70 +70 aziende del Nord-Est. Tre CIO. Un broker assicurativo. Un esperto in tecnologie di cyber security. Dialogo sulle opportunità offerte da una gestione della sicurezza che includa il trasferimento assicurativo o Cyber Risk Insurance.
Enterprise Cyber Risk Exposure e Cyber Insurance
Possiamo guardare a questo whitepaper come alla prima piattaforma di dialogo tra il CIO e l’Intermediario Assicurativo. Il CIO che nelle PMI si fa carico quotidianamente delle scelte in ambito Sicurezza Informatica, ma non contempla la possibilità di affidare la tutela del Cyber Risk residuale alle Assicurazioni. L’Intermediario Assicurativo che deve fare anche da mediatore tra due mondi ancora distanti e non comunicanti.
Questa in sintesi la natura del whitepaper “Enterprise Cyber Risk Exposure e Cyber Risk Insurance“. Il lavoro è stato voluto da Luca Moroni di Via Virtuosa che da anni si occupa di studiare l’incremento dell’ esposizione al Cyber Risk. Ha chiesto supporto al nostro Cesare Burei, attento alle coperture offerte dalla Cyber Risk Insurance dai tempi del Millennium Bug. Insieme hanno proposto alle imprese con produzione e business con uno scambio sempre più osmotico col mondo Internet, due Survey. Gli esiti sono alla base del Whitepaper.
Obiettivi e target
Il documento offre quindi alle aziende:
- un’analisi dello stato dell’arte dell’esposizione al rischio e della consapevolezza rispetto al tema assicurativo nelle imprese
- il punto di vista di tre CIO
- una presentazione dello stato dell’arte del mercato assicurativo in tema di Cyber Insurance e, attraverso
- 18 domande che tutti vorrebbero fare
- un utile strumento di comprensione di cosa sia la cosiddetta Polizza Cyber per ragionare in termini più ampi di Cyber Risk Insurance.
Oltre che alle imprese il White Paper si rivolge anche alle compagnie assicurative. A queste viene chiesto di
- premiare l’adozione di una politica di prevenzione che permetta di misurare un rischio proporzionale alle misure di sicurezza adottate
- sulla base di una metodologia di analisi condivisa e riconosciuta (ENISA, ISO 27001,..).
Anche a loro in fondo sono rivolte le domande che i CIO – sulla base delle loro conoscenze ed esperienze – hanno sentito l’urgenza di porre per avere risposte chiare ed efficaci.
L’approccio al Cyber Risk
Cosa si intende nel White Paper per Cyber Risk? Tutte le conseguenza di gap tecnologici, di processo e di formazione del personale che emergono in occasione di un sinistro. Tutto ciò che mettiamo in campo nel far fronte a guasti, errori e attacchi in grado di fermare l’attività aziendale. Il Cyber Risk che può colpire al cuore reputazione e bilanci, insomma la competitività sul mercato globale.
Appurato che il problema esiste ed è molto critico, l’approccio proposto è quello di attenzione continua tipico del Risk Management: analisi, mitigazione del rischio e poi trasferimento del residuale alle Assicurazioni. La materia è complessa per la pervasività del rischio, per le molteplici forme che assume e per la rapidità con cui si evolve. Essa richiede una visione a 360 gradi della situazione aziendale e dell’ecosistema di relazioni di business in cui è inserita, ovvero il superamento di un modello organizzativo e di gestione a silos che permetta di valutare il rischio e il suo impatto finanziario. Infatti che cosa è una polizza o un insieme di polizze, se non un paracadute economico-finanziario ai danni e costi derivanti da un Incidente Cyber o cyber-correlato?
Chi si occupa di Cyber Risk Insurance: CIO? CFO? Risk Manager?
Consci che l’IT Manager non possa farsi carico da solo anche di questo aspetto o di questa visione, pure è stato provocatoriamente scelto come interlocutore dei sondaggi proprio perché nella prassi è colui che in azienda è in grado di comunicare all’interno il Rischio Cyber: ai risk owner, al board, al CFO o responsabile amministrativo che di solito insieme al Titolare segue gli aspetti assicurativi.
Il White paper mette in luce proprio i vantaggi e i limiti dell’azione del CIO coinvolto nella survey sulla consapevolezza dello strumento assicurativo e invita il CFO o l’imprenditore a interpellarlo per la parte di Sua competenza per comprendere meglio le sfide che affronta quotidianamente e sostenerlo al massimo nella mitigazione del rischio. Solo così sarà possibile calibrare al meglio la Cyber Insurance, ovvero la polizza cyber e tutte le coperture collegate. Almeno fino a quando non scenderà in campo un Risk Manager più o meno preparato in materia di ICT.
