Managementul riscului pentru industria asigurărilor

În timp ce casele, vehiculele și alte bunuri personale pot fi asigurate, datele sensibile colectate de companiile de asigurări nu pot fi asigurate. Într-adevăr, asigurătorii colectează multe tipuri diferite de date personale atunci când determină cât de mult ar trebui să plătească un client în prime. De la numere de securitate socială la adrese private și informații despre cardul de credit, companiile de asigurări folosesc date din multe surse diferite atunci când evaluează nivelul de risc pe care îl prezintă fiecare client.

Odată ce sursele neautorizate accesează datele personale ale clienților tăi, consecințele pot fi devastatoare. Companiile de asigurări trebuie să implementeze un proces de management care să minimizeze probabilitatea unei încălcări a securității cibernetice a datelor sensibile.

Datele de asigurare care sunt expuse riscului de amenințări la securitatea cibernetică

Multe sunt implicate în determinarea riscului pe care fiecare asigurat îl prezintă unei companii de asigurări. Prin utilizarea algoritmilor avansați, asigurătorii solicită adesea informații sensibile de la clienții lor pentru a identifica o rată de primă lunară adecvată. Astfel de date includ numere de securitate socială, numere de permis de conducere, date biometrice, informații de sănătate și înregistrări financiare.

Necesitatea păstrării în siguranță a acestor date este vitală pentru toate companiile de asigurări. Pentru a gestiona eficient acest risc, Asociația Națională a Comisarilor de Asigurări (NAIC) a prezentat o propunere de lege care prezintă cele mai bune practici pentru evaluarea și managementul riscurilor. Această lege, introdusă în 2017, descrie un proces în 5 pași pentru evaluarea riscurilor și un alt proces în 5 pași pentru management.

În centrul acestei legi se pune accent pe protejarea tuturor informațiilor nepublice pe care asigurații le pot furniza companiei lor de asigurări. Informațiile nepublice sunt toate datele care sunt utilizate de asigurători la calcularea primelor.

Cei cinci pași implicați în timpul unei evaluări a riscurilor

Acest proces de evaluare a riscurilor include următoarele:

Transformarea evaluării riscurilor într-un proces intern

Primul pas propus de NAIC este realizarea unei evaluări a riscurilor interne pentru fiecare companie. Cu un simț personal al responsabilității de a proteja datele clienților, companiile de asigurări vor rămâne atent în ceea ce privește securitatea datelor; astfel, reducând probabilitatea încălcării datelor. Acest proces începe cu desemnarea unui manager de risc care va fi responsabil cu supravegherea programului de securitate al companiei.

Stabilirea unui cadru pentru identificarea amenințărilor interne și externe

Amenințările cu care se confruntă datele asigurărilor sunt larg răspândite. Deoarece pot apărea atât din surse interne, cât și din surse externe, legea propusă de NAIC subliniază că asigurătorii ar trebui să dedice un proces pentru identificarea tuturor riscurilor potențiale pentru a se proteja împotriva acestora.

Cât de probabil este să se întâmple o amenințare și care ar fi consecințele?

Similar cu modul în care o companie de asigurări evaluează probabilitatea ca un deținător de poliță să aibă un accident, asigurătorii ar trebui să determine probabilitatea ca datele clienților să fie încălcate la un moment dat. Evaluarea ar trebui să includă, de asemenea, toate consecințele financiare, juridice și intangibile cu care se poate confrunta compania dumneavoastră.

O revizuire a sistemelor actuale și susceptibilitatea acestora la risc

Următorul pas este să revizuim sistemele actuale de securitate cibernetică și să se determine cât de bine se compară acestea cu orientările standardizate. Această revizuire ar trebui să implice toate rețelele și software-ul utilizat, practicile de stocare a datelor, clasificarea și procedurile de transmitere. Orice deficiențe identificate trebuie notate pentru a determina un plan de îmbunătățire.

Realizarea unui plan de diminuare a riscurilor

Asigurătorii trebuie să rămână la curent cu orice noi riscuri care pot apărea din cauza noilor tehnologii sau a sofisticarii atacurilor cibernetice. Acest lucru poate fi realizat numai prin evaluări regulate ale riscurilor care sunt efectuate anual.

Înțelegerea procesului de management al riscului pentru asigurători

În timp ce evaluarea riscurilor se referă la identificarea potențialelor puncte slabe ale securității datelor, managementul riscului se referă la monitorizarea și diminuarea activă a potențialelor riscuri cu care s-ar putea confrunta compania dumneavoastră. Un plan de management al riscului, conform NAIC, va implica următorii pași.

Stabilirea unui program de securitate a informațiilor

Managementul riscului începe cu un program eficient de securitate a informațiilor. Un astfel de program ar trebui să fie relevant pentru operațiunile afacerii dumneavoastră și ar trebui să aibă suficiente resurse pentru a ajuta la identificarea și atenuarea oricăror riscuri curente cu care se poate confrunta compania dumneavoastră.

Implementarea controalelor de securitate

Controale de securitate pentru a limita cine are acces la datele sensibile ale clienților, oferind în același timp un nivel suplimentar de protecție împotriva amenințărilor interne. Protocolul dumneavoastră de control al securității ar trebui să implice un proces de autentificare pentru accesul la date, acces fizic restricționat la diferite părți ale afacerii, testarea și monitorizarea regulată a sistemelor companiei și dezvoltarea software securizată.

Un plan de management al riscului de întreprindere care încorporează securitatea cibernetică

Planul dvs. ERM ar trebui să implice, de asemenea, amenințări la adresa securității cibernetice, ca parte a potențialelor elemente care trebuie luate în considerare.

Punerea în aplicare a unui plan de schimb de informații

Partajarea informațiilor permite tuturor departamentelor și actorilor din industrie să învețe despre noile riscuri în timp util și să conceapă un răspuns adecvat.

Instruire regulată pentru a menține personalul la curent cu riscurile emergente

În cele din urmă, planul dvs. de gestionare a riscurilor ar trebui să implice pregătirea personalului adecvat, astfel încât acesta să poată rămâne la curent cu strategiile care evoluează rapid pe care le folosesc atacatorii cibernetici.

Nota editorului : Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și de cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a angaja angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT. Aflați mai multe la ReciprocityLabs.com.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Securitate cibernetică și învățământ superior
• Securizarea norului
• Ce este toleranța la risc și apetitul la risc
• Cele mai bune practici pentru managementul conformității
• Procese eficiente de management al auditului fluxului de lucru