Manajemen risiko untuk industri asuransi

Sementara rumah, kendaraan, dan aset pribadi lainnya dapat diasuransikan, data sensitif yang dikumpulkan oleh perusahaan asuransi tidak bisa. Memang, perusahaan asuransi mengumpulkan berbagai jenis data pribadi ketika menentukan berapa banyak pelanggan harus membayar premi. Dari nomor jaminan sosial hingga alamat pribadi dan informasi kartu kredit, perusahaan asuransi menggunakan data dari berbagai sumber saat menilai tingkat risiko yang dihadapi setiap pelanggan.

Setelah sumber yang tidak sah mengakses data pribadi pelanggan Anda, konsekuensinya bisa sangat menghancurkan. Perusahaan asuransi perlu menerapkan proses manajemen yang meminimalkan kemungkinan pelanggaran keamanan siber data sensitif.

Data asuransi yang berisiko terhadap ancaman keamanan siber

Banyak yang menentukan seberapa besar risiko yang diberikan setiap pemegang polis kepada perusahaan asuransi. Melalui penggunaan algoritma canggih, perusahaan asuransi sering meminta informasi sensitif dari pelanggan mereka untuk mengidentifikasi tarif premi bulanan yang sesuai. Data tersebut termasuk nomor jaminan sosial, nomor SIM, data biometrik, informasi kesehatan, dan catatan keuangan.

Kebutuhan untuk menjaga keamanan data tersebut sangat penting bagi semua perusahaan asuransi. Untuk mengelola risiko ini secara efektif, National Association of Insurance Commissions (NAIC) mengajukan usulan undang-undang yang menguraikan praktik terbaik untuk penilaian dan manajemen risiko. Undang-undang ini, yang diperkenalkan pada tahun 2017, menjelaskan proses 5 langkah untuk penilaian risiko, dan proses 5 langkah lainnya untuk manajemen.

Inti dari undang-undang ini adalah penekanan pada perlindungan semua informasi nonpublik yang dapat diberikan oleh pemegang polis kepada perusahaan asuransi mereka. Informasi nonpublik adalah semua data yang digunakan oleh perusahaan asuransi saat menghitung premi.

Lima langkah yang terlibat selama penilaian risiko

Proses penilaian risiko ini mencakup hal-hal berikut:

Menjadikan penilaian risiko sebagai proses internal

Langkah pertama yang diusulkan oleh NAIC adalah membuat penilaian risiko internal untuk masing-masing perusahaan. Dengan rasa tanggung jawab pribadi untuk melindungi data pelanggan, perusahaan asuransi akan tetap waspada sejauh menyangkut keamanan data; dengan demikian, mengurangi kemungkinan pelanggaran data. Proses ini dimulai dengan menunjuk seorang manajer risiko yang akan bertanggung jawab untuk mengawasi program keamanan perusahaan.

Menetapkan kerangka kerja untuk mengidentifikasi ancaman internal dan eksternal

Ancaman yang dihadapi data asuransi tersebar luas. Karena mereka dapat muncul dari sumber internal dan eksternal, undang-undang yang diusulkan NAIC menguraikan bahwa perusahaan asuransi harus mendedikasikan proses untuk mengidentifikasi semua risiko potensial untuk melindungi mereka.

Seberapa besar kemungkinan ancaman terjadi dan apa konsekuensinya?

Mirip dengan bagaimana perusahaan asuransi menilai kemungkinan pemegang polis mengalami kecelakaan, perusahaan asuransi harus menentukan kemungkinan data pelanggan dilanggar pada waktu tertentu. Penilaian juga harus mencakup semua konsekuensi keuangan, hukum dan tidak berwujud yang mungkin dihadapi perusahaan Anda.

Tinjauan sistem saat ini dan kerentanannya terhadap risiko

Langkah selanjutnya adalah meninjau sistem keamanan siber saat ini dan menentukan seberapa baik sistem tersebut memenuhi pedoman standar. Tinjauan ini harus melibatkan semua jaringan dan perangkat lunak yang digunakan, praktik penyimpanan data, klasifikasi, dan prosedur transmisi. Setiap kekurangan yang diidentifikasi harus dicatat untuk menentukan rencana perbaikan.

Menerapkan rencana mitigasi risiko

Penanggung harus tetap waspada terhadap setiap risiko baru yang mungkin terjadi karena teknologi baru atau kecanggihan serangan siber. Ini hanya dapat dicapai melalui penilaian risiko reguler yang dilakukan setiap tahun.

Memahami proses manajemen risiko untuk perusahaan asuransi

Sementara penilaian risiko mengacu pada identifikasi potensi titik lemah keamanan data, manajemen risiko mengacu pada pemantauan aktif dan mitigasi risiko potensial yang mungkin dihadapi perusahaan Anda. Rencana manajemen risiko, menurut NAIC, akan melibatkan langkah-langkah berikut.

Membangun program keamanan informasi

Manajemen risiko dimulai dengan program keamanan informasi yang efektif. Program tersebut harus relevan dengan operasi bisnis Anda, dan harus memiliki sumber daya yang cukup untuk membantu mengidentifikasi dan mengurangi risiko saat ini yang mungkin dihadapi perusahaan Anda.

Menerapkan kontrol keamanan

Kontrol keamanan untuk membatasi siapa yang memiliki akses ke data pelanggan yang sensitif sambil memberikan lapisan perlindungan ekstra terhadap ancaman internal. Protokol kontrol keamanan Anda harus melibatkan proses otentikasi untuk akses data, akses fisik terbatas ke berbagai bagian bisnis, pengujian dan pemantauan sistem perusahaan secara teratur, dan pengembangan perangkat lunak yang aman.

Rencana manajemen risiko perusahaan yang menggabungkan keamanan siber

Rencana ERM Anda juga harus melibatkan ancaman keamanan siber sebagai bagian dari elemen potensial yang harus diperhitungkan.

Menerapkan rencana berbagi informasi

Berbagi informasi memungkinkan semua departemen dan pelaku industri untuk belajar tentang risiko baru secara tepat waktu, untuk merancang respons yang tepat.

Pelatihan reguler untuk menjaga personel di atas risiko yang muncul

Terakhir, rencana manajemen risiko Anda harus melibatkan pelatihan staf yang tepat sehingga mereka dapat tetap berada di atas strategi yang berkembang pesat yang digunakan penyerang dunia maya.

Catatan Editor : Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT. Pelajari lebih lanjut di ReciprocityLabs.com.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Keamanan siber & pendidikan tinggi
• Mengamankan awan
• Apa itu toleransi risiko dan selera risiko?
• Praktik terbaik untuk manajemen kepatuhan
• Proses manajemen audit alur kerja yang efektif