那样,“你讨厌假设你会假设由于声誉造成的伤害,才能找到沉没,你不是声誉,而是责任的成本。“
这个故事,“你需要一个Cyberumbrella吗?”最初是发表的Computerworld. 。