Zarządzanie ryzykiem dla branży ubezpieczeniowej

Opublikowany: 2019-02-21

Podczas gdy domy, pojazdy i inne mienie osobiste mogą być ubezpieczone, wrażliwe dane gromadzone przez firmy ubezpieczeniowe nie mogą. Rzeczywiście, ubezpieczyciele zbierają wiele różnych rodzajów danych osobowych przy ustalaniu, ile klient powinien zapłacić składki. Od numerów ubezpieczenia społecznego po prywatne adresy i informacje o kartach kredytowych, firmy ubezpieczeniowe wykorzystują dane z wielu różnych źródeł podczas oceny poziomu ryzyka, jakie stanowi każdy klient.

Gdy nieautoryzowane źródła uzyskają dostęp do danych osobowych Twoich klientów, konsekwencje mogą być katastrofalne. Firmy ubezpieczeniowe muszą wdrożyć proces zarządzania, który minimalizuje prawdopodobieństwo naruszenia cyberbezpieczeństwa danych wrażliwych.

Dane ubezpieczeniowe narażone na zagrożenia cyberbezpieczeństwa

Wiele zależy od określenia, ile ryzyka każdy ubezpieczający przedstawia firmie ubezpieczeniowej. Korzystając z zaawansowanych algorytmów, ubezpieczyciele często żądają od swoich klientów poufnych informacji w celu określenia odpowiedniej miesięcznej stawki składki. Takie dane obejmują numery ubezpieczenia społecznego, numery prawa jazdy, dane biometryczne, informacje dotyczące opieki zdrowotnej i dokumentację finansową.

Konieczność zapewnienia bezpieczeństwa takich danych ma kluczowe znaczenie dla wszystkich firm ubezpieczeniowych. Aby skutecznie zarządzać tym ryzykiem, Narodowe Stowarzyszenie Komisarzy Ubezpieczeniowych (NAIC) przedstawiło propozycję ustawy, która określa najlepsze praktyki w zakresie oceny i zarządzania ryzykiem. Ustawa ta, wprowadzona w 2017 r., opisuje 5-etapowy proces oceny ryzyka i kolejny 5-etapowy proces zarządzania.

W centrum tego prawa jest nacisk na ochronę wszystkich niepublicznych informacji, które ubezpieczający mogą przekazać swojej firmie ubezpieczeniowej. Informacje niepubliczne to wszystkie dane wykorzystywane przez ubezpieczycieli przy obliczaniu składek.

Pięć kroków związanych z oceną ryzyka

Ten proces oceny ryzyka obejmuje:

Uczynienie oceny ryzyka procesem wewnętrznym

Pierwszym proponowanym krokiem przez NAIC jest wprowadzenie wewnętrznej oceny ryzyka w każdej firmie. Z osobistym poczuciem odpowiedzialności za ochronę danych klientów, firmy ubezpieczeniowe będą trzymać się na nogach, jeśli chodzi o bezpieczeństwo danych; w ten sposób zmniejszając prawdopodobieństwo naruszenia danych. Proces ten rozpoczyna się od wyznaczenia menedżera ds. ryzyka, który będzie odpowiedzialny za nadzorowanie programu bezpieczeństwa firmy.

Ustanowienie ram identyfikacji zagrożeń wewnętrznych i zewnętrznych

Zagrożenia, przed którymi stoją dane ubezpieczeniowe, są powszechne. Ponieważ mogą one pochodzić zarówno ze źródeł wewnętrznych, jak i zewnętrznych, prawo proponowane przez NAIC określa, że ​​ubezpieczyciele powinni poświęcić proces identyfikacji wszystkich potencjalnych zagrożeń, aby się przed nimi zabezpieczyć.

Jakie jest prawdopodobieństwo wystąpienia zagrożenia i jakie byłyby konsekwencje?

Podobnie jak firma ubezpieczeniowa ocenia prawdopodobieństwo, że ubezpieczający może ulec wypadkowi, ubezpieczyciele powinni określić prawdopodobieństwo naruszenia danych klientów w dowolnym momencie. Ocena powinna również obejmować wszystkie finansowe, prawne i niematerialne konsekwencje, jakie może napotkać Twoja firma.

Przegląd obecnych systemów i ich podatności na ryzyko

Następnym krokiem jest przegląd aktualnych systemów cyberbezpieczeństwa i ustalenie, jak dobrze sprawdzają się one w standardowych wytycznych. Przegląd ten powinien obejmować wszystkie używane sieci i oprogramowanie, praktyki przechowywania danych, procedury klasyfikacji i transmisji. Wszelkie zidentyfikowane braki należy odnotować w celu ustalenia planu poprawy.

Wdrożenie planu ograniczania ryzyka

Ubezpieczyciele muszą być na bieżąco z wszelkimi nowymi zagrożeniami, które mogą wystąpić z powodu nowych technologii lub wyrafinowania cyberataków. Można to osiągnąć jedynie poprzez regularne oceny ryzyka przeprowadzane co roku.

Zrozumienie procesu zarządzania ryzykiem dla ubezpieczycieli

Podczas gdy ocena ryzyka odnosi się do identyfikacji potencjalnych słabych punktów w bezpieczeństwie danych, zarządzanie ryzykiem odnosi się do aktywnego monitorowania i ograniczania potencjalnych zagrożeń, z którymi może zetknąć się Twoja firma. Plan zarządzania ryzykiem, zgodnie z NAIC, będzie obejmował następujące kroki.

Ustanowienie programu bezpieczeństwa informacji

Zarządzanie ryzykiem zaczyna się od skutecznego programu bezpieczeństwa informacji. Taki program powinien być odpowiedni dla działalności Twojej firmy i powinien zawierać wystarczające zasoby, aby pomóc zidentyfikować i złagodzić wszelkie bieżące zagrożenia, z którymi może się zmierzyć Twoja firma.

Wdrażanie kontroli bezpieczeństwa

Kontrola bezpieczeństwa w celu ograniczenia dostępu do poufnych danych klientów, zapewniając jednocześnie dodatkową warstwę ochrony przed zagrożeniami wewnętrznymi. Twój protokół kontroli bezpieczeństwa powinien obejmować proces uwierzytelniania dostępu do danych, ograniczony fizyczny dostęp do różnych części działalności, regularne testowanie i monitorowanie systemów firmy oraz bezpieczne tworzenie oprogramowania.

Plan zarządzania ryzykiem korporacyjnym, który obejmuje cyberbezpieczeństwo

Twój plan ERM powinien również obejmować zagrożenia cyberbezpieczeństwa jako część potencjalnych elementów, które należy uwzględnić.

Wdrożenie planu udostępniania informacji

Udostępnianie informacji umożliwia wszystkim działom i podmiotom branżowym szybkie poznanie nowych zagrożeń i zaprojektowanie odpowiedniej reakcji.

Regularne szkolenia, aby utrzymać personel na szczycie pojawiających się zagrożeń

Wreszcie, Twój plan zarządzania ryzykiem powinien obejmować szkolenie odpowiednich pracowników, aby mogli pozostać na szczycie szybko rozwijających się strategii stosowanych przez cyberprzestępców.

Uwaga redaktora : Ken Lynch jest weteranem tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

  • Cyberbezpieczeństwo i szkolnictwo wyższe
  • Zabezpieczanie chmury
  • Czym jest tolerancja na ryzyko i apetyt na ryzyko
  • Najlepsze praktyki zarządzania zgodnością
  • Efektywne procesy zarządzania audytem przepływu pracy