Varför CISO:er behöver göra cyberförsäkringsbolag till sina partner

I det nuvarande hotlandskapet är förhållandet mellan cyberförsäkring leverantörer och potentiella (eller till och med nuvarande) försäkringstagare är i bästa fall ofta ansträngda. Organisationer kan uppfatta den utdragna och involverade processen, tillsammans med stigande premier, som att försäkringsbolag drar fördel av dem. Försäkringsbolag kämpar dock för att balansera skyhöga förlustkvoter som var särskilt skenande för ett par år sedan. 

Även om denna frånkoppling är besvärlig, är det ingen överraskning att vi fortfarande försöker ta reda på saker. Cyberförsäkring är begynnande jämfört med andra försäkringssegment. Den första cyberpolicyn skrevs av AIG så sent som 1997. Däremot är liv- och egendomsförsäkring långt över 250 år gammal och bilförsäkringen mer än 125 år gammal. Det är naturligt att det finns en del växtvärk i en process som är relativt ny och utvecklas i en takt som är obegriplig jämfört med områden som liv- eller fastighetsförsäkring. Den goda nyheten är att vi inte är så långt ifrån att hitta en bekväm position för både leverantörer och försäkringstagare. Nyckeln är att komma ihåg att vi alla är i detta tillsammans. Faktum är att ett av de största misstag som chefens informationssäkerhetsansvariga (CISO) kan göra är att inte behandla sina försäkringsleverantörer som en partner. 

Hur vi kom hit 

Det är användbart att ha en kort uppfattning om hur branschen utvecklades så att vi har en uppskattning för de aktuella utmaningarna. I början var cyberförsäkringspremierna nästan helt baserade på maginstinkt, men det var uppenbarligen ohållbart på lång sikt. Således utvecklades ett system som drivs av makrovyer, där skadeförväntningar baserades på övergripande marknadsförluster som tillämpades på en pool av försäkrade.

Problemet med detta tillvägagångssätt är dock att skadorna snabbt började överstiga prognoserna och försäkringsbolagen observerade att risken för förlust var koncentrerad till en undergrupp av försäkringstagare. Dessutom blev försäkringsbolag oroliga för systematisk risk eller korrelationsrisk, där en förlust på en försäkring ökade sannolikheten för anspråk mot andra försäkringar. Det gick snabbt överstyr för försäkringsbolagen. 

Nästa utveckling som för oss till vår nuvarande situation är själva emissionsprocessen. För att mildra förlusterna som drivs av makrobaserade policyer har försäkringsapplikationer blivit betydligt mer komplexa och kräver detaljerade samtal, intervjuer och platsbesök, med målet att skapa en skräddarsydd policy. Organisationer måste ofta uppfylla specifika tröskelvillkor, som att använda multifaktorautentisering och slutpunktsdetektering och svarsfunktioner, och måste klara en "utifrån-in"-skanning av sin miljö, vilket görs av en neutral tredje part.

Problemet är att IT-fastigheter är i konstant förändring under hela policyperioden, vilket gör att få verkligt korrekt och nyanserad information via ett frågeformulär nästan omöjligt – även för organisationer som försöker tillhandahålla den mest exakta och detaljerade informationen. Detta har skapat en miljö där det finns betydande volatilitet i prissättning och försäkringsvillkor, vilket leder till mycket av spänningen mellan försäkringsgivare och försäkringstagare. 

Vart vi måste gå 

För att verkligen bli partners måste organisationer och försäkringsbolag först komma överens om ett gemensamt mål: riskminskning. Detta borde vara den enkla delen. Den nuvarande emissionsprocessen försöker fastställa risk, men den har inte kunnat fastställa den på ett tillförlitligt sätt för enskilda organisationer. På den försäkrade sidan utarbetar CISO regelbundet budgetsamtal till styrelsen när det gäller risker, så det finns en överenskommen terminologi.

Den saknade biten etablerar ett sätt att mäta risken som båda sidor är nöjda med så att policyprissättningen kan baseras på den. Det enda sättet jag ser för att åstadkomma detta är genom att dela elektroniskt insamlade mätvärden inifrån en ansökande organisations brandvägg som undersöker cyberställning. Till skillnad från manuellt ifyllda frågeformulär kan dessa data ge en tillförlitlig ögonblicksbild av miljön. Det är skillnaden mellan att ha ett ögonvittne till en händelse och en högupplöst inspelning av det - det finns verkligen ingen jämförelse mellan de två.

Anledningen till att detta tema om partnerskap fortsätter att dyka upp är att det är en stor fråga för alla CISO att dela denna typ av privat information, särskilt om de är oroliga för att informationen de tillhandahåller kommer att användas mot dem för att öka premierna. Från att ha arbetat nära med ett stort antal försäkringsbolag är det inte motivationen för några cyberförsäkringsbolag jag känner. De, precis som cybersäkerhetsproffs över hela branschen, försöker helt enkelt komma till rätta med en ständigt föränderlig miljö, och denna radikala insyn kommer att vara till nytta för den försäkrade.

När försäkringsgivarna väl har den ögonblicksbilden kommer de att kunna undersöka den och svara med detaljer kring nyckelfynd och prioriterade åtgärdsråd, vilket gör att sökanden kan göra dessa justeringar och skicka in på nytt för att få ett bättre försäkringspris.

När allt kommer omkring är försäkringsleverantörer och CISO:er i samma lag, så ett av mina största råd till CISO:er: Behandla din cyberförsäkringsbolag som partner. Att utveckla en stark relation och engagera sig i regelbunden dialog kommer att förbättra förnyelse- och reklamationsprocessen. Kom ihåg att ingen har mer information om cybersäkerhetsrisker och förluster än ett cyberförsäkringsbolag.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners