Versicherer werden ebenso wie ihre Kunden von Cyberkriminellen angegriffen
Versicherungsunternehmen sind in Bezug auf Cybersicherheit doppelseitig. Da sie wertvolle persönliche Informationen aufbewahren, sind sie selbst ein Hauptziel von Cyberkriminellen und müssen daher einen wirksamen Schutz genießen. Auf der anderen Seite können sie Versicherungen entwerfen und verkaufen, die ihre Kunden vor Cyber-Risiken schützen und ihnen helfen, mit einem möglichen Angriff fertig zu werden. Vincent Van de Winckel fragt Mauro Almeida von everis Portugal, der für Informationssicherheit und Cybersicherheit zuständig ist, nach seiner Sichtweise zu diesem Thema.
Vincent van de Winckel (VVdW): Wie sollten Versicherer im Hinblick auf die Sicherung ihrer eigenen Tätigkeit vorgehen, um gegen Cyber-Risiken immun zu sein? Was sind die wichtigsten Prozesse, die implementiert und überwacht werden müssen?
Mauro Almeida (Bild unten): Versicherungsunternehmen generieren Millionen von persönlichen und sensiblen Daten von ihren Kunden, Informationen, die für ihr Geschäft von entscheidender Bedeutung sind. Die gesamte Verwaltung, Kontrolle und Aufbewahrung dieser Informationen erfolgt heute mehr denn je auf Systemen. Das Geschäft wird vollständig digitalisiert, ebenso die gesamte Kundeninteraktion. Die Verantwortung der Versicherer für Informationssicherheit und Cybersicherheit gewinnt aufgrund der Menge und Kritikalität der Daten, die verarbeitet und gespeichert werden, an Gewicht.
Ein unangemessener Zugriff auf die Daten vertraulicher Organisationen oder deren Manipulation kann zu Vertrauensverlust der Kunden, Reputationsschäden, Verlust des geistigen Eigentums oder zur Verhängung von Geldbußen wegen Nichteinhaltung von Vorschriften oder Standards mit den daraus resultierenden finanziellen Folgen führen Verluste. Es ist daher wichtig, dass Versicherer beispielsweise technologische Lösungen wie Netzwerksegmentierung, Geräteüberwachung und Implementierung von vorbeugend implementieren Multi-Faktor-Authentifizierung (MFA) Mechanismen, Verhinderung von Datenverlust sowie Klassifizierungs- und Informationsschutzmechanismen.
Aber, In der Cybersicherheit gibt es keine Einheitsgröße. Der von mir befürwortete Ansatz besteht darin, Lösungen aus der Perspektive des Cyber-Risikos und der Risikobewertung als Eckpfeiler einer robusten und ganzheitlichen Sicherheitsstrategie zu erwerben. Dieser Ansatz ermöglicht es Unternehmen, die richtigen Lösungen für die Akquisition oder Implementierung auszuwählen, und stellt eine effiziente Anwendung der verfügbaren und korrekten Budgetpriorisierung von Investitionen sicher, wodurch das Cyber-Risiko verringert wird.
VVdW: Wie ist der Bekanntheitsgrad von Organisationen in Portugal für das Cyber-Risiko? Sind Sensibilisierungskampagnen erforderlich? Von wem?
Mauro Almeida: Cyber-Risiko ist bereits ein zentrales Thema in Top-Management-Agenden von Organisationen, die dies effektiv als betrachten ein operationelles Risiko. Das heißt, ein Risiko mit dem Potenzial, negative und tiefgreifende Auswirkungen auf das Unternehmen zu haben, sei es seriös, finanziell, aufsichtsrechtlich oder in der Lage, eine Produktionsunterbrechung zu verursachen.
Obwohl wir ein verstärktes Bewusstsein für Organisationen für Cyber-Risiken sehen, sind wir es Es ist auch zu beobachten, dass das Vertrauen dieser in ihre Fähigkeit, damit umzugehen, erheblich abnimmt. Dieser Vertrauensverlust ist häufig mit der Schwierigkeit verbunden, die Unternehmen haben, die Wahrscheinlichkeit und Priorität des Auftretens dieser Risiken zu verstehen und zu verstehen, wie sie darauf reagieren sollen.
Ein weiterer Risikofaktor für Organisationen, der nicht zu vernachlässigen ist, ist die Tatsache, dass a Ein großer Teil der Mitarbeiter des Unternehmens ist sich des Problems nicht bewusst und treffen Sie daher nicht die erforderlichen Vorsichtsmaßnahmen. Dieses Risiko erhöht sich mit einem höheren Grad an Remote-Arbeit, da sich die Mitarbeiter nicht mehr am Rand des Unternehmens befinden und beginnen, ihre Heimnetzwerke zu verwenden, um auf vertrauliche und vertrauliche Informationen oder die Vermögenswerte des Unternehmens zuzugreifen. Diese persönlichen Netzwerke haben nicht die gleichen Sicherheitskontrollen wie Unternehmensnetzwerke und sind eine weitere Angriffsfläche, die von Organisationen nicht kontrolliert wird.
Neben der Verabschiedung einiger technologischer Maßnahmen ist es wichtig, die Sicherheit unter dem Gesichtspunkt der Schulung und Sensibilisierung der Mitarbeiter zu verbessern. Es reicht nicht aus, in die besten Dienstleistungen zu investieren, die besten zu erwerben Hardware und Software. und interne Prozesse definieren, wenn keine Investitionen in Mitarbeiter getätigt werden, die im Kampf gegen Cyber-Bedrohungen wirklich an vorderster Front stehen werden. Es ist falsch zu glauben, dass Benutzer das schwächste Glied in der Informationssicherheit von Unternehmen sind, obwohl sie das Potenzial haben, das stärkste Element eines Unternehmens beim Schutz vor Sicherheitsbedrohungen zu sein.