L’edizione 2016 del Clusit Report dedica uno spazio speciale al trasferimento assicurativo del rischio cyber ovvero alla cyber insurance. L’approfondimento ha l’obiettivo di fornire informazioni base per valutare il rischio informatico come una variabile in grado di minacciare la business continuity e dunque il bilancio delle imprese. Mettere in luce se e in quali casi le logiche assicurative possono rispondere al verificarsi di un sinistro cyber.
Clusit report: oltre la cyber security
Il contesto in cui il focus-on si inserisce è quello di una ampia panoramica sui rischi cyber in Italia, quelli consolidati e quelli in crescita. Mette in evidenza le mille vulnerabilità a cui sono soggette le aziende, specialmente a causa di:
- sistemi IoT (Internet of Things)
- lavoro in mobilità
- l’intensificarsi del cosiddetto Cyber Crime.
Gli altri approfondimenti sono dedicati all’importanza della protezione dei database e delle credenziali di accesso a piattaforme e sistemi, alla crescita dell’ecommerce e alle problematiche di sicurezza connesse.
Una visione olistica del problema e l’applicazione di modelli di sicurezza ispirati alla prevenzione e non solo alla reazione ad una crisi, sono la chiave di volta di tutto il Report Clusit 2016. Il trasferimento alla cyber insurance dei danni e costi derivanti da un incidente ICT, vi si inscrive perfettamente.
La Cyber Insurance: dal modello di sicurezza re-attivo a quello pro-attivo
La Cyber Security racchiude l’insieme delle attività volte a proteggere gli asset informatici di una organizzazione pubblica o privata da guasto, errore umano o attacco. La pervasività della dimensione digitale, la varietà di asset coinvolti ha ampliato nel tempo la definizione, includendo aspetti di processo e organizzazione, ma nella pratica l’ha ristretta ad obiettivi di difesa da attacchi malevoli.
L’introduzione al Clusit report 2016 prova a delineare i confini del problema dell’insicurezza cyber e della sua gestione, descrivendola come una attività complessa parte di un processo più ampio di Risk Management:
“In realtà l’espressione Cyber Security indica un gruppo di attività e competenze multidisciplinari, complesse e sofisticate, molte delle quali non informatiche, che sono oggettivamente di difficile integrazione con le prassi esistenti di gestione dell’ICT e di allocazione dei budget relativi, poiché la loro implementazione richiede di superare paradigmi tecnologici e silos organizzativi costruiti negli anni a partire da esigenze di compliance e da metodi e strumenti propri della sicurezza informatica “tradizionale”
L’inefficacia del modello reattivo
Alla luce delle nuove minacce questo approccio mostra di possedere un’efficacia residuale e decrescente. Pertanto questa Cyber Security non potrà mai risultare adeguata, diventando nel tempo un costo insostenibile a fronte di risultati scarsi, costringendo ad accettare rischi certamente maggiori di quanto si è in grado di sostenere.
Per quanto ad oggi non esista una definizione esaustiva e condivisa di Cyber Security, possiamo senz’altro enunciare lo scopo complessivo di questo insieme di discipline:
proteggere tutti quegli asset materiali ed immateriali che possono essere aggrediti tramite il “cyberspazio” ovvero che dipendono da esso, garantendo allo stesso tempo la governance, l’assurance e la business continuity di tutta l’infrastruttura digitale a supporto.
Di conseguenza, data l’enormità del suo ambito di applicazione, la Cyber Security non può che basarsi su logiche di prevenzione, riduzione e trasferimento del rischio e su processi di Risk Governance. Poiché l’ambito di applicazione si presenta spesso caotico, dai confini e dalle dinamiche sempre cangianti, è fondamentale
- un presidio costante
- personale qualificato
- metodologie di Risk Management
- strumenti adeguati (p.es.: tool di analisi comportamentale, big data analytics, intelligenza artificiale, etc), capaci di operare in tempo reale.
