华盛顿——网络保险的相对较新的领域提供了一个有潜在价值的盾牌从金融人数,数据泄露公司可以访问,但这个市场的阻碍是缺乏信息威胁景观和文化在许多公司往往边缘化的网络问题,政府的一位高级官员警告说。
汤姆·菲南,资深网络安全策略和律师在美国国土安全部,一直领导着网络安全保险业的回顾,寻找途径,政府可以帮助推动市场发展。在在最近一次政府IT评论会议他建议,保险公司将在其覆盖的选项有关的风险更具体的数据,申请人面临更加慷慨。
[相关阅读:5件事情你需要了解网络安全保险]
“也许并不奇怪,公司没有公开从网络事件披露自己的损失,他们正在经历因此有只是没有足够的精算数据 - 还 - 使第一方覆盖以下类别更成功,”菲南说。“几位参加我们的运营商已经告诉我们,关于网络事件大数据可能是一个潜在的宝库,将极大地帮助他们的努力。”
其结果是,保险公司通常承保基于在申请公司的安全文化评估政策,发现,尽管高调违规的稳定的饮食,网络问题仍然是IT部门内被边缘化,而不是被纳入更广泛的企业风险管理(ERM)框架。
这是一个问题,根据菲南。
制作一个商业案例,投资对网络风险
“对于许多公司来说,商业案例投资抵御网络风险依然尚未作出。也有一些例外,企业领导人继续把网络安全作为一个IT问题,与其他业务分离和分开的风险,他们正在解决作为其一部分的企业整体的风险管理策略,”他说。
[相关阅读:让你的董事会买入的网络安全]
“有可能是这个多种原因,”菲南补充。“最关键的一个似乎是网络风险仍然没有降低到条款,非技术业务领导可以随时了解 - 即网络事件的财务成本和潜在损害名誉未能有效地解决这些问题。”
在与业界的讨论中,美国国土安全部已经确定,大公司一般都做得比较好不是制度化的网络威胁作为全公司的风险更小的同行。不过,虽然网络保险专业人士指出,企业仍然挣扎“如何将网络风险纳入现有的ERM方案,在这样具有挑战性的企业文化问题,”菲南说。
[相关阅读:它的时间为一个国家网络安全安全委员会(NCSB)]
保险高管们的建议菜单,为企业提高他们的网络文化,包括在这个问题上,劳动力教育和意识较强的行政领导,推进信息共享策略来确定“内的公司需要什么样的信息和谁是什么格式,方便推动更有效的网络风险管理的投资,”菲南解释。
与网络风险和企业风险管理的底线是,企业需要做更多的工作带来的首席信息安全官和其他网络安全专业人员到传统风险业务风险管理的讨论,“他说,”直到他们这样做,他们会错过,否则更广泛的网络安全产品保险比其他提供给他们。”
这篇文章,“企业文化阻碍网络保险购买”最初发表于CIO 。