Hvorfor CISO'er skal gøre cyberforsikringsselskaber til deres partnere

I det nuværende trusselslandskab er forholdet mellem cyberforsikring udbydere og potentielle (eller endda nuværende) forsikringstagere er i bedste fald ofte anstrengte. Organisationer kan opfatte den langvarige og involverede proces, parret med stigende præmier, som forsikringsselskaber, der drager fordel af dem. Forsikringsselskaber kæmper dog for at balancere skyhøje tabsprocenter, der var særligt udbredt for et par år siden. 

Selvom denne afbrydelse er besværlig, er det ingen overraskelse, at vi stadig forsøger at finde ud af tingene. Cyberforsikring er begyndende sammenlignet med andre forsikringssegmenter. Den første cyberpolice blev skrevet af AIG så sent som i 1997. Derimod er livs- og ejendomsforsikring langt over 250 år gammel, og bilforsikring er mere end 125 år gammel. Det er naturligt, at der er nogle voksesmerter i en proces, der er relativt ny og udvikler sig i en hastighed, der er uforståelig sammenlignet med områder som livs- eller ejendomsforsikring. Den gode nyhed er, at vi ikke er så langt fra at finde en behagelig position for både udbydere og forsikringstagere. Nøglen er at huske, at vi alle er i dette sammen. Faktisk er en af ​​de største fejl, kokkens informationssikkerhedsofficerer (CISO'er) kan begå, ikke at behandle deres forsikringsudbydere som en partner. 

Hvordan vi fik her 

Det er nyttigt at have en kort idé om, hvordan industrien udviklede sig, så vi har en forståelse for de aktuelle udfordringer. I starten var cyberforsikringspræmier næsten udelukkende baseret på mave-instinkt, men det var naturligvis uholdbart på lang sigt. Der blev således udviklet et system drevet af makrosyn, hvor erstatningsforventningerne var baseret på overordnede markedstab anvendt på tværs af en pulje af forsikrede.

Problemet med denne tilgang er imidlertid, at erstatningerne hurtigt begyndte at overstige forventningerne, og forsikringsselskaberne observerede, at risikoen for tab var koncentreret blandt en undergruppe af forsikringstagere. Derudover blev forsikringsselskaber bekymrede over systematisk risiko eller korrelationsrisiko, hvor et tab på én police øgede sandsynligheden for krav mod andre policer. Tingene gik hurtigt over styr for forsikringsselskaberne. 

Den næste udvikling, der bringer os til vores nuværende situation, er selve tegningsprocessen. For at afbøde de tab, der er drevet af makro-view-baserede politikker, er forsikringsapplikationer blevet betydeligt mere komplekse og kræver detaljerede samtaler, interviews og webstedsbesøg med det formål at skabe en skræddersyet politik. Organisationer er ofte forpligtet til at opfylde specifikke tærskelbetingelser, såsom at bruge multifaktorautentificering og slutpunktsdetektering og responsfunktioner, og skal bestå en "udefra-ind"-scanning af deres miljø, som udføres af en neutral tredjepart.

Problemet er, at it-ejendomme er i konstant forandring gennem hele forsikringsperioden, hvilket gør det næsten umuligt at få virkelig nøjagtige og nuancerede oplysninger via et spørgeskema - selv for organisationer, der forsøger at give den mest nøjagtige og detaljerede information. Dette har skabt et miljø, hvor der er betydelig volatilitet i prisfastsættelse og policevilkår, hvilket har ført til en stor del af spændingen mellem forsikringsselskaber og forsikringstagere. 

Hvor vi skal hen 

For virkelig at blive partnere skal organisationer og forsikringsselskaber først blive enige om et fælles mål: risikoreduktion. Dette burde være den nemme del. Den nuværende forsikringsproces forsøger at etablere risiko, men den har ikke været i stand til pålideligt at fastlægge den for individuelle organisationer. På den forsikrede side udarbejder CISO'er løbende budgetsamtaler til bestyrelsen med hensyn til risiko, så der er aftalt terminologi.

Den manglende brik etablerer en måde at måle risikoen på, som begge sider er tilfredse med, så politiske priser kan baseres på den. Den eneste måde, jeg ser for at opnå dette, er gennem deling af elektronisk indsamlede metrics inde fra en ansøgerorganisations firewall, der undersøger cyberposition. I modsætning til manuelt udfyldte spørgeskemaer kan disse data give et pålideligt øjebliksbillede af miljøet. Det er forskellen mellem at have et øjenvidne til en begivenhed og en højopløsningsoptagelse af den - der er virkelig ingen sammenligning mellem de to.

Grunden til, at dette tema om partnerskab bliver ved med at komme op, er, at det er en stor anmodning til enhver CISO om at dele denne form for private oplysninger, især hvis de er bekymrede for, at de oplysninger, de giver, vil blive brugt imod dem til at øge præmierne. Fra at arbejde tæt sammen med et stort antal forsikringsselskaber, er det ikke motivationen for nogen cyberforsikringsselskaber, jeg kender. Ligesom cybersikkerhedsprofessionelle på tværs af branchen forsøger de ganske enkelt at finde sig til rette i et konstant foranderligt miljø, og denne radikale gennemsigtighed vil være til gavn for de forsikrede.

Når forsikringsselskaberne har det øjebliksbillede, vil de være i stand til at undersøge det og svare med detaljer omkring nøgleresultater og prioriteret afhjælpningsrådgivning, hvilket giver ansøgeren mulighed for at foretage disse justeringer og indsende det igen for at få en bedre policepris.

I slutningen af ​​dagen er forsikringsudbydere og CISO'er alle på samme hold, så et af mine største råd til CISO'er: Forkæl din cyberforsikringsselskab som partner. At udvikle et stærkt forhold og indgå i regelmæssig dialog vil forbedre fornyelses- og reklamationsprocessen. Husk, at ingen har flere data om cybersikkerhedsrisiko og -tab end et cyberforsikringsselskab.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners