Cyber Risk: gestire il rischio informatico
Conoscenza delle minacce e individuazione delle vulnerabilità. E’ solo un punto di inizio nell’affrontare una materia che evolve in un mondo globalizzato. E che richiede in particolare competenze legali, capacità di prevedere i danni, diretti e indiretti, e di valutare le adeguate coperture
14/04/2015
Negli ultimi anni si è registrata a livello europeo (in primis in Gran Bretagna, Francia e Germania) una crescente attenzione nei confronti del cyber risk, ossia delle minacce connesse all’uso delle nuove tecnologie, ritenute tra le più difficili da affrontare e in grado di cagionare danni molto gravi per le imprese.
In effetti l’espansione dell’informatica nelle realtà aziendali e nel quotidiano delle persone e, in particolare, la diffusione dei social network, dei dispositivi mobili, delle tecnologie wifi e dei servizi cloud hanno portato a un aumento delle vulnerabilità aggravando una situazione da molti già considerata critica.
A tal proposito vale la pena citare il rapporto Clusit 2015, il Global Risk 2014 a cura del World Economic Forum e l’indagine condotta dall’Oai (Osservatorio Attacchi Informatici) in