Risikomanagement für die Versicherungswirtschaft

Veröffentlicht: 2019-02-21

Während Häuser, Fahrzeuge und andere persönliche Vermögenswerte versichert werden können, können die von Versicherungsunternehmen gesammelten sensiblen Daten nicht versichert werden. In der Tat sammeln Versicherer viele verschiedene Arten von personenbezogenen Daten, wenn sie bestimmen, wie viel ein Kunde an Prämien zahlen sollte. Von Sozialversicherungsnummern bis hin zu privaten Adressen und Kreditkarteninformationen verwenden Versicherungsunternehmen Daten aus vielen verschiedenen Quellen, um das Risikoniveau jedes Kunden zu bewerten.

Sobald unbefugte Quellen auf die persönlichen Daten Ihrer Kunden zugreifen, können die Folgen verheerend sein. Versicherungsunternehmen müssen einen Managementprozess implementieren, der die Wahrscheinlichkeit einer Verletzung der Cybersicherheit sensibler Daten minimiert.

Versicherungsdaten, die durch Cybersicherheitsbedrohungen gefährdet sind

Es geht viel darum, zu bestimmen, wie viel Risiko jeder Versicherungsnehmer einer Versicherungsgesellschaft darstellt. Durch den Einsatz fortschrittlicher Algorithmen fordern Versicherer häufig sensible Informationen von ihren Kunden an, um einen geeigneten monatlichen Prämiensatz zu ermitteln. Zu diesen Daten gehören Sozialversicherungsnummern, Führerscheinnummern, biometrische Daten, Gesundheitsinformationen und Finanzunterlagen.

Die Notwendigkeit, solche Daten sicher aufzubewahren, ist für alle Versicherungsunternehmen von entscheidender Bedeutung. Um dieses Risiko effektiv zu managen, hat die National Association of Insurance Commissioners (NAIC) einen Gesetzesvorschlag vorgelegt, der Best Practices für Risikobewertung und -management skizziert. Dieses 2017 eingeführte Gesetz beschreibt einen 5-stufigen Prozess für die Risikobewertung und einen weiteren 5-stufigen Prozess für das Management.

Im Mittelpunkt dieses Gesetzes steht der Schutz aller nicht öffentlichen Informationen, die Versicherungsnehmer ihrer Versicherungsgesellschaft zur Verfügung stellen können. Nichtöffentliche Informationen sind alle Daten, die von Versicherern bei der Berechnung von Prämien verwendet werden.

Die fünf Schritte einer Risikobewertung

Dieser Risikobewertungsprozess umfasst Folgendes:

Risikobewertung zu einem internen Prozess machen

Der erste von NAIC vorgeschlagene Schritt ist die Durchführung einer internen Risikobewertung für jedes Unternehmen. Mit persönlichem Verantwortungsbewusstsein für den Schutz von Kundendaten bleiben Versicherungen in Sachen Datensicherheit auf der Hut; Dadurch wird die Wahrscheinlichkeit von Datenschutzverletzungen verringert. Dieser Prozess beginnt mit der Benennung eines Risikomanagers, der für die Überwachung des Sicherheitsprogramms des Unternehmens verantwortlich ist.

Schaffung eines Rahmens zur Identifizierung interner und externer Bedrohungen

Die Bedrohungen, denen Versicherungsdaten ausgesetzt sind, sind weit verbreitet. Da sie sowohl aus internen als auch aus externen Quellen stammen können, legt der NAIC-Gesetzesvorschlag fest, dass Versicherer einen Prozess zur Identifizierung aller potenziellen Risiken einführen sollten, um sich gegen sie abzusichern.

Wie wahrscheinlich ist eine Bedrohung und was wären die Folgen?

Ähnlich wie ein Versicherungsunternehmen die Wahrscheinlichkeit einschätzt, dass ein Versicherungsnehmer in einen Unfall gerät, sollten Versicherer die Wahrscheinlichkeit ermitteln, dass Kundendaten zu einem bestimmten Zeitpunkt verletzt werden. Die Bewertung sollte auch alle finanziellen, rechtlichen und immateriellen Folgen umfassen, denen Ihr Unternehmen ausgesetzt sein könnte.

Eine Überprüfung aktueller Systeme und ihrer Risikoanfälligkeit

Der nächste Schritt besteht darin, aktuelle Cybersicherheitssysteme zu überprüfen und festzustellen, wie gut sie sich gegenüber standardisierten Richtlinien schlagen. Diese Überprüfung sollte alle verwendeten Netzwerke und Software, Datenspeicherungspraktiken, Klassifizierungs- und Übertragungsverfahren umfassen. Alle festgestellten Mängel sollten notiert werden, um einen Verbesserungsplan festzulegen.

Aufstellen eines Risikominderungsplans

Versicherer müssen über alle neuen Risiken, die aufgrund neuer Technologien oder der Raffinesse von Cyberangriffen auftreten können, auf dem Laufenden bleiben. Dies kann nur durch regelmäßige Risikobewertungen erreicht werden, die jährlich durchgeführt werden.

Verständnis des Risikomanagementprozesses für Versicherer

Während sich die Risikobewertung auf die Identifizierung potenzieller Schwachstellen für die Datensicherheit bezieht, bezieht sich das Risikomanagement auf die aktive Überwachung und Minderung potenzieller Risiken, denen Ihr Unternehmen ausgesetzt sein könnte. Ein Risikomanagementplan umfasst laut NAIC die folgenden Schritte.

Aufbau eines Informationssicherheitsprogramms

Risikomanagement beginnt mit einem effektiven Informationssicherheitsprogramm. Ein solches Programm sollte für die Geschäftstätigkeit Ihres Unternehmens relevant sein und über genügend Ressourcen verfügen, um alle aktuellen Risiken, denen Ihr Unternehmen möglicherweise ausgesetzt ist, zu identifizieren und zu mindern.

Implementieren von Sicherheitskontrollen

Sicherheitskontrollen, um den Zugriff auf sensible Kundendaten einzuschränken und gleichzeitig eine zusätzliche Schutzebene gegen interne Bedrohungen zu bieten. Ihr Sicherheitskontrollprotokoll sollte einen Authentifizierungsprozess für den Datenzugriff, eingeschränkten physischen Zugriff auf verschiedene Bereiche des Unternehmens, regelmäßiges Testen und Überwachen von Unternehmenssystemen und sichere Softwareentwicklung umfassen.

Ein Unternehmensrisikomanagementplan, der Cybersicherheit beinhaltet

Ihr ERM-Plan sollte auch Cybersicherheitsbedrohungen als Teil der potenziell zu berücksichtigenden Elemente beinhalten.

Einen Plan zum Informationsaustausch aufstellen

Der Informationsaustausch ermöglicht es allen Abteilungen und Branchenakteuren, rechtzeitig von neuen Risiken zu erfahren und eine angemessene Reaktion zu entwickeln.

Regelmäßige Schulungen, um das Personal über neu auftretende Risiken auf dem Laufenden zu halten

Schließlich sollte Ihr Risikomanagementplan die Schulung geeigneter Mitarbeiter beinhalten, damit sie über die sich schnell entwickelnden Strategien von Cyber-Angreifern auf dem Laufenden bleiben.

Anmerkung des Herausgebers : Ken Lynch ist ein Veteran des Unternehmenssoftware-Startups, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT. Erfahren Sie mehr unter ReciprocityLabs.com.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

  • Cybersicherheit & Hochschulbildung
  • Sicherung der Cloud
  • Was ist Risikobereitschaft und Risikobereitschaft
  • Best Practices für das Compliance-Management
  • Effektive Workflow-Audit-Management-Prozesse