Perché il Clusit Report 2016 si occupa di Cyber Insurance
L’approccio alla Cyber Security con maggiori probabilità di successo, è quello di inclusione in una strategia più ampia di Risk Management e questa, da manuale, si compone essenzialmente di di 4 fasi (circolari)
analisi – mitigazione – gestione – trasferimento
Il trasferimento assicurativo del rischio cosiddetto “residuo” rappresenta la fase “finale” di questa strategia. Ma non per questo è meno importante. Essa consente a tutti i risk owner, in primis al CIO – con chi si occupa di polizze assicurative e bilancio in azienda – di attrezzarsi di un paracadute economico-finanziario.
Il mercato della cyber insurance ha seguito dalla nascita lo sviluppo dell’aspetto informatico concentrandosi sulla sicurezza fisica dell’Hardware. Solo in tempi recenti ci si è cominciati a porre il problema della sicurezza logica.
Clusit Report 2016: di cosa tratta il focus-on sul cyber risk transfer
Nella stesura di questo focus-on, gli autori, provenienti dalla consulenza ICT (OBIECTIVO srl), dall’offerta assicurativa (CHUBB) e della professionalità del broker esperto in rischi tecnologici (MARGAS), si sono prefissi di introdurre un pubblico di non esperti all’impatto dei sinistri cyber sulla parte economico-finanziaria delle organizzazioni, provare a chiarire terminologia e aspetti salienti delle polizze, mettere in luce le principali voci di spesa e costo “coperte” dalle varie polizze presenti sul mercato. Particolare attenzione è stata riservata all’aspetto del fermo attività causato da problematiche ICT e dalle pesanti ripercussioni sul business.
Per chi volesse saperne di più, anticipiamo qui l’indice dei temi trattati invitandovi a scaricare in fondo al post il documento estratto dal Rapporto Clusit 2016.
Assicurare il rischio informatico
- Dalla polizza “tradizionale” alla Polizza Cyber, pag 144
- I cyber-danni, pag 144
- Dai danni ai costi, pag 146
- Cyber-sinistro quanto mi costi? Esempi tratti dal mondo reale, pag 147
La polizza cyber da sola non basta: parliamo di cyber insurance program!
Considerando la pervasività del rischio cyber, si raccomanda di guardare ai rischi e dunque alle coperture nel loro complesso. Il portafoglio assicurativo di una azienda dovrebbe essere un tutto organico e ottimizzato in modo da garantire la copertura ed evitare inutili sovrapposizioni. Se la nostra è una azienda “utilizzatrice” di sistemi e soluzioni ICT, come ormai ogni azienda, grande o piccola, di fatto è, dedichiamo la nostra attenzione a
- D&O – Directors & Officers Liability o Responsabilità di amministratori e dirigenti
- Polizze Cyber (con errore umano, piu focalizzate sui data breach e il GDPR, crime,…)
rileggendo con attenzione in ottica di rischi digitali polizze tradizionali come la polizza Incendio, la Rc generale, la RC prodotti difettosi.
Le aziende erogatrici di servizi ICT (IaaS, PaaS, SaaS, System Integrator, MSP,….) che, se pure hanno da preservare la loro attività interna come ogni altra azienda, devono avere l’interesse primario ad analizzare la loro responsabilità professionale e dunque a dotarsi di soluzioni di Responsabilità Civile Professionale verso Terzi adeguate alla loro delicata attività di intervento su o gestione di sistemi informativi di terzi (verificando l’estensione ai danni logici) verso i quali qualificarsi come fornitori seri e previdenti che mettono in cassaforte le loro certificazioni, dalla 9001 alla 27001.
Volete conoscere le criticità della vostra infrastruttura informatica? Sapere quali risposte funzionali ai rischi propri della vostra attività possono venire dal mercato assicurativo? Mitigare il rischio con opportuni interventi tecnologici, di processo e di info-formazione del personale? Scaricate il Whitepaper Focus ON assicurazioni_Clusit2016 e contattateci!
