Gestão de risco para o setor de seguros

Embora casas, veículos e outros bens pessoais possam ser segurados, os dados confidenciais coletados pelas seguradoras não podem. De fato, as seguradoras coletam muitos tipos diferentes de dados pessoais ao determinar quanto um cliente deve pagar em prêmios. De números de previdência social a endereços privados e informações de cartão de crédito, as seguradoras usam dados de muitas fontes diferentes ao avaliar o nível de risco que cada cliente apresenta.

Uma vez que fontes não autorizadas acessem os dados pessoais de seus clientes, as consequências podem ser devastadoras. As seguradoras precisam implementar um processo de gerenciamento que minimize a probabilidade de violação de segurança cibernética de dados confidenciais.

Dados de seguros que estão em risco de ameaças de segurança cibernética

Muito vai para determinar quanto risco cada segurado apresenta a uma companhia de seguros. Por meio do uso de algoritmos avançados, as seguradoras geralmente solicitam informações confidenciais de seus clientes para identificar uma taxa de prêmio mensal adequada. Esses dados incluem números de seguro social, números de carteira de motorista, dados biométricos, informações de saúde e registros financeiros.

A necessidade de manter esses dados seguros é vital para todas as seguradoras. Para gerenciar efetivamente esse risco, a Associação Nacional de Comissários de Seguros (NAIC) apresentou uma proposta de lei que descreve as melhores práticas para avaliação e gerenciamento de riscos. Esta lei, introduzida em 2017, descreve um processo de 5 etapas para avaliação de risco e outro processo de 5 etapas para gerenciamento.

No centro desta lei está a ênfase na proteção de todas as informações não públicas que os segurados podem fornecer à sua companhia de seguros. Informações não públicas são todos os dados usados ​​pelas seguradoras no cálculo dos prêmios.

As cinco etapas envolvidas durante uma avaliação de risco

Este processo de avaliação de risco inclui o seguinte:

Tornar a avaliação de riscos um processo interno

O primeiro passo proposto pelo NAIC é fazer a avaliação de risco interna de cada empresa. Com um senso pessoal de responsabilidade para proteger os dados dos clientes, as seguradoras permanecerão atentas no que diz respeito à segurança dos dados; assim, reduzindo a probabilidade de violações de dados. Esse processo começa com a designação de um gerente de risco que será responsável por supervisionar o programa de segurança da empresa.

Estabelecer uma estrutura para identificar ameaças internas e externas

As ameaças que enfrentam os dados de seguros são generalizadas. Como eles podem surgir de fontes internas e externas, a lei proposta pela NAIC define que as seguradoras devem dedicar um processo para identificar todos os riscos potenciais para protegê-los.

Qual a probabilidade de uma ameaça acontecer e quais seriam as consequências?

Da mesma forma que uma seguradora avalia a probabilidade de um segurado sofrer um acidente, as seguradoras devem determinar a probabilidade de os dados do cliente serem violados a qualquer momento. A avaliação também deve incluir todas as consequências financeiras, jurídicas e intangíveis que sua empresa pode enfrentar.

Uma revisão dos sistemas atuais e sua suscetibilidade ao risco

O próximo passo é revisar os sistemas atuais de segurança cibernética e determinar como eles se comparam às diretrizes padronizadas. Essa revisão deve envolver todas as redes e softwares usados, práticas de armazenamento de dados, classificação e procedimentos de transmissão. Quaisquer deficiências identificadas devem ser anotadas para determinar um plano de melhoria.

Implementação de um plano de mitigação de riscos

As seguradoras precisam se manter a par de quaisquer novos riscos que possam ocorrer devido a novas tecnologias ou à sofisticação dos ataques cibernéticos. Isso só pode ser alcançado por meio de avaliações de risco regulares que são realizadas anualmente.

Entendendo o processo de gerenciamento de risco para seguradoras

Enquanto a avaliação de risco se refere à identificação de possíveis pontos fracos na segurança de dados, o gerenciamento de risco se refere ao monitoramento ativo e mitigação de riscos potenciais que sua empresa pode enfrentar. Um plano de gerenciamento de risco, de acordo com a NAIC, envolverá as seguintes etapas.

Estabelecimento de um programa de segurança da informação

O gerenciamento de riscos começa com um programa de segurança da informação eficaz. Esse programa deve ser relevante para as operações de sua empresa e deve ter recursos suficientes para ajudar a identificar e mitigar quaisquer riscos atuais que sua empresa possa enfrentar.

Implementação de controles de segurança

Controles de segurança para limitar quem tem acesso a dados confidenciais de clientes e, ao mesmo tempo, fornecer uma camada extra de proteção contra ameaças internas. Seu protocolo de controle de segurança deve envolver um processo de autenticação para acesso a dados, acesso físico restrito a várias partes do negócio, testes e monitoramento regulares dos sistemas da empresa e desenvolvimento de software seguro.

Um plano de gerenciamento de riscos corporativos que incorpora a segurança cibernética

Seu plano de ERM também deve envolver ameaças de segurança cibernética como parte dos elementos potenciais a serem considerados.

Implementando um plano de compartilhamento de informações

O compartilhamento de informações permite que todos os departamentos e participantes do setor aprendam sobre novos riscos em tempo hábil, para projetar uma resposta apropriada.

Treinamento regular para manter o pessoal a par dos riscos emergentes

Por fim, seu plano de gerenciamento de riscos deve envolver o treinamento da equipe adequada para que possam permanecer no topo das estratégias em rápida evolução que os ciberataques usam.

Nota do editor : Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Cibersegurança e ensino superior
• Protegendo a nuvem
• O que é tolerância ao risco e apetite ao risco
• Práticas recomendadas para gerenciamento de conformidade
• Processos eficazes de gerenciamento de auditoria de fluxo de trabalho