• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO IT經理人雜誌
  • CSO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CSO精選

網路保險的關鍵步驟與考量

2020-11-20
分類 : CSO精選, 精選文章
閱讀時間 :2分鐘
0
0
網路保險的關鍵步驟與考量

愈來愈多的組織試圖投保以保護自己不因為潛在的網路侵入事件蒙受損失,在此同時,保險公司在核保過程中又會如何評估風險。

文/Karen Epper Hoffman 譯/高忠義


隨著IT安全侵害事件之發生變成只是「早晚」的問題,而不是「如果發生怎麼辦」,愈來愈多公司部門組織購買網路保單以降低侵害事件的影響。根據 AM Best 美國信用評級機構的市場部門報告,網路保險公司簽署保單的直接保費從2015年的9億9千6百萬,上升到2018年的20億,那是兩倍的增長。

的確,隨著各種規模或大或小的組織受到資料竊取行為、勒贖軟體與其他各式各樣的侵入事件之襲擊,網路保險,也稱為網路責任保險,或網路風險保險,愈來愈受歡迎。

「網路安全社群逐漸承認這議題有更多的風險管理面向」,Chubb網路產品的全國產品線經理 Matt Prevost 這麼說。「所以,確實需要從企業風險管理開始才能引起網路安全社群的共鳴。」

內容目錄 隱藏
對網路保險的看法正在轉變
將網路保險整合到風險管理中
教育小型組織使其明瞭風險管理
瞭解網路保險核保過程

對網路保險的看法正在轉變

在過去兩年,組織內的能見度已有改善,而許多組織現在也更清楚地瞭解網路安全與風險管理不只是「大公司與小公司的技術問題」,Prevost在訪談中如此補充。

PwC會計師事務所估計大約十分之三的公司買了網路風險保單。然而,在該事務所最近的報告《2020與之後的保險:收割網路復原的利益》,PwC會計師事務所預估在十年期結束之時總保險費毛額可能達到75億。

Cyber Risk Underwriters (CRU)事務所的管理合夥人 Jeffrey Smith 觀察到CRU簽署的中小企業(SME)網路保險保單的成功核保率只有60%(取決於產業與組織規模)。「很像早期的資訊安全市場,最初的產品總是不太好,」Smith 這麼說。「因為威脅會日益演化,保險範圍也必須與時俱進。」Smith在訪談中補充表示,高度管制行業的公司,像是醫療保健、金融服務、法律與不動產服務業是最熱切接受網路保險的行業,因為他們在侵犯事件中承受的成本極高。

也是資深的風險管理師 Jake Kouns 承認多年以來「一般認為網路保險沒什麼價值…而且網路市場也不夠成熟。」現在「有更多保險了,」提供網路風險顧問服務,並曾經向國土安全部與五角大廈就網路保險議題進行簡報的 Risk Based Security 公司資安長Kouns這麼說。

將網路保險整合到風險管理中

要推出一張網路保險保單不是隨便說說就行的,尤其如果組織希望能獲得最佳的金融交易,確認它們的保單涵蓋真正有安全風險的領域,並使它們的網路保險能支援他們整體的安全計劃,那就更難了。根據Prevost的說法,舉例來說,藉著詳細瞭解保險公司用來決定保單參數的初步核保程序,組織可以知道如何降低潛在的風險,並將它們的保單與它們的風險管理專案整合。

這個過程的範圍大小有極大伸縮空間,保險公司對於規模很小的組織可能只會提出四到五個問題,但對於較大的企業客戶可能會花上大約三天的時間在企業內部訪查。Prevost表示「大型組織與小型組織都需要調查式的核保程序,以開始詢問他們先前對於網路安全有哪些預設想法,」Prevost 這麼說。

就算非佔大部分,但在許多情況,強化公司的風險管理地位,並降低保險費與採用何種特定的科技關係較小,而與公司在策略上如何處理風險管理,以及從IT安全到法律以及財務室甚至高階主管等各個部門如何整合更為密切相關。保險公司想要看到公司已準備好能完整說明各個利害關係人或單位在出現勒贖軟體,或執行長匯款詐欺或大量資料外洩事件時如何因應的完整事故因應計劃。舉例來說,組織必須定期的執行桌上模擬演練,降低風險並對保險公司表現出已準備妥當。為了進一步證明他們已準備好,「組織不只需要知道影響的金額,也必須能回復日常運作,並從事件中復原。」Prevost這麼說。

在像是產業公會或同業或行業的資訊共享與分析中心(ISAC)裡分享資訊與經驗也可能協助較大型的企業更妥善地準備核保程序,並獲得更好的保險條件。若能對風險管理與策略發展有更強的理解將有助於協助組織建立更強的方案,Prevost如此分享他的經驗。

教育小型組織使其明瞭風險管理

時常為中小企業核保的Smith表示中級市場的保險代理人時常並不「瞭解網路承保範圍」,而且有時候被保公司本身也沒有全職的資安長。因此,該公司相關風險的風險複雜程度可能有極大的差異。「我們曾經為使用防火牆與雲端服務的小型診所核保,」Smith這麼說。在更小的組織裡,可能沒有內部的IT安全小組,而核保師與保險公司愈來愈常教導要保人如何改善他們的風險管理。

Chubb公司創設的「網路索引」(Cyber Index),提供了行業年度索賠百分比等多項數據。(圖片來源:https://chubbcyberindex.com/#/incident-growth)

