Sigorta sektörü için risk yönetimi

Evler, araçlar ve diğer kişisel varlıklar sigortalanabilirken, sigorta şirketleri tarafından toplanan hassas veriler sigortalanamaz. Gerçekten de sigortacılar, bir müşterinin ne kadar prim ödemesi gerektiğini belirlerken birçok farklı türde kişisel veri toplar. Sigorta şirketleri, her müşterinin sunduğu risk düzeyini değerlendirirken sosyal güvenlik numaralarından özel adres ve kredi kartı bilgilerine kadar birçok farklı kaynaktan gelen verileri kullanır.

Yetkisiz kaynaklar müşterilerinizin kişisel verilerine eriştiğinde, sonuçlar yıkıcı olabilir. Sigorta şirketlerinin hassas verilerin siber güvenlik ihlali olasılığını en aza indiren bir yönetim süreci uygulaması gerekiyor.

Siber güvenlik tehditleri riski altındaki sigorta verileri

Her poliçe sahibinin bir sigorta şirketine ne kadar risk arz ettiğini belirlemede çok şey var. Sigortacılar, gelişmiş algoritmaların kullanımı yoluyla, uygun bir aylık prim oranı belirlemek için genellikle müşterilerinden hassas bilgiler ister. Bu tür veriler, sosyal güvenlik numaralarını, ehliyet numaralarını, biyometrik verileri, sağlık bilgilerini ve mali kayıtları içerir.

Bu tür verileri güvende tutma ihtiyacı, tüm sigorta şirketleri için hayati önem taşımaktadır. Bu riski etkin bir şekilde yönetmek için, Ulusal Sigorta Komisyon Üyeleri Birliği (NAIC), risk değerlendirmesi ve yönetimi için en iyi uygulamaları özetleyen bir yasa teklifinde bulundu. 2017 yılında yürürlüğe giren bu yasa, risk değerlendirmesi için 5 adımlı bir süreci ve yönetim için 5 adımlı bir süreci tanımlamaktadır.

Bu yasanın merkezinde, poliçe sahiplerinin sigorta şirketlerine sağlayabileceği tüm kamuya açık olmayan bilgilerin korunmasına vurgu yer almaktadır. Kamuya açık olmayan bilgiler, sigorta şirketleri tarafından prim hesaplanırken kullanılan tüm verilerdir.

Bir risk değerlendirmesi sırasında yer alan beş adım

Bu risk değerlendirme süreci aşağıdakileri içerir:

Risk değerlendirmesini dahili bir süreç haline getirmek

NAIC tarafından önerilen ilk adım, her şirket için risk değerlendirmesi yapmaktır. Müşteri verilerini koruma konusundaki kişisel sorumluluk duygusuyla, sigorta şirketleri, veri güvenliği söz konusu olduğunda her zaman tetikte olacaktır; böylece veri ihlali olasılığını azaltır. Bu süreç, şirketin güvenlik programını denetlemekten sorumlu olacak bir risk yöneticisinin atanmasıyla başlar.

İç ve dış tehditlerin belirlenmesi için bir çerçeve oluşturulması

Sigorta verilerinin karşı karşıya olduğu tehditler yaygındır. Hem dahili hem de harici kaynaklardan kaynaklanabildikleri için, NAIC tarafından önerilen yasa, sigortacıların kendilerine karşı korunmak için tüm potansiyel riskleri belirlemeye yönelik bir süreç ayırması gerektiğini ana hatlarıyla belirtir.

Bir tehdidin gerçekleşmesi ne kadar olasıdır ve sonuçları ne olur?

Bir sigorta şirketinin bir poliçe sahibinin bir kaza geçirme olasılığını değerlendirmesine benzer şekilde, sigortacılar da müşteri verilerinin herhangi bir zamanda ihlal edilme olasılığını belirlemelidir. Değerlendirme ayrıca şirketinizin karşı karşıya kalabileceği tüm finansal, yasal-maddi olmayan sonuçları da içermelidir.

Mevcut sistemlerin ve riske duyarlılıklarının gözden geçirilmesi

Bir sonraki adım, mevcut siber güvenlik sistemlerini gözden geçirmek ve standartlaştırılmış yönergelere göre ne kadar iyi yığıldığını belirlemektir. Bu gözden geçirme, kullanılan tüm ağları ve yazılımları, veri depolama uygulamalarını, sınıflandırmayı ve iletim prosedürlerini içermelidir. Belirlenen herhangi bir eksiklik, bir iyileştirme planı belirlemek için not edilmelidir.

Risk azaltma planını uygulamaya koymak

Sigortacıların, yeni teknolojiler veya siber saldırıların karmaşıklığı nedeniyle ortaya çıkabilecek yeni risklerin üstünde kalması gerekiyor. Bu, ancak yıllık bazda gerçekleştirilen düzenli risk değerlendirmeleri ile sağlanabilir.

Sigortacılar için risk yönetimi sürecini anlamak

Risk değerlendirmesi, veri güvenliğindeki potansiyel zayıf noktaların belirlenmesini ifade ederken, risk yönetimi, şirketinizin karşı karşıya kalabileceği potansiyel risklerin aktif olarak izlenmesi ve azaltılması anlamına gelir. NAIC'e göre bir risk yönetim planı aşağıdaki adımları içerecektir.

Bilgi güvenliği programı kurmak

Risk yönetimi, etkin bir bilgi güvenliği programı ile başlar. Böyle bir program, işletmenizin faaliyetleriyle ilgili olmalı ve şirketinizin karşı karşıya kalabileceği mevcut riskleri belirlemeye ve azaltmaya yardımcı olacak yeterli kaynağa sahip olmalıdır.

Güvenlik kontrollerini uygulama

Dahili tehditlere karşı ekstra bir koruma katmanı sağlarken hassas müşteri verilerine kimlerin erişebileceğini sınırlamak için güvenlik kontrolleri. Güvenlik kontrol protokolünüz, veri erişimi, işin çeşitli bölümlerine kısıtlı fiziksel erişim, şirket sistemlerinin düzenli olarak test edilmesi ve izlenmesi ve güvenli yazılım geliştirme için bir kimlik doğrulama sürecini içermelidir.

Siber güvenliği içeren bir Kurumsal risk yönetimi planı

ERM planınız, hesaba katılması gereken potansiyel unsurların bir parçası olarak siber güvenlik tehditlerini de içermelidir.

Bir bilgi paylaşım planının devreye alınması

Bilgi paylaşımı, tüm departmanların ve sektör oyuncularının yeni riskleri zamanında öğrenmesine ve uygun bir yanıt tasarlamasına olanak tanır.

Personeli acil risklerden haberdar etmek için düzenli eğitim

Son olarak, risk yönetimi planınız, siber saldırganların kullandığı hızla gelişen stratejilerin zirvesinde kalabilmeleri için uygun personelin eğitimini içermelidir.

Editörün Notu : Ken Lynch, çalışanları neyin çalışmaya ittiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​ustasıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır. ReciprocityLabs.com'da daha fazla bilgi edinin.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

• Siber güvenlik ve yüksek öğrenim
• Bulutun güvenliğini sağlamak
• Risk toleransı ve risk iştahı nedir?
• Uyumluluk yönetimi için en iyi uygulamalar
• Etkili iş akışı denetim yönetimi süreçleri