Menu  

Cyberrisks: lastig te kwantificeren

Hoe wapen je je als organisatie tegen de gevolgen van cyberrisico’s?

 

Cyberrisico's en het beheersen daarvan zijn nog steeds een belangrijk punt van aandacht. Nog altijd staan cyberrisico's steevast in de top vijf. Alle ernstige incidenten van de laatste jaren hebben in elk geval één positief effect gehad: er is aanzienlijk meer bewustzijn ontstaan voor de noodzaak van een goede beheersing van deze nog vaak ongrijpbare risico's.

 

Het afsluiten van een verzekering: nuttig?

Het afsluiten van een cyberverzekering is niet alles. Het maakt deel uit van een reeks middelen die organisaties helpen hun cybersecurity en veerkracht te vergroten. De oplossingen die de meeste verzekeraars aanbieden, omvatten niet alleen een dekking voor bepaalde schades, maar ook advies en begeleiding. Bijvoorbeeld over preventie en over het mitigeren van risico's. En het bieden van ondersteuning als de nood aan de man is.

 

Het landschap van cyberverzekeringen blijft zich ontwikkelen

Cyberrisico’s worden de komende jaren gemakkelijker te kwantificeren. Maar er is geen unieke dekking. Voor elke organsatie geldt dat het inzichtelijk maken van de risico's, het kwantificeren daarvan en het maken van keuzes een intensief proces is. Daarbij zijn tal van partijen betrokken. 

 

Heel gericht vergelijken van offertes

Vorig jaar herfst verscheen het rapport Preparing for cyber insurance dat onder auspiciën van FERMA werd uitgegeven. ln het rapport wordt ingegaan op key questions vanuit Risk Management-perspectief. Met als doel organisaties beter voor te bereiden bij het in kaart brengen van cyberrisico’s, het mitigeren van deze risico’s en het veel gerichter opvragen en vergelijken van offertes van verzekeraars. Met als doel verzekeringsoplossingen te ontwikkelen die nauw zijn afgestemd op specifieke behoeften.

 

OESO

Intussen heeft ook de OESO de bevindingen van toen opgepakt en meegenomen in een studie waarvan de resultaten eind juni werden gepresenteerd. Het doel van de OESO is het creëren van een internationaal erkend kader en statistische indicatoren voor het beheer van cyberrisico's. Het meten van de volwassenheid van het beheer van digitale beveiligingsrisico's door een organisatie is een uitdaging, maar is wel essentieel geworden voor OESO-landen. 

 
Eerst aan de slag met het verzamelen van de juiste informatie

Digitale ontwikkelingen en de huidige juridische context dwingen organisaties, grote en kleinere, steeds meer om cyber insurance-producten in te zetten voor het beperken van cyberrisco’s en de impact die incidenten kunnen hebben. Dat houdt wel in dat de koper, zeker in middelgrote organisaties, intern eerst de juiste informatie moet verzamelen. Dit proces is een van de grootste uitdagingen. Niet alleen om maximaal voordeel te hebben van de potentie die een cyberverzekering biedt, maar ook om cyber risk management in de organisatie sterk te verbeteren.

 
Het kwantificeren van cyberrisico's is nog erg lastig

Een van de redenen waarom zowel organisaties als makelaars en verzekeraars worstelen met cyberrisks, is de moeilijkheid deze risico’s te kwantificeren. De dekkingen nauw zijn afgestemd op de activiteiten van de organisatie, de mate van digitalisering en de risico’s die hiermee samenhangen.

 

Grote organisaties hechten belang aan tailor made oplossingen, terwijl voor veel kleinere organisaties de keuze uit meer gestandaardiseerde oplossingen voor de hand ligt, onder meer uit kostenoverwegingen en uit een gebrek aan resources binnen het bedrijf om de noodzakelijke informatie boven water te krijgen.

 

Preparing dialogue cyber insurance

 

Want in alle gevallen moet je zelf aan het werk. De eerste stap is internal research met alle stakeholders (zie schema hierboven). Het verzamelen van de juiste informatie is een intensief proces aan het begin van het hele traject, maar wel bepalend voor het maken van de afweging of een cyber insurance gewenst is en – zo ja – of je de juiste polis kiest.

Het gaat in dit soort processen om:

  • algemene business informatie,
  • de cybersecurity culture (de menselijke component, risk awareness),
  • information system security (identificatie en authenticatie, security policies, (mobiele) netwerken, secure administration, industrial control systems),
  • De rol van IT-leveranciers,
  • IT Update Management,
  • Ongoing assessments en audits van cyberrisk management plannen,
  • Persoonlijke gegevens (juridisch en GDPR).

 

Om beter inzicht te krijgen in de aanbiedingen van verzekeraars voor cyber insurance worden in het rapport vier key pillars genoemd:

  • Preventie
  • Assistentie
  • Operationele aspecten
  • Aansprakelijkheden

Key pillars cyber insurance


Van belang is dat alle relevante zaken worden meegenomen: ook operationele kosten als de productie stilvalt als gevolg van een inbraak of hack, notificatiekosten die te maken hebben met het informeren van klanten en andere stakeholders en juridische kosten als gevolg van claims en andere zaken. Vaak onderschatte elementen.

In het rapport zijn een components checklist en een coverage checklist opgenomen en worden diverse scenario's behandeld.

 
Cyberrisico's, onderdeel van de Risk Management Strategie

Cyberrisico’s en hun omvang horen deel uit te maken van de Risk Management Strategie van elke organisatie. Verzekeraars verlangen voor het afsluiten van een cyber-polis veel informatie. Het verzamelen van deze informatie kan aanvankelijk ontmoedigend lijken, maar is de inspanning meer dan waard. Het helpt organisaties bij het voorbereiden van de discussie met hun verzekeraar en tussenpersoon én het dient om te peilen in hoeverre je als organisatie klaar bent om cyberrisico's het hoofd te bieden, zowel in termen van het voorkomen als in termen van adequaat reageren als zich een gebeurtenis voordoet.

 

De juiste dekking bieden
Op dezelfde manier zal de verzekeraar op basis van deze informatie de dekking kunnen bieden die het best past bij de behoeften van de organisatie, en nog belangrijker, toegang tot pre- en post-incident services.

 

Goed begrip tussen alle betrokken partijen is de sleutel

Samenvattend geldt dat een goed begrip tussen potentiële kopers van verzekeringen, tussenpersonen en verzekeraars de sleutel is in de ontwikkeling van de cyberverzekeringmarkt en in het ontwikkelen van oplossingen op maat. Cyberrisico's zijn een blijvend onderdeel zijn van het risicolandschap en daarom is actie geboden. Maar tref dan wel de juiste maatregelen, ook in de wetenschap dat niet alle gevaren zijn uit te sluiten. De exercitie die daarvoor nodig is, lijkt soms ontmoedigend, maar is de moeite zeker waard. 

 

Rapport 'Preparing for cyber insurance' downloaden >>


« vorige pagina         meer nieuws »