AI Responsibly with ndMAX
As the general manager of a managed service provider that works with law firms across the United States on all things IT-related, not much surprises me when it comes to technology requests from lawyers. However, we recently had an eye-opening experience that led us to explore the requirements for obtaining cyber liability insurance, which is increasingly being added to organizations’ security and disaster recovery strategies. In fact, Fitch Ratings recently reported that standalone cyber coverage increased by 92% in 2021, with Munich RE citing cyber premiums worldwide at $9.2 billion.
Nosso cliente estava entusiasmado com a instalação da autenticação de dois fatores em seus sistemas e queria que ajudássemos a implementá-la imediatamente. Obviamente, esse é um tópico com o qual estamos igualmente empolgados. A autenticação de dois fatores é um processo de segurança no qual os usuários fornecem uma senha e um comprovante de identidade, como um código enviado ao telefone por meio de notificação de mensagem de texto, adicionando uma camada extra de segurança para garantir que suas informações permaneçam protegidas. A ideia é que é muito improvável que um hacker tenha acesso à sua senha e ao seu dispositivo móvel exatamente ao mesmo tempo.
There was a sense of urgency to the request, so I had to learn more. When I dug deeper, I found out that the reason they were so passionate about the topic was because they had applied for cyber liability insurance and were rejected for not having multifactor authentication (MFA) installed. Believe it or not, they couldn’t even find someone who would quote them for a policy without it.
Se você está pensando em solicitar um seguro de responsabilidade cibernética, há algumas coisas que você deve saber. A principal delas é que durante esse processo você será solicitado a compartilhar muitas informações sobre sua superfície de risco atual e quais medidas você já está tomando para evitar que algum tipo de incidente ocorra. Se você observar sua solicitação média de apólice de seguro de responsabilidade cibernética, as perguntas que serão feitas podem parecer bastante esmagadoras.
In terms of email security controls, for example, you’ll need to provide information about whether you tag external emails to alert employees that the message is coming from someone outside of the company. You’ll need to state whether you pre-screen emails for potentially malicious attachments and links.
Regarding internal security controls, you’ll have to disclose whether you use a cloud storage solution to store data or host applications. Given that most firms use either Microsoft 365 or the GSuite, cloud storage is now almost universal. You’ll need to outline what efforts you’re making in terms of multifactor authentication for services like Amazon Web Services, Microsoft Azure, or Google Cloud. The list goes on and on.
Um provedor de seguro de responsabilidade cibernética ainda é... um provedor de seguro. Não é diferente do que se você estivesse tentando obter um seguro de automóvel - eles analisariam seu histórico de direção, o número de acidentes em que você esteve, o número de multas de trânsito que você recebeu e muito mais - tudo para chegar ao avaliação de risco mais precisa possível. Se você for considerado "muito arriscado", eles não oferecerão cobertura porque você quase certamente está indo para um problema.
Portanto, esses tipos de medidas são essenciais – não apenas para prevenir um ataque cibernético, mas para viabilizar esse tipo de apólice de seguro em primeiro lugar. Eles vão querer garantir que você não apenas tenha backups de dados, mas que esses backups sejam criptografados. Eles precisarão saber se seus backups são mantidos separados de sua rede ou em um serviço de nuvem projetado para essa finalidade. Eles vão até mesmo aprofundar se seus funcionários têm treinamento em engenharia social da empresa – algo que por si só pode ajudar a evitar a grande maioria dos ataques que você pode enfrentar.
Tudo isso soa como uma tremenda quantidade de esforço? Sim – porque é. Mas também vale a pena, porque você está fazendo sua parte para ajudar a mitigar o risco e evitar o tipo de desastre que essa política precisaria pagar.
A melhor jogada estratégica para ajudar a fortalecer sua postura de segurança é trabalhar com especialistas que entendem os requisitos de seguro de responsabilidade cibernética para implementar melhores processos, políticas e tecnologias baseadas em nuvem líderes do setor. Soluções como NetDocuments para organization e gerenciamento de documentos e e-mails, por exemplo, têm recursos avançados de segurança para coisas como prevenção de perda de dados, gerenciamento de segurança do espaço de trabalho e chaves de criptografia gerenciadas pelo cliente. E com integrações com outras tecnologias que você usa diariamente, tudo fica dentro da proteção do DMS.
Com as ferramentas e processos corretos, esperamos que você nunca precise usar sua cobertura de seguro de responsabilidade cibernética. Mas tê-lo pode ajudar a garantir que você esteja preparado para o pior cenário e trazer paz de espírito, portanto, as preocupações com o ransomware não o mantêm acordado à noite.
With 27 years of experience, Kevin Haight is the General Manager for WAMS, Inc., a NetDocuments implementation partner and IT support provider for law firms in the Southern California region.
