Pakar membantah kesalahpahaman yang mempengaruhi investasi asuransi siber

Laporan Forrester menemukan bahwa hanya seperempat perusahaan yang memiliki polis asuransi siber mandiri.

Ketimpangan dalam kepemilikan asuransi siber menimbulkan pertanyaan mengenai kelengkapan dan kecukupan cakupan yang diperoleh bisnis. Meskipun pemilik bisnis meragukan efektivitas asuransi, 78% perusahaan mengakui menghadapi kerentanan dalam setahun terakhir.

"Keprihatinan utama bagi bisnis ini adalah kemampuan mereka untuk tetap beroperasi jika mitra bisnis mereka mensyaratkan bukti asuransi siber sebagai syarat kerja sama.”

Risiko pihak ketiga menjadi perhatian utama bagi banyak perusahaan dan merupakan pendorong utama investasi dalam asuransi siber," kata Heidi Shey, principal analyst di Forrester, kepada Insurance Asia.

/Heidi Shey, principal analyst at Forrester.

Bagi banyak bisnis, baik B2B maupun B2C, memiliki asuransi siber bukan hanya sekadar nilai tambah, tetapi juga persyaratan untuk menjalin kemitraan, serta menjadikannya investasi yang krusial, kata Shey. “Hanya sedikit organisasi yang memiliki posisi keuangan yang memungkinkan mereka menanggung risiko sendiri,” tambahnya.

Laporan Forrester, “Panduan Chief Information Security Officers (CISOs) untuk Asuransi Siber”, mengungkap anggapan bahwa memiliki asuransi siber membuat suatu organisasi lebih rentan menjadi target serangan siber, tidak berdasar.

“Karena semakin ketatnya persyaratan yang ditetapkan oleh perusahaan asuransi terhadap pemegang polis, organisasi yang memenuhi syarat untuk mendapatkan polis asuransi siber dengan cakupan dan tarif terbaik biasanya juga memiliki program keamanan siber yang kuat serta kontrol yang ketat,” kata Shey.

Laporan tersebut juga menunjukkan bahwa organisasi yang memiliki asuransi siber, terutama standalone policies, cenderung mengalami lebih sedikit pelanggaran keamanan dan dapat pulih lebih cepat dari insiden.

Meskipun 83% bisnis memiliki beberapa bentuk asuransi siber, hanya 26% yang memiliki polis mandiri. Fitch Ratings memperkirakan bahwa polis mandiri ini menyumbang 70% dari total premi industri, didorong oleh biaya yang lebih tinggi.

Asia Pasifik (APAC) telah menjadi salah satu wilayah dengan pertumbuhan tercepat dalam lima tahun terakhir dalam pasar asuransi siber primer, menurut laporan S&P Global. Wilayah ini diikuti oleh Amerika Latin, sementara Amerika Utara dan Eropa Barat mengalami ekspansi yang lebih lambat karena ukuran pasar yang lebih besar.

Tingkat pertumbuhan tahunan gabungan (Compound Annual Growth Rate atau CAGR) untuk APAC dalam asuransi siber primer dan reasuransi selama periode 2018-2022 masing-masing tumbuh hingga 51,2% dan 43,4%. Data ini didasarkan pada survei asuransi siber oleh lembaga pemeringkat untuk perusahaan asuransi global multi-lini dan kelompok reasuransi global.

Sementara itu, CAGR untuk asuransi primer dan reasuransi secara global masing-masing rata-rata 36,2% dan 58,0%.

“Sekitar 56% dari total premi tertulis (gross premiums written atau GPW) pada asuransi siber afirmatif, yang secara eksplisit mencakup risiko siber di Amerika Utara; sekitar 37% di Eropa, Timur Tengah, dan Afrika; 6% di Asia-Pasifik; serta 1% di Amerika Latin,” menurut S&P Global.

Pada 2022, total premi asuransi siber global mencapai sekitar $12 miliar, dan diproyeksikan akan terus meningkat dengan rata-rata pertumbuhan tahunan 25% hingga 30%, mencapai sekitar $23 miliar pada 2025.

Mitos atau fakta?

Kesalahpahaman tentang asuransi siber dapat menghambat keputusan investasi, kata Shey.

“Bergantung pada tingkat kesadaran organisasi tentang asuransi siber, CISO mungkin perlu terlebih dahulu menjelaskan mengapa ini penting, menghilangkan kesalahpahaman, dan menetapkan ekspektasi internal terkait tujuan serta manfaatnya. Hal ini terutama berlaku bagi organisasi yang saat ini belum memiliki perlindungan asuransi siber,” katanya.

Saat mengajukan atau memperbarui polis, penting untuk mengklarifikasi persyaratan bagi pemangku kepentingan internal. Ini mencakup pengumpulan informasi untuk perusahaan asuransi, penilaian risiko siber dan toleransi terhadap gangguan, perencanaan skenario cakupan, serta menentukan biaya insiden dan pelanggaran mana yang dapat ditanggung perusahaan tanpa asuransi.

