Защо CISO трябва да се включат в преговорите за киберзастраховане

Всички печелят – CISO (chief information security officer) , компанията и застрахователят – когато CISO са включени в организирането на киберзастраховката.

Понякога позицията на CISO може да бъде безперспективна. Според неотдавнашно проучване на консултантската фирма за човешки ресурси и управление Heidrick & Struggles около 36% от CISO се отчитат пред CIO, а 18% – пред CTO – т.е. повече от половината от всички CISO се отчитат пред техническия корпоративен служител, а не пред бизнес частта на организацията.

Тази липса на признание от страна на управителния съвет може да намали способността на CISO да предоставя прозрения и препоръки с бизнес значение, оставяйки операциите да имат по-силно влияние върху управителния съвет, отколкото киберсигурността. Твърде често CISO получава отговорността да защитава компанията, без да разполага с правомощия и бюджет за изпълнение на задачата си.

В днешната корпоративна среда един бизнес императив кара бордовете да търсят приноса на CISO, увеличавайки корпоративното им признание и утвърждавайки позицията на CISO като доверен съветник: киберзастраховането.

По принцип договарянето на киберзастрахователни полици се пада на главния юрисконсулт, главния финансов директор или главния оперативен директор. Присъствието на CISO на масата на преговорите със застрахователни брокери или превозвачи е най-добрата практика, за да се гарантира, че застрахователите разбират не само кои контроли за сигурност са въведени, но и защо контролите са конфигурирани по този начин и стратегията на организацията. Въпреки това най-добрите практики често се пренебрегват поради причини, свързани с бързината и неприемането им от другите ръководители на C-suite.

 

 

Добавената  стойност на застрахователите

Когато CISO се срещат със застрахователи и брокери, те трябва да обяснят корпоративните политики и процедури за сигурност, как и защо се спазват определени протоколи за сигурност и техническите проблеми в застрахователното приложение. Но директното взаимодействие на CISO със застрахователите  може също така да предостави на CISO информация за критични заплахи, с която иначе не би могъл да разполага, казва Джейсън Ребхолц, CISO в киберзастрахователя Corvus.

Преди да се присъедини към застрахователната компания, Ребхолц казва, че не е бил наясно нито с ресурсите за киберсигурност, които клиентите на застрахователната компания могат да поискат, нито с предимствата, до които CISO има достъп, за да върши работата си по-ефективно.

Промяната на мисленето на CISO от мислене за киберзастрахователя като за финансов партньор към партньор за разузнаване на заплахите създава огромни ползи и за двете страни. Застрахователите печелят, защото образованият CISO означава намален риск за застрахователната компания и клиентите.

„[Застрахователите] могат да се превърнат в предимство, защото виждат сигурността от гледна точка, която е различна от моята, и аз мога да я наложа върху моите знания, за да стана още по-добър в работата си“, казва Ребхолц. „Минималното нещо, което всеки CISO трябва да направи, е просто да поиска да говори със застрахователя за ресурсите, с които разполага. Ще се учудите на отстъпките, които можете да получите [и] на достъпа до експерти, който можете да получите. Най-важното тук е, че можете да започнете да планирате предварително.“

Трейси Грела, глобален ръководител на отдела за застраховане на киберрискове в AIG, се съгласява, че CISO могат да получат значително количество знания от първа ръка просто като ангажират своите застрахователи в дискусии за киберзаплахите.

„Виждаме загуби във всички географски региони, във всички по размер организации и във всички индустрии. В състояние сме да вземем цялата тази информация и бързо да видим какви видове искове се докладват. Каква е новата тенденция? Как се развиват те?“, казва тя. „Мисля, че тук има добро партньорство между застрахователните компании и CISO. Това партньорство е много полезно за подпомагане на организациите да подобрят своята позиция по отношение на сигурността.“

CISO на масата

Въпреки че CISO често са включени в дискусиите за киберзастраховането в големите компании, малките и някои средни организации може да нямат корпоративна позиция CISO и по този начин да са в неизгодно положение, особено ако има застрахователен иск, отбелязва адвокат Скот Годес, партньор и съпредседател на практиката по възстановяване на застрахователни вземания и консултации в адвокатската кантора Barnes & Thornburg LLP, както и съпредседател на практиката по сигурност на данните и поверителност на фирмата.

„В един перфектен свят, като най-добра практика, CISO би предприел възможно най-много стъпки, за да се ангажира с ликвидатора на щети и, ако е замесен съветник на превозвача, да обсъди предложените начини на действие и в идеалния случай да получи твърдо „да“ и положителен отговор на предложения начин на действие“, казва Годес.

Без наличието на CISO организациите разполагат с нетехнолози, които се занимават с технически въпроси на киберсигурността, което потенциално излага клиента на риск. Тъй като киберзастраховането е функция по прехвърляне на риска, организациите се нуждаят от силен CISO, „който да бъде пред борда и да обяснява важността на разглежданите въпроси, които са представени от превозвачите като цяло“, добавя Годес.

Самото попълване на заявленията за застраховка за киберсигурност не е малка задача. Заявлението за киберзастраховка – Ransomware Supplemental на AIG е от 14 страници, като много от въпросите изискват значителна техническа експертиза. Ако не успеете да отговорите правилно на въпросите, претенцията може да бъде отказана поради предоставяне на невярна информация или дори организацията да бъде съдена от застрахователя.

„Наличието на реални крака, стъпили  на терен е изключително важно за попълването на тези застрахователни заявления“, казва Марк Шейн, национален съпредседател на Cyber Center of Excellence и консултант по управление на риска в агенция Marsh McLennan.

Главният юрисконсулт или главният финансов директор често е лицето, което взема решенията за застраховката, отбелязва Шейн, „но когато говорим за действителните изявления, които съставяме за заявлението, искаме хората, които действително са на място, да участват в разговора по този начин, [за да] няма съществено подвеждане от страна на организацията към застрахователя, което отново може да доведе до отказ на претенция.“

Хаосът, с който се сблъсква киберзастрахователната индустрия по време на пандемията, е намалял, добавя той. CISO, които се фокусират върху списъка на Marsh с ключови контроли за киберсигурност, сега могат да получат по-добри цени и условия, отколкото преди година.

Източник: DARKReading