アプリケーションがデータ センターからクラウドに移行すると、組織は必然的に、軽減、回避、受け入れ、転送という 4 つの方法でリスクに対処する必要に迫られます。 この記事では、最後の方法であるリスク移転、特にサイバー保険の必要性について説明します。 違反が日常的、あるいは避けられなくなるにつれて、保険の必要性は飛躍的に高まり、保険会社のリスク評価や改善策の提案のスキルも向上しました。 すべての企業はサイバー保険の購入を検討すべきです。
5分 読む
すべての企業はサイバー保険の購入を検討すべきです。 このプロセスから何を学べるかに驚くかもしれません。
数年前、サイバー保険に申し込むには、1 つのフォームに記入し、いくつかの質問に答え、会社が特定の基準に従っていることを証明する必要がありました。 現在、このプロセスははるかに面倒で厳しいものになっていますが、保険引受人だけでなくあなたにとっても、はるかに教育的なものになっています。 時間をかけてサイバー保険のapplicationを完了することで、企業が直面するリスクについて多くのことを知ることができます。
プロセスを乗り越えることで、戦略の弱点や欠点を明らかにすることができます。
今日のニュースの見出しを読んでいる人なら誰でも、いくつかのリスクは明らかです。データ侵害、サイバー関連の事業中断 (DDoS 攻撃)、サイバー恐喝は、企業がサイバー保険を検討する主な 3 つの理由です。
しかし、それほど明白ではないリスクも数多く存在します。 たとえば、多くの企業は、意図しない規制違反のリスクを相殺するためにサイバー保険を利用しています。 実際、規制による罰金や罰則の回避は、企業がサイバー保険を購入する最も一般的な理由の 1 つです。 たとえ規制に準拠していると信じていても、細かい点まで見落としているリスクを考えると、サイバー保険は保険料に見合う価値があるかもしれません。 当然のことながら、将来サイバー保険を最も多く購入する可能性が高い 3 つの業界は、専門サービス、金融サービス、ヘルスケアであり、規制も最も厳しい業界です。
保険applicationsはなぜ役立つのでしょうか? 保険会社は、攻撃を捕捉して損害を最小限に抑えるための強力な戦略とプロセスが確立されているかどうかなど、お客様も知っておく必要のあることを正確に確認したいからです。 自社のセキュリティ技術、プロセス、ポリシーを説明するプロセスを乗り越えることで、戦略の弱点や欠点を明らかにすることができます。 これは厳しい試練ですが、それを乗り越えることであなたの会社はより強くなるでしょう。
保険会社は、BitSight、SecurityScorecard、さらには最近ではセキュリティをカバーするために独自のスコアリング システムを拡張した FICO などのセキュリティ スコアリング システムの使用を増やしています。 このようなサービスは、スパムリレー、企業ネットワーク内の侵害されたコンピューター、企業の IP アドレス空間内の開いているポートなど、外部から見えるイベントを継続的に監視し、企業のネットワークが侵害されたかどうかのヒントを提供します。
2013 年から 2015 年までの侵害の平均コスト。 平均データ損失は 200 万件を超えました。
信用スコアと同様に、このようなサービスは内部状態(この場合はセキュリティ体制)を外部から把握できるようにします。 違反を検出し、経営陣に自社が同業他社と比べてどの程度優れているかを示す指標を提供するのにも役立ちます。
残念ながら、多くの企業は自社の保険が何をカバーしているかを十分に理解していません。 住宅所有者が自分の住宅保険で洪水がカバーされていないことを知ってショックを受けるのと同じように、企業もサイバー保険の適用範囲外のインシデントに遭遇することがあります。
そのため、さまざまなカバレッジ シナリオを確認できるテーブルトップ演習を実施することを検討してください。 サードパーティ アプリのセキュリティ不足によりネットワークが侵害された場合、検討中の保険で貴社は補償されますか? 従業員の 1 人が会社の駐車場でフラッシュ ドライブを拾い、それを自分のラップトップに挿入してネットワークをダウンさせ、電子商取引サイトが暗くなったらどうしますか? 失われた収益は補償されますか?
多くの保険会社は、補償額を減らしたり、補償範囲に例外を設けたりすることで、潜在的なコストを最小限に抑えようとします。 ポリシーを評価し、シナリオを確認する際には、これらの制限を考慮することが重要です。
NetDiligence の2016 年サイバークレーム調査によると、2013 年から 2015 年までの侵害の平均では、200 万件を超える記録が失われ、665,000 ドルの損害が発生しました。 調査によると、請求の大部分は収益20億ドル未満の企業によって行われていることが判明した。
数字が示すように、あらゆる規模の企業がサイバーイベントの被害に遭っており、小規模組織も含めサイバー保険を必要としています。 大企業は、サプライヤーにも一定レベルの補償を要求することを検討すべきです。
最後に、あらゆる規模の企業は、免責額が高すぎないことを確認し、損害額を計算する際にどの要素が考慮されるかを理解する必要があります。 免責額に該当するために保険で補償されない事故があった場合、その補償は無価値となります。
Sara Boddy は現在、F5 Networks の脅威インテリジェンス報告部門である F5 Labs を率いています。 彼女は、Demand Media で情報セキュリティおよびビジネス インテリジェンス担当副社長を務めた後、F5 に入社しました。 サラは Demand Media で 6 年間セキュリティ チームを率いていました。 Demand Media 入社前は、Network Computing Architects および Conjungi Networks で 11 年間にわたり、さまざまな情報セキュリティ コンサルティングの役職を務めていました。