Cyberweerbaarheid vereist totaalaanpak

1. 14 september 2020
2. 0 reacties

Waaruit bestaat jullie cyberaanbod precies?

Wij zien cyberweerwaarheid als een combinatie van beveiliging, monitoring, beleid, incident response, crisismanagement en verzekeren. Aon hanteert daarom een benadering die wij de Cyber Loop noemen. Dit stelt dat elke organisatie op een ander moment kan beginnen met het versterken van haar cyberweerbaarheid: met assessment, kwantificering, verzekeren of incident response/crisismanagement. Deze vier instapmomenten zijn circulair met elkaar verbonden en versterken elkaar onderling. Het is als het ware een ecosysteem voor cyberweerbaarheid, continu bezig met evaluatie, verbeteringen en investeringen in cyberrisicobeheer. Dat is ook hoe wij ons aanbod in de markt zetten.

Afhankelijk van de klant en zijn wens starten wij het gesprek bij een van deze vier instapmomenten. Wij adviseren preventief over het crisismanagement bij een cyberincident, maar ondersteunen ook op het moment dat een cyberincident zich daadwerkelijk voordoet. Wij kwantificeren de risico’s, kijken naar de huidige verzekeringen, wat er eventueel ontbreekt en welke limieten het beste passen bij de organisatie. Daarnaast gebruiken wij (scenario)analyses en crisisoefeningen om organisaties te leren om te reageren op cyberincidenten. Bij grotere organisaties voeren we penetratietesten uit of zelfs red-teaming-opdrachten, waarbij wij een realistische cyberaanval simuleren. Uiteindelijk adviseren wij altijd om naar het gehele plaatje te kijken en cyber te benaderen vanuit de Cyber Loop-aanpak.

Waarop ligt in jullie aanbod het accent: de preventie, de verzekering of de hulpverlening bij een onverhoopt cyberincident? Is het hoe dan ook mogelijk deze onderdelen los van elkaar te zien?

Het accent ligt bij ons dus op het totale plaatje, de Cyber Loop. In onze optiek is het niet mogelijk om de vier onderdelen los van elkaar te zien. Stel je doet niet aan preventie, dan is het vrijwel onmogelijk om een cyberverzekering af te sluiten. Gelukkig zijn we nog geen organisatie tegengekomen die niks aan preventie doet.

Het is alleen wel de vraag of de genomen maatregelen adequaat zijn en passen bij het risicoprofiel van de organisatie. Wij helpen bedrijven om die maatregelen te nemen die daadwerkelijk bijdragen aan de cyberweerbaarheid van een organisatie.

Verschillende zaken

Hoe zetten jullie het aanbod in de markt?

Veel organisaties stellen een cyberverzekering nog steeds gelijk aan cyberveiligheid. Onze communicatie en de accountmanagers die bij de klant zitten, maken heel goed duidelijk dat dit twee verschillende dingen zijn. De accountmanagers zijn goed opgeleid zodat zij de meeste vragen kunnen beantwoorden. Wanneer de vragen technischer worden, halen zij de specialisten erbij. Er staat op de achtergrond een heel team klaar voor de klant.

Met welke risicodragers werken jullie? Is het buitenlandse aanbod voldoende toegesneden op de Nederlandse markt? Zouden meer Nederlandse verzekeraars een aanbod moeten ontwikkelen?

Wij werken vooral samen met AIG, Chubb, AXA en in sommige situaties ook met een kleine groep andere verzekeraars. Een aantal Nederlandse verzekeraars, zoals Achmea en De Goudse, heeft al een aanbod, maar worstelt nog met het goed neerzetten in de markt. Het kost ook veel tijd voordat klanten de toegevoegde waarde van cyberverzekeringen kunnen waarderen. Wanneer wij als Aon met buitenlandse verzekeraars werken, is dat meestal via Nederlandse underwriters. Wij sturen bij de ontwikkeling van producten en dekkingen specifiek aan op de behoefte van Nederlandse organisaties. Daardoor zorgen we ervoor dat het aanbod geschikt is voor de Nederlandse markt.

Coronacrisis

Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep gedaan op (onderdelen van) jullie cyberpropositie?

Klanten begrijpen de filosofie van onze Cyber Loop over het algemeen heel goed. Ons team van specialisten, ondersteund door de rest van de organisatie, is sinds de start van de coronacrisis zeer druk omdat klanten steeds meer kiezen voor onze integrale aanpak. Zo hebben we onlangs een klant geholpen met een assessment en kwantificatie waardoor zij zich nog meer bewust zijn geworden van het belang van een goede verzekering, inclusief de capaciteit om snel en adequaat te kunnen reageren als zich een incident voor zou doen. Waar moet men nou ontzettend goed op letten als men een cyberpropositie adviseert of sluit?

Een cyberpolis is de kroon op een gezond bedrijf, maar geen alternatief voor cyberveiligheid. Dat gaat vooral om preventie, assessments en het (cyber)risicoprofiel en de risicobereidheid kwantificeren; dit alles samengebracht in goed cyberrisicomanagement. Idealiter gebaseerd op de Cyber Loop-aanpak. Door te snappen welke cyberrisico’s jouw organisatie loopt, weet je welke dekkingen van de cyberpolis aansluiten op jouw organisatie. Verzekeraars accepteren het daarnaast niet als je niet je stinkende best doet om cyberrisico’s het hoofd te bieden.

Zorg voor goede aansluiting

Wat kan er beter aan cyberverzekeringen?

De beperkende factor voor verzekeraars is dat niet alle risico’s even tastbaar zijn. Zo zijn bijvoorbeeld reputatieschade en diefstal van intellectueel eigendom lastig te kwantificeren. Toch zijn deze schadeposten vaak direct het gevolg van een cyberincident. Maar hoe kun je dat verzekeren? Voor intellectueel eigendom hebben wij inmiddels goede producten ontwikkeld waarmee we de kwaliteit van cyberverzekeringen gaan verbeteren. Ook is de taal bij sommige voorwaarden niet in alle ge vallen voldoende duidelijk en eenduidig, hetgeen problemen kan opleveren bij eventuele schade. Daarnaast sluiten verschillende verzekeringen niet altijd goed op elkaar aan, zoals de bedrijfsschade-, ongevallen-, aansprakelijkheids- en cyberverzekeringen. De scheidslijnen en eventuele overlap moeten duidelijk zijn. Een goede broker kan dat toelichten en gaten in de dekking voorkomen.

Welke toekomst dichten jullie cyberverzekeringen toe?

Alle risico’s hebben in de toekomst op een of andere manier een cybercomponent. Silent cyber is daarbij een grote uitdaging. Uitgangspunt van de silent cyberclausule is dat er wordt uitgesloten wat doorgaans op een cyberverzekering wordt ingesloten. Wat daar echter kan ontstaan, is dat hetgeen wordt uitgesloten, niet altijd verzekerd kan worden op een cyberverzekering waardoor onverzekerbaarheid dreigt. Je krijgt dan bijvoorbeeld de situatie dat er een brand door een cyberincident ontstaat die nergens onder gedekt wordt als de cybertrigger uit de brandpolis wordt gehaald.

Als verzekeraar moet je op lange termijn een bijdrage leveren. De digitalisering zet door en het spectrum van het cyberrisico niet goed begrijpen kan je je niet veroorloven. Niet als bedrijf en niet als verzekeraar. Daarnaast zullen de traditionele risico’s minder verrassingen meebrengen dankzij Big Data, waardoor er meer op maat gesneden standaardoplossingen komen. Het autonoom rijden, met minder onverwachte schadeclaims, is daar een goed voorbeeld van

Hoe gaan jullie zelf om met cyberrisico’s? Zijn jullie als gevolg van corona ook meer thuis gaan werken en hoe beheersen jullie de risico’s hiervan?

Simpel gezegd: wat wij adviseren, voeren wij zelf ook uit. Het thuiswerken was al flink ingebed in Aon’s way of working, dus de vervolgstap was relatief klein. We zijn eigenlijk zonder problemen overgeschakeld. Omdat het zwaartepunt nu wel wat verschoven is van kantoor naar thuis hebben wij wat aanvullende maatregelen genomen.

De AVG: hoe groot is de impact hiervan uiteindelijk op jullie bedrijfsvoering gebleken? En waar moeten adviseurs volgens jullie speciaal op letten in AVG-verband?

Naleving van de AVG valt natuurlijk onder de cyberrisico’s en is daarmee onderdeel van ons cyberweerbaarheidsaanpak. Adviseurs moeten in hun risicoanalyse het niet-compliant zijn meenemen in hun risicoanalyses en de klant erop attent maken. Er is nog wel af en toe onduidelijkheid over of het wettelijk is toegestaan om een AVG-boete te claimen. Dus die onzekerheid moet benoemd worden.

Praktijktips

Geef drie praktijktips voor collega-adviseurs bij beheersen cyberrisico’s en/of verzekeren daarvan.

– Zorg dat je niet alleen met een risicomanager of verzekeringsmanager aan tafel zit, maar ook met de ITmanager, CISO of CFO.

– Wees volledig voorbereid en ga met het totale spectrum van cyberrisico’s een gesprek in. Maak duidelijk dat het een enterprise (bedrijfsbreed) risk is, niet ‘slechts’ een van de risico’s.

– Aangaande verzekering: weet wat er gedekt is en ook wat niet. Cyberverzekering is geen cyberveiligheid. Schep volledige duidelijkheid zodat er achteraf geen teleurstellingen zijn met eventuele vervelende bijkomstigheden zoals negatieve persaandacht.

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• aon
• Marie-Louise de Smit, Aon
• Maarten van Wieren