Enterprise Cyber Risk Exposure – I dati
L’indagine sull’esposizione al Rischio Cyber ha coinvolto un campione di 68 aziende del Nord-Est ed è basata sulla Metodologia ENISA dell’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione, proposto come uno dei possibili criteri comuni di gap analisys.
Circa il 30% del campione si posiziona nell’area ad elevata esposizione al rischio con un impatto significativo sul business in caso di incidente. Chi si trova in questo quadrante viene invitato ad esternalizzare il rischio.
Richiedi l’analisi dettagliata dei risultati della Survey!
Awareness Cyber Risk Insurance – I dati
L’indagine sulla sensibilità dei CIO al tema della Cyber Risk Insurance ha coinvolto un campione di 63 aziende del Nord-Est che hanno risposto a 12 domande definite dal Broker Assicurativo. L’obiettivo era comprendere il livello di competenza del CIO sulla materia e lo scenario esistente in azienda.
Nel campione, delineato sulla base di tre caratteristiche – fatturato, settore e numero dipendenti – prevale il settore industria e servizi al di sopra di 20 Mln Euro di fatturato e con più di 100 addetti.
Danno reputazionale, Fermo d’attività e perdita/non accesso a Dati Sensibili emergono come fattori critici di cui occuparsi. Il campione, in ottica Cyber Security quasi “virtuoso”, attua piani di Business Continuity e Disaster Recovery nel 50-60% e un controllo delle vulnerabilità nel 60% dei casi.
Ci si occupa poco invece di formalizzare delle procedure/policy (28%) probabilmente per scarso committment da parte della direzione. Ugualmente basso è il livello di attenzione alla creazione di unità interne o esterne per la gestione di una eventuale crisi reputazionale (18%).
Il CIO è in grado di dire che le cause di Incidenti IT risiedono in modo equamente ripartito in attacco informatico (soprattutto ransomware), guasto ed errore umano (interno/esterno). Egli individua per il board i settori aziendali in cui l’impatto di un fermo d’attività sarebbe più pesante.
Il 60% dei CIO non si è mai interessato fin qui del tema assicurativo, ma ha appurato che esistono in azienda un 30% di Polizze Elettroniche (copertura dell’hardware) e un 5% di Polizze Cyber.
18 motivi per leggere il whitepaper sulla Cyber Insurance …
Se quanto scritto fin qui non ti ha convinto a leggere il whitepaper, allora adesso sei arrivato al punto decisivo! Ci sono 18 buone ragioni per farlo e sono contenute nelle 18 risposte su cosa sia la Cyber Insurance. Riportiamo qui una selezione delle 18 domande che i CIO hanno posto al Broker Assicurativo. Rispondere non è facile anche perché non c’è una polizza che affronti tutti gli aspetti in modo completo ed equilibrato. I prodotti sul mercato sono assai diversi l’uno dall’altro a partire dalle definizioni di polizza. Questa parte del whitepaper contiene anche utili suggerimenti a chi si approccia per la prima volta al tema della Cyber Risk Insurance.
- Qual è il primo passo da compiere per una Azienda che si renda conto di aver bisogno di copertura Cyber?
- Esistono condizioni vincolanti ai fini della assicurabilità? (p.es. certificazioni, …)
- Il nuovo Regolamento Europeo della Privacy – GDPR è portatore di alcune novità (…). Una polizza Cyber è in grado di ridurre questo impatto?
- Quanto e cosa è possibile mettere in copertura? I rischi assicurabili
- (…) copertura efficace dei danni intangibili, come il danno reputazionale o la perdita di posizione sul mercato?
- Le perdite economiche da Ransomware sono coperte?
… più 1
Il motivo in più è che facendo download verrete a conoscere Generazione Z ! E’ un progetto che Margas e Via Virtuosa ritengono meritevole di attenzione. Generazione Z è infatti dedicato alla diffusione della consapevolezza dei rischi tra i cosiddetti Nativi Digitali o Millennials. Potrete così rispondere al dono … con un Dono!!!
Si ringraziano i patrocinanti: AIEA (ISACA Capitolo di Milano)| AUSED | ANRA | CLUSIT |
e i CIO: Dott. E. Guarnaccia – BPV | Dott. Marco Cozzi – Hypo Bank |Dott. A. Cobelli – ATV |
e naturalmente i volenterosi partecipanti alla Survey.
