不断变化的威胁形势、监管要求、技术环境会对公司的风险概况产生巨大影响,静态的安全评级得分无法反映这些变化。
安全评级服务已成为公司评估自身以及合作伙伴网络安全状况的一种流行方式。它们不仅对于建立数据能力基线很有帮助,还经常在其他场合被用到。例如,它们在董事会中充当描述公司网络风险状况的"吸睛点",被供应链伙伴用来管理第三方风险,甚至更可怕的是,被保险公司用来为网络保险单生成风险概况。
不幸的是,公司按照这种方式使用这些评级,就像仅仅看着室外温度就说"今天会是个好天气"一样——这是一种不完整的评估,通常会犯下严重的错误。说到底,你公司的"A-"或"B-"评级到底意味着什么?它是否真正反映了公司的安全性?通常情况下答案是否定的。所以说,使用这些评分的网络保险公司依赖的其实是对目标公司风险的不准确评估。
接下来我们深入研究这个问题,以下是网络保险公司应当重新考虑是否使用安全评级的三个原因。
1. 评级是对某个时间点的评价
安全等级评估在特定的时间点进行——这就意味着无法洞察未来可能发生的事情,甚至可能都无法准确反映那个时间点。举一个简单的例子,也许在进行安全等级评估时,这家公司的供应链公司中已在不知情的情况下被攻破。
2. 评级没有考虑到不断变化的威胁形势
联邦调查局报告说,2020年由于新冠疫情,勒索软件攻击比前一年猛增400%,赎金金额从数千美元上升到数百万美元。没有人能够预料到这种局面。威胁环境中类似这样的微小变化就彻底颠覆了所有公司的风险计算公式。这是风险暴露重要组成部分,任何公司都必须加以考虑,但安全评级却没有做到。
3. 评级不是一种正确的基准值
网络安全威胁是动态变化的,并且应对风险的策略也因行业而异,这使得保险公司很难计算特定的公司风险概况。例如,汽车保险业可以利用数亿司机数十年的数据来为每个人建立风险档案。他们清楚,假设客户年龄在16-19岁之间,发生特定数量事故的概率是有据可查的,保费也反映了这一点。但在网络保险行业中没有类似的基准,所以安全评级成为了一个诱人的替代品,因为它们易于使用,并且安全分数"一目了然"。
那么,网络保险公司如何做才能更准确地计算风险呢?既然没有灵丹妙药,保险公司就需要在这一点上花费更多的时间和金钱来开发出更准确的风险概况,只有这样才能提供既对他们有利、也对客户有用的保单。
这个过程同时需要人工和自动化的风险评估。风险的计算必须针对特定的公司、其行业和合作伙伴、当前的网络威胁情况,以及威胁者可能利用的其他外部因素(如全球疫情爆发)来定制。只有这样,网络保险公司才能很好地进行风险评估,将网络保险打造成为一个值得信赖的成功行业。
参考来源:scmagazine.com
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。