یک سناریوی برد-برد برای تیم های امنیتی و بیمه گران سایبری

کد خبر: ۱۴۹۶۳۰

بوسیله حسین غیوری در مرداد 16, 1402 0

واقعیت چشم ‌انداز تهدید امروزی، همراه با افزایش حملات باج ‌افزاری، موقعیت چالش‌ برانگیزی را برای شرکت‌ ها و شرکت ‌های بیمه سایبری که از آن ها محافظت می‌ کنند، ایجاد کرده است.

یک سناریوی برد-برد برای تیم های امنیتی و بیمه گران سایبری

به گزارش ریسک نیوز، طی چند سال گذشته، از آنجایی که مطالبات از پیش ‌بینی ‌ها پیشی گرفته و بیمه نامه ها بی ‌سود شده ‌اند، ارائه ‌دهندگان بیمه سایبری قیمت ‌ها را افزایش دادند، در برخی موارد حق بیمه ‌ها را دو برابر و سه برابر کردند، محدودیت ‌های بیمه ‌نامه را کاهش دادند، به ویژه در موارد خسارات مربوط به باج‌ افزار، پوشش محدود، و فرآیندهای پذیره‌ نویسی سخت ‌گیرانه ‌تر را اضافه کردند.

این تغییرات فشار باورنکردنی را بر رهبران امنیتی و ریسک وارد کرده است، که امروزه در صورت تایید، برای پوشش کمتر هزینه ‌های بسیار بیشتری می ‌پردازند.

انجمن مدیریت ریسک وضعیت را به وضوح ارزیابی می کند: «در سال 2022، بیمه سایبری به یک موضوع سطح C برای سازمان های تجاری و دولتی تبدیل شد. مدیران ریسک اگر بتوانند خط مشی سایبری خود را تجدید کنند، پوشش فعلی را حفظ کنند و افزایش حق بیمه را به زیر 50 درصد نگه دارند، وضعیت بهتری خواهند داشت.»

بنابراین چگونه رهبران امنیتی و ریسک سازمان خود را بهتر تراز می کنند تا نه تنها تحت پوشش قرار گیرند، بلکه حق بیمه خود را حفظ یا حتی کاهش دهند؟

آنچه بیمه گران سایبری باید بدانند

با توجه به ریسک های موجود، بسیاری از اپ های بیمه نامه سایبری امروزه به طرز شگفت آوری سطحی هستند. برای ساده ‌تر کردن بررسی برنامه ‌ها، اکثر اپ ها یک سری سؤالات «بله/خیر» درباره وجود کنترل ‌های امنیتی مختلف می ‌پرسند. برخی از برنامه‌ ها به متقاضی اجازه می‌ دهند تا اطلاعات بیشتری در مورد محیط خود ارائه دهد، اما در بیشتر موارد، برنامه‌ ها تغییرات در ریسک یا کنترل ‌ها را در نظر نمی ‌گیرند. اما سؤالاتی که اپ نمی پرسد کدام یک هستند؟ اکثر اپ ها نمی ‌پرسند که آیا کسب ‌و کار با چارچوب ‌های امنیتی خاص (NIST) هماهنگ است یا اینکه آیا شرکت اطلاعات تهدید شخص ثالث را برای محافظت فعال در برابر تهدیدات نوظهور ترکیب می ‌کند یا خیر.

مطمئناً، یک مکالمه پیگیری بین متقاضی و ارائه دهنده برای بررسی درخواست، و نوعی ارزیابی استاندارد یا حتی یک تست نفوذ وجود دارد. اما هر یک از این ابزارهای ارزیابی دارای محدودیت ‌های قابل توجهی هستند و حتی در بهترین حالت، نتایج آن ها نشان ‌دهنده یک مورد خاص در زمان است و نه یک وضعیت مستمر برای داشتن آمادگی. در صورت عدم وجود مدرکی مبنی بر اینکه کنترل ‌های امنیتی متقاضی کار می ‌کنند، به درستی پیکربندی شده ‌اند و دائماً اعتبار سنجی می‌ شوند، احتمالاً شرکت بیمه تصمیم پوشش و قیمت ‌گذاری خود را بر اساس پاسخ ‌های بله-خیر باینری متقاضی استوار می ‌کند و یک مقیاس متناسب را اعمال می ‌کند.

در نهایت، این مسئولیت متقاضی است که اطمینان حاصل کند که ارائه ‌دهنده بیمه آن ها بر اساس قابلیت ‌های واقعی کنترل ‌های امنیتی و انعطاف ‌پذیریشان در برابر حمله تصمیم ‌گیری می ‌کند یا خیر.

مترجم: مسعود اسکندری

منبع

https://www.scmagazine.com/perspective/create-a-win-win-scenario-for-security-teams-and-cyber-insurers

لینک کوتاهلینک کپی شد!