İşletmeler, Lapsus$’dan Cl0p/MOVEit’e kadar devasa fidye yazılımı dalgalarının etkileriyle uğraşırken, beklenmedik yeni bir kuruluş, siber güvenlik çıtasını yükseltmek için düzenleyici kurumlara katılıyor: siber sigortacı. Bu uzmanlar bir saldırının ardından talepleri işleme koymaktan daha fazlasını yapar. Kapsama gereklilikleri ve riske yönelik metrik odaklı yaklaşımlar, kuruluşların siber hijyen temellerini karşılayamamasına neden oluyor. Baş bilgi güvenliği görevlileri (CISO’lar) bu önemli güç oyuncusuyla çalışmaya nasıl hazırlanabilirler?
Siber Sigortacınızı Anlayın
Değişen ve karmaşık siber tehdit ortamı, özellikle de fidye yazılımı saldırıları nedeniyle siber güvenlik riski katlanarak arttı. Sonuç olarak, siber sigorta primleri yalnızca geçen yıl %50 oranında arttı ve bu durum risk yönetimi bütçeleri üzerinde önemli bir etkiye sahip olabilir. Her taraftan gelen baskıyla karşı karşıya kalan CISO’lar, siber sigorta şirketlerine kuruluşlarının siber risklere dayanacak şekilde uygun şekilde kurulduğunu kanıtlamak gibi kaçınılmaz bir zorlukla karşı karşıya. CISO’ların kendi durumlarını ortaya koyabilmeleri için siber sigorta şirketlerinin rolünü ve temel önceliklerini iyice anlamaları gerekiyor.
Sigorta şirketleri, riski doğru bir şekilde ölçme yetenekleri sayesinde yaşar ve ölürler ve siber güvenlik de bir istisna değildir. Aktüerya bilimi, yıllık 7 trilyon dolar değerinde küresel bir sigorta primi pazarına güç vermektedir. Basit ama ölçeklenebilir siber suçlardaki artışın yol açtığı derin aksama nedeniyle kuruluşlar, mali darbe üzerine mali darbeye maruz kaldı. Çoğu kuruluş, siber güvenlik stratejilerinin değişmesi gerektiğinin farkındadır ve gelişmiş istatistiksel yöntemleri kullanarak teminat kapsamına ilişkin kararlar veren siber sigortacılar, bu değişikliğin neleri gerektirdiğini belirlemede önemli bir rol oynamaktadır.
2022 yılı siber sigorta pazarı için zorlu geçti; Fidye yazılımı saldırı sıklığı nedeniyle primler hızla arttı. Bu, siber sigortacınızla doğru anlaşmanın her zamankinden daha önemli olduğu anlamına geliyor. Piyasanın toparlanmasıyla birlikte sigorta şirketleri aktüeryal modellerini geliştiriyor ve siber riski daha iyi anlıyor.
Doğru Boyutlandırma Güvenlik Öncelikleri
Sigortacılar, çok faktörlü kimlik doğrulamanın (MFA) daha ince ayrıntılarından Active Directory (AD) yöneticileri için kesin grup politikası kurallarına kadar, başvuru sahibinin güvenlik duruşunu anlamaya çalıştıkça, öz değerlendirme anketleri daha ayrıntılı hale geliyor. Çoğu kuruluş bu stratejilerden bazılarının uygulamaya konulduğunu söyleyebilir ancak nadiren her kutuyu işaretleyebilirler. Bu nedenle, farkı telafi etmek için araçlara veya personel sayısına yatırım yapmaları gerekiyor. Yatırım yapmamak, siber sigorta kapsamının reddedilmesi veya önemli ölçüde daha pahalı primler anlamına gelebilir.
