Siber suçlular Lightning hızında yenilik yaparken, baş bilgi güvenliği görevlileri (CISOS) tarafından yönetilen siber güvenlik ekipleri, kendilerini modası geçmiş oyun kitaplarına güveniyorlar. Bir zamanlar nihai güvenlik ağı olarak görülen siber sigorta bir istisna değildir. Wakefield Research tarafından yapılan son anketimizden elde edilen bulgular, bu liderlerin siber sigorta poliçelerini nasıl anladıkları ve kullandıkları konusunda göze çarpan zorlukları aydınlatmaktadır.
Siber Sigorta: Sürekli Bir Dengeleme Yasası
Ankete göre, CISOS’un üçte ikisi (%68) siber sigorta primlerini azaltmak için sık sık veya sürekli olarak yeni güvenlik çözümlerini değerlendiriyor. Bu istatistik sadece maliyetleri yönetmek için gayretli bir çabayı değil, aynı zamanda birçok CISOS’un karşılaştığı güvencesiz finansal dengeleme eyleminin tanınmasını da yansıtmaktadır. Siber güvenlik bütçelerinin sürekli olarak inceleme altında olduğu ve sigorta primlerinin bu turtanın önemli bir dilimini temsil ettiği bir sır değil.
Primleri düşürme baskısı, birçok CISO’yu sıfır güven ağ erişimi (ZTNA), uç nokta güvenliği ve proaktif risk azaltma gösteren ağ erişim kontrolü (NAC) gibi teknolojilere yönlendirmiştir. Sigortacılar, elbette, riskleri azaltmak için ölçülebilir çabalar gösteren kuruluşları tercih ediyorlar. Ancak bu maliyet kontrol dansı genellikle gerçek meseleye çok az yer bırakıyor: politikanın gerçekte neyi kapsadığını anlamak.
Sonuçları olan bir bilgi boşluğu
Anket, rahatsız edici bir eğilim ortaya koyuyor: CISO’ların yarısından fazlası politikalarının belirli tehditleri veya maliyetleri kapsayıp kapsmadığı konusunda netlik yok. En endişe verici bulgular arasında:
- Belirli tehditlerle ilgili belirsizlik:
- CISO’ların% 58’i politikalarının tedarik zinciri saldırılarını kapsayıp kapmadığını bilmiyor.
- % 57’si içeriden gelen tehditlerden emin değil.
- % 55’i kimlik avı saldırısı kapsamı hakkında belirsizdir.
- % 51 fidye yazılımı ödemelerinin dahil edilip edilmediğini bilmiyorum.
- Belirli maliyetlerle ilgili belirsizlik:
- Sadece% 44’ü politikalarının olay müdahale maliyetlerini kapsadığından emindir.
- % 41’i veri restorasyonunun dahil edilip edilmediğini bilir.
- Fikri mülkiyet hırsızlığı için kapsam, katılımcıların% 48’i için bulanık olmaya devam etmektedir.
Bu netlik eksikliği, kimlik avı saldırısı kapsamı hakkındaki belirsizliğin%65’e yükseldiği ve fikri mülkiyet hırsızlığı hakkındaki karışıklıkların%57’ye çıktığı 500 milyon dolar ile 1 $ arasında gelirleri olan daha küçük kuruluşlarda daha da belirgindir.
Bu neden şimdi önemli
Siber sigorta artık sahip olmanız hoş değil-olmazsa olmaz. Düzenlemeler sıkılaştırıldığında, fidye yazılımı saldırıları daha karmaşık hale gelir ve tedarik zinciri güvenlik açıkları çoğalırken, sigorta cisos’a bir finansal güvence ölçüsü sunar. Ancak kötü bilgilendirilmiş bir ciso, bilinmeyen zayıflıklara sahip bir kalkan kullanan bir askere benziyor. Politikalarının neyi kapsadığını net bir şekilde anlamadan, CISOS, zaman, para ve itibarların hatta olduğu bir olay sırasında hoş olmayan sürprizler riskiyle karşı karşıya.
Buna ek olarak, yanlış anlama kapsamından elde edilen serpinti, CISO’nun ofisinin ötesine uzanıyor. Kurullar, yatırımcılar ve hatta müşteriler siber esnekliği giderek daha fazla rekabetçi bir farklılaştırıcı olarak görüyor. Politika spesifikasyonlarını kavramak, hiçbir ödemenin tam olarak azaltılamayacağı itibar hasarına yol açabilir.
