Media Asuransi, GLOBAL – Underwriting asuransi terkenal dengan penggunaan data yang analitis dan sangat metodis untuk mengukur risiko dan menulis polis yang sesuai. Hal ini bekerja dengan baik di pasar asuransi seperti asuransi mobil atau rumah, karena tabel aktuaria dibuat berdasarkan data risiko yang sudah ada sejak puluhan tahun yang lalu.
Founder and Managing Director Allegis Cyber Capital dalam artikel opini yang dikutip melalui laman Dark Reading memaparkan bahwa, ketika sebuah perusahaan asuransi berusaha untuk melindungi lingkungan risiko yang berubah dengan cepat dan hanya memiliki sedikit data jangka panjang, banyak dari ilmu aktuaria tersebut menjadi lebih seperti permainan tebak-tebakan.
Permainan Menebak
Di sinilah kita berada dengan underwriting asuransi cyber saat ini. Akibatnya, beberapa tahun terakhir telah menjadi perjalanan yang liar untuk pasar asuransi cyber karena perusahaan asuransi telah bergulat dengan kesenjangan profitabilitas yang sangat nyata. Setelah satu dekade mengarahkan diri ke pasar siber yang menguntungkan yang tampaknya menghasilkan uang bagi perusahaan asuransi, perusahaan asuransi dan pemegang polis mereka telah menabrak dinding ransomware dan pelanggaran yang merugikan.
|Baca juga: Model Penetapan Harga yang Tak Berkualitas, Rugikan Underwriting
Sekarang perhitungan telah tiba. Menghadapi rasio kerugian yang meningkat, perusahaan asuransi berebut untuk merasionalisasi portofolio asuransi siber mereka. Mereka memulai beberapa tahun yang lalu dengan lonjakan besar dalam premi asuransi cyber. Mereka telah menstabilkan kenaikan tersebut pada tahun 2023, tetapi sekarang polis yang lebih mahal menawarkan cakupan yang lebih sedikit dan mencakup lebih banyak pengecualian dan batasan.
Menawarkan polis mahal yang mengecualikan risiko umum seperti ransomware atau serangan negara-bangsa sama sekali bukan pendekatan yang berkelanjutan. Hal ini telah membantu perusahaan asuransi menjadi lebih menguntungkan untuk saat ini, tetapi ini hanya perbaikan jangka pendek untuk masalah yang sebenarnya. Yakni, bahwa proses underwriting untuk polis asuransi cyber masih belum canggih. Sebagian besar underwriting kurang diperlengkapi untuk secara efektif mengukur eksposur risiko siber dari pelanggan baru atau pelanggan yang baru.
Rahasia Kecil Underwriting Asuransi Siber
Rahasia pasar asuransi cyber adalah bahwa sebagian besar polis saat ini ditulis berdasarkan kuesioner penilaian mandiri.
Terkadang kuesioner ini cukup sederhana, dengan verifikasi yang sangat sedikit atas jawaban yang diberikan. Tekanan dari akumulasi kerugian membuat beberapa perusahaan asuransi menambah detail teknis yang diminta dari para pemohon. Namun pada akhirnya, penilaian mandiri masih menjadi cara utama untuk menilai kelayakan asuransi suatu organisasi.
Hal ini menimbulkan masalah di beberapa sisi. Beberapa kuesioner gagal memeriksa risiko material yang cukup untuk mengukur secara ilmiah eksposur siber pelamar. Jawaban-jawaban tersebut jarang diperiksa hingga tiba saatnya untuk mengajukan klaim dan penilai klaim mencari jalan keluar dari kontrak. Dan yang paling penting, bahkan jika kuesioner dijawab dengan jujur, teliti, dan akurat, kuesioner tersebut akan segera kedaluwarsa begitu perusahaan asuransi menerimanya.
|Baca juga: Swiss Re: Underwriting Manual Layak untuk Ditingkatkan Kembali
Keterbatasan penilaian mandiri dalam underwriting asuransi cyber mencerminkan masalah yang sama yang dihadapi oleh organisasi manajemen vendor dalam menilai risiko yang ditimbulkan oleh mitra dan pemasok. Hal inilah yang mendorong seluruh pasar platform manajemen risiko pihak ketiga (TPRM) selama dekade terakhir.
Platform pemantauan TPRM diciptakan untuk mendapatkan pandangan yang berkesinambungan namun sederhana terhadap eksposur risiko dari infrastruktur yang terhubung ke Internet milik pihak ketiga, meskipun pihak ketiga tersebut akan menyuruh pihak pertama untuk menumbuk pasir jika mereka meminta pengawasan terhadap sistem internal mereka.
Underwriting Cyber Siap Menghadapi Disrupsi
Underwriter asuransi siber sebaiknya belajar dari manajemen vendor dengan melengkapi kuesioner dengan pemantauan berkelanjutan. Namun, alih-alih metrik yang agak kasar yang ditawarkan oleh TPRM, pendekatan yang tepat untuk underwriting asuransi siber mungkin lebih baik dilayani oleh pemantauan kontrol berkelanjutan (CCM).
Dipuji oleh orang-orang seperti CISO Google Cloud, Phil Venables, sebagai cara untuk menciptakan pengukuran berkelanjutan yang hampir seketika terhadap kematangan kontrol keamanan organisasi, CCM terutama digunakan untuk membantu organisasi melacak kontrol internal mereka untuk audit tata kelola, risiko, dan kepatuhan (GRC). Namun, CCM juga dapat digunakan secara efektif untuk memberikan pengukuran eksposur risiko kepada perusahaan asuransi cyber.
Perusahaan asuransi mungkin memiliki pengaruh yang cukup besar melalui persyaratan polis dan produk keamanan yang dibundel untuk mendapatkan pendekatan pemantauan luar-dalam semacam ini di basis pelanggan mereka. CCM sebagian besar masih aspiratif untuk pasar menengah atau organisasi yang lebih kecil, sehingga perusahaan asuransi cyber harus kreatif dalam cara mereka mendapatkan visibilitas di segmen ini.
Dalam beberapa kasus, pendekatannya bisa dengan bermitra dengan penyedia layanan keamanan terkelola (managed security service providers/MSSP) atau bahkan secara langsung menawarkan paket gabungan MSSP-asuransi siber yang menyertakan CCM di dalamnya.
Apakah itu berasal dari CCM atau bentuk pemantauan lainnya, ini adalah jenis inovasi yang mengganggu dalam underwriting asuransi cyber yang harus dicari oleh perusahaan asuransi untuk membuat polis mereka menarik tidak hanya untuk keuntungan mereka, tetapi juga untuk pelanggan yang mereka layani. Perusahaan asuransi siber membutuhkan metode pengukuran risiko yang bergerak secepat ancaman. Ini adalah satu-satunya cara untuk menciptakan pasar asuransi siber yang masuk akal bagi semua orang.
Editor: S. Edi Santosa
| Cek Berita dan Artikel yang lain di Google News
1 
