2004年,当我初次担任西雅图港口的首席信息安全官时,除了建立一个安全方案以外,我首要的任务就是同公司风险管理部门一道,为防止公司出现数据泄漏而去调查购买网络安全保险的可行性。
那时,没有几个保险公司提供了网络安全保险。更不利的是,该保险的覆盖面很窄,但价格昂贵且只给很低的折扣。
另外值得注意的是,尚不存在对数据泄漏的数量和损失的精确计算。当时,许多州的数据泄漏法律都没有到位,Verizon公司的首份数据泄露调查报告也尚未公布,而且很少有资料显示每条记录泄漏所导致的损失。
幸运的是,网络保险行业有了长足的发展。自2007年以来,该市场规模达到了近4亿美元,更多的产品还将逐渐涌现。
为什么需要购买网络保险?
对企业而言,您需要对数据进行保护。如果该数据包含信用卡信息、个人健康信息(PHI)以及被其他用户视为隐私的信息,一旦泄漏或者丢失可能会导致公司出现巨大的损失,包括修复、罚金和商业信息的损失以及企业声誉的损害。即使企业设置了应急基金,也只是杯水车薪。
从本质上讲,网络保险将为企业在以下一些类型的损失方面提供保护:
每条记录泄漏带来的损失:Ponemon研究所计算出每条数据泄漏给企业带来大约214美元的损失。
通知信息泄漏的损失:对每一个受影响的客户仅用简单的邮件通知需要花费大约1到3美元。
客户信用的监管:信用监管作为对受影响客户提供的补救措施,每年需要为每一个客户花费约20到100美元。
泄漏后的安全取证:取证确认会导致大量的成本,从几千到几十万美元不等。
这些措施的成本都是可以量化的,但需要记住,要想恢复受损的声誉,其花费可能会更加巨大。
因此,一份网络保单对于那些容易在财务和管理上受到数据泄漏影响的公司而言具有巨大的价值。当泄漏发生时,网络保单可以让公司的CEO和董事会不必太慌张。
网络保险运营商有哪些?
目前为止,最知名的运营商/代理商包括:
美国的ACE
怡安集团(AON)
丘博保险(Chubb)
Hartford INSURETrust
SWBC
圣保罗旅行者保险(St. Paul Travelers)
您还可以与代理商Marsh McLennan合作,它会充当经纪人的角色,从而帮助您找到所需的保险公司。
选择一份保单
当您终于锁定一个保险公司并索取报价后,您将需要开始一些耗时的文书工作。具体来讲,您潜在的保险供应商会要求您完成一个网络安全评估申请,也就是安全审计单。完成这个表格会为您解决不少事情。
首先,通过填写申请,您将对您的信息安全情况有一个全面的自我评估。同时,这也将提醒您哪些地方需要关注或升级。
其次,彻底完成了网络保险申请表之后,潜在的保险公司会对作保您公司的数据泄漏的风险程度有一个概念,从而决定您的保单价格。因此,在申请单上彻底而诚实的列出您的风险和相应的缓解战略,这样可能会降低保单价格。
是否有其他的资源?
在选择网络保险时,您还可以考虑以下资源:
检查每个可能的保险公司的检查表、申请表和历史/信誉信息。
和经纪人交谈,以获取不同供应商在保护您公司数据方面的优劣势。
查看Forrester公司Khalid Kark写的文章《问与答:安全和风险专业人员应掌握的网络安全保险基础》。
结论
一个好的消息是,在选择网络安全保险上,今天的您比7年前的我有更多的选择。但是,您一定要做足功课,花时间通过将您的全部数据资产和“Ponemon数据泄漏的成本”进行比较,从而了解您所面临的全部风险。将这些数据累积起来并和保险费用(包括可扣除的费用)进行比较,您可以轻松地知道保单是否值那个价。
【编辑推荐】
