企业安全必修课 IT企业如何投保

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：丹尼·布拉德伯里

随着IT技术在公司和政府机构的普及，如何保证系统和数据安全成为了新的问题。丹尼·布拉德伯里将带大家去了解一下实际的情况。

IT系统时刻面临风险。不论是数据中心上的还是网站里，危险是无处不在的。我们可以为企业建立安全策略，保护其免受很多类型的风险，但是能对相关的风险进行量化计算么？

现在有几家公司可以为IT面临的风险提供保险。一些是专注于责任保险的IT服务提供商，而其他还包括利用IT为业务服务的公司。相关的保险可以作为一个整体方案的组成部分，或者一个专门的方案。

举例来说，在英国，丘博保险可以把电脑服务作为其商用物业保险的一部分。在美国，它有一个专门的IT安全保险政策，其中包括网络盗窃、拒绝服务、以及在网络通信中的网络破坏和损害的数据等带来的损失。

通过价格角度，对IT风险进行评估是不容易的。全国建筑商协会最近被盗的笔记本电脑中包含了未加密的客户资料，对其风险进行量化的结果是金融服务局九十八万英镑的罚款。但是特种IT保险经纪FRD Risk Solutio董事总经理克里斯·菲茨杰拉德解释说，这种情况是不会予以保险的。

“目前的现实世界中，人们不愿意告诉你，如果真正的灾难发生，会有多大的损失。”
                                                ——NetDiligence首席执行官，马克·格森格

“在英国这将被视为违反公共政策，”他说，“你可以选择一个公关顾问公司，以减轻声誉的损害，并对客户帐户的详细资料进行重新分配。”

零售商TJX Group，在服务器被安装恶意软件导致流失了数百万信用卡记录后，已经投保；但这种保险需要客户、经纪和承销商之间进行谈判。“很多时间，定价模式是很表面化的，客户并不了解实际的情况。”菲茨杰拉德说。

但是如何进行保费的计算？

包销商经常会利用IT专业风险评估公司的伙伴关系进行调查。包销商的专业知识加上充经纪人自己的调查，可以包含了客户的业务流程和质量保证程序。来自保险商Safeonline的合伙人克里斯解释说，该公司划分了五个风险等级。最低的一级是只有电子邮件和存储数据的办公系统的公司，而最高的是类似于电子商务公司那样的完全依赖于互联网进行他们的生意的企业。

“如果风险到了一定的水平，我们会要求进行审计并采用外部公司执行。但如果风险相对较小的话，我们也可能就问他们几个问题就可以了，”克里斯说。举例来说，我们可能问他们是否定期监测资料，或者是否有防火墙。“如果答案是有的话，我们就会提供保险，”他说。

来自丘博保险的高级信息和通信技术专家保罗·斯金纳认为，IT风险保险合同的第一方赔偿是很容易量化的。“对第一方来说，你可以计算财产的价值和业务中断导致的损失。”他说，但第三方责任，你的计算机系统导致别人失败而带来的损失，是很难量化的。

对客户资料的损害进行计算，确定其成本是一项艰巨和很难作到精确的工作。克里斯说，通常情况下，在其它类型的保险中，精算师是利用测试表和方程进行处理和计算的；而在信息和通信技术行业，这样的数据是不完善的。

“在汽车保险方面，经过了十年或者二十年的精算研究，才取得了一个精确模型。”他说，“我们没有这么多的数据，因此我们只能按照合理的利率基础上合理的风险进行操作。”

代表保险公司进行IT风险评估服务的NetDiligence公司的首席执行官，马克·格森格，解释道，“目前的现实世界中，人们不愿意告诉你，如果真正的灾难发生，会有多大的损失。”

精算师们目前使用的最佳资料通常来自类似美国联邦调查局和计算机安全研究所一类组织的研究机构，但即使是这些数字也和实际情况差别很大。而且在美国（以及在欧洲可能也很快会这样），数据披露是违反相关法律的；要想作为一门精确的科学，它还有很长的路要走。

“人人都有可能受到数据损失的潜在威胁。现在关键的问题是没有真正的标准，”来自檀香山的美国储蓄银行负责安全的副总裁肯·纽曼警告大家。“我们正在对身份被盗问题进行深入的评估。”

NetDiligence的菲茨杰拉德同意这样的观点，隐私在最近几年将如同TJX Group和其它公司发生的事件一样成为热点问题。他说：“网络空间让数据变得无处不在。而丢失的备份磁带和笔记本电脑，在被人们不当的处理后，带来了很大的危害。”

菲茨杰拉德补充说，客户在使用外包IT服务的时间，也需要另一种风险的保险。根据外包合同的性质和规模，外包供应商可能并不总是满足他们的客户或为客户向保险公司提供自己风险规避政策的详情。保险公司可能会经常对客户进行审计，但无论如何，负责的大型外包供应商一定会提供帮助，他补充说。

IT风险保险仍然是一个相对不成熟的领域，但是监管机构将更加重视公司对内部风险的控制，这会将IT风险的控制成为一个越来越重要的问题。在一些保险和约中已经出现了IT风险方面的内容，但这并不意味着IT经理即将丧失他的机会。