Siber saldırıların ve çevrimiçi tehditlerin sürekli artan hacmi, siber sigorta satın almanın birçok kuruluş için düzenli bir olay haline gelmesine yardımcı oluyor. Sigorta genellikle CFO ile ortaklık halinde kuruluşun yönetim kurulunun etki alanı olsa da, siber riskin teknik doğası, CISO’dan giderek daha fazla görüşmenin parçası olması isteniyor.
Aslında, Siber sigorta norm haline geldi birçok kuruluş için. Dark Reading’in en son anketine yanıt verenlerin yarısından fazlası Stratejik Güvenlik Araştırması kuruluşlarının bir tür siber sigorta kapsamına sahip olduğunu söylüyorlar. Katılımcıların %29’u siber sigorta kapsamının daha geniş bir işletme sigortası poliçesinin parçası olduğunu söylerken, %28’i özellikle siber güvenlik olaylarına yönelik bir poliçeye sahip olduklarını söylüyor. Kuruluşların neredeyse yarısı (%46) aşağıdakileri kapsayan bir politikaya sahip olduklarını söylüyor: fidye yazılımı ödemeleri.
Siber sigorta poliçesi, kuruluşların bir saldırı veya veri ihlali durumunda uğrayabilecekleri mali kayıpların en azından bir kısmını ödemelerine yardımcı olur; örneğin olayın araştırılması ve müdahale maliyetleri, iyileştirme, kriz iletişimleri, fidye/gasp ödemeleri, yasal yükümlülükler ve gelir kaybı. Yeni bir rapora göre sigorta “proaktif ve dirençli siber kontrollere olan ihtiyacı ortadan kaldırmasa da” potansiyel mali kayıplara karşı bir “güvenlik ağı” sunuyor. Google Cloud’un CISO Ofisi’nden “Yönetim Kurulu Güvenliğine İlişkin Perspektifler” raporu. Bu rapor serisinin amacı, kurulların kurumun siber risklerini denetlemede daha aktif bir rol üstlenmelerini sağlamaktır.
Raporda, kurulların teknik uzmanlığa sahip güvenlik organizasyonu ile finans organizasyonu arasındaki işbirliğini kolaylaştırması tavsiye edilmeden önce, “Siber saldırıların mali ve hukuki sonuçları titiz sigorta stratejileri gerektirir, ancak bunları oluşturmak gelişen risklerin derinlemesine anlaşılmasını gerektirir” ifadesine yer veriliyor. – finansal etkiye odaklanarak.
Daha Güçlü Bir Hikaye Üzerinde İşbirliği Yapmak
Google Cloud iş riski ve sigorta başkanı Monica Shokrai, “Risk hakkında nasıl konuşulacağı ve risklerin nasıl yönetilip azaltılacağı artık CISO organizasyonu için çok daha önemli hale geliyor” diyor ve riskin yukarıya doğru iletilmesinin önemli bir şey olduğuna dikkat çekiyor CFO “sonsuza kadar yapıyor”. CISO’ları “siber CFO’lara” dönüştürmeye çalışmak yerine, iki kuruluşun yönetim kurulu için tutarlı ve entegre bir strateji geliştirmek üzere birlikte çalışması gerektiğini söylüyor.
Finans kuruluşu, riski ölçmek, bir kuruluşun ne kadar riske sahip olduğuna karar vermek ve ardından ne kadar riskin tutulacağına ve ne kadar riskin aktarılacağına karar vermek için bir sigorta programını optimize etmeye alışkındır. Maliye tarafının siber risk konusunda bir geçmişi olmadığı için modeli doğru bulma olasılıkları daha düşük. Evin güvenlik tarafı siber risk ve teknoloji konusunda uzmanlığa ve anlayışa sahiptir. Siber risk ölçümü potansiyel kayıpların modellenmesine yardımcı olur.
Raporda Google Cloud, “CISO’nun teknik uzmanlığı paha biçilmezdir, ancak gerçek güç, riskleri iş üzerindeki potansiyel mali etkilerine dönüştürmekten gelir” diye yazdı. “Finans ile işbirliği yaparak ve şirketin kendi olay geçmişinin yanı sıra kamuya açık ihlal verilerini kullanarak şirketler sağlam bir siber risk modeli geliştirebilir.”
Yönetim kurulu şirketin risklerini inceler, bu risklerin şirketin bilançosunu nasıl etkilediğini belirlemeye çalışır ve ardından ne kadar riskin devredileceğine karar verir. Finansal etkinin hesaplanması sigorta stratejisinin bir parçasıdır ve bu, siber sigorta ile diğer sigorta türleri arasında da benzerdir. Otomobil sorumluluğu veya işçi tazminatı gibi geleneksel sigortalar yerleşik içtihatlara dayanmaktadır, dolayısıyla ortalama bir yönetim kurulu üyesi nelerin kapsanıp kapsanmadığını bilir. Buna karşılık siber sigorta, siber savaş, sistemik risk ve üretken yapay zeka gibi istisnaları hâlâ çözmeye çalışıyor.
Shokrai, “Siber sigorta konusunda hâlâ ortaya çıkan şey, yönetim kurullarının bir kuruluş olarak karşı karşıya oldukları riskin büyüklüğünü fark etmeye başlamasıdır” diyor.
Finans ekibinin halihazırda hangi riskleri kabul edeceğini ve hangi risklere karşı sigortalanacağını düşünmesi gerektiğinden güvenlik ve finans açısından siber risk yönetimi konusunda işbirliği yapmak için hiçbir zaman erken değildir.
Shokrai, “Siber risk ölçümüyle başlarsanız, en azından zaman içinde yukarı ve aşağı ayarlamalar yapabileceğiniz ve yineleyebileceğiniz bir kritere sahip olursunuz. Daha fazlasını öğrendikçe bu modeli ayarlamaya devam etmeniz bekleniyor.” Shokrai diyor. “Bu işbirliğine erkenden başlayabilir ve bu süreçte her iki takımı da geliştirebilirsiniz.”