Miksi CISO:n on tehtävä kybervakuutusyhtiöistä kumppaneita?

Nykyisessä uhkamaisemassa suhde kybervakuutus palveluntarjoajien ja mahdollisten (tai jopa nykyisten) vakuutuksenottajien tilanne on usein parhaimmillaan jännittynyt. Organisaatiot voivat havaita pitkän ja monimutkaisen prosessin yhdessä nousevien vakuutusmaksujen kanssa vakuutusyhtiöiden hyödyntävän niitä. Vakuutusyhtiöillä on kuitenkin vaikeuksia tasapainottaa jyrkästi nousevia vahinkosuhteita, jotka olivat erityisen rehottavia pari vuotta sitten. 

Vaikka tämä katkaisu on hankala, ei ole yllätys, että yritämme edelleen selvittää asioita. Kybervakuutus on syntymässä muihin vakuutussegmentteihin verrattuna. Ensimmäisen kybervakuutuksen AIG kirjoitti vasta vuonna 1997. Sen sijaan henki- ja omaisuusvakuutukset ovat reilusti yli 250 vuotta ja autovakuutukset yli 125 vuotta vanhat. On luonnollista, että prosessissa on kasvukipuja, jotka ovat suhteellisen uusia ja kehittyvät käsittämättömällä nopeudella verrattuna sellaisiin aloihin kuin henki- tai omaisuusvakuutus. Hyvä uutinen on, että emme ole kovin kaukana mukavan paikan löytämisestä sekä tarjoajille että vakuutuksenottajille. Tärkeintä on muistaa, että olemme kaikki tässä yhdessä. Itse asiassa yksi suurimmista virheistä, joita tietoturvapäälliköt (CISO) voivat tehdä, on se, että he eivät kohtele vakuutuksenantajiaan kumppanina. 

How We Got Here 

On hyödyllistä saada lyhyt käsitys siitä, miten toimiala on kehittynyt, jotta voimme ymmärtää tämän hetken haasteita. Alussa kybervakuutusmaksut perustuivat melkein kokonaan vaistoon, mutta se oli selvästi kestämätöntä pitkällä aikavälillä. Siten kehitettiin makronäkemysten ohjaama järjestelmä, jossa vahinko-odotukset perustuivat vakuutettuihin kohdistuviin yleisiin markkinatappioihin.

Tämän lähestymistavan ongelmana on kuitenkin se, että korvaukset alkoivat nopeasti ylittää ennusteet ja vakuutusyhtiöt havaitsivat, että vahinkoriski oli keskittynyt vakuutuksenottajien alajoukolle. Lisäksi vakuutuksenantajat huolestuivat systemaattisesta tai korrelaatioriskistä, jossa yhden vakuutuksen tappio lisäsi korvausvaatimusten todennäköisyyttä muita vakuutuksia vastaan. Asiat riistäytyivät nopeasti vakuutusyhtiöiden käsistä. 

Seuraava kehitys, joka vie meidät nykyiseen tilanteeseen, on itse vakuutusprosessi. Makronäkymäpohjaisten vakuutusten aiheuttamien tappioiden lieventämiseksi vakuutussovellukset ovat muuttuneet huomattavasti monimutkaisemmiksi ja vaativat yksityiskohtaisia ​​keskusteluja, haastatteluja ja käyntejä, joiden tavoitteena on luoda räätälöity vakuutus. Organisaatioiden on usein täytettävä tietyt kynnysehdot, kuten monitekijätodennus- ja päätepisteiden tunnistus- ja vastausominaisuudet, ja niiden on läpäistävä ympäristönsä "ulkopuolinen" -skannaus, jonka tekee neutraali kolmas osapuoli.

Ongelmana on, että IT-kiinteistöt ovat jatkuvassa muutoksessa koko politiikkakauden ajan, mikä tekee todella tarkan ja vivahteikkaan tiedon saamisen kyselylomakkeen kautta lähes mahdottomaksi – jopa niille organisaatioille, jotka yrittävät tarjota tarkinta ja yksityiskohtaisinta tietoa. Tämä on luonut ympäristön, jossa hinnoittelu ja vakuutusehdot vaihtelevat huomattavasti, mikä on johtanut suureen osaan jännitteitä vakuutuksenantajien ja vakuutuksenottajien välillä. 

Minne meidän pitää mennä 

Ollakseen todella kumppaneita, organisaatioiden ja vakuutusyhtiöiden on ensin sovittava yhteinen tavoite: riskien vähentäminen. Tämän pitäisi olla helppo osa. Nykyinen vakuutusprosessi yrittää määrittää riskiä, ​​mutta se ei ole pystynyt määrittämään sitä luotettavasti yksittäisten organisaatioiden osalta. Vakuutettujen puolella CISO:t käyvät säännöllisesti budjettikeskusteluja hallituksen kanssa riskeistä, joten terminologiasta on sovittu.

Puuttuva pala on luomassa tapaa mitata riskiä, ​​johon molemmat osapuolet ovat tyytyväisiä, jotta politiikan hinnoittelu voidaan perustaa siihen. Ainoa tapa, jolla näen tämän saavuttavan, on jakaa sähköisesti kerättyjä mittareita hakijaorganisaation kyberasentoa tutkivan palomuurin sisältä. Toisin kuin manuaalisesti täytetyt kyselylomakkeet, nämä tiedot voivat tarjota luotettavan tilannekuvan ympäristöstä. Se on ero tapahtuman silminnäkijän ja sen korkearesoluutioisen tallennuksen välillä – näitä kahta ei todellakaan voi verrata.

Syy, miksi tämä kumppanuusteema nousee jatkuvasti esiin, on suuri pyyntö kaikilta CISO:lta jakaa tällaisia ​​yksityisiä tietoja, varsinkin jos he ovat huolissaan siitä, että heidän antamiaan tietoja käytetään heitä vastaan ​​vakuutusmaksujen korottamiseen. Läheinen työskentely useiden vakuutuksenantajien kanssa ei ole minkään tuntemani kybervakuutusyhtiön motivaatio. He, kuten alan kyberturvaammattilaiset, yrittävät yksinkertaisesti perehtyä jatkuvasti muuttuvaan ympäristöön, ja tämä radikaali avoimuus hyödyttää vakuutettuja.

Kun vakuutuksenantajat ovat saaneet tämän tilannekuvan, he voivat tutkia sen ja vastata tärkeimpiin havaintoihin liittyvillä yksityiskohdilla ja ensisijaisilla korjausneuvoilla, jolloin hakija voi tehdä kyseiset muutokset ja lähettää ne uudelleen saadakseen paremman vakuutushinnan.

Loppujen lopuksi vakuutusyhtiöt ja CISO:t ovat kaikki samassa tiimissä, joten yksi suurimmista neuvoistani CISO:lle: kohtele omaa kybervakuutusyhtiö kumppanina. Vahvan suhteen kehittäminen ja säännöllinen vuoropuhelu parantaa uusimis- ja korvausprosessia. Muista, että kenelläkään ei ole enempää tietoa kyberturvallisuusriskeistä ja -tappioista kuin kybervakuutusyhtiöllä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners