Άρθρο της κ. Ευαγγελίας Αθανασίου, Insurance Manager General Insurance All Lines της Interasco, που δημοσιεύτηκε στο Broker’s Time 57*
Ένας επιχειρηματικός οργανισμός που επιθυμεί να εφαρμόσει τρόπους μείωσης των κινδύνων από κυβερνοεπιθέσεις (συμπεριλαμβανομένης και της ασφαλιστικής κάλυψης), οφείλει αρχικά να αξιολογήσει με ακρίβεια την πιθανή έκθεσή του στους κινδύνους αυτούς και τα τρωτά του σημεία.
Ως πρώτο βήμα, πρέπει να προβεί σε εσωτερική έρευνα και να καταλήξει στην απεικόνιση των κινδύνων που αντιμετωπίζει και στους τρόπους χειρισμού τους.
Η διενέργεια αυτής της έρευνας πιθανόν να μην είναι εύκολη, ειδικά για επιχειρήσεις οι οποίες δεν διαθέτουν ξεχωριστή λειτουργία risk management ούτε τους πόρους να την αναθέσουν σε εξωτερικό συνεργάτη. Δεν είναι πάντοτε αυτονόητο ποια τμήματα μιας επιχείρησης διαθέτουν τις σχετικές πληροφορίες για αυτή την άσκηση, ούτε ποιες ερωτήσεις πρέπει να τεθούν.
Η συλλογή πληροφοριών αποτελεί το πρώτο βήμα στη διαδικασία αξιολόγησης των κινδύνων cyber. Αυτή η άσκηση προφανώς θα οδηγήσει σε βελτιώσεις στη διαχείριση των σχετικών απειλών, σε περίπτωση όπου η επιχείρηση διακρίνει ότι το επίπεδο προετοιμασίας και ετοιμότητάς της, δεν είναι ανάλογο με τις προκλήσεις που αντιμετωπίζει.
Επιπλέον είναι ιδιαίτερα χρήσιμη για την αγορά ασφαλιστικής κάλυψης. Η ακριβής και ολοκληρωμένη συλλογή πληροφοριών, συντελεί στην κατανόηση των κινδύνων από τους ασφαλιστικούς διαμεσολαβητές και τις ασφαλιστικές εταιρείες, επομένως βοηθά στην αποτελεσματική κάλυψή τους.
Τα παρακάτω χαρακτηρίζουν για το προφίλ της επιχείρησης που αναζητά ασφαλιστική κάλυψη:
- Δραστηριότητες, τομέας διάθεσης προϊόντων ή παροχής υπηρεσιών
- Δραστηριότητες απευθείας με καταναλωτές (Β2C- επεξεργασία προσωπικών δεδομένων, τραπεζικών στοιχείων καταναλωτών, συστημάτων πληρωμών)
- Πηγές προέλευσης ανωτέρω προσωπικών δεδομένων (χώρες της Ε.Ε. ή τρίτες χώρες)
- Δραστηριότητες με άλλες επιχειρήσεις (B2B)
- Χώρες δραστηριοποίησης, γεωγραφική διασπορά των εγκαταστάσεων της επιχείρησης
- Κύκλος εργασιών
- Ύψος προϋπολογισμού της επιχείρησης για ΙΤ security
- Τρόποι καθημερινής διαχείρισης και ροής δεδομένων μέσω ΙΤ
- Συστήματα και μέθοδοι ασφαλείας ΙΤ
- Εξωτερικοί συνεργάτες / πάροχοι υπηρεσιών ΙΤ
- Συστήματα συνεχούς ελέγχου και αξιολόγησης των σχετικών συστημάτων και μεθόδων ασφαλείας
- Ενημέρωση και εκπαίδευση του ανθρώπινου δυναμικού
- Εσωτερικές διαδικασίες για τη διαχείριση εγγράφων, οι οποίες περιλαμβάνουν:
- τον καθορισμό των προσώπων που έχουν πρόσβαση σε συγκεκριμένα συστήματα και πληροφορίες
- τον καθορισμό των επιπέδων πρόσβασης
- τις οδηγίες για πιο σύνθετους κωδικούς ασφαλείας
- Μέθοδοι ασφαλείας για τη χρήση κινητών τηλεφώνων και άλλων φορητών ηλεκτρονικών συσκευών
- Πολιτικές και μέθοδοι αποθήκευσης και ανάκτησης δεδομένων και στοιχείων (business continuity management)
- Κατάρτιση σχεδίου διαχείρισης κρίσεων
- Πλαίσιο εσωτερικού ελέγχου για τη λειτουργία και την αποτελεσματικότητα όλων των ανωτέρω διαδικασιών και εφαρμογών
Καθόσον, όπως διαπιστώνουμε, η πληροφόρηση για την παροχή ολοκληρωμένης ασφαλιστικής κάλυψης προϋποθέτει εκτενή και σε βάθος ενημέρωση του ενδιαφερόμενου, κρίνεται σημαντική η συμβολή της ασφαλιστικής διαμεσολάβησης στην καθοδήγηση του επιχειρηματία, ώστε να εξασφαλίζεται η ορθή αξιολόγηση του κινδύνου από την ασφαλιστική εταιρεία.
