Editörün notu: Aşağıdaki, The Travellers Companies, Inc.’in yüzde yüz iştiraki olan Corvus Insurance’ın siber sigortacılıktan sorumlu başkan yardımcısı Peter Hedberg’in konuk makalesidir.
Geleneksel olarak kurumsal sigorta programlarının yönetilmesinden sorumlu olanlar finans, İK ve tesis departmanlarından gelmektedir.
Ticari mülkiyet, sağlık ve genel sorumluluk gibi geleneksel politikalara ilişkin uygulama soruları oldukça basittir: Maaş bordrosunda kaç çalışan var? Filonuzda kaç araç var?
Ancak iş poliçeleri değerlendirmeye ve siber sigortaya başvurmaya geldiğinde sorular ve düşünceler daha karmaşık hale geliyor. Siber sigortayı değerlendirirken şirketlerin odada doğru kişileri bulundurması zorunludur.
Artan siber risk faktörlerinin kapsamı değerlendirmesi gerekiyor
Fidye yazılımı saldırılarının, veri ihlallerinin ve diğer siber güvenlik olaylarının sıklığında ve ciddiyetinde artışlar gördük; bu da siber sigortaya odaklanıyor.
Kapsam, bir kuruluşun risk aktarımı yoluyla riske maruz kalmayı azaltmasına yardımcı olmak için tasarlanmıştır ve bunu, siberle ilgili bir olay sonrasında veri kurtarma, iş kesintileri ve diğer kayıplarla ilgili maliyetlerin karşılanmasına yardımcı olarak yapar. Genellikle siber olayları kapsamayan genel sorumluluk sigortasından farklıdır.
Basitçe söylemek gerekirse, siber riske maruz kalma, her biri işi uzun süre kesintiye uğratma potansiyeli yüksek olan bir yangın olayı kadar ciddiye alınmalıdır.
2023 tarihli bir Forrester Araştırma raporu, kurumsal güvenlik karar alıcılarının %83’ünün şirketlerinin bir tür siber sigorta kapsamına sahip olduğunu söylediğini, ancak kuruluşların yalnızca %26’sının bağımsız bir siber politikası olduğunu ortaya çıkardı.
Bu düşük alımın bir açıklaması, bu politikalar hakkında bilgi eksikliği olabilir. Yaygın yanılgılar arasında şirketlerin iş sorumlulukları veya işletme sahibi politikaları (BOP) yoluyla yeterli korumaya sahip olduklarını düşünmeleri, saldırıların yalnızca büyük şirketlerin başına gelmesi veya maliyet faydalarını tartarken bir ihlalin gerçek maliyetlerini anlayamamaları yer alıyor.
Bu nedenle siber sigortayı değerlendirirken bilgi güvenliği sorumlularının ve siber güvenlikten sorumlu olanların öncülük etmesi gerekiyor.
Hücum en iyi savunmadır
Bir şirket ister siber sigortayı ilk kez değerlendiriyor, ister yenileme sırasında poliçeleri karşılaştırıyor olsun, birinci adım, güçlü güvenlik kontrollerine ve saldırılara ve ihlallere karşı korumaya ve savunmaya yardımcı olan bir olay-müdahale planına sahip olmaktır.
Güçlü kontroller yalnızca riskin azaltılmasına yardımcı olmakla kalmaz, aynı zamanda şirketlerin sigortalanabilirliğine de yardımcı olur.
Siber sigorta poliçesi olan kuruluşların neredeyse yarısı, sigorta şirketinin gereksinimlerini karşılamak için güvenlik duruşlarını geliştirmek zorunda kaldı ve yakın zamanda yapılan bir araştırmaya göre, şirketlerin %30’u poliçeye uygun olmak için değişiklik yaptı; bu oran bir yıl önce %22’ydi. Netwrix rapor. Ankete katılan beş kişiden biri, bir politikanın maliyetini azaltmak için ek güvenlik önlemleri uyguladıklarını söylüyor.
Kuruluşun siber güvenliğinden sorumlu olanların siber sigorta söz konusu olduğunda ön planda ve merkezde olmaları tam da bu nedenledir.
