Waarom CISO's cyberverzekeraars tot hun partners moeten maken

In het huidige dreigingslandschap is de relatie tussen cyberverzekering aanbieders en potentiële (of zelfs huidige) polishouders staat op zijn best vaak onder druk. Organisaties kunnen het langdurige en ingewikkelde proces, gecombineerd met stijgende premies, waarnemen als verzekeringsmaatschappijen die hiervan profiteren. Verzekeringsmaatschappijen hebben echter moeite om de stijgende verliesratio's, die een paar jaar geleden bijzonder hoogtij vierden, in evenwicht te brengen.

Hoewel deze ontkoppeling lastig is, is het geen verrassing dat we nog steeds proberen dingen uit te zoeken. Cyberverzekering is in opkomst vergeleken met andere verzekeringssegmenten. De eerste cyberpolis werd in 1997 door AIG geschreven. Levens- en eigendomsverzekeringen zijn daarentegen ruim 250 jaar oud en autoverzekeringen al meer dan 125 jaar oud. Het is normaal dat er wat groeipijnen zijn in een proces dat relatief nieuw is en zich ontwikkelt in een tempo dat onbegrijpelijk is vergeleken met gebieden als levens- of eigendomsverzekeringen. Het goede nieuws is dat we niet zo ver verwijderd zijn van het vinden van een comfortabele positie voor zowel aanbieders als polishouders. De sleutel is om te onthouden dat we hier allemaal samen in zitten. Een van de grootste fouten die chef-informatiebeveiligingsfunctionarissen (CISO's) kunnen maken, is dat ze hun verzekeraars niet als partner behandelen.

Hoe we hier kwamen

Het is nuttig om een kort idee te hebben van hoe de sector zich heeft ontwikkeld, zodat we inzicht krijgen in de huidige uitdagingen. In het begin waren de premies voor cyberverzekeringen bijna volledig gebaseerd op onderbuikgevoelens, maar dat was op de lange termijn uiteraard onhoudbaar. Zo werd een systeem ontwikkeld dat werd aangedreven door macro-opvattingen, waarbij de claimverwachtingen waren gebaseerd op de totale marktverliezen die werden toegepast op een groep verzekerden.

Het probleem met deze aanpak is echter dat de claims al snel de verwachtingen gingen overschrijden en dat verzekeraars constateerden dat het risico op verliezen geconcentreerd was bij een subgroep van polishouders. Bovendien maakten verzekeraars zich zorgen over het systematische of correlatierisico, waarbij een verlies op één polis de kans op claims op andere polissen vergroot. Voor verzekeraars liep het al snel uit de hand.

De volgende ontwikkeling die ons bij onze huidige situatie brengt, is het acceptatieproces zelf. Om de verliezen als gevolg van op macro-view gebaseerde polissen te beperken, zijn verzekeringsaanvragen aanzienlijk complexer geworden en vereisen ze gedetailleerde gesprekken, interviews en locatiebezoeken, met als doel een beleid op maat te creëren. Organisaties moeten vaak aan specifieke drempelvoorwaarden voldoen, zoals het gebruik van multifactor-authenticatie en eindpuntdetectie- en responsmogelijkheden, en moeten een ‘outside-in’-scan van hun omgeving doorstaan, die wordt uitgevoerd door een neutrale derde partij.

Het probleem is dat IT-omgevingen gedurende de gehele beleidsperiode voortdurend in beweging zijn, waardoor het verkrijgen van werkelijk nauwkeurige en genuanceerde informatie via een vragenlijst bijna onmogelijk wordt – zelfs voor organisaties die proberen de meest nauwkeurige en gedetailleerde informatie te verstrekken. Hierdoor is een omgeving ontstaan waarin sprake is van aanzienlijke volatiliteit op het gebied van prijzen en polisvoorwaarden, waardoor een groot deel van de spanning tussen verzekeraars en polishouders is ontstaan.

Waar we heen moeten

Om echt partners te kunnen worden, moeten organisaties en verzekeraars het eerst eens worden over een gemeenschappelijk doel: risicoreductie. Dit zou het makkelijke deel moeten zijn. Het huidige acceptatieproces probeert risico's vast te stellen, maar is er niet in geslaagd dit op betrouwbare wijze vast te stellen voor individuele organisaties. Aan de verzekerde kant kaderen CISO's regelmatig budgettaire gesprekken met het bestuur in termen van risico's, dus er is overeenstemming over de terminologie.

Het ontbrekende stuk is het vinden van een manier om risico's te meten waar beide partijen tevreden mee zijn, zodat de beleidsprijzen daarop kunnen worden gebaseerd. De enige manier waarop ik dit kan bereiken is door het delen van elektronisch verzamelde meetgegevens vanuit de firewall van een aanvragende organisatie die de cyberhouding onderzoekt. In tegenstelling tot handmatig ingevulde vragenlijsten kunnen deze gegevens een betrouwbare momentopname van de omgeving opleveren. Het is het verschil tussen het hebben van een ooggetuige van een gebeurtenis en een opname ervan in hoge resolutie – er is echt geen vergelijking tussen de twee.

De reden dat dit thema van partnerschap steeds weer ter sprake komt, is dat het voor elke CISO een grote vraag is om dit soort privé-informatie te delen, vooral als ze bang zijn dat de informatie die ze verstrekken tegen hen zal worden gebruikt om de premies te verhogen. Omdat ik nauw samenwerk met een groot aantal verzekeraars, is dat niet de motivatie van welke cyberverzekeraar dan ook die ik ken. Zij proberen, net als cyberbeveiligingsprofessionals in de hele sector, eenvoudigweg hun weg te vinden in een voortdurend veranderende omgeving, en deze radicale transparantie zal de verzekerden ten goede komen.

Zodra de verzekeraars die momentopname hebben, kunnen ze deze onderzoeken en reageren met details rond de belangrijkste bevindingen en geprioriteerd hersteladvies, waardoor de aanvrager deze aanpassingen kan doorvoeren en opnieuw kan indienen om een betere polisprijs te krijgen.

Uiteindelijk zitten verzekeraars en CISO's allemaal in hetzelfde team, dus een van mijn grootste adviezen aan CISO's: behandel uw cyberverzekeringsmaatschappij als partner. Het ontwikkelen van een sterke relatie en het aangaan van een regelmatige dialoog zal het verlengings- en claimproces verbeteren. Vergeet niet dat niemand meer gegevens heeft over cyberveiligheidsrisico's en -verliezen dan een cyberverzekeringsmaatschappij.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners

Generatieve data-intelligentie

Waarom CISO's cyberverzekeraars tot hun partners moeten maken

Hoe we hier kwamen

Waar we heen moeten

Toptips om het IT-personeel van uw AI-startup geïnspireerd te houden

Toptips om het IT-personeel van uw AI-startup geïnspireerd te houden

Laatste intelligentie

Hoe u de Rescue Hook in Content-waarschuwing kunt verkrijgen en gebruiken

Hoe u MetaCoins (MC) kunt krijgen in Inhoudswaarschuwing

Qatar Airways Cargo zet nieuwe normen met de lancering van Advanced Animal Center

Wanneer is de volgende releasedatum van de Valorant-kaart? » Praat Esport

CEO van WestJet Group onthult groeistrategie in Halifax te midden van terugkeer van transatlantische connectiviteit

Balatro's eerste grote balanspatch speelt met Fibonacci en maakt een modificatie voor Odd Todd