لقد ظهرت حقيقتان عالميتان لقادة الأعمال وتكنولوجيا المعلومات عبر الصناعات. الأول هو أن دور تكنولوجيا المعلومات يتشكل حسب احتياجات العمل والاستراتيجية التنظيمية. للبقاء في المقدمة، يجب على المؤسسات التكيف مع البيانات والأنظمة الآمنة بما يتماشى مع التطور السريع للتكنولوجيا المتأثرة بالأعمال. لسوء الحظ، عادةً ما يعطي قادة الأعمال الأولوية للوظائف والكفاءة في فراغ، ولا يفهمون الآثار المترتبة على الأمن قبل المضي قدمًا. وبالتالي، قد يعتمدون على تأمين الأمن السيبراني كإجراء احتياطي دون إدراك كامل للمخاطر المحتملة التي ينطوي عليها الأمر.
ثانياً، يتغير تأمين الأمن السيبراني بنفس السرعة. تقليديا، كان بمثابة شبكة أمان، مما يسمح لقادة الأعمال بالراحة. ومع ذلك، فمن الواضح الآن أنه يوقظهم تتضاعف أقساط الأمن السيبراني ثلاث مرات وحتى أربع مرات.
إن المخاطر كبيرة، سواء كان الأمر كذلك حذرت اللجنة المشتركة المستشفيات من التخطيط للتوقف عن العمل لمدة شهر أو أكثر بعد الهجوم، أو ال عدد مذهل من المنظمات التي تتوقف عن العمل بعد الاختراق. لقد أدركت شركات التأمين الاتجاهات وتقوم بالتكيف مع المخاطر بشكل أكثر ملاءمة. لتأمين بوليصة تأمين ميسورة التكلفة وأسعار مميزة، من المهم لقادة الأعمال التأكد من أن أعمالهم في مكانها الصحيح.
تخفيف المخاطر والتكاليف
إن التأثير التراكمي لهذه “الحقائق” فوري وهام. ولهذا السبب لم يكن من المهم أكثر من أي وقت مضى بالنسبة لقادة الأعمال وتكنولوجيا المعلومات إلقاء نظرة جديدة (مجمعة) على عمليات وممارسات الأمن السيبراني الخاصة بهم، والتفكير في العديد من الإجراءات الأولية عند النظر في استراتيجيتهم للتأمين على الأمن السيبراني:
-
إجراء تحليل تأثير الأعمال (BIA). من الضروري فهم المخاطر التي تواجهها وقياس التأثير الذي يمكن أن تحدثه الهجمات الإلكترونية المختلفة على مرونة الأعمال. من الناحية المثالية، يخضع تحليل تأثير الأعمال للقيادة العليا ويتضمن ممثلين عن تكنولوجيا المعلومات والعمليات والمالية والامتثال والشؤون القانونية والموارد البشرية والتسويق والعلاقات العامة وأي قادة رئيسيين آخرين لوحدات الأعمال ومجلس الإدارة. يزن هذا التحليل بشكل فعال مزايا الأساليب المختلفة للتأمين على الأمن السيبراني.
-
قم بمراجعة سياسات التأمين للأمن السيبراني عن كثب. في مواجهة المخاطر السيبرانية التي يمكن أن تؤدي إلى إغلاق الشركات السليمة، تضيف شركات التأمين إضافات وبنود تابعة يجب على حاملي وثائق التأمين الالتزام بها. تكتشف الكثير من الشركات بعد تعرضها لهجوم أنها لم تستوف متطلبات عقد شركة التأمين وتضطر إلى الاعتماد على نفسها. تأكد أيضًا من البحث عن قواعد أكثر صرامة بشأن مدى سرعة الإبلاغ عن الانتهاك. هذا هو المكان الذي يتطلب فيه التعاون التنظيمي، حيث يمكن للمدير المالي ورئيس قسم المعلومات والمستشار القانوني تقييم وثائق التأمين من خلال عدسات مختلفة.
-
التحدث مع وسيط. من المهم أن تظل على اطلاع بخيارات الأمن السيبراني الجديدة. ويجب على الشركات أيضًا استكشاف مزايا الأساليب المختلفة. على سبيل المثال، من المفيد التفكير في نهج مختلط يتم من خلاله تقسيم ميزانيتك بشكل استراتيجي، مع استثمار بعض الإنفاق في التأمين التجاري والبعض الآخر المخصص للتأمين الذاتي. عند شراء بوليصة تأكد من الحصول على عدة تقديرات. هناك تباين كبير بين الخطط والدافعين.
-
تأكد من الالتزام بالمعايير ومحاسبة البائعين (أيضًا). إن التنفيذ الاستباقي لبيئة التحكم بما يتماشى مع المعايير المقبولة في الصناعة يمكن أن يقلل بشكل كبير من أقساط التأمين الخاصة بك. بالنسبة للعاملين في الصناعات الخاضعة للتنظيم، من الضروري الالتزام باللوائح الجديدة والمتطورة، على سبيل المثال قواعد لجنة الأوراق المالية والبورصة تم الانتهاء منه هذا الصيف. يجب على قادة الأعمال في الصناعات غير الخاضعة للتنظيم التأكد تمامًا من استيفائهم للمعايير الأساسية مثل ايزو 2700, نيست-CSF, شركة نفط الجنوب, هيتروست، أو PCI DSS. على الرغم من أن المهاجمين ليسوا محصنين ضد الرصاص وحدهم، إلا أنهم غالبًا ما ينتقلون في مواجهتهم إلى أهداف أقل حماية. ولهذا السبب من المهم أيضًا فحص أي بائعين متصلين بشبكتك للتأكد من استيفائهم لهذه المعايير الأساسية.
-
إجراء تقييم أمني مع طرف ثالث. نحن لا نعرف ما لا نعرفه. تأكد من الحصول على تقييم خارجي بانتظام قبل التقييم الخاص بشركة التأمين. غالبًا ما تقوم شركات التأمين بتقييم وقت إنشاء البوليصة أو موعد تجديدها. يتضمن ذلك النظر في تكنولوجيا الأمان الموجودة لديك، وسياسات الخصوصية، والحوكمة، والاستجابة للحوادث، وتدريب الموظفين، والتشفير، وإدارة البائعين، وإدارة التصحيح، واختبار الاختراق على سبيل المثال لا الحصر. إن إجراء تقييم سنوي مستقل لبيئة الضوابط الخاصة بك لا يساعد قادة الأعمال على النوم ليلاً فحسب، بل يمكن أن يؤثر أيضًا بشكل كبير على أقساط التأمين.
لا شك أن التأمين على الأمن السيبراني يشكل أهمية بالغة اليوم، سواء كان تجارياً بالكامل، أو خطة تأمين ذاتي تستثمر في الدفاعات السيبرانية، أو نهجاً هجيناً. وهو بمثابة أداة قيمة لتقييم ومعالجة المخاطر التي تتجاوز نطاق التكنولوجيا. يجب على المؤسسات، الآن أكثر من أي وقت مضى، أن تنظر إلى التأمين السيبراني باعتباره جزءًا لا يتجزأ من استراتيجية شاملة حيث يلعب الأشخاص والعمليات دورًا محوريًا في تأمين الشبكات والأجهزة والتطبيقات المترابطة اليوم. إنها ضرورة استراتيجية، وليست مجرد تكلفة تجارية.
