- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 424 zobrazení
Organizace, které si chtějí zařídit kybernetické pojištění, jejich pojistitel obvykle požádá, aby poskytly důkazy o celé řadě kontrol týkajících se zabezpečení informací, obnovy po havárii a souvisejících rizik a technologických požadavků a osvědčených postupů.
Když jsou organizační data uložena pouze na místě, dokumentování, vyhodnocování a údržba těchto kontrol má své problémy, ale pro IT, bezpečnostní a obchodní týmy, které za ně zodpovídají, jsou poměrně jednoduché. Možná bude nutné nainstalovat určité typy zámků na dveře datových center, přidat kamery pro monitorování pěšího provozu a implementovat specifické protokoly omezující, kdo má přístup k jakým informacím. Ve vysoce regulovaných odvětvích požadavky pojišťoven často úzce souvisejí s dodržováním předpisů.
COVID-19 však mnoha organizacím sabotoval pojištění kybernetické bezpečnosti a řízení kybernetických rizik. Když podstatná část pracovní síly začala pracovat na dálku, vhodná struktura kontroly bezpečnosti se stala méně jednoznačnou. Výzva byla umocněna současným nárůstem podnikového využívání řešení Software jako služba (SaaS).
Dnes je snad jediná věc, která je náročnější než vybudování efektivní řídicí struktury, prokázat, že tato struktura účinně chrání podnikové aplikace, data a uživatele.
Nyní se manažeři podnikové kybernetické bezpečnosti musí zaměřit na pochopení toho, jak by jejich kontroly měly být po COVID strukturovány, a také na to, jak mohou tyto kontroly předvést interním a externím auditorům a také svým pojistitelům.
Co přesně se změnilo?
Pandemie inspirovala migraci pracovních sil po celém světě. Zaměstnanci stále vykonávají stejnou práci, jakou dělali v kanceláři, ale mnozí to dělají z domova nebo z jiných vzdálených míst.
V tomto hybridním prostředí je nyní mnohem těžší, aby byly tradiční metody zabezpečení perimetru účinné. I kdyby měl bezpečnostní tým dostatečnou šířku pásma, aby mohl cestovat do bydliště každého zaměstnance, instalovat bezpečnostní kamery a závory na dveře domácí kanceláře by nedávalo smysl. Stejně tak není možné, aby auditor třetí strany cestoval do každého odlišného místa, aby ověřil, že bezpečnostní prostředí zaměstnance je v pořádku.
Podobné problémy se určitě objevily před tím, než COVID-19 existoval. Někteří lidé za prací cestovali, jiní si potřebovali občas vzít práci domů na noc. Bezpečnostní týmy vyžadovaly, aby se tyto typy vzdálených pracovníků připojovaly k podnikové síti prostřednictvím virtuální privátní sítě (VPN). Auditoři se mohou ptát, jak společnost tato spojení chránila, ale když společnost potřebovala prokázat, že její nejdůležitější kontroly fungují, vzdálení zaměstnanci byli obvykle spíše výjimkou než pravidlem.
Hybridní práce a cloudová transformace převrátily tuto rovnici naruby. Důležitost a účinnost obvodových kontrol a souvisejících bezpečnostních technologií se rozpadly. Nutnost připojit se k podnikové síti před použitím aplikace SaaS nebo procházením internetu může být únavné a může mít špatnou uživatelskou zkušenost.
Během pandemie některé organizace učinily riskantní technologická rozhodnutí pro vzdálený přístup tím, že umožnily obejít zahlcená a předplacená řešení vzdáleného přístupu, což zvýšilo jejich útočné plochy. To v kombinaci s nárůstem osobního času stráveného na zařízeních znamenalo, že se útoková plocha nyní rozšířila také na často důvěryhodné služby, jako je Office 365, Google Suite a řadu dalších nástrojů, které zaměstnanci používají ve svém profesním i osobním životě. To zanechalo mezery v mnoha strategiích bezpečnostních technologií, kde tradiční postupy postrádají schopnost určit rozdíl mezi podnikovou instancí Office 365 a osobní instancí používanou doma. V důsledku tohoto rychle se měnícího obchodního provozního prostředí a hybridního pracovního prostředí se požadavky na kontrolu poskytovatelů kybernetického pojištění pouze zintenzivnily, protože frekvence útoků a výsledné ztráty z bezpečnostních incidentů stále narůstají.
Jaká jsou očekávání pojišťoven?
Když organizace hledá kybernetické pojištění, pojistitel bude přirozeně chtít informace o budoucím podnikání, provozním prostředí, programu kybernetické bezpečnosti a souvisejících kontrolách. Tyto informace jsou obvykle zachyceny prostřednictvím primárního procesu žádosti, žádosti o doplňkové krytí a celkové metodiky hodnocení požadované pro podporu upisování rizika. Často papírový proces vysvětlování kontrol, poskytování přehledu o programu kybernetické bezpečnosti/řízení rizik a poskytování podpůrné dokumentace je běžným místem, kde začít – ale stále častěji pojistitelé také očekávají, že uvidí důkaz.
Předkládání důkazů může být často podpořeno atestacemi odvozenými z externích auditů, hodnocení a penetračních testů. Jakýkoli výsledek auditu nebo hodnocení je však časovým momentem a odráží účinnost a provozní stav kontrol během statického časového období, a proto neodráží odlivy a toky toho, jak se může rychle změnit útočná plocha organizace. Pojišťovny se stále více posouvají k možnostem neustálého sledování změn u svých pojištěnců, aby upozornily na vznikající rizika a zranitelnosti, které by mohly naznačovat a lépe predikovat situace, které mohou vyústit v pojistnou událost.
Co to znamená pro pojistníka i pro pojišťovnu?
Realita je taková, že obě strany mají příležitost získat poznatky z neustálého zviditelňování. Výzva spočívá v tom, že s hybridní prací a dopady pokračující digitální transformace v podnikání je zásadní podívat se nad rámec pouhého inventáře uživatelů, identit, zařízení, aplikací a dat, která lze abstrahovat z tradičního provozního prostředí datových center. Nyní je důležité plně porozumět těmto klíčovým datovým bodům spolu s inventářem používaných cloudových služeb: ty, které jsou schváleny IT; ty, které řídí obchodní jednotky (stínové IT); a těch osobnějších služeb, které koncoví uživatelé zavádějí každý den.
I když je inventář výchozím bodem, je také důležité porozumět tomu, kdo k těmto službám přistupuje, jak jsou nakonfigurovány, a také to, kolik dat je odesíláno do příslušných služeb. To vše jsou klíčové prvky, které mohou rychle změnit rizikový profil pojištěného a často zůstávají bez kontroly. A konečně, je potřeba vyhodnotit výše uvedené cloudové služby z hlediska rizik a hrozeb dodavatelského řetězce a umět odpovědět na otázky týkající se cloudového zabezpečení organizace.
Odvětví je jistě svědkem toho, že více pojistitelů integruje pojistnou matematiku, hodnocení povrchu kybernetických útoků, kontroly a monitorování hrozeb; stanovení cen na základě předpovědí založených na telemetrii, u kterých uživatelé s největší pravděpodobností zaznamenají narušení dat nebo jiný bezpečnostní incident, který vede k reklamaci. Bez ohledu na to, zda nebo kdy k tomu dojde, bezpečnostní týmy, které transformují svá prostředí a modernizují své architektury, mají schopnosti a data potřebná k pochopení svých kybernetických rizik a v konečném důsledku poskytují důkaz, že efektivně řídí riziko, které chtějí převést.
Autor původního článku: Nate Smolenski
Překlad: Ondřej Strachota