Nu cyberrisico’s een prioriteit worden voor bedrijven van elke omvang, hebben veel bedrijven een vorm van cyberverzekering. Maar een aantal van deze organisaties is zich niet bewust van de waardetoevoegende riskmanagementdiensten die hun cyberverzekeraars bieden. Uit een recent onderzoek van QBE, in samenwerking met Zywave, blijkt dat er een aanzienlijk potentieel is voor verbetering in de communicatie en bewustmaking van de riskmanagementdiensten die zijn opgenomen als onderdeel van een cyberverzekeringspolis.In het 2024 Cyber Insurance Report werden riskprofessionals en verzekerde bedrijven van voornamelijk grote organisaties ondervraagd, waarbij 50% van de respondenten een omzet van meer dan $ 1 miljard had.
Belangrijke thema’s in cyberriskmanagement die uit het rapport naar voren kwamen zijn onder andere:
Kopers zien waarde in cyberverzekeringen.
Meer dan 80% van de respondenten, waarvan de helft grote bedrijven vertegenwoordigt, koopt een vorm van cyberverzekering, meestal in de vorm van standalone polissen. Met name de kosten vormen geen belangrijke barrière voor het kopen van dekking. Gevraagd naar hun uitdagingen bij het managen van organisatorische cyberrisico’s, plaatsten de respondenten de prijs van de verzekering op de vierde plaats. Als urgentere uitdagingen werden de kosten van cyberbeveiligingssystemen, diensten en de beschikbaarheid van gekwalificeerd IT-personeel genoemd. Nu meer dan 60% van de respondenten melding maakt van een cyberincident, is het van cruciaal belang dat bedrijven de financiële, operationele en reputatiegevolgen van een cyberincident niet onderschatten. Het hebben van een adequate cyberdekking is een cruciaal onderdeel van een proactieve en robuuste verdedigingsstrategie tegen cyberincidenten.
Kansen om de bekendheid van cyberrisicodiensten te vergroten
Respondenten gaven aan dat ze, na de risico-overdracht zelf, de diensten van verzekeraars op het gebied van inbraakrespons en incidentresponsplanning als de meest waardevolle onderdelen van hun cyberpolissen beschouwen. Hoewel de dekkingen en riskmanagementdiensten variëren per verzekeraar en polis, geeft 50% van de respondenten aan dat ze op de hoogte zijn van de beschikbaarheid van aanvullende riskmanagementdiensten van verzekeraars. Veertig procent van de respondenten maakt gebruik van aanvullende riskmanagementdiensten als onderdeel van de cyberpolis. Inkopers van cyberverzekeringen zouden deze aanvullende diensten voor cyberrisico’s moeten bekijken, omdat ze een aanzienlijke waarde toevoegen aan hun investering in cyberverzekeringen en hun veerkracht op het gebied van cyber kunnen vergroten.
Potentieel voor meer bewustzijn bij de raad van bestuur en de directie.
Het onderzoek toont aan dat verzekeraars en makelaars de communicatie gericht op de hogere leiding zouden kunnen verbeteren om de waarde van cyberverzekeringen en aanverwante cyberrisicodiensten aan te tonen. Bijna 50% van de respondenten gaf aan dat hun directie ‘enigszins bekend’ is met het cyberbeleid en de cyberdiensten van de organisatie, terwijl minder dan 20% ‘zeer bekend’ is en 16% ‘helemaal niet bekend’ is. Ondertussen zegt slechts 38% van de respondenten dat de informatiebeveiligings- en riskmanagementprofessionals van hun bedrijf cyberverzekeringen ‘vaak’ bespreken en 27% zegt dat deze leiders cyberverzekeringen ‘slechts rond de vernieuwingstijd’ bespreken. Nu organisatieleiders zich steeds meer richten op het beheer van cyberrisico’s, geven deze onderzoeksresultaten aan dat verdere stappen kunnen worden ondernomen om het bewustzijn van de ROI van cyberverzekeringen te vergroten met betrekking tot risico-overdracht en aanvullende diensten met toegevoegde waarde.
Selectie van leveranciers van cyberservices.
Een gebied dat in het rapport is onderzocht, is leveranciersmanagement met betrekking tot inbreuken en incidentrespons. Hoewel respondenten in het onderzoek inbraak- en incidentresponsplanning als waardevolle onderdelen van hun cyberdekking zien, vertrouwt 45% niet op hun verzekeraars om deze relaties op te bouwen, bouwt 23% de relaties op met de hulp van hun verzekeringspartners en weet 30% niet of hun organisatie relaties heeft opgebouwd of opgebouwd. Als bedrijven ervoor kiezen om met externe leveranciers van inbreuken te werken, moeten ze hun verzekeraars om goedkeuring vragen. Zonder goedkeuring van de verzekeraar kunnen er wrijvingen ontstaan tijdens het claimproces.
De juiste partners om cyberrisico’s te managen
Het aanpakken van cyberrisico’s als kernrisico’s is van cruciaal belang voor organisaties om de zich ontwikkelende cyberbedreigingen effectief te beheren en hun bedrijfsdoelstellingen te behalen. Uit de antwoorden op de enquête blijkt dat organisaties cyberverzekeringen opnemen als een belangrijk onderdeel van hun strategie voor het managen van cyberrisico’s en dat er aanzienlijke mogelijkheden zijn om de bekendheid van diensten voor riskmanagement te vergroten om de waarde van de aanschaf van cyberverzekeringen verder te verhogen. Naarmate cyberbedreigingen zich verder ontwikkelen, neemt de noodzaak toe om cyberrisico’s te beheren in technische, operationele, financiële en leidinggevende functies. Voortdurende training van het personeel, effectief bestuur, proactieve voorbereiding op cyberincidenten en betrokkenheid van het leiderschap bij het beheer van cyberrisico’s zijn allemaal belangrijke aspecten van het beheer van het snel veranderende en dynamische cyberrisicolandschap
Tegelijkertijd kunnen de diverse riskmanagementdiensten die verzekeraars aanbieden en de inzichten die ze bieden de waarde van het cyberverzekeringspartnerschap verhogen. Bijna de helft van de respondenten gaf aan dat een belangrijke reden voor interactie met hun verzekeraars is om advies te vragen over cyberbeveiligingsmaatregelen en risicobeperkende strategieën. Uit de antwoorden op de enquête blijkt dat er onder riskprofessionals grote belangstelling bestaat voor meer voorlichting over cyberdreigingen en riskmanagementstrategieën om de gevolgen van cybergebeurtenissen beter te begrijpen.
.
c