La polizza cyber serve e funziona. Se sei arrivato fin qui passando per i post precedenti (parte 1, parte 2, parte 3), hai i presupposti per assicurare bene l’azienda. Qui le ultime indicazioni per far funzionare la polizza quando si verifica la crisi. Parte 4
Voglio che la polizza cyber … tenga quando serve
Sembra tautologico, ma non lo è. Come abbiamo visto nei precedenti post, quello verso una polizza cyber di buona qualità è un percorso da non sottovalutare, da fare attingendo alle giuste competenze e insieme. Anche includendo il broker assicurativo come stakeholder chiave.
Dal mondo analogico possiamo imparare molto anche per fare bene nel mondo digitale. Non stupitevi se per farci meglio capire prendiamo ad esempio un rischio ed una polizza “tradizionali”, nel senso migliore del termine, cioè quello dell’esperienza: l’incendio.
Essere preparati ad affrontare la crisi digitale come un’incendio
La polizza incendio è quella più diffusa tra le imprese: la legge 81/2008 infatti ci ha obbligati ad avere le squadre antincendio, le procedure antincendio, gli impianti di estinzione.
Le normative europee esistenti e quelle in arrivo (DORA, Cyber Resilience Act, NIS-2, MDR-Prodotti medicali SW,..), che per ora riguardano soprattutto le banche, le infrastrutture critiche, ci costringeranno a o suggeriranno di
- avere le squadre di intervento digitali
- fare esercitazioni periodiche
insomma avere un piano in cui si sia deciso prima
- chi fa cosa,
- come lo fa e
- quando lo fa
con tanto di deleghe, allarmi, piani di comunicazione interna ed esterna. Bisogna evitare il panico e decisioni o azioni che possono compromettere il ritorno allo stato ex-ante, la corretta risoluzione di problemi con il Garante per la Protezione dei Dati e con clienti business o consumer e, appunto, il funzionamento della polizza cyber.
La comunicazione serve a gestire e raccontare la crisi. Questione di reputazione
Uno degli esiti importanti del gruppo di lavoro, è il piano di comunicazione.
Parliamo di un
- piano di comunicazione interno di emergenza.
Bisogna diramare l’allerta e le direttive ai nostri “pompieri digitali” interni ed esterni. Sembra scontato, ma non lo è, che debba esistere l’elenco dei numeri di emergenza: verso l’incident response team, il broker assicurativo, il partner ICT (di cybersecurity) per affrontare l’incidente o l’attacco con una risposta unitaria e coordinata.
- piano di comunicazione esterna.
Non siete più raggiungibili attraverso uno o più canali di comunicazione come la posta elettronica, il sito web e-commerce, il portale fornitori o i telefoni voip? Sospettate un problema di indisponibilità o esfiltrazione di dati personali?
Bisogna aprire un canale alternativo (già previsto) e tenere informati gli stakeholder importanti (anche il Garante per la Protezione dei dati, se indicato), magari con un comunicato preconfezionato e successivi.
Ne va della nostra reputazione. Dimostriamo di essere preparati e la fiducia non ne risentirà. Questo è possibile se avremo coinvolto i responsabili della comunicazione interna e/o un team esterno nella fase di mitigazione del rischio. La polizza assicurativa può in alcuni casi mettervi a disposizione dei servizi legati al rischio reputazionale o comunque coprire i costi legati alla consulenza (un po’ meno quelli legati ai costi delle campagne stesse).
Aprire il sinistro e raccogliere le prove
La polizza cyber serve. Facciamola funzionare. E’ il sinistro il vero banco di prova ovviamente.
L’ònere della prova è a carico dell’assicurato qualunque sia la causa scatenante del problema. Quindi bisogna essere in grado di raccogliere le prove. Per farlo mi devo già essere dotato di strumenti – per esempio di threat intelligence o – in grado di darci questo output e ingaggiare professionalità come il tecnico forense, con cui ricostruisco per il broker assicurativo ( ed eventualmente per il garante o per un tribunale, magari per una richiesta di risarcimento al fornitore ICT) e quindi per la Compagnia cosa è successo e quali sono state le conseguenze dell’attacco, oltre a dimostrare che quanto dichiarato sulle misure di sicurezza in fase assuntiva, era operativo o si è danneggiato o è stato aggirato e come.
Lo studio della polizza al citato “tavolo di lavoro” permette all’azienda di strutturarsi allo scopo e agire per portare a casa il risultato. Una regola aurea che vale per il Cyber risk, ma più in generale per la gestione di tutti i rischi, anche i meno sistemici.
Vuoi mettere in pratica? Implementa con Margas il Progetto CyR ritagliato su misura della tua azienda e del livello di maturità raggiunto nella gestione del rischio. Partiamo da dove serve. E se hai solidi rapporti assicurativi con i nostri colleghi, approfitta della nostra esperienza e competenza per una consulenza pura.
