Специалисты брокера Marsh очень впечатлены тем, как быстро британские менеджеры по управлению рисками и страхованию взялись за управление киберрисками и справились с чрезвычайно сложными условиями страхового рынка за последние несколько лет.
Часть этой работы нашла свое отражение в значительно улучшенных отчетах о киберпретензиях среди крупных компаний. Но брокер подчеркнул, что всегда есть возможности для улучшения, и дал главные советы о том, как риск-менеджеры могут еще больше повысить производительность.
«Я очень впечатлен тем, как далеко, в частности, британские риск-менеджеры продвинулись в управлении киберрисками и в управлении киберстрахованием с помощью средств контроля кибербезопасности. Пережив развертывание киберстрахования в США, США потребовалось гораздо больше времени, чтобы осознать серьезность надлежащего контроля, необходимого для обеспечения киберстрахования», — отметил Брайан Варзона, руководитель практики в области кибербезопасности, СМИ и технологий в Великобритании в Marsh.
«Я впечатлен тем, что британские риск-менеджеры теперь будут говорить о том, чего они не знают, и привлекать своих ИТ-экспертов, тогда как раньше они воздерживались говорить это и считали, что знать — это их работа. Возможность для риск-менеджеров привлекать других заинтересованных лиц, которые действительно знают, таких как ИТ-директора, технические директора, директора по информационной безопасности или любой другой ИТ-специалист, который может помочь, — это большой шаг вперед. Риск-менеджеры также помогли сгладить пробелы в коммуникации между страхованием и ИТ. Так что они прошли долгий путь, и я искренне рад этому и очень впечатлен тем, как они справились с последними пятью годами, когда они начали все больше погружаться в киберриски и страхование», — добавил он.
Многое из этого произошло на фоне быстро укрепляющегося рынка киберстрахования, где цены подскочили почти за одну ночь, емкость упала, а ограничения ужесточились.
«Они прошли через глобальный рынок ужесточения, так что это не могло быть весело для риск-менеджеров, которые рискнули купить страховку от киберугроз, а два года спустя она стоит значительно дороже», — сказал Варзона.
Он указал на улучшение тенденций по претензиям среди крупных организаций как на доказательство того, что многие «заперли дверь и занялись управлением рисками».
Но он сразу же подчеркнул, что, несмотря на эту хорошую новость, всегда есть возможности для улучшения. Не в последнюю очередь потому, что киберриск — это быстро меняющийся риск, а также тот факт, что хакерам нужно проникнуть внутрь только один раз, в то время как компании должны защищаться от атаки за атакой.
«Когда вы смотрите на организации, которые постоянно имеют дело с новыми технологиями, это сдвигает планку с точки зрения того, что вы должны делать, чтобы считаться хорошим риском. Но помните, что идеального риска никогда не бывает. Некоторые организации подбираются близко, например оборонные подрядчики, но даже их атакуют самыми изощренными методами», — сказал Варзона.
Он добавил: «Вы должны думать об этом тремя разными способами. У вас есть аппаратные изменения, у вас есть изменения в программном обеспечении, а затем у вас есть изменяющиеся факторы атаки. Поэтому, когда все три из них меняются ежегодно или чаще, невозможно обеспечить идеальную безопасность. Я всегда говорю это директорам по информационной безопасности: вы должны быть правы все время, а злоумышленники должны быть правы только один раз. У них есть возможность попробовать тысячи попыток проникновения в организацию».
Затем эксперт по киберрискам дал ключевые советы, не зависящие от отрасли, которые помогут компаниям еще больше укрепить свою киберзащиту.
Номер один — тестирование и отработка реагирования на инциденты. «Пройдитесь по сценариям, которые вас больше всего беспокоят. Общение — большая часть этого. Они идут рука об руку», — сказал Варзона.
Он также советует попытаться понять возможные воздействия на вашу компанию с нескольких точек зрения.
«Получите несколько мнений третьих лиц. Если у вас серьезная болезнь, вы получаете несколько разных мнений, поэтому вам нужно подумать о том, чтобы сделать то же самое с кибербезопасностью. Если вы получите одно мнение, оно будет предвзято относиться к областям, о которых у третьей стороны есть данные или которые лучше всего этой стороной понимаются», — сказал он.
И, наконец, Варзона призывает риск-менеджеров использовать продление киберстрахования в качестве постоянной оценки киберрисков и процесса их снижения.
«Я также призываю компании использовать процесс покупки киберстрахования, чтобы лучше понимать свои риски. Есть так много разных аспектов полиса киберстрахования и понимания того, как вы покупаете полис с точки зрения кибер-уязвимости. Не думайте об этом как о простой передаче риска. Думайте об этом как о ежегодном учебном занятии по киберрискам и поисков уязвимости для вашей организации. Не позволяйте этому случиться только один раз в год. Имейте несколько точек соприкосновения со своим брокером и консультантами, а также с внутренним ИТ-отделом», — сказал он.
Подготовлено порталом Allinsurance.kz