在重大网络安全漏洞发生后,评估损失是CIO或CISO可能面临的最令人痛心的事情之一。到处都有指责,但很少有足够多的人接受它。当涉及到从网络保险索赔中收回款项时,这种相互指责的游戏因混乱而变得更加复杂。
典型的公司网络保险讨论是这样的:首席执行官或董事会主席把首席信息安全官叫到房间里,告诉他他们的保险公司年代将只支付索赔的38%,因为“你没有对受影响的应用程序实施加密”。
CISO表示:“首先,我不知道我们有网络保险。第二,受影响的应用程序正在运行我们的ATM机如果我们加密了它们,你就会解雇我,因为我们的客户无法访问它们。我希望你在实施这些政策之前先跟我谈谈。”
小朱利安·维茨,PivotPoint风险分析公司的首席执行官。
一名CISO不知道自己的公司已经购买了一份保险,以防范他受命防范的网络攻击。这听起来更像是HBO电视剧《硅谷》(Silicon Valley)某一集的情节主线,而不是一个实际的商业案例。但PivotPoint Risk Analytics首席执行官小朱利安•维茨(Julian waitjr .)说,在发生黑客入侵后,这种脱节现象经常发生。“保险是在竖井中购买的,”waitjr .说。“在处理金融风险时,你认为会同时发生的两件事几乎从来不会相互联系。”
无知和混乱造成了覆盖率的差距
因此,企业往往不确定什么是并不是由他们的保险政策,往往是错误的事情时声称可以拒绝网络安全测试程序和审计不足,过时的补丁,网络事件响应计划不足和不适当的备份和恢复过程。
[相关:什么是网络保险,你为什么需要它]
与此同时,保险公司创建的总体风险模型更像是一刀切的保单,不一定能很好地满足企业客户的特殊需求。在普华永道称其为全球性的时候,这些都构成了重大挑战网络保险市场可能会增长到50亿美元到2018年,每年保费至少达到75亿美元,到2020年。
为了更好地了解网络保险,waitjr .委托IT部门和保险公司进行研究。网络保险研究公司Advisen对195家保险公司和经纪人进行了调查,SANS Institute对203名信息安全和IT专业人士进行了调查“填补保险/信息安全差距:SANS 2016网络保险调查,”SANS分析师芭芭拉·费尔金斯撰写的一份报告。
费尔金斯指出,为了有效地购买符合其要求的网络保险,组织必须弥合四个关键差距:
- 术语的差距.信息安全和保险专业人士承认,他们对“风险”这一基本概念的定义并不一致。信息安全人员考虑威胁和漏洞,并通过创建防御、策略和程序消除这些威胁和漏洞。保险公司考虑的是降低组织在网络事故中遭受经济损失的风险。
- 评估差距.评估框架为最低程度的网络卫生建立标准做法、度量标准和成本,并用于衡量和基准防御其他组织和法规。但保险公司更喜欢定量模型而不是定性模型,只有25%的信息安全受访者使用详细的定量模型。
- 沟通的差距.上述差距在信息安全与保险公司之间,以及信息安全专业人员与风险经理之间,以及保险社区内承保人与经纪人之间形成了沟通鸿沟。
- 投资缺口。承保标准缺乏透明度,导致寻求网络保险的买家进行了错误的投资。资讯安全网的工作人员可能会投资错误的东西,以为这会使他们有保险;或者他们购买的保险与他们的意识到拒绝赔偿损失和索赔。更复杂的是,可能会有政策条款和排除条款需要法律顾问来解释。例如,P.F。张从保险公司追回了170万美元用于支付违约后的费用以及为2014年违约后的集体诉讼辩护。但该公司没有收回支付给信用卡处理器的190万美元,用于PCI DSS评估。
ciso必须是网络保险采购的一部分
Shawn Wiora表示,SANS的差距调查结果与他评估和购买网络保险政策的经验一致。作为护理设施提供商Creative Solutions in Healthcare的首席信息官和首席信息官,Wiora发现,在与他自己的安全模型(基于美国国家标准与技术研究所建立的网络框架)相匹配时,许多政策都存在不足。他说,有一个工具或评估矩阵,帮助ciso将他们的安全状况与他们选择购买的政策联系起来。另一个挑战是,很少有网络保险索赔得到处理并公开,这让企业处于黑暗之中。
[相关:网络保险可能是你最可怕的噩梦,最好的朋友]
Wiora说,虽然网络保险是每个人都想了解的问题,但没有人愿意谈论它,因为讨论网络风险会让人感到不舒服。Wiora采取了措施,让他的整个高管阶层了解网络风险和保险。“有很多困惑,这是一个如此年轻的行业,”Wiora说。“保险公司不明白。”
那么,CISO/CIO应该做什么呢?Advisen的联合创始人兼首席战略官大卫·k·布拉德福德(David K. Bradford)有一个主意:“CISO需要涉及在非常早期的阶段,这些接触和映射与风险经理理解这些风险是什么,因此当市场风险经理去他能够解释的经纪人反过来能够解释能够匹配与保险公司选择正确的报道。”
这篇题为“网络保险混乱导致覆盖缺口”的文章最初是由首席信息官 .