Boşluğu köprüleme: Belirsizlikten güvene
İyi haber? CISOS’un bilgi boşluğunu kapatmak ve siber sigortanın onlar için daha fazla çalışmasını sağlamak için atabileceği eyleme geçirilebilir adımlar var:
- Kapsama denetimi yapın:
Sigorta poliçesinin ayrıntılı bir incelemesi, en kritik tehdit ve maliyetler için kapsamı anlamaya odaklanarak bir öncelik olmalıdır. Hukuk müşaviri veya üçüncü taraf sigorta uzmanları ile ortaklık yapmak, yoğun politika dilinin eyleme geçirilebilir bilgilere dönüştürülmesine yardımcı olabilir.
- Sigortacılarla etkileşime geçin:
Sigortacılarla düzenli, proaktif iletişim esastır. CISOS, fidye yazılımı saldırıları veya fikri mülkiyet hırsızlığı gibi belirli senaryolar hakkında doğrudan sorular sormalı ve belirsizliği önlemek için bu tartışmaları belgelemelidir.
- Premium indirimler için teknolojiden yararlanın:
Sağlam güvenlik kontrollerinin uygulanması ve belgelenmesi sadece riskleri azaltmakla kalmaz, aynı zamanda premium indirimler için davayı da güçlendirir. Sigortacıların, siber güvenlik en iyi uygulamalarına taahhütlü bir taahhütle kuruluşlara olumlu oranlar sunma olasılığı daha yüksektir.
- Tüm organizasyonu eğitin:
Ciso’nun ofisi bu yükü tek başına omuzlayamaz. Yürütme ekibi ve yönetim kurulu genelinde farkındalık oluşturmak, politika nüansları hakkında beklentiler ve hazırlık konusunda uyum sağlar.
- Ortaya çıkan tehditlere odaklanın:
Tedarik zinciri saldırıları, içeriden gelen tehditler ve en üst düzey belirsizlik alanları arasında kimlik avı ile, gelişmiş tehdit tespiti, içeriden gelen tehdit yönetimi ve güvenli erişim kontrolleri gibi çözümlere yatırım yapmak hem sigorta hem de operasyonel kaygıları ele alabilir.
Endüstri için harekete geçirici bir çağrı
Bu anketten elde edilen bulgular bir uyandırma çağrısıdır-sadece CISO’lar için değil, sigortacılar da dahil olmak üzere daha geniş siber güvenlik topluluğu için. Tehditler geliştikçe, sigorta sağlayıcıları şeffaflığı artırmak ve müşterilerini kapsamı anlamada desteklemek için adımlar atmalıdır. Standart, düz dil politika özetleri oluşturmak bir oyun değiştirici olabilir.
Kendi adına, CISOS’un siber sigortayı bağımsız bir çözüm olarak değil, bütünsel bir güvenlik stratejisinin bir parçası olarak görmesi gerekiyor. Sigorta finansal etkiyi azaltabilir, ancak itibarları onaramaz veya müşteri güvenini geri kazanamaz. Teknoloji, eğitim ve proaktif risk yönetimi yatırımları çok önemlidir.
Bilgi güçtür
Bugün, CISOS en kritik güvenlik ağları hakkında belirsizlik sağlayamaz. Anket sadece bir bilgi boşluğunu değil, aynı zamanda CISOS’un siber sigortaya nasıl yaklaştıklarını yeniden çerçeveleme fırsatı vurgulamaktadır. Politikalarını anlayarak, sigortacılarla etkileşim kurarak ve kapsamı kuruluşlarının benzersiz risk profili ile hizalayarak CISOS, siber sigortayı reaktif bir korumadan stratejik bir varlığa dönüştürebilir.
Bahisler yükseldikçe, bir şey açıktır: netlik isteğe bağlı değildir – bu çok önemlidir.
Yazar hakkında
Denny Lecompte, günlük operasyonları ve stratejik yönü denetlemekten sorumlu olduğu bulut yerli, sıfır güven erişim kontrol çözümlerinin önde gelen sağlayıcısı olan Portnox’un CEO’sudur. Denny, BT altyapısı ve siber güvenlik konusunda 20 yılı aşkın deneyim getiriyor. Portnox’a katılmadan önce Denny, Solarwinds ve AlienVault da dahil olmak üzere önde gelen BT yönetimi ve güvenlik firmalarında yönetici liderlik rolleri aldı. Denny doktora derecesine sahiptir. Rice Üniversitesi’nden Bilişsel Psikoloji. Denny’ye çevrimiçi olarak https://www.linkedin.com/in/dennylecompte ve şirket web sitemizde https://www.portnox.com/ adresinden ulaşılabilir.