CISO がサイバー保険会社をパートナーにする必要がある理由

現在の脅威の状況では、 サイバー保険 医療提供者と潜在的な（または現在の）保険契約者は、よく言っても緊張していることがよくあります。組織は、保険料の上昇と相まって、この長く複雑なプロセスを保険会社が利用していると認識する可能性があります。しかし、保険会社は数年前に特に蔓延した損害率の高騰とのバランスを取るのに苦労している。 

この断絶は厄介ではありますが、私たちが依然として問題を解決しようとしているのも不思議ではありません。 サイバー保険 他の保険セグメントと比較すると、まだ初期段階にあります。最初のサイバー保険は 1997 年に AIG によって作成されました。対照的に、生命保険と損害保険は 250 年以上の歴史があり、自動車保険は 125 年以上の歴史があります。生命保険や損害保険などの分野と比べて、比較的新しく、理解できない速度で進化しているプロセスでは、ある程度の成長痛があるのは当然です。良いニュースは、医療提供者と保険契約者の両方にとって快適な立場を見つけるのはそう遠くないということです。重要なのは、私たち全員が一緒にいることを忘れないことです。実際、シェフ情報セキュリティ責任者 (CISO) が犯す最大の間違いの XNUMX つは、保険会社をパートナーとして扱っていないことです。 

どのように我々はここに来た 

現在の課題を認識するために、業界がどのように発展してきたかを簡単に知ることは役に立ちます。当初、サイバー保険の保険料はほぼ完全に直感に基づいていましたが、それは明らかに長期的には維持できませんでした。したがって、保険金請求の予測が被保険者のプール全体に適用される全体的な市場損失に基づいて行われる、マクロな視点に基づいたシステムが開発されました。

しかし、このアプローチの問題は、保険金請求がすぐに予測を上回り始め、損失のリスクが一部の保険契約者に集中していることに保険会社が気づいたことです。さらに、保険会社は、ある保険で損失が発生すると他の保険に対する請求の可能性が高まる、系統的リスクまたは相関リスクを懸念するようになりました。保険会社にとって事態は急速に手に負えなくなりつつあった。 

私たちを現在の状況に導く次の展開は、引受プロセス自体です。マクロビューに基づいた保険によってもたらされる損失を軽減するために、保険の申し込みは大幅に複雑になり、カスタマイズされた保険を作成するという目標に向けて、詳細な会話、面接、現場訪問が必要になっています。組織は多くの場合、多要素認証やエンドポイントの検出と応答機能の利用など、特定のしきい値条件を満たすことが求められ、中立的な第三者によって行われる環境の「アウトサイドイン」スキャンに合格する必要があります。

問題は、IT 資産は保険期間中常に流動的な状態にあり、そのため、最も正確で詳細な情報を提供しようとしている組織であっても、アンケートを通じて真に正確で微妙な情報を入手することはほぼ不可能であるということです。これにより、価格設定や保険契約条件が大幅に変動する環境が生まれ、保険会社と保険契約者の間に大きな緊張が生じています。 

行くべきところ 

真のパートナーになるためには、組織と保険会社はまず、リスクの軽減という共通の目標に同意する必要があります。これは簡単な部分です。現在の引受プロセスではリスクを特定しようとしていますが、個々の組織のリスクを確実に特定することはできていません。被保険者側では、CISO が取締役会との予算に関する会話をリスクの観点から定期的に組み立てているため、用語については合意されています。

欠けている部分は、双方が満足するリスクを測定する方法を確立し、それに基づいて政策価格を設定できるようにすることです。私がこれを達成する唯一の方法は、サイバー態勢を検査する申請組織のファイアウォール内から電子的に収集された指標を共有することです。手動で記入したアンケートとは異なり、このデータは環境の信頼できるスナップショットを提供できます。それは、出来事を目撃することと、その出来事を高解像度で記録することとの違いであり、実際にはこの XNUMX つを比較することはできません。

このパートナーシップというテーマが頻繁に取り上げられる理由は、CISO にとって、特に自分たちが提供した情報が保険料を引き上げるために自分たちに不利に使用されることを懸念している場合、この種の個人情報を共有することが大きな要請となるからです。多数の保険会社と緊密に連携していることから、私が知っているサイバー保険会社は、それが動機ではありません。彼らは、業界全体のサイバーセキュリティ専門家と同様、常に変化する環境の中で自分たちの方向性を把握しようとしているだけであり、この徹底した透明性は被保険者にとって有益となるでしょう。

保険会社がそのスナップショットを取得すると、それを調査して、主要な調査結果や優先順位の高い改善アドバイスに関する詳細を回答できるようになり、申請者は調整を行って再提出して、より良い保険価格を取得できるようになります。

結局のところ、保険会社と CISO はすべて同じチームに属しているため、CISO に対する私の最大のアドバイスの XNUMX つは次のとおりです。 サイバー保険会社 パートナーとして。強力な関係を築き、定期的に対話を行うことで、更新と請求のプロセスが改善されます。サイバー保険会社ほどサイバーセキュリティのリスクと損失に関するデータを持っている人はいないということを忘れないでください。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners