Showing posts with label insurance. Show all posts
Showing posts with label insurance. Show all posts

Tuesday, April 28, 2015

Will "Guaranteed Security" Save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital World?

Thanks to a comment by Jeremiah Grossman on LinkedIn, I learned of his RSA talk No More Snake Oil: Why InfoSec Needs Security Guarantees. I thought his slide deck looked interesting and I wish I had seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk.

One of his arguments is that security products and services lack guarantees, "unlike every day 'real world' products," as shown on slide 3 at left.

The difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products at left and those protected by security products and services, however, is that security products and services are trying to counter intelligent, adaptive adversaries.

Jeremiah does include a slide showing multiple "online security guarantees" for financial services. Those assets do indeed face challenges from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of adversaries I have in mind. I need to hear more about what Jeremiah said at this point, and also I need to learn more about this individual guarantees.

It may be useful to look at what physical security companies offer by way of guarantees. I did not see this angle in Jeremiah's slides, although he may have talked about it.

Taking a tentative step in this direction, I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADT web site. You've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ads for protecting homes, and you might even be a customer. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of company that faces at least some threats who are intelligent and/or adaptive. What guarantees does ADT offer?

The screen capture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. I am particularly interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Theft Protection Guarantee."


A cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft protection guarantee is like a "hack prevention guarantee." As you can see, if your home is burglarized while under ADT monitoring, you get up to $500 paid toward your insurance deductible.

The fine print is even more interesting:

"The Customer presenting ADT with this ORIGINAL CERTIFICATE will be eligible to receive a reimbursement of up to five hundred dollars ($500) of Customer’s homeowner’s insurance deductible (if any) if, and only if, ALL of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following requirements are met to ADT’s reasonable satisfaction

(i) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property loss was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a burglary that took place while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security system installed at Customer’s protected premises was in good working order and was “on,” and while all of Customer’s doors and windows were locked; and 

(ii) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 residence through a door, window or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area equipped with an ADT detection device, and such detection device was not “bypassed”; and 

(iii) Customer is not in any way in default under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ADT Residential Systems Customer’s Order; and 

(iv) Customer files a written claim with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir homeowner’s insurance company, and such claim is not rejected or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise contested by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer; and 

(v) Customer reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burglary loss to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate police department and obtains 
a written police report; and 

(vi) Customer provides ADT with copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance claim report, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police report within six
ty (60) days of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property loss and proof of settlement by insurance carrier; and 

(vii) Customer certifies in writing to ADT (by signing this ORIGINAL CERTIFICATE and presenting it to ADT within sixty [60] days of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property loss) that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foregoing requirements have been satisfied. 

Customer understands that presentation of this ORIGINAL CERTIFICATE signed by Customer is required and understands that ADT reserves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to reject any application for reimbursement that does not comply with ALL of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements." (emphasis added)

Can you imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent conditions for a digital security service or product? Could you imagine a customer being able to prove it met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements?

It would be interesting to see how many times ADT has paid out this guarantee money.

Wait, you might say, Jeremiah showed a car in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of this post. What do car security guarantees look like? I'm glad you asked. Here's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top results I found online, for Viper.


Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fine print:

"Qualifications:

    The qualifying system was sold, installed, and serviced by an authorized dealer for DIRECTED, remains in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was originally installed, and owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original purchaser of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualifying system. Window decals must have been in place on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vehicle at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of installation.

    The cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft occurred less than one year after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of purchase of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualifying Viper system.

    This GPP claim is made within sixty (60) days of settlement of your claim with your insurance carrier. (90 days in New York state)

    The warranty registration card was completely filled out and mailed to DIRECTED within 10 days of purchase.

    The vehicle was stolen as a result of alarm system failure and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automobile was not left in an inactive/disarmed mode for whatever reason, even if left at a service station.

    A police report must be filed and a copy submitted with your GPP claim.

    Vehicle must be insured against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time vehicle was stolen.

    The insurance company must accept and pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claim.

    A DIRECTED starter kill device must have been installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vehicle and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sales receipt must show starter kill installation.

Your claim MUST meet all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criteria as stated above to be eligible to file a claim for reimbursement of your comprehensive deductible...

A product's warranty is automatically void if its date code or serial number is defaced, missing, or altered. GPP does not cover vandalism, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of vehicle parts, contents, damage to vehicle and/or towing charges. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, vehicles that are consigned or displayed for sale are not covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPP program. GPP is not available to employees, agents, friends or relatives of Directed or of its dealers. 

GPP does not extend to or cover motorcycles or vehicles without lockable doors, ignition systems and/or engine compartments." (emphasis added)

Again, I ask, can you imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent conditions for a digital security service or product? Could you imagine a customer being able to prove it met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements?

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se examples of security guarantees in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical work, I don't think we will see much progress in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world, perhaps beyond paying insurance deductibles.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heavy work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic side will be done by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance companies, as is indicated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se physical security examples.

We are likely to see more insurance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security vendor side, as we are already seeing (as noted in Jeremiah's talk) much more insurance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security consumer (enterprise) arena.

Quick addendum: It just occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security services mentioned earlier are primarily means to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


  1. Decrease insurance premiums.
  2. Deter attackers.
  3. If deterrence fails, increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes of more rapid police response.
These ideas have some relevance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world, although I think "stickers" saying "protected by product X and service Y" may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite effect, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may give intruders ideas on how to bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses. Then again, that might already happen with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house and car alarm examples.


Saturday, September 29, 2007

Cyberinsurance in IT Security Management

One more thought before I retire this evening. I really enjoyed reading Cyberinsurance in IT Security Management by Walter S. Baer and Andrew Parkinson. Here are my favorite excerpts.

IT security has traditionally referred to technical protective measures such as firewalls, aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication systems, and antivirus software to counter such attacks, and mitigation measures such as backup hardware and software systems to reduce losses should a security breach occur. In a networked IT environment, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic incentives to invest in protective security measures can be perverse. My investments in IT security might do me little good if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems connected to me remain insecure because an adversary can use any unprotected system to launch an attack on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

In economic terms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private benefits of investment are less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social benefits, making networked IT security a public good — and susceptible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free-rider problem. As a consequence, private individuals and organizations won’t invest sufficiently in IT security to provide an optimal (or even adequate) level of societal protection.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas, such as fire protection, insurance has helped align private incentives with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall public good. A building owner must have fire insurance to obtain a mortgage or a commercial business license. Obtaining insurance requires that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building meet local fire codes and underwriting standards, which can involve visits from local government and insurance company inspectors. Insurance investigators also follow up on serious incidents and claims, both to learn what went wrong and to guard against possible insurance abuses such as arson or fraud. Insurance companies often sponsor research, offer training, and develop best-practice standards for fire prevention and mitigation.

Most important, insurers offer lower premiums to building owners who keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir facilities clean, install sprinklers, test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir control systems regularly, and take ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protective measures. Fire insurance markets thus involve not only underwriters, agents, and clients, but also code writers, inspectors, and vendors of products and services for fire prevention and protection. Although government remains involved, well-functioning markets for fire insurance keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility for and cost of preventive and protective measures largely within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector.


That is so compelling. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberinsurance market is currently small:

[B]usinesses now generally buy stand-alone, specialized policies to cover cyberrisks. According to Betterley Risk Consultants surveys, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual gross premium revenue for cyberinsurance policies has grown from less than US$100 million in 2002 to US$300 to 350 million by mid 2006. These estimates, which are based on confidential survey responses from companies offering cyberinsurance, are nearly an order of magnitude below earlier projections made by market researchers and industry groups such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Insurance Information Institute.

But Betterley, like many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industry experts, believes that cyberinsurance will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest growing segments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property and casualty market over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next several years. With only 25 percent of respondents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent Computer Security Institute/US Federal Bureau of Investigation Computer Crime and Security survey reporting that, “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations use external insurance to help manage cybersecurity risks,” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market has plenty of room for growth.


So what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems?

The reported 25 percent cyberinsurance adoption rate appears low to many observers, given well-publicized increases in IT security breaches and greater regulatory pressures to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Although we could partially attribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slow uptake to how long it takes organizations to acknowledge new security risks and budget for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors seem to be of particular concern for cyberinsurance. They include problems of asymmetric information, interdependent and correlated risks, and inadequate reinsurance capacity...

Insurance companies feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of asymmetric information both before and after a customer signs an insurance contract. They face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adverse selection problem—that is, a customer who has a higher risk of incurring a loss (through risky behaviors or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r—perhaps innate—factors) will find insurance at a given premium more attractive than a lower-risk customer. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer can’t differentiate between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m—and offer differentiated premiums—it won’t be able to sustain a profitable business.

Of course, to some extent, insurance companies can differentiate between risk types; sophisticated models can predict risk for traditional property/casualty insurance, and health insurance providers try to identify risk factors through questionnaires and medical examinations. Insurers can also apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mechanisms to cyberinsurance: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can undertake rigorous security assessments, examining in-depth IT deployment and security processes.

Although such methods can reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asymmetric information between insurer and policyholder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can never completely eliminate it. Particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security field, because risk depends on many factors, including technical and human factors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interaction, surveys can’t perfectly quantify risk, and premium differentiation will be imperfect.

The second impact of asymmetric information occurs after an insurance contract has been signed. Insured parties can take (hidden) actions that increase or decrease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of claiming (for example, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of car insurance, driving carelessly, not wearing a seatbelt, or failing to properly maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer can’t observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insured’s actions perfectly. Under full insurance, an individual has little incentive to undertake precautionary measures because any loss is fully compensated—a problem economists term moral hazard.

Insurers may be able to mitigate certain actions through partial insurance (so making a claim carries a monetary or convenience cost) and clauses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance contract—for example, policyholders must usually meet a set standard of care, and fraudulent or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminal actions (such as arson) are prohibited. However, many actions remain unobservable, and it’s difficult to prove that a client didn’t meet a due standard of care.

Cyberinsurers could administer surveys at regular intervals and link coverage to a certain minimum standard of security. Although this might be feasible from a technical standpoint, human factors are often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain and possibly unobservable, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moral hazard problem might not be completely alleviated, implying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purchase of cyberinsurance could in fact reduce efforts on information security. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, purchasers also have incentives to increase effort—that is, to invest in security to obtain insurance or reduce premiums—that would outweigh moral hazard effects in a viable and well-functioning market.

The problem of asymmetric information is common to all insurance markets; however, most markets function adequately given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of tactics used by insurance companies to overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se information asymmetries. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se remedies have developed over time in response to experience and result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well-functioning insurance markets we see today.


This gives me some hope. The article continues:

[G]overnment actions to spur development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberinsurance market could include assigning liability for IT security breaches, mandating incident reporting, mandating cyberinsurance or financial responsibility, or facilitating reinsurance by indemnifying catastrophic losses. Clarifying liability law to assign liability “to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party that can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best job of managing risk” would make good economic sense, but it seems a political nonstarter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US—and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem’s global nature would require a global response.

Similarly, government regulations that mandate reporting of cyberincidents (similar to that required for civil aviation incidents and contagious disease exposures) appear to have little political support. Probably more plausible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short run would be contractual requirements that government contractors carry cyberliability insurance on projects highly dependent on IT security...

Jane Winn of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Washington School of Law has proposed a self-regulatory strategy, based on voluntary disclosures of compliance with security standards and enforcement through existing trade practices law, as a politically more viable alternative than new government regulation. Such a strategy would require increased public awareness of cybersecurity (with possible roles for government) as well as public demand that organizations disclose whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y comply with technical standards or industry best practices.

Disclosures would be monitored for compliance by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers and competitors; and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of deceptive advertising, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal Trade Commission could take enforcement action under existing regulation. This strategy could spur cyberinsurance adoption, which would indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization has passed a security audit or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise met underwriters’ security standards.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important role for government would be to facilitate a full and deep cyberreinsurance market, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK and US have done for reinsurance of losses due to acts of terrorism.


What a great article. I recommend reading it.

Security Staff as Ultimate Insurance

I'm continuing to cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fifth Annual Global State of Information Security:

Speaking of striking back, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2007 security survey shows a remarkable (some might say troubling) trend.

The IT department wants to control security again.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first year of collaboration on this survey, CIO, CSO and PWC noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more confident a company was in its security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less likely that company's security group reported to IT. Those companies also spent more on security.

The reason CIO and CSO have always advocated for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 separation of IT and security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classic fox-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-henhouse problem. To wit, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO controls both a major project dedicated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innovative use of IT and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of that project — which might slow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project and add to its cost — he's got a serious conflict of interest. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 survey, one CISO said that conflict "is just too much to overcome. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO report to IT, it's a death blow."


Ouch. CIO continues:

What's going on here? Johnson has one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory: "Security seems to be following a trajectory similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement 20 or 30 years ago, only with security it's happening much faster. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement, everyone created VPs of quality. They got CEO reporting status. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n in 10 years cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position was gone or it was buried."

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement, Johnson says, that may have been partly because quality became ingrained, a corporate value, and it didn't need a separate executive. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey suggests that security is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ingrained nor valued. It's not even clear companies know where to put security, which would explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "gobs of dotted line" reporting structures.

That brings us to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory: organizational politics. What if separating security from IT were creating checks on software development (not a bad thing, from a security standpoint)? What if all this security awareness cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey has indicated actually exposed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical IT department's insecure practices?

One way for IT to respond would be to attempt to defang security. Keep its enemy close. Pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function back to where it can be better controlled.


Interesting. The article finishes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se thoughts:

[M]aybe security was never as separate as it seemed. Companies created CISO-type positions but never gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m authority. "I continually see security people put in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of fall guy," says Woerner of TD Ameritrade. "Maybe some of that separation was, subconsciously, creating a group to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hit."

This leads me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of my post. What if security staff is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate insurance -- for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO performs "security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater," creating a CISO position and staff, but doesn't give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority or resources to properly defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise? If no breaches (seem) to occur, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO looks like a hero for keeping security spending low. If a breach does occur (and is discovered), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO blames cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO. The CISO is fired and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO keeps his/her job -- at least for now. I don't see a CIO executing this strategy more than once successfully.

What do you think?