Şirketlerin en azından aşağıdakileri uygulamaya koyması gerekir:
- Çok faktörlü kimlik doğrulama
- Yama yönetimi
- Sağlam bir yedekleme stratejisi
- Uç nokta tespiti ve yanıtı
- Şirket çapında eğitim ve öğretim
Siber sigortanın değerlendirilmesinde CISO’nun rolü
Bir siber sigorta poliçesinin ve sağlayıcısının değerlendirilmesi, CISO’ya veya kuruluşunuzdaki en üst düzey güvenlik liderine bırakılmalıdır. CISO’lar aşağıdaki konularda en iyi konumdadır:
- Katma değerli hizmetler de dahil olmak üzere “ne elde ettiğinizi” değerlendirin. Örneğin politikanız, siber güvenlikteki kör noktaları işaretleyen, bir saldırı veya ihlal durumunda proaktif olarak risk öngörüleri, analizler ve uygulamalı yardım sağlayan risk danışmanlarına erişim sağlıyor mu?
- Önemli siber olayların kapsamını karşılaştırın.
- Şirketin mevcut güvenlik kontrolleri ve siber risk duruşuyla ilgili soruları yanıtlayın.
CISO’nun siber sigorta değerlendirmesini yürütmesi gerekirken, destek sağlamak için BT, hukuk, finans ve diğer alanlardan uzmanları da dahil etmesi gerekir:
- Üçüncü tarafların ve tedarik zincirinin güvenlik açığına ilişkin risk değerlendirmesi. Bu, üçüncü taraf sağlayıcılarla yapılan sözleşmelerin envanterini çıkarmak ve gözden geçirmek için uygun bir zamandır. Çeşitli sektörlerdeki (örneğin, yazılım, sağlık hizmetleri, otomotiv) tedarik zinciri sağlayıcılarına yönelik son dönemdeki yüksek profilli saldırılar, şirketlerin siber riskleri bu kanallar aracılığıyla değerlendirme ihtiyacını göstermektedir.
- Gizlilik ve veri yönetimiyle ilgili olası yükümlülükler. Politika değerlendirmesi ve yenileme, gizlilik ve veri yönetimi uygulamalarını değerlendirmek için iyi bir zamandır. Verilere tutunmak için zorlayıcı bir iş veya uyumluluk amacı var mı? Değilse, bunu yapmak hukuki sorumluluk doğurur mu? Veri yedeklemeleriniz sağlam ve güvenli mi?
CISO’lar, riskleri azaltmak ve daha iyi sigortalanabilirlik sağlamak için proaktif güvenlik önlemlerinin neden uygun finansmana ihtiyaç duyduğunu onlara bildirmek için politika değerlendirmelerini ve yenilemeleri liderlikle birlikte bir eğitim fırsatı olarak kullanmalıdır.
Dijital çevreyi korumanın maliyeti yüksek görünebilir ancak veri ihlali veya saldırının maliyeti muhtemelen çok daha yüksektir. Gerçek maliyet, artan fidye yazılımı ödemelerinin ötesine geçiyor ve artan yasal ve BT maliyetlerini, hızlandırılmış güvenlik kontrollerini, marka ve şirket itibarını ve daha fazlasını içeriyor.
Korumadaki boşlukları önlemek amacıyla kapsam kapsamını anladığınızdan emin olmak için siber sigorta komisyoncunuza ve sigortacınıza danışın. Şirketler sıklıkla siber güvenlik risklerinin tamamını yeterince karşılamayan sigorta poliçeleri satın alıyor.
CISO veya güvenlik lideri, şirketin koruduğu veri ve sistemlerin değerlendirilmesine yardımcı olabilir ve dayanıklılığı artıracak yatırımlar önerebilir. Hangi sistemlerin fidye yazılımı saldırıları tarafından hedef alınabileceğini, hangi sistemlerin kapsanması gerektiğini ve hangi kesinti maliyetlerinin karşılanacağını daha iyi anlayacak bir konumdalar.
Sigorta komisyoncunuz, sigortacınız ve şirketiniz arasında güven oluşturun. Genellikle şirketin güvenlik duruşuna hakaret olarak görülen düşmanca bir ilişki yerine, liderliği siber sigortanın önemi konusunda eğitme ve önerilen risk azaltma stratejilerini uygulama fırsatlarını arayın.
Proaktif risk önleme hizmetleri ve gerçek zamanlı tehdit istihbaratı için siber uzmanlardan oluşan bir ekibe erişim gibi sigortacınızın sunduğu katma değerli hizmetlerden yararlanın.
Siber sigorta şirketler için etkili bir araç olabilir ancak değerlendirme, başvuru süreci ve yönetimi kafa karıştırıcı veya karmaşık görünebilir. Politikanızın siber olaylara karşı yeterli korumayı ve proaktif risk azaltma ve artan sigortalanabilirlik için güçlü güvenlik kontrollerini sağladığından emin olmak için CISO’nun öncülük etmesine izin verin.