Öte yandan, bu gereksinimlere yatırım yapmak, siber sigortaya hak kazanmanın daha kolay olacağı ve yenileme sırasında potansiyel olarak daha ucuz olacağı anlamına gelir. CISO’lar komisyoncular ve sigortacılarla çalışarak farklı siber güvenlik yatırımlarına karşılık gelen birden fazla senaryo oluşturabilir. Daha sonra, CFO ve yönetim kurulunun katılımını sağlamak için CISO’lar, güvenlik hedeflerini takip etmek ve risk kayıtlarını sigorta primleriyle ilişkilendirmek amacıyla siber sigorta gereksinimlerini ölçüm olarak kullanabilir. Siber yatırımlara dolar değerleri eklemek ve net ve ikna edici yollarla maksimum yatırım getirisi elde etmek için çabalamak eşsiz bir fırsattır.
Denetlenmeden Önce Denetleyin
Siber sigortanın mevcut durumu, güvenlik konusunda karar vericilere bazı uygulanabilir fırsatlar sunmaktadır.
Öncelikle, siber sigortacıların denetim ve hasar süreçleri sırasında kuruluşları bu şekilde değerlendirdiği doğru bir siber sigorta öz değerlendirmesinin gücünü hafife almayın. Mevcut öz değerlendirme anketleri şaşırtıcı derecede zorlayıcı sorular soruyor ve yedeklemelerden AD güvenliğine ve MFA’ya kadar çok çeşitli alanları kapsıyor. Bunu bir formalite olarak ele almamak ve bilgilerin tamamen doğru olduğundan emin olmak önemlidir; Sigortacılar sigorta kapsamını reddetmeye ve hatta bir işletmenin tüm dijital varlıklarında MFA korumasına sahip olduğunu iddia etmesi durumunda dava açmaya fazlasıyla istekli. Önleyici tedbirlerin belgelenmemesi, neredeyse bu önleyici tedbirlerin ilk etapta alınmaması kadar kötüdür.
Bu nedenle ikinci adım CISO’ların bu formlar üzerinde sahip oldukları yeterliliğe sahip olduklarını kanıtlamalarıdır. Neyse ki bu deneyimli CISO’lara tanıdık gelen bir manzara. Ayrıntılı kayıtlar oluşturmak ve sürdürmek, raporlama sistemleri oluşturmak, ilgili tüm iş ve güvenlik süreçlerini belgelemek ve siber adli tıp için kurcalamaya dayanıklı veriler oluşturmak, gelişmiş siber güvenlik araçlarıyla mümkündür. Buradaki tek değişiklik, CISO’ların artık bu siber güvenlik duruşunu sigortacılar için görünür hale getirebilmeleri (ve beyanlarını yedekleyebilmeleri) gerektiğidir.
Son olarak çirkin bir gerçek: Kuruluşlar kapsam açısından birbirleriyle rekabet halindedir ve bir CISO, kuruluşunun siber olgunluğunun diğerlerinden daha iyi olduğunu kanıtlayabilmelidir. Bu, özellikle son derece savunmasız olduğu düşünülen sektörlerde (sağlık hizmetleri, finansal hizmetler veya federal sözleşmeler gibi) kritik öneme sahiptir, dolayısıyla rekabet avantajını korumak önemlidir. NIST düzenlemeleriyle tam uyumluluk, yazılım tedarik zinciri üzerinde kontrol veya siber olaylara yönelik düzenli, proaktif bir plana sahip bir yönetim kurulu olsun, CISO’lar kuruluşlarının güçlü yanlarını kullanırken güvenlik açıkları konusunda şeffaf olmalıdır.
Siber sigorta piyasasının istikrar kazanması ve giderek daha rekabetçi hale gelmesiyle birlikte kurallar da daha standart ve şeffaf hale geliyor. Fiyatlandırmayı en çok hangi siber risk faktörlerinin etkilediği ve siber savunmanın hangi alanlarının iyileştirilmesi gerektiği konusunda netlik elde etmek hayati önem taşıyor. Elbette öncelikli amaç, kuruluşların siber savunma konusunda en iyi uygulamalara sıkı sıkıya bağlı kalarak siber suçlara, fidye yazılımlarına ve ihlallere karşı daha iyi korunmasıdır. CISO’lar, sigorta şirketleri ve denetçilerle şeffaf bir şekilde ortaklık kurarak, kuruluşlarının siber dayanıklılığını artırırken doğru güvenlik yatırımları yapabilecek.