“Perlu juga kerja sama dengan tim hukum untuk memahami kontrak dengan mitra bisnis, terutama yang mengharuskan perusahaan memiliki kontrol keamanan, serta ketentuan terkait eksposur keuangan jika terjadi pelanggaran,” kata Shey.

Organisasi dengan program keamanan siber yang kuat dan sesuai dengan polis asuransi siber mandiri mengalami lebih sedikit pelanggaran dan lebih cepat merespons insiden dibandingkan mereka yang hanya memiliki tambahan (endorsement) dalam polis lain atau tidak memiliki perlindungan sama sekali.

Menanggung risiko sendiri (self-insurance) adalah pilihan yang layak bagi organisasi dengan cadangan dana yang besar, tetapi memerlukan pemahaman menyeluruh tentang potensi biaya dan risiko. Sementara itu, polis asuransi siber mandiri dirancang secara khusus untuk mengatasi risiko siber.

Salah satu kesalahpahaman yang umum adalah bahwa menanggung risiko sendiri atau berinvestasi dalam program keamanan yang kuat dapat menggantikan kebutuhan akan asuransi siber. Namun, bisnis tetap dapat memperoleh manfaat tambahan dari perusahaan asuransi di luar kebijakan itu sendiri, seperti kesiapan tanggap insiden, layanan pemantauan keamanan, dan diskon dari mitra penyedia teknologi keamanan.

Sebaliknya, menambahkan cakupan siber ke dalam polis umum seperti properti, kejahatan, atau asuransi tanggung jawab hukum mungkin tidak cukup untuk memenuhi kebutuhan perlindungan siber organisasi.

Forrester menekankan bahwa kecocokan cakupan bergantung pada beberapa faktor, termasuk tingkat toleransi risiko organisasi dan skenario spesifik yang ingin mereka lindungi.

“Terlepas dari bagaimana sebuah organisasi dilindungi dalam aspek siber, mereka perlu memiliki pemahaman yang jelas tentang apa yang dicakup atau tidak dicakup oleh polis asuransi mereka,” kata Shey. “Adalah kepentingan terbaik perusahaan asuransi bahwa organisasi tersebut memiliki program keamanan siber dan manajemen risiko yang kuat.”

3 tren utama

Tiga tren utama yang memengaruhi aplikasi dan pembaruan asuransi siber meliputi persyaratan regulasi dan analisis data.

“Persyaratan regulasi yang diterapkan oleh perusahaan asuransi dapat dimulai dari satu wilayah tetapi pada akhirnya berdampak pada operasi global mereka. Contohnya adalah Cyber Insurance Risk Framework 2021 dari New York State Department of Financial Services, yang mendorong persyaratan mitigasi risiko yang lebih rinci bagi pemegang polis,” kata Shey.

“Ada penekanan besar pada pengumpulan dan analisis data risiko serta eksposur, sehingga perusahaan asuransi dapat menilai risiko penjaminan dan postur keamanan dari tertanggung dengan lebih baik. Bisnis harus siap menghadapi pertanyaan yang lebih mendalam serta pengawasan lebih ketat dari perusahaan asuransi, serta mengkomunikasikan postur risiko mereka secara lebih jelas kepada penyedia asuransi,” tambahnya.

Rekomendasi

Forrester merekomendasikan agar CISO dan organisasinya mengembangkan strategi untuk memanfaatkan asuransi siber secara optimal.

Shey menekankan penyedia asuransi memiliki persyaratan khusus yang harus dipenuhi untuk memenuhi syarat perlindungan. Organisasi tersebut harus melakukan penilaian kematangan terhadap program keamanan siber mereka untuk mengidentifikasi kesenjangan.

Penilaian ini dapat membantu organisasi memprioritaskan investasi di bidang tertentu untuk semakin meningkatkan kematangan program dan meningkatkan kelayakan dalam mendapatkan cakupan asuransi siber.

Shey juga menyoroti bagaimana perusahaan yang cerdas memanfaatkan kombinasi manajemen serangan eksternal, simulasi pelanggaran dan serangan, serta alat kuantifikasi risiko siber untuk memahami postur risiko mereka saat ini dan mengkomunikasikannya secara efektif kepada perusahaan asuransi.

Selain itu, memanfaatkan sumber daya dan menyelaraskan rencana tanggap insiden dengan persyaratan asuransi sangat penting untuk mendapatkan tingkat perlindungan yang tepat.

Shey menyarankan agar strategi ini mencakup identifikasi manfaat yang dapat diberikan oleh perusahaan asuransi di luar polis, pemanfaatan sumber daya dan mitra mereka, serta pemahaman langkah-langkah yang diperlukan jika terjadi pelanggaran.

“Meninjau kembali rencana tanggap insiden dan prosesnya juga merupakan ide yang baik untuk memastikan bahwa asuransi siber dan persyaratan perusahaan asuransi telah diperhitungkan, sehingga ini dapat membantu memperlancar proses tanggap insiden serta pengajuan klaim berikutnya,” katanya.