ขั้นต่อไปของผู้ขายประกันภัยไซเบอร์ CISO

ประกันไซเบอร์ทุกวันนี้ความคุ้มครองไม่ได้ง่ายเลย การละเมิดจำนวนมากและการตัดสินของดอลลาร์ทำให้การประกันภัยไซเบอร์เป็นการลงทุนในการดำเนินงานที่มีค่าใช้จ่ายสูง ตัวอย่างเช่น ลูกค้าขนาดกลางจ่ายเงิน 1 ล้านเหรียญสหรัฐเป็นค่าประกันไซเบอร์รายปีเพียงเพื่อทำธุรกิจกับลูกค้าเชิงพาณิชย์และลูกค้าภาครัฐ

ปัญหานี้ทำให้หัวข้อความเสี่ยงของบุคคลที่สามเพิ่มขึ้นอีก โดยปกติผู้ค้าระดับบนสุดของบริษัทจะมีรูปแบบการประกันทางไซเบอร์บางรูปแบบ โดยทั่วไปความครอบคลุมของผู้ขายดังกล่าวจะปกป้องลูกค้าจากความรับผิดทางการเงินที่เกี่ยวข้องกับการละเมิดข้อมูลที่ละเอียดอ่อนของลูกค้า เช่น ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII)

เหตุการณ์การละเมิดอาจรวมถึงการหยุดชะงัก การขโมยทรัพย์สินทางปัญญา และการทำให้เว็บไซต์เสียหาย เมื่อเร็ว ๆ นี้ภัยคุกคามเรียกค่าไถ่ที่แฮ็กเกอร์เรียกร้องการชำระเงินสำหรับการไม่เปิดเผยข้อมูลไปยังไซต์ที่มืดมิดได้ทวีความรุนแรงขึ้น สำหรับบริษัทผู้ขายเหล่านั้นที่จัดการข้อมูลลูกค้า ตั้งแต่ประวัติการขายไปจนถึงธุรกรรมทางการเงิน ความครอบคลุมของผู้ขายนั้นเป็นสิ่งที่จำเป็นแทนตัวเลือก

ยังมีบริษัทซัพพลายเออร์รายเล็กที่หลีกเลี่ยงการประกันทางไซเบอร์ไม่ว่าจะโดยการเลือกหรือโดยขาดความตระหนัก การประมาณการแตกต่างกันไป แต่บริษัทที่ไม่มีประกันรายย่อยเหล่านั้นมีตั้งแต่ 28 ถึง 41% ตามรายงานของอุตสาหกรรม ต้นทุนที่สูงขึ้น ควบคู่ไปกับความเข้มงวดของข้อกำหนดด้านการประกันภัย ให้ความสำคัญกับการครอบคลุมเป็นลำดับแรก

นี่คือประเด็นสำคัญของปัญหาผู้ขายที่ทวีความรุนแรงขึ้นซึ่ง CISO เผชิญอยู่ในปัจจุบัน: ข้อใดก่อให้เกิดความเสี่ยงที่ไม่มีประกัน เป็นเพียงผู้ขายบูติกรายย่อยหรือไม่? หรือขอบเขตรวมถึงซัพพลายเออร์ระดับที่สองและระดับที่สามไปยังผู้ขายหลักด้วยหรือไม่ ข้อควรระวังใดบ้างที่สามารถนำมาใช้ล่วงหน้าเพื่อป้องกันไม่ให้ผู้ขายขาดความครอบคลุมในระดับต่างๆ ก่อน ปัญหาเหล่านี้สะท้อนให้เห็นโดยชุมชน CISO ซึ่งขณะนี้ต้องเผชิญกับการโจมตีที่เพิ่มขึ้นผ่านบุคคลที่สาม

ต่อไปนี้คือขั้นตอนบรรเทาผลกระทบ 3 ขั้นตอนที่ CISO สามารถทำได้:

1. รู้จักผู้ขายในระดับที่ n นอกจากสินค้าคงคลังมาตรฐานของซัพพลายเออร์ในโลกไซเบอร์และไอทีแล้ว ให้ระบุว่าใครเป็นผู้จัดหาให้พวกเขา ผู้จำหน่ายรายย่อยเหล่านี้มีความครอบคลุมเพียงพอหรือไม่ และผู้รับเหมาช่วงของพวกเขาเป็นอย่างไร นี่ไม่ใช่งานง่าย แต่ AT&T Cybersecurity เสนอเครื่องมือการค้นหาผู้จำหน่ายพร้อมกับ% ระดับความเสี่ยงจากพันธมิตรเช่น NetSkope และ BitSight เครื่องมือเหล่านี้ช่วยประหยัดการชี้ระหว่างผู้ขายและ “การตกใจและประหลาดใจ” ในกรณีที่มีการละเมิด

2. ปิดสัญญา มีข้อกำหนดการประกันภัยทางไซเบอร์จำนวนเท่าใดก็ได้ที่สามารถเพิ่มลงในสัญญาใหม่ที่อยู่ระหว่างดำเนินการและสัญญาสำหรับการต่ออายุได้ นี่คือที่ที่ CISO พบว่าทรัพยากรทางการเงินและกฎหมายเป็นพันธมิตรที่ทรงคุณค่า พวกเขาร่วมกันสามารถระบุได้ว่าผู้ขายมีความครอบคลุมเพียงพอสำหรับค่าธรรมเนียมทางกฎหมาย การกู้คืนการละเมิด และการก่อกวนในโลกไซเบอร์

3. การเฝ้าระวังทางไซเบอร์ บุคคลที่สามยังคงเป็นภัยคุกคามต่อการละเมิดที่ยิ่งใหญ่ที่สุด แม้ว่าจะมีแผนดีที่สุด ไม่มีใครอยากอยู่ในตำแหน่งที่ต้องดำเนินการประกันในโลกไซเบอร์ตั้งแต่แรก CISO สามารถรักษารั้วไซเบอร์ ” Horse high” ด้วยกลไกการป้องกันขั้นพื้นฐานเช่น:

• รหัสผ่านที่ซับซ้อน
• การใช้ VPN
• การเข้ารหัส
• การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
• กฎไฟร์วอลล์เสียง
• แอนตี้ไวรัสที่แข็งแกร่ง
• การรับรู้ความปลอดภัยของผู้ใช้

ภายในขอบเขตการป้องกันที่เชื่อมโยงกัน AT&T Cybersecurity สามารถให้ความช่วยเหลือได้

ในการสรุปการประเมินความเสี่ยงบุคคลที่สามโดยสมบูรณ์ ตอนนี้ต้องรวมความพร้อมในการประกันภัยทางไซเบอร์เป็นปัจจัย ไม่มี CISO เป็นเกาะที่นี่ และมันจะกลายเป็นโอกาสในการปกป้องมากกว่าที่จะปวดหัวเมื่อพันธมิตรทางธุรกิจภายในที่เหมาะสมเข้ามามีส่วนร่วม

Next CISO headache: Vendor cyber insurance