Delinea’nın yeni raporuna göre sigortacılar, kuruluşları kimlik kontrollerinin gücüne ve bu kontrollerin ne kadar tutarlı bir şekilde uygulandığına göre değerlendiriyor. CISO’lar olgunluğu ödüllendiren ve bir zamanlar incelenmeden geçen boşlukları cezalandıran bir pazara giriyorlar.
Kontrol olgunluğu sigortalanabilirliğin temelidir
Neredeyse tüm güvenlik liderleri, haberin onaylanması öncesinde en azından bazı güvenlik kontrollerinin uygulanması gerektiğini söyledi. Sigortacılar kuruluşların kimlik, erişim, tespit ve dayanıklılık uygulamalarında ilerleme göstermesini bekliyor. Yenilemeyle çıta yükseliyor ve erişim tasarımı ve günlük yaptırımlara ilişkin ayrıntılı incelemeler olmadan çok az politika ilerleme kaydediyor.
Sigortacılar en az ayrıcalığın nasıl uygulandığını, ayrıcalıklı oturumların nasıl izlendiğini ve MFA’nın ne kadar tutarlı bir şekilde uygulandığını görmek istiyor. Parola disiplini, güvenli uzaktan erişim ve ele geçirilen hesaplara hızla yanıt verme yeteneği arıyorlar. Bu beklentiler, son zamanlardaki ihlallerin ne sıklıkla kimliğin ve erişimin kötüye kullanılması veya çalınmasıyla başladığını yansıtıyor.
Hasarlar artıyor ve sigortacılar daha sıkı değerlendirmelerle yanıt veriyor
Birçok kuruluş geçen yıl en az bir hak talebinde bulunduğunu bildirdi ve önemli bir kısmı da birden fazla olay bildirdi. Sigortacılar, teminat sunmadan veya yenilemeden önce riski nasıl değerlendireceklerini geliştiriyorlar. İç kontrol incelemelerini, üçüncü taraf risk değerlendirmelerini ve önerilen iyileştirmelerin uygulandığının onayını gerektirirler.
Sigortacılar ayrıca kimlik olgunluğu ile hasar sıklığı arasındaki bağlantıya da daha fazla dikkat ediyor. İyi yönetilen kimliklere sahip kuruluşlar daha az ciddi olayla karşı karşıya kalırken, dağınık erişim uygulamalarına sahip kuruluşlar genellikle daha fazla hak talebiyle karşılaşıyor. Bu model, sigortacıların riski nasıl değerlendirdiğini ve fiyatlandırmayı nasıl belirlediğini şekillendiriyor.
Delinea CEO’su Art Gilliland, “Siber sigortanın finansal bir dayanak olmasından, bir kuruluşun kimlik ve erişim duruşunun denetimine doğru hızlı bir geçiş olduğunu görüyoruz. Önce kimlik güvenliği, en iyi uygulamadan daha fazlasıdır. Artık bir sigorta gerekliliği haline geldi” dedi.
Kapsam sınırlamaları gizli teşhir yaratır
En önemli bulgulardan biri, CISO’ların politikalarının kapsadığını varsaydığı şeylerle gerçekte neleri kapsadığı arasındaki farkın giderek büyümesidir. Birçok lider, bir siber olayın tüm önemli mali etkilerine karşı korunmayı beklemektedir. Uygulamada kapsam eşitsizdir. Ankete katılanların yalnızca %33’ü poliçelerinin gelir kayıplarını karşıladığını söyledi. Birçoğu fidye yazılımı hizmetleri, olaylara müdahale veya yasal maliyetler için sınırlı destek bildirdi.
CISO’lar, finansal risklerinin kontrol altına alınmadığı halde kontrol altına alındığını düşünebilirler. Sigortacılar, bir olay anında gerekli kontrollerin eksik veya yanlış yapılandırılmış olması durumunda poliçeyi geçersiz kılabilecek dili giderek daha fazla ekliyor. Bu koşullar çoğunlukla kimlik ve erişim zayıflıklarına odaklanır çünkü bunlar sıklıkla temel nedenlerdir. Sigortacılar temel kontrollerin sürdürülmediğine karar verirse, bir politika geniş görünebilir ancak yine de ödeme yapmayabilir.
Kimlik kontrolleri premium kararlarını etkiler
Kimlik uygulamaları artık sigortacılığın dışında kalmıyor. Prim seviyelerini ve kapsama gücünü doğrudan şekillendirirler. Kuruluşların yalnızca küçük bir kısmı kimlik kontrollerinin yenileme koşulları üzerinde hiçbir etkisi olmadığını söyledi. Çoğu, kimlik disiplininin sigorta şirketinin kararlarında ölçülebilir bir rol oynadığını söyledi.
Ayrıcalıklı erişim yönetimi çoğu zaman en etkili faktördür çünkü sigortacılar bunu bir kuruluşun ihlali kontrol altına alma yeteneğinin doğrudan bir ölçüsü olarak görür. Kimlik yönetişimi, özellikle karmaşık operasyonel veya düzenleyici ihtiyaçların olduğu ortamlarda bunu takip eder. Birçok ihlal tedarikçinin uzlaşmasıyla başladığı için satıcı ve üçüncü taraf erişimi üzerindeki kontroller de önemlidir. Rapor, iddialara yol açan olayların %46’sının kimlik sorunları veya ayrıcalıklı hesabın kötüye kullanılmasıyla ilgili olduğunu belirterek bunu güçlendiriyor.
Kimlik olgunluğuna yatırım yapan kuruluşlar daha uygun koşullar elde etme eğilimindedir. Bunu ihmal edenler daha yüksek maliyetlerle ve daha kısıtlayıcı bir dille karşı karşıya kalır.
Yapay zeka daha güçlü savunmalar ve yeni istisnalar getiriyor
Kuruluşlar yapay zeka destekli güvenlik kontrollerini benimsemek için mali teşvikler aldıklarını bildirdi. %86’sı sigortacıların yapay zeka tabanlı yeteneklere bağlı kredi veya indirim sunduğunu söyledi. En yaygın faydalar yapay zeka odaklı tehdit algılama, davranışsal analiz ve uyarlanabilir kimlik doğrulamadan geldi.
CISO’lar ayrıca sigortacıların yapay zekanın kötüye kullanılması veya başarısızlığına bağlı istisnalar eklediğini söyledi. Bu istisnalar genellikle model hatalarına, satıcı tarafından sağlanan yapay zeka hizmetlerindeki sorunlara ve kötü niyetli veya manipüle edilmiş girdilerin tetiklediği sorunlara odaklanır. Sigortacılar yapay zekanın iyi yönetildiğinde riski azaltmasını bekliyor ancak aynı zamanda onu potansiyel bir kontrolsüz sorumluluk kaynağı olarak da görüyorlar.
Delinea’nın kimliğinizin yayılması riskini ortadan kaldırmaya ve kimliklerinizi dizginlemeye nasıl yardımcı olabileceğini keşfedin.