الجزء الخامس-التأمين ضد حوادث الأمن السيبراني (كيفية شراء التأمين السيبراني)
في هذا الجزء الرابع من سلسلة المقالات، يناقش السيد إبراهيم صفا (كيفية شراء التأمين السيبراني ونصائح لتحسين الأمن السيبراني)
يمكنك شراء عقد التأمين ضد المخاطر السيبرانية (التأمين السيبراني) وذلك من خلال كما تحدثنا سابقا مباشرة من شركة التأمين أو من وسيط تأمين أو من وكيل في حال توافرت هذه الخدمة لديهم، ومن خلال جمعية أو اتحاد تعنى بشركة التأمين وأيضا بجمعية تعني بالوكلاء والوسطاء. ففي بريطانيا مثلا تتوفر هذه العقود بشكل عام للمنشآت الصغيرة والمتوسطة التي تتراوح حدود التغطية فيها مئات الآلاف من الدولارات، وتتوافر تغطيات أعلى بمبالغ أعلى بكثير من التغطية لشركات كبيرة التي تواجه مخاطر وتهديدات أكثر تعقيدا.
وفي أثناء عملية التقديم للحصول على وثيقة لهذا النوع من التأمين، سيتم طرح مجموعة متنوعة من الأسئلة عليك حول أعمالك وممارسات الأمن السيبراني، وتتضمن هذه الأسئلة المشتركة بين جميع أنواع التأمين، مثل المعلومات المتعلقة بعملك وحجم الأعمال والعملاء وتاريخ حوادث ومطالبات حصلت لك سابقا وما إلى ذلك، والتي تتضمن أسئلة عديدة كما يلي:
سياسات وإجراءات الأمن السيبراني
ما هي سياسات الأمن السيبراني الحالية التي لدى المنشأة؟
هل لدى منشأتك رئيس معين للخصوصية أو لأمن المعلومات؟
هل تستخدم خاصية التشفير؟
هل تستخدم وتنفذ المصادقة متعددة العوامل MFA؟
هل لديك وصول آمن عن بعد، وذلك من خلال إجراءات التحكم في الوصول لمنع الوصول غير المصرح به إلى أنظمة منشأتك وشبكتها؟
هل لدى منشأتك برامج مكافحة الفيروسات وجدار الحماية؟
هل تقوم منشأتك بانتظام بتطبيق التصحيحات على الأنظمة الهامة وبرامج مكافحة الفيروسات وجدار الحماية؟
هل لدى منشأتك خطة لاستمرارية الأعمال أو الاستجابة للكوارث تتضمن الهجمات السيبرانية كسرقة البيانات، والخروقات الأمنية، ورفض الخدمة DoS، وبرامج الفدية؟ وهل تم اختبار الخطة خلال الـ 12 شهرا الماضية؟
هل لدى منشأتك أية شهادات في مجال أمن المعلومات؟
هل واجهت منشأتك أية حوادث سيبرانية سابقة؟
هل تتخذ منشأتك أي خطوات إضافية لاكتشاف هجمات برامج الفدية ومنعها؟
استخدام البيانات وتخزينها
هل تقوم منشأتك بجمع البيانات أو تخزينها أو معالجتها؟
ما نوع البيانات التي تقوم منشأتك بجمعها أو تخزينها أو معالجتها؟
ما مقدار البيانات التي تقوم منشأتك بجمعها أو تخزينها أو معالجتها؟
ما هو مستوى حساسية البيانات المخزنة؟
هل تقوم منشأتك بتشفير جميع البيانات الشخصية والسرية التي تم جمعها وتخزينها ومعالجتها؟
هل تلتزم منشأتك بتشريعات حماية البيانات في البلد التي تتواجد فيها؟
النسخ الاحتياطي
كم مرة تقوم منشأتك بعمل نسخة احتياطية لأنظمة المتواجدة فيها؟
هل تم تخزين النسخة الاحتياطية دون الاتصال بالإنترنت في مكان آمن مع تقييد الوصول إليها إلا فقط الموظفين المصرح لهم؟
هل تستخدم منشأتك بيانات اعتماد تسجيل الدخول الإدارية أو الرئيسية للنسخ الاحتياطي ويتم تخزينها بشكل منفصل عن بيانات اعتماد تسجيل الدخول الأخرى؟
هل نسخة منشأتك الاحتياطية منفصلة عن شبكتها ولا يمكن الوصول إليها من خلالها؟
ما مدى سرعة الحصول على البيانات من النسخة الاحتياطية الخاصة بمنشأتك؟
كم من الوقت سيستغرق استعادة أنظمة منشأتك بالكامل من خلال النسخة الاحتياطية؟
ما مدى انتظام اختبار النسخة الاحتياطية الخاصة بمنشأتك؟
استخدام الموقع
هل لدى منشأتك موقعا إلكترونيا على شبكة الانترنت؟
ما هو عنوان الموقع الإلكتروني الخاص بمنشأتك؟
ما مدى الاعتماد على موقع المنشأة الإلكتروني للحصول على الإيرادات من خلال له؟
مدفوعات البطاقة
هل تستخدم المنشأة خدمة الدفع بالبطاقات؟
هل منشأتك متوافقة مع أحدث معايير أمن بيانات صناعة بطاقات الدفع؟ إذا كان الأمر كذلك، إلى أي مستوى؟
الاستعانة بمصادر خارجية
ما هي خدمات تكنولوجيا المعلومات / البيانات التي يتم الاستعانة بمصادر خارجية لأطراف ثالثة؟
ما العناية الواجبة التي تقوم بها لهذا الغرض؟
هل تقدم معلومات شخصية أو حساسة أو سرية لأطراف ثالثة؟
نصائح لتحسين الأمن السيبراني
يجب العمل على تطوير أدوات السلامة السيبرانية بين شركات التأمين والمركز الوطني للأمن السيبراني في أي بلد، والعمل على تقييم الإعداد التقني وممارسات العمل والاتفاقيات الموقعة من قبل أي منشأة والشركات الأخرى، وذلك لكشف نقاط الضعف المحتملة، وتلقي توصيات مخصصة لتعزيز أمن المنشأة السيبراني، وذلك من أجل العمل على إنشاء عقد أو وثيقة التأمين السيبراني سليم وفعال في حال حدوث حوادث سيبرانية لا سمح الله.
الخلاصة
يجب التفكير الفعلي في أمر وثيقة التأمين السيبراني، والحصول على عرض أسعار لذلك، مع العلم أنه لا يزال عالميا سوق التأمين السيبراني حديث العهد، بالنسبة لعالمنا العربي فهو منتشر في بعض دول الخليج كالسعودية والإمارات، وفي ليبيا حديثا، وهذه إشارة مهمة للاهتمام العربي في هذا النوع من أنواع التأمين.
ليس كل شركة تأمين تستطيع تقديم تغطيات تأمينية لهذه الوثيقة المهمة، إلا إذا كانت ملمة بمهام تقنية المعلومات ومخاطرها، وتستطيع القيام بالتغطيات المالية اللازمة، سواء بدفع المطالبات للأطراف المتضررة، أو في عمليات الإعادة لدى شركات إعادة التأمين. وما يجب التوصية به للمنشآت سواء أكانت حكومية أم خاصة، أن هذه الوثيقة من الممكن اعتبارها وثيقة رسمية مهمة للجهات الرقابية والتشريعية، أن المنشأة قامت بتطبيق متطلبات أمن المعلومات بحسب الأصول، وكما قيل “درهم وقاية خير من قنطار علاج”.
