보험 산업을 위한 위험 관리

집, 차량 및 기타 개인 자산은 보험에 가입할 수 있지만 보험 회사에서 수집한 민감한 데이터는 보험에 가입할 수 없습니다. 실제로 보험사는 고객이 보험료로 얼마를 지불해야 하는지 결정할 때 다양한 유형의 개인 데이터를 수집합니다. 사회 보장 번호에서 개인 주소 및 신용 카드 정보에 이르기까지 보험 회사는 각 고객이 제시하는 위험 수준을 평가할 때 다양한 출처의 데이터를 사용합니다.

승인되지 않은 소스가 고객의 개인 데이터에 액세스하면 그 결과는 치명적일 수 있습니다. 보험 회사는 민감한 데이터 사이버 보안 침해 가능성을 최소화하는 관리 프로세스를 구현해야 합니다.

사이버 보안 위협의 위험이 있는 보험 데이터

각 보험 계약자가 보험 회사에 얼마나 많은 위험을 제공하는지 결정하는 데 많은 것이 들어갑니다. 보험사는 고급 알고리즘을 사용하여 적절한 월 보험료를 식별하기 위해 고객에게 민감한 정보를 요청하는 경우가 많습니다. 이러한 데이터에는 주민등록번호, 운전면허증 번호, ​​생체 데이터, 의료 정보 및 재무 기록이 포함됩니다.

이러한 데이터를 안전하게 유지해야 하는 필요성은 모든 보험 회사에 매우 중요합니다. 이러한 위험을 효과적으로 관리하기 위해 NAIC(National Association of Insurance Commissioners)는 위험 평가 및 관리에 대한 모범 사례를 설명하는 법안을 제안했습니다. 2017년에 도입된 이 법은 위험 평가를 위한 5단계 프로세스와 관리를 위한 또 다른 5단계 프로세스를 설명합니다.

이 법의 중심에는 보험 계약자가 보험 회사에 제공할 수 있는 모든 비공개 정보를 보호하는 데 중점을 둡니다. 비공개 정보는 보험 회사가 보험료를 계산할 때 사용하는 모든 데이터입니다.

위험 평가 중 관련된 5단계

이 위험 평가 프로세스에는 다음이 포함됩니다.

위험 평가를 내부 프로세스로 만들기

NAIC가 제안한 첫 번째 단계는 위험 평가를 각 회사 내부에서 수행하는 것입니다. 고객 데이터를 보호해야 하는 개인적인 책임감을 가지고 보험 회사는 데이터 보안에 관한 한 발을 떼지 않을 것입니다. 따라서 데이터 침해 가능성을 줄입니다. 이 프로세스는 회사의 보안 프로그램을 감독할 위험 관리자를 지정하는 것으로 시작됩니다.

내·외부 위협 식별 프레임워크 구축

보험 데이터가 직면한 위협은 광범위합니다. 내부 및 외부 소스 모두에서 발생할 수 있기 때문에 NAIC에서 제안한 법률은 보험사가 모든 잠재적 위험을 식별하여 위험을 방지하기 위한 프로세스를 전담해야 한다고 설명합니다.

위협이 발생할 가능성은 얼마나 되며 그 결과는 무엇입니까?

보험 회사가 보험 계약자가 사고를 당할 가능성을 평가하는 것과 유사하게, 보험사는 주어진 시간에 고객 데이터가 침해될 가능성을 결정해야 합니다. 평가에는 회사가 직면할 수 있는 모든 재정적, 법적-무형적 결과도 포함되어야 합니다.

현재 시스템 및 위험에 대한 민감성 검토

다음 단계는 현재 사이버 보안 시스템을 검토하고 표준화된 지침에 얼마나 잘 부합하는지 확인하는 것입니다. 이 검토에는 사용 중인 모든 네트워크와 소프트웨어, 데이터 저장 방식, 분류 및 전송 절차가 포함되어야 합니다. 확인된 모든 결점은 개선 계획을 결정하기 위해 기록되어야 합니다.

위험 완화 계획 수립

보험사는 신기술이나 사이버 공격의 정교함으로 인해 발생할 수 있는 모든 새로운 위험에 대비해야 합니다. 이는 매년 수행되는 정기적인 위험 평가를 통해서만 달성할 수 있습니다.

보험사의 위험 관리 프로세스 이해

위험 평가가 데이터 보안의 잠재적인 취약 지점을 식별하는 것을 의미한다면 위험 관리는 회사가 직면할 수 있는 잠재적 위험에 대한 능동적인 모니터링 및 완화를 의미합니다. NAIC에 따르면 위험 관리 계획에는 다음 단계가 포함됩니다.

정보보안 프로그램 구축

위험 관리는 효과적인 정보 보안 프로그램에서 시작됩니다. 이러한 프로그램은 비즈니스 운영과 관련되어야 하며 회사가 직면할 수 있는 현재 위험을 식별하고 완화하는 데 도움이 되는 충분한 리소스가 있어야 합니다.

보안 제어 구현

내부 위협에 대한 추가 보호 계층을 제공하면서 민감한 고객 데이터에 액세스할 수 있는 사람을 제한하는 보안 제어. 보안 제어 프로토콜에는 데이터 액세스를 위한 인증 프로세스, 비즈니스의 다양한 부분에 대한 물리적 액세스 제한, 회사 시스템의 정기 테스트 및 모니터링, 보안 소프트웨어 개발이 포함되어야 합니다.

사이버 보안을 통합하는 엔터프라이즈 위험 관리 계획

ERM 계획에는 고려해야 할 잠재적 요소의 일부로 사이버 보안 위협도 포함되어야 합니다.

정보 공유 계획 수립

정보 공유를 통해 모든 부서와 업계 관계자는 적시에 새로운 위험에 대해 배우고 적절한 대응을 설계할 수 있습니다.

직원이 비상 위험에 대처할 수 있도록 정기적인 교육

마지막으로, 위험 관리 계획에는 사이버 공격자가 사용하는 빠르게 진화하는 전략을 계속 숙지할 수 있도록 적절한 직원 교육이 포함되어야 합니다.

편집자 주 : Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로 무엇이 직원을 일하게 하고 어떻게 하면 일을 더 매력적으로 만드는지에 대해 항상 관심을 가지고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• 사이버 보안 및 고등 교육
• 클라우드 보안
• 위험 감수성과 위험 성향이란 무엇입니까?
• 규정 준수 관리 모범 사례
• 효과적인 워크플로 감사 관리 프로세스