Ano ang mga kinakailangan ng cyber insurers?

Karamihan sa mga cyber insurer ay nagtatanong kung may ilang pangunahing pag-iingat na ang iyong negosyo bago sila mag-alok ng coverage o mag-renew ng policy. Mga karaniwang halimbawa ang multi-factor authentication, na kadalasang tinatawag na MFA, para sa email at mahahalagang account, antivirus o endpoint detection at response, na tinatawag na EDR, regular na pag-a-update ng software sa pamamagitan ng patching, mga backup, at pagsasanay ng mga empleyado.

Magtatanong din sila kung paano mo pinangangasiwaan ang remote access, sino ang may admin rights, kung sinusubok mo ba ang mga backup, at kung mayroon kang plano para sa mga insidente gaya ng panloloko, ransomware, o mga device na ninakaw. May ilang provider na humihingi ng detalyadong mga sagot sa application. Ang iba ay maaaring humingi ng patunay sa ibang pagkakataon.

Ang mahalagang malaman ay ito. Ang mga insurer ay hindi naghahanap ng pagiging perpekto. Karaniwan, gusto nilang makita na may makatwirang mga kontrol ka, na alam mo kung ano ang mayroon ka, at na may isang taong responsable sa pagpapanatiling maayos ang mga pangunahing ito.

Ang cyber insurance ay makakatulong sa mga gastos pagkatapos ng ilang partikular na insidente, ngunit nakatali ang coverage sa mga sagot sa application mo at sa mga tuntunin sa policy. Kapag sinabi ng iyong negosyo na may nakalagay na kontrol pero wala naman talaga, maaari itong magdulot ng mga problema habang nagfa-file ng claim. Kaya isa ito sa mga dahilan kung bakit dapat dahan-dahan at siguraduhin ng mga may-ari ng negosyo na tama at tumpak ang mga sagot.

Para sa isang maliit na negosyo, ang usapin ay hindi lang insurance. Ang mga parehong bagay na tinatanong ng mga insurer ay kadalasang iyon din ang mga basic na irerekomenda ng isang mahusay na managed IT provider, na tinatawag ding MSP. Ito ay mga praktikal na hakbang na nakababawas sa mga problemang maiiwasan at mas pinapadali ang pagbangon kapag may nangyaring mali.

Magkaiba rin ang mga requirement batay sa industriya at sa estado. Halimbawa, ang isang medical office ay maaaring may mga tanong na kaugnay ng HIPAA, ang Health Insurance Portability and Accountability Act. Ang isang negosyong humahawak ng payment cards ay maaaring tanungin tungkol sa PCI, ang Payment Card Industry Data Security Standard. Ang isang kumpanyang nagbebenta sa mas malalaking organisasyon ay maaari ring marinig ang tungkol sa SOC 2, isang balangkas na ginagamit ng maraming customer para i-review ang mga kontrol sa seguridad.

Ang seguridad ng email ay isa sa mga unang bahagi na tinitingnan ng mga insurer. Kadalasan, gusto nilang may MFA sa Microsoft 365, Google Workspace, at sa anumang cloud app na may sensitibong impormasyon. Ang MFA ay ibig sabihin, ang mga user ay kailangang dumaan sa pangalawang hakbang sa pag-sign in, gaya ng code mula sa isang app o hardware key, hindi lang password.

Tinatasa rin nila ang endpoint protection. Ang endpoint ay isang device tulad ng laptop, desktop, o server. Ang EDR, endpoint detection at response, ay mas advanced na tool kaysa sa basic na antivirus. Tumutulong itong tuklasin ang kahina-hinalang aktibidad sa mga device at nagbibigay sa IT provider ng paraan para imbestigahan at tumugon.

Isa pa sa karaniwang paksa ay ang patching. Ang patching ay ang pag-install ng security at stability updates para sa operating systems, browsers, software ng negosyo, firewalls, at iba pang mga tool. Maaaring itanong ng mga insurer kung gaano kabilis ina-apply ang mga kritikal na update at kung ginagamit pa rin ang mga system na walang suportang bersyon.

Malaki rin ang diin sa mga backup. Maraming insurer ang gusto ng backups na hiwalay sa pang-araw-araw na mga system at regular na sinusubok. Maaari mong marinig ang terminong 3-2-1 backup. Ibig sabihin nito ay may 3 kopya ng data, sa 2 magkakaibang uri ng media, at ang 1 kopya ay nakaimbak off-site o kung hindi man ay hiwalay. Walang makatotohanang provider na nangangakong zero downtime, hindi maha-hack na network, o garantisadong recovery, pero gusto ng mga insurer na makita na totoo ang recovery planning.

Mahalaga rin ang access control. Madalas itanong ng mga insurer kung sino ang may administrator rights, kung ang mga dating empleyado ay inaalis agad, at kung ang remote access ay limitado at protektado. Maaari rin nilang tanungin kung maaabot ng mga vendor o contractor ang iyong mga system at kung paano kinokontrol ang access na iyon.