Siber saldırıların hacmi ve sürekli büyüyen çevrimiçi boğazlar, siber sigortayı birçok kuruluş için norm haline getirmeye yardımcı oluyor. Sigorta genellikle kuruluşun yönetim kurulunun CFO ile birlikte üzerinde çalıştığı bir konu olsa da, siber riskin teknik doğası, CISO'nun giderek daha fazla görüşmenin bir parçası olmasının istendiği anlamına geliyor.
Siber sigorta norm haline geldi birçok kuruluş için. Dark Reading'in en son anketine yanıt verenlerin yarısından fazlası Stratejik Güvenlik Araştırması kuruluşlarının bir tür siber sigorta kapsamına sahip olduğunu söylüyorlar. Katılımcıların %29'u siber sigorta kapsamının daha geniş bir işletme sigortası poliçesinin parçası olduğunu söylerken, %28'i özellikle siber güvenlik olaylarına yönelik bir poliçeye sahip olduklarını söylüyor. Kuruluşların neredeyse yarısı (%46) aşağıdakileri kapsayan bir politikaya sahip olduklarını söylüyor: fidye yazılımı ödemeleri.
Siber sigorta poliçesi, kuruluşların bir saldırı veya veri ihlali durumunda uğrayabilecekleri mali kayıpların en azından bir kısmını ödemelerine yardımcı olur – örneğin olayın araştırılması ve müdahale edilmesi, iyileştirme, kriz iletişimleri, fidye/gasp ödemeleri, Yeni bir rapora göre, sigorta “proaktif ve dayanıklı siber kontrollere olan ihtiyacı ortadan kaldırmasa da” potansiyel mali kayıplara karşı bir “güvenlik ağı” sunuyor. Google Cloud'un CISO Ofisi'nin Yönetim Kurulu için Güvenlik Perspektifleri raporu. Bu rapor serisinin amacı, yönetim kurullarının kurumun siber riskinin gözetiminde daha aktif bir rol üstlenmelerini sağlamaktır.
Raporda, kurulların teknik uzmanlığa sahip güvenlik organizasyonu ile finans organizasyonu arasındaki işbirliğini kolaylaştırması tavsiye edilmeden önce, “Siber saldırıların mali ve hukuki sonuçları titiz sigorta stratejileri gerektirir, ancak bunları oluşturmak gelişen risklerin derinlemesine anlaşılmasını gerektirir” denildi. – finansal etkiye odaklanarak.
Daha Güçlü Bir Hikaye Üzerinde İşbirliği Yapmak
Google Cloud iş riski ve sigorta başkanı Monica Shokrai, “Risk hakkında nasıl konuşulacağı ve risklerin nasıl yönetilip azaltılacağı artık CISO organizasyonunun anlaması için çok daha önemli hale geliyor” diyor ve riskin yukarıya doğru iletilmesinin önemli bir şey olduğuna dikkat çekiyor CFO “sonsuza kadar yapıyor”. CISO'ları “siber CFO'lara” dönüştürmeye çalışmak yerine, iki kuruluşun yönetim kurulu için tutarlı ve entegre bir strateji geliştirmek üzere birlikte çalışması gerektiğini söylüyor.
Finans kuruluşu, riski ölçmek, bir kuruluşun ne kadar riske sahip olduğuna karar vermek ve ardından ne kadar riskin tutulacağına ve ne kadar riskin aktarılacağına karar vermek için bir sigorta programını optimize etmeye alışkındır. İşin finans tarafı siber risk konusunda altyapıya sahip olmadığı için modeli doğru anlama olasılıkları daha düşük. Evin güvenlik tarafı siber risk ve teknoloji konusunda uzmanlığa ve anlayışa sahiptir. Siber risk ölçümü potansiyel kayıpların modellenmesine yardımcı olur.
Raporda Google Cloud, “CISO'nun teknik uzmanlığı paha biçilmezdir, ancak gerçek güç, riskleri iş üzerindeki potansiyel mali etkilerine dönüştürmekten gelir” diye yazdı. “Finans ile işbirliği yaparak ve şirketin kendi olay geçmişinin yanı sıra kamuya açık ihlal verilerini kullanarak şirketler sağlam bir siber risk modeli geliştirebilir.”
Yönetim kurulu şirketin risklerini inceler, bu risklerin şirketin bilançosunu nasıl etkilediğini belirlemeye çalışır ve ardından ne kadar riskin devredileceğine karar verir. Finansal etkinin hesaplanması sigorta stratejisinin bir parçasıdır ve bu, siber sigorta ile diğer sigorta türleri arasında da benzerdir. Otomobil sorumluluğu veya işçi tazminatı gibi geleneksel sigortalar yerleşik içtihatlara dayanır, dolayısıyla ortalama bir yönetim kurulu üyesi neyin kapsandığını ve neyin kapsanmadığını bilir. Buna karşılık siber sigorta, siber savaş, sistemik risk ve üretken yapay zeka gibi istisnaları hâlâ çözmeye çalışıyor.
Shokrai, “Siber sigorta konusunda hâlâ ortaya çıkan şey, yönetim kurullarının bir kuruluş olarak karşı karşıya oldukları riskin büyüklüğünü fark etmeye başlamasıdır” diyor.
Finans ekibinin halihazırda hangi riskleri kabul edeceğini ve hangi risklere karşı sigortalanacağını düşünmesi gerektiğinden güvenlik ve finans açısından siber risk yönetimi konusunda işbirliği yapmak için hiçbir zaman erken değildir. Shokrai, “Siber risk ölçümüyle başlarsanız, en azından zaman içinde yukarı ve aşağı ayarlamalar yapabileceğiniz ve yineleyebileceğiniz bir kritere sahip olursunuz. Daha fazlasını öğrendikçe bu modeli ayarlamaya devam etmeniz bekleniyor” diyor Shokrai . “Bu işbirliğine erkenden başlayabilir ve bu süreçte her iki takımı da geliştirebilirsiniz.”