Miért kell a CISO-knak partnereikké tenni a kiberbiztosítókat?

Miért kell a CISO-knak partnereikké tenni a kiberbiztosítókat?

Időbélyeg: 27. december 2023. 10:00
Miért kell a CISO-knak a kiberbiztosítókat partnereikké tenniük a PlatoBlockchain adatintelligenciával? Függőleges keresés. Ai.

A jelenlegi fenyegetettségi környezetben a kapcsolat kiberbiztosítás a szolgáltatók és a potenciális (vagy akár jelenlegi) kötvénytulajdonosok jó esetben is gyakran feszültek. A szervezetek úgy érzékelhetik a hosszadalmas és sokrétű folyamatot, amely a díjak növekedésével párosul, mint a biztosítótársaságok, amelyek kihasználják ezeket. A biztosítótársaságok azonban igyekeznek egyensúlyba hozni a pár évvel ezelőtti szárnyaló kárhányadokat. 

Noha ez a szétkapcsolás zavaró, nem meglepő, hogy még mindig próbáljuk kitalálni a dolgokat. Kiberbiztosítás más biztosítási szegmensekhez képest kialakulóban van. Az első internetes kötvényt az AIG írta még 1997-ben. Ezzel szemben az élet- és vagyonbiztosítások jóval több mint 250 évesek, az autóbiztosítások pedig több mint 125 évesek. Természetes, hogy vannak növekvő fájdalmak egy olyan folyamatban, amely viszonylag új, és felfoghatatlan ütemben fejlődik az olyan területekhez képest, mint az élet- vagy vagyonbiztosítás. A jó hír az, hogy nem vagyunk olyan messze attól, hogy kényelmes pozíciót találjunk mind a szolgáltatók, mind a kötvénytulajdonosok számára. A kulcs az, hogy ne feledjük, mindannyian együtt vagyunk ebben. Valójában az egyik legnagyobb hiba, amit a séf információbiztonsági tisztek (CISO-k) elkövethetnek, ha nem kezelik a biztosítóikat partnerként. 

Hogy kerültünk ide 

Hasznos, ha van egy rövid elképzelésünk arról, hogyan fejlődött az iparág, hogy megértsük a jelenlegi kihívásokat. Kezdetben a kiberbiztosítási díjak szinte teljes mértékben a zsigeri megérzéseken alapultak, de ez nyilvánvalóan hosszú távon tarthatatlan volt. Így egy olyan rendszert dolgoztak ki, amelyet a makronézetek vezéreltek, ahol a kárigényekre vonatkozó várakozások a biztosítotti körben alkalmazott általános piaci veszteségeken alapultak.

Ezzel a megközelítéssel azonban az a probléma, hogy a kárigények gyorsan meghaladták az előrejelzéseket, és a biztosítók megfigyelték, hogy a veszteség kockázata a kötvénytulajdonosok egy részében összpontosul. Ezen túlmenően a biztosítók aggódni kezdtek a szisztematikus vagy korrelációs kockázat miatt, ahol az egyik kötvény vesztesége megnövelte a más kötvényekkel szembeni követelések valószínűségét. A dolgok gyorsan kicsúsztak a biztosítók kezéből. 

A következő fejlemény, amely elvezet bennünket jelenlegi helyzetünkhöz, maga a jegyzési folyamat. A makronézeti alapú kötvények okozta veszteségek mérséklése érdekében a biztosítási alkalmazások lényegesen összetettebbé váltak, és részletes beszélgetéseket, interjúkat és helyszíni bejárásokat igényelnek, egy személyre szabott kötvény kialakítása érdekében. A szervezeteknek gyakran meg kell felelniük bizonyos küszöbfeltételeknek, mint például a többtényezős hitelesítés, valamint a végpont-észlelési és válaszadási képességek használata, és át kell menniük a környezetük „kívülről befelé” történő vizsgálatán, amelyet egy semleges harmadik fél végez el.

A baj az, hogy az informatikai ingatlanok folyamatos változásban vannak a politika időszaka alatt, ami szinte lehetetlenné teszi a valóban pontos és árnyalt információk kérdőíves megszerzését – még a legpontosabb és legrészletesebb információszolgáltatásra törekvő szervezetek számára sem. Ez olyan környezetet teremtett, ahol az árak és a kötvények tekintetében jelentős ingadozások tapasztalhatók, ami a biztosítók és a kötvénytulajdonosok közötti feszültség nagy részét okozza. 

Hová kell mennünk 

Ahhoz, hogy valóban partnerek lehessenek, a szervezeteknek és a biztosítóknak először meg kell állapodniuk egy közös célban: a kockázatcsökkentésben. Ez legyen a könnyebb rész. A jelenlegi jegyzési folyamat megpróbálja megállapítani a kockázatot, de nem tudta megbízhatóan lehatárolni az egyes szervezetekre. A biztosított oldalon a CISO-k rendszeresen egyeztetnek a testülettel a kockázatokról, így a terminológia megegyezik.

A hiányzó darab egy olyan módszert hoz létre a kockázat mérésére, amellyel mindkét fél elégedett, így a politika árazása ezen alapulhat. Ezt az egyetlen módot úgy látom, hogy megosztom az elektronikusan összegyűjtött mutatókat a pályázó szervezet kiberhelyzetet vizsgáló tűzfalán belül. A manuálisan kitöltött kérdőívekkel ellentétben ezek az adatok megbízható pillanatképet nyújthatnak a környezetről. Ez a különbség aközött, hogy egy eseménynek szemtanúja van, és egy nagy felbontású felvételt készítenek róla – a kettő között tényleg nincs összehasonlítás.

A partnerségnek ez a témája azért jön elő folyamatosan, mert nagy kérés minden CISO-tól, hogy ossza meg ezt a fajta privát információt, különösen akkor, ha attól tart, hogy az általuk közölt információkat a díjak emelésére használják fel ellenük. A nagyszámú biztosítóval való szoros együttműködés miatt egyik általam ismert kiberbiztosítót sem ez motiválja. Ők, akárcsak az iparág kiberbiztonsági szakemberei, egyszerűen csak próbálnak tájékozódni a folyamatosan változó környezetben, és ez a radikális átláthatóság a biztosítottak javára válik.

Amint a biztosítók megkapják ezt a pillanatképet, képesek lesznek megvizsgálni azt, és válaszolni tudnak a kulcsfontosságú megállapításokra vonatkozó részletekkel és a kiemelt helyreigazítási tanácsokkal kapcsolatban, lehetővé téve a kérelmező számára, hogy elvégezze ezeket a kiigazításokat, és újból benyújtsa a jobb kötvényárat.

A nap végén a biztosítók és a CISO-k mind ugyanabban a csapatban vannak, így az egyik legnagyobb tanácsom a CISO-knak: Kezelje kiberbiztosítási szolgáltató partnerként. Az erős kapcsolat kialakítása és a rendszeres párbeszéd javítja a megújítási és követelési folyamatot. Ne feledje, senki sem rendelkezik több adattal a kiberbiztonsági kockázatokról és veszteségekről, mint egy kiberbiztosítási szolgáltató.

Időbélyeg:

Még több Sötét olvasmány