為了擴大對影響網路保險費與投保的因子之認識,「網路保險產業開始分享更多理賠案件的資訊,以及錯誤的經驗,已協助尚未了解這些因子的組織,使它們真正瞭解最新發生的情況。」Prevost補充說明。Chubb公司為了那樣的目的已創設一項「網路索引」(Cyber Index)。Chubb公司的網路索引是即時的私有資料,內容有關於當前的網路威脅,那是Chubb公司在過去二十年從保險公司已經賣出的網路保險中蒐集來的。使用者可以在線上按照產業別、公司收益或日期別來檢視;看看有多少比例的事故起因於內部或外部人員或夥伴的行為,並看看在過去十年來哪些企業資產受到這些侵入事件影響。藉由檢視這項資料,組織能夠更好地掌握不只是哪裡最需要保險,也包括它們在風險管理工作上需要補足那些可能的不足之處。

瞭解網路保險核保過程

網路保險供應商可以影響要保企業的安全政策與程序,例如給做得好而不只透過科技,也能透過員工教育訓練、團隊合作與其他正向的風險管理步驟以降低風險的組織更好的條件或更低的保費。就像產業專家已經指出的,核保過程本身就可能提供一種正向循環,讓公司可以更瞭解如何改善它們的風險管理,甚至更瞭解它們承擔的風險。

尋求網路保險的組織應該能夠向自己與保險公司證明它們已經盡全力避免事故,或者他們不只被收了過高的保險費,也找到一些未獲保障的重要領域。舉例來說,如果公司並未採取所謂「合理」步驟以維持安全,或者更具體地說,並未將行動資料加密,某些保單即可能將金錢損失排除在保險範圍之外。

而且,就像Prevost指出的,要保人如果在核保過程中不肯配合提供有關他們的系統與可能責任的資訊,就無法得到最佳的保險方案或最佳的保障範圍,而這可能造成某種事故被排除在承保範圍之外。「我們遇過一些客戶,極不願意提供有關他們在防火牆之外使用的科技之任何資訊」他說。「有種情況是某些客戶完全拒絕回答任何問題,而那會讓核保過程極為困難,假使不是完全不能進行。」

「有些高風險公司可能並未認知到他們是真正的高風險公司」Prevost這麼說。「而那是發生核保問題的地方,而需要採用很複雜的核保程序…非常困難的風險在核保上必須非常謹慎。」

這篇文章對您有幫助嗎?
👍👎
標籤: 安全最新文章網路保險資安資訊安全

相關文章

APT傭兵集團讓企業資安更嚴峻
CSO精選

APT傭兵集團讓企業資安更嚴峻

2021-01-22
追蹤數位時代經濟顛覆帶來的好處
精選文章

追蹤數位時代經濟顛覆帶來的好處

2021-01-20
醫療業關鍵基礎設施資安進入落實階段
CSO精選

醫療業關鍵基礎設施資安進入落實階段

2021-01-14
透過行動條碼加入

📈 CIO閱讀七日排行

  • 【專訪】臺灣數位企業總會理事長陳來助

    【專訪】臺灣數位企業總會理事長陳來助

    0 分享
    分享 0 Tweet 0
  • Gartner公布2021年9大重要戰略技術趨勢

    0 分享
    分享 0 Tweet 0
  • 2019-20 CIO大調查報告PDF下載

    0 分享
    分享 0 Tweet 0
  • 2020-21 CIO大調查報告PDF下載

    0 分享
    分享 0 Tweet 0
  • AI最常見的應用有哪些?

    0 分享
    分享 0 Tweet 0
  • 醫療業關鍵基礎設施資安進入落實階段

    0 分享
    分享 0 Tweet 0
  • 杜絕理專盜用資金 善用影音電子簽名系統

    0 分享
    分享 0 Tweet 0
  • 多雲架構挑戰大 仰賴單一方案克服

    0 分享
    分享 0 Tweet 0
  • 病毒大流行 加速 Aflac 保險公司數位轉型

    0 分享
    分享 0 Tweet 0
  • 明鏡為鑒:10個數位轉型成功案例

    0 分享
    分享 0 Tweet 0

追蹤我們的 Facebook

數位及平面

  • CIO Taiwan 網站
  • CIO 電子報
  • 《CIO IT經理人》數位版雜誌 (Zinio)
  • 《CIO IT經理人》平面雜誌

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO協進會
  • CIO.com

關於我們

  • 關於我們
  • 隱私權政策

旗訊科技股份有限公司 | 100 台北市中正區杭州南路一段15-1號19樓 | TEL: 886-2-2321-4335

Copyright© Flag Information Co.,Ltd. All Rights Reserved.

  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 最新文章
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO IT 經理人雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請輸入 Email 及 使用者名稱(將來無法變更)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

永聯物流:活用設計思維 打造新世代物流基礎設施

CIO Taiwan 第六屆商業服務科技論壇 來自永聯物流(Ally Logis

IT如何因應病毒流行期間的資安衝擊

公司的位置如果是在一些容易發生自然災害的區域,像是颶風或是地震等,可能會比那些位

使用預測分析識別高風險患者

NorthShore University HealthSystem 的急診部門

疫情仍未了 AI如何重塑醫療照護面貌

在新冠病毒(COVID-19)危機之前,AI與機器學習技術在大型醫療照護機構才正

CIO重大任務:將安全與IT營運完美結合

CIO必須帶頭推動安全團隊和IT團隊的協同合作,並在由上往下推展;同時縮小孤井式

勒索軟體橫行 吹起文件保護風潮

第13屆CIO價值學院第三堂課-資訊安全 會後報導 回​顧2017年5月,埋伏多

CloseMenu

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院
  • 企業防疫與持續營運計畫 線上座談會
  • 亞太CIO線上高峰論壇
  • 製造業CIO論壇
  • 金融CIO高峰會
  • Asia Leadership Forum 2020
  • 智慧醫療研討會
  • 商業服務科技論壇
  • CIO大調查

影音

  • 影音