在黑客入侵的世界里,您的责任是什么?您有保障吗?
执行摘要
随着应用程序从数据中心转移到云端,组织不可避免地被迫以四种方式应对风险:缓解、避免、接受和转移。 本文讨论了最后一种方式,即风险转移——特别是网络保险的必要性。 随着违约变得越来越普遍或不可避免,对保险的需求呈指数级增长,保险公司评估风险和建议改进的技能也随之增长。 每家公司都应该考虑购买网络保险。
5 分钟。 读
每家公司都应该考虑购买网络保险。 您可能会对自己从这个过程中学到的东西感到惊讶。
几年前,申请网络保险只需填写一份表格、回答几个问题并证明您的公司遵循某些标准。 现在,这个过程更加繁琐和紧张,但它也更有教育意义——不仅对于保险承保人,而且对于您也是如此。 通过花时间填写网络保险应用,您可以了解很多有关您的企业面临的风险。
经历这个过程可以帮助暴露你的策略中的弱点和缺点。
对于阅读今天头条新闻的任何人来说,有些风险是显而易见的——数据泄露、网络相关业务中断(DDoS 攻击)和网络勒索是公司探索网络保险的三大原因。
但也存在许多不太明显的风险。 例如,许多公司使用网络保险来抵消无意不遵守法规的风险。 事实上,避免监管罚款和处罚是公司购买网络保险的最常见原因之一。 即使您认为自己遵守了法规,但可能漏掉一个细节的风险也可能使网络保险值得您支付保费。 毫不奇怪,未来可能购买最多网络保险的三个行业也是受到监管最严格的行业:专业服务、金融服务和医疗保健。
为什么保险应用如此有用? 因为保险公司也想核实您需要知道的内容:您是否拥有强大的策略和流程来捕捉攻击并限制损失。 经历解释公司安全技术、流程和政策的过程可以帮助揭露公司战略中的弱点和缺点。 这是一个严峻考验,但您的公司将会从中变得更加强大。
了解您的安全分数
保险公司越来越多地使用安全评分系统,例如 BitSight、SecurityScorecard 甚至 FICO,后者最近扩展了自己的评分系统以涵盖安全领域。 此类服务不断监控外部可见事件 - 包括垃圾邮件中继、公司网络内部受感染的计算机以及公司 IP 地址空间内的开放端口 - 这些事件可以暗示公司网络是否已被攻破。
66.5万美元
2013 年至 2015 年违规的平均成本。 平均数据丢失超过两百万条记录。
就像信用评分一样,此类服务提供了内部状态的外部视图——在本例中就是您的安全态势。 它们甚至可以帮助检测违规行为,并让管理层了解您的公司与同行相比的表现。
了解您是否受保障
不幸的是,许多公司并不完全了解他们的保险涵盖的内容。 就像房主发现他们的房屋保险不包括洪水保险时会感到震惊一样,公司也会发现某一事件不在其网络保险的承保范围内。
因此,请考虑进行桌面演习,以便您了解不同的覆盖场景。 如果您的网络由于第三方应用程序的安全漏洞而遭到入侵,您的公司是否可以享受所考虑的保险政策的保障? 如果您的一名员工在公司停车场拿起一个闪存驱动器,将其插入她的笔记本电脑,并破坏了您的网络,导致您的电子商务网站瘫痪,您会怎么做? 损失的收入能弥补吗?
许多保险公司试图通过减少承保金额或在承保范围内增加例外情况来尽量降低潜在成本。 在评估政策和审查情景时考虑这些限制非常重要。
较小的公司和供应商也需要保障
根据 NetDiligence 2016 年网络索赔研究,2013 年至 2015 年期间的平均违规行为导致超过 200 万条记录丢失,损失达 665,000 美元。 研究发现,大多数索赔都是由收入低于 20 亿美元的公司提出的。
数据显示,各种规模的公司都面临网络事件的困扰,需要网络保险,包括规模较小的公司。 大公司应该考虑要求其供应商也具有一定程度的覆盖。
最后,各种规模的公司都需要确保他们的免赔额不太高,并且他们了解在计算损失时要考虑哪些因素。 如果您的保险由于属于免赔额范围内而不承保某个事故,那么该承保就毫无意义。
Sara Boddy 目前领导 F5 Labs(F5 Networks 的威胁情报报告部门)。 在加入 F5 之前,她就职于 Demand Media,担任信息安全和商业智能副总裁。 萨拉 (Sara) 曾管理 Demand Media 的安全团队达 6 年之久。 在加入 Demand Media 之前,她在 Network Computing Architects 和 Conjungi Networks 担任过 11 年的各种信息安全咨询职务。