Кибергигиена: облако более безопасно, чем локальные системы, но только тогда, когда внедрены правильные протоколы и подходы.
Переход от локального сервиса к облачному становится широко распространенным бизнес-трендом в страховании и во многих других отраслях. Согласно недавнему отчету Novarica , внедрение облачных вычислений в страховании более чем утроилось за последние три года, увеличившись с 20% до 70%. Ожидается, что эта тенденция будет продолжаться, что позволит страховщикам снизить нагрузку на обслуживание и модернизацию дорогой ИТ-инфраструктуры при одновременном повышении оперативности и гибкости бизнес-операций.
Однако некоторые страховщики все еще не решаются воспользоваться облаком из-за проблем с безопасностью данных. Последнее исследование Ping Identity показало, что это самая частая причина отказа от внедрения облачных и SaaS решений, около 43% страховщиков ссылаются на эту проблему. Реальность такова, что облако более безопасно, чем локальные системы, но только тогда, когда внедрены правильные протоколы и подходы. Ниже приведены некоторые основные методы, которые могут улучшить кибергигиену.
Шаг 1: Использование принципа «безопасность в дизайне»
Не так давно разработчики программного обеспечения создавали решения с упором на функции и производительность, прежде всего, при этом решения по безопасности запаздывали. Поскольку тестирование на соответствие требованиям безопасности проводилось намного позже после поставки продукта, то это означало, что тестирование было реактивным, а исправления были дорогостоящими для доработки. С ростом перехода в облака и внедрения SaaS стало обычным делом использовать подход «безопасность в дизайне». Инженеры-программисты встраивают протоколы и функции безопасности непосредственно в продукт или услугу на этапе проектирования и на каждом этапе разработки, чтобы уменьшить человеческие ошибки и уязвимости, а также сделать настройки безопасности более удобными для пользователя. Принятие подхода «безопасность в дизайне» должно считаться обязательным для всех страховщиков с самого начала, чтобы минимизировать риск постпроизводственных уязвимостей, которые являются дорогостоящими для устранения.
Шаг 2: Обучение и повышение осведомленности о безопасности
Угрозы кибербезопасности постоянно развиваются, и, как следствие, внимание к защите данных от новых угроз также должно измениться. Страховщики должны вводить обязательную и интенсивную программу обучения безопасности на ежеквартальной основе, чтобы постоянно применять самые последние протоколы и быть в курсе новейших методов кибератак.
Как правило, главный специалист по информационной безопасности или лицо, ответственное за обеспечение безопасности данных, должны разработать стратегию обучения персонала и материалы. Обучение должно быть адаптировано к каждой группе заинтересованных сторон в зависимости от их основных направлений деятельности. Обучающие материалы могут быть разработаны персонально для небольших групп сотрудников или выпущены онлайн для предоставления доступа всем сотрудникам. Например, страховщики могут начать с материалов, посвященных выявлению фишинга в электронной почте или вредоносных программ, а затем перейти к освещению безопасности веб-браузера в последующих учебных сессиях. KMPG и Oracle обнаружили, что 92% компаний отметили, что они обеспокоены тем, что сотрудники следуют своим собственным политикам безопасности, разработанным для защиты конфиденциальных данных. Обучение необходимо для повышения доверия и предоставления пользователям возможности защитить корпоративные активы и данные.
Шаг 3: Тестирование безопасности и мониторинг
Лучшие практики облачной безопасности постоянно развиваются. Страховщики должны доверить безопасность своих данных специальному персоналу, единственной целью которого является исследование, мониторинг и внедрение новых инструментов и стратегий безопасности.
В современном дизайне программного обеспечения динамическое и статическое тестирование приложений (DAST & SAST) стали обязательными в рамках SDLC для предотвращения уязвимостей в работе. Существует множество соображений по защите данных в облаке, в том числе предотвращение потери критических данных, шифрование данных при хранении и при передаче, а также создание надежной стратегии резервного копирования и аварийного восстановления, обеспечивающей минимальное время простоя в случае прекращения работы сервера. Поставщики SaaS должны нанимать экспертов для постоянного мониторинга своих ресурсов, чтобы выявлять потенциальные случаи утечки конфиденциальных данных из служб регистрации и мониторинга, резервного копирования и резервных приложений. Многие нарушения происходят из-за того, что конфиденциальные данные хранились в устаревших приложениях.
Шаг 4: Шифрование данных при хранении и передаче
Чтобы обеспечить постоянную защиту данных, страховщики должны зашифровать, как данные при передаче, так и при хранении. Данные в процессе передачи относятся к информации, передаваемой между системами, будь то внутри персонала компании, независимыми агентами или держателями полисов. Страховщики могут либо зашифровать данные перед передачей, либо зашифровать сами соединения (т. е. HTTPS, SSL, TLS, FTPS). Для хранения данных страховщики могут выбрать шифрование каждого файла перед хранением, шифрование на уровне базы данных, шифрование на самом уровне хранения, а в некоторых случаях их комбинацию для поддержки различных требований защиты.
Для того чтобы страховщики могли извлечь выгоду из э новой цифровой эры страхования, необходимы облачный хостинг и облачные вычисления. Кибербезопасность следует рассматривать как путь к инновациям, поскольку нельзя доверять цифровой среде без высокого уровня уверенности в том, что хранящиеся в облаке данные сохранны и защищены. Кибергигиена – это не панацея, но, следуя этим шагам, страховщики могут уверенно переходить в облако, чтобы предложить своим страхователям более динамичный и цифровой опыт.
Подготовлено порталом Allinsurance.kz