Управление рисками в страховой отрасли

В то время как дома, транспортные средства и другие личные активы могут быть застрахованы, конфиденциальные данные, собираемые страховыми компаниями, не могут быть застрахованы. Действительно, страховщики собирают множество различных типов персональных данных при определении того, сколько клиент должен платить страховых взносов. От номеров социального страхования до частных адресов и информации о кредитных картах страховые компании используют данные из множества различных источников при оценке уровня риска, который представляет каждый клиент.

Как только несанкционированные источники получают доступ к личным данным ваших клиентов, последствия могут быть разрушительными. Страховым компаниям необходимо внедрить процесс управления, который минимизирует вероятность нарушения кибербезопасности конфиденциальных данных.

Страховые данные, которые подвержены риску угроз кибербезопасности

Многое уходит на определение того, какой риск каждый страхователь представляет для страховой компании. Используя передовые алгоритмы, страховщики часто запрашивают у своих клиентов конфиденциальную информацию, чтобы определить подходящую ставку ежемесячного взноса. К таким данным относятся номера социального страхования, номера водительских прав, биометрические данные, медицинская информация и финансовые отчеты.

Необходимость обеспечения безопасности таких данных жизненно важна для всех страховых компаний. Для эффективного управления этим риском Национальная ассоциация уполномоченных по страхованию (NAIC) предложила законопроект, в котором излагаются передовые методы оценки и управления рисками. Этот закон, принятый в 2017 году, описывает 5-этапный процесс оценки рисков и еще один 5-этапный процесс управления.

В центре этого закона делается упор на защиту всей закрытой информации, которую страхователи могут предоставить своей страховой компании. Непубличная информация — это все данные, которые используются страховщиками при расчете премий.

Пять шагов при оценке риска

Этот процесс оценки риска включает в себя следующее:

Превращение оценки рисков во внутренний процесс

Первым шагом, предложенным NAIC, является проведение оценки рисков внутри каждой компании. С личным чувством ответственности за защиту данных клиентов страховые компании будут оставаться начеку в том, что касается безопасности данных; таким образом, снижая вероятность утечки данных. Этот процесс начинается с назначения риск-менеджера, который будет отвечать за надзор за программой безопасности компании.

Создание основы для выявления внутренних и внешних угроз

Угрозы, с которыми сталкиваются страховые данные, широко распространены. Поскольку они могут возникать как из внутренних, так и из внешних источников, в законе, предложенном NAIC, говорится, что страховщики должны посвятить процесс выявлению всех потенциальных рисков для защиты от них.

Насколько вероятна угроза и каковы будут последствия?

Подобно тому, как страховая компания оценивает вероятность того, что страхователь может попасть в аварию, страховщики должны определять вероятность взлома данных клиентов в любой момент времени. Оценка также должна включать все финансовые, юридические и нематериальные последствия, с которыми может столкнуться ваша компания.

Обзор существующих систем и их подверженности рискам

Следующим шагом является обзор существующих систем кибербезопасности и определение того, насколько хорошо они сочетаются со стандартными рекомендациями. Этот обзор должен охватывать все используемые сети и программное обеспечение, методы хранения данных, классификацию и процедуры передачи. Любые обнаруженные недостатки должны быть отмечены, чтобы определить план для улучшения.

Внедрение плана снижения рисков

Страховщики должны быть в курсе любых новых рисков, которые могут возникнуть из-за новых технологий или изощренности кибератак. Этого можно достичь только с помощью регулярных оценок рисков, которые проводятся на ежегодной основе.

Понимание процесса управления рисками для страховщиков

В то время как оценка рисков относится к выявлению потенциальных слабых мест в безопасности данных, управление рисками относится к активному мониторингу и смягчению потенциальных рисков, с которыми может столкнуться ваша компания. Согласно NAIC, план управления рисками будет включать следующие шаги.

Создание программы информационной безопасности

Управление рисками начинается с эффективной программы информационной безопасности. Такая программа должна иметь отношение к деятельности вашего бизнеса, и у нее должно быть достаточно ресурсов, чтобы помочь выявить и смягчить любые текущие риски, с которыми может столкнуться ваша компания.

Внедрение элементов управления безопасностью

Элементы управления безопасностью ограничивают доступ к конфиденциальным данным клиентов и обеспечивают дополнительный уровень защиты от внутренних угроз. Ваш протокол управления безопасностью должен включать в себя процесс аутентификации для доступа к данным, ограниченный физический доступ к различным частям бизнеса, регулярное тестирование и мониторинг систем компании, а также безопасную разработку программного обеспечения.

План управления рисками предприятия, включающий кибербезопасность

Ваш план ERM также должен включать угрозы кибербезопасности как часть потенциальных элементов, которые необходимо учитывать.

Внедрение плана обмена информацией

Обмен информацией позволяет всем подразделениям и игрокам отрасли своевременно узнавать о новых рисках и разрабатывать соответствующие ответные меры.

Регулярное обучение, чтобы держать персонал в курсе возникающих рисков

Наконец, ваш план управления рисками должен включать обучение соответствующего персонала, чтобы он мог оставаться в курсе быстро развивающихся стратегий, которые используют кибер-злоумышленники.

Примечание редактора : Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity благодаря этой миссионерской цели, заключающейся в том, чтобы привлечь сотрудников к управлению, рискам и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте. Узнайте больше на ReciprocityLabs.com.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

• Кибербезопасность и высшее образование
• Защита облака
• Что такое толерантность к риску и склонность к риску
• Лучшие практики управления соответствием требованиям
• Эффективные процессы управления аудитом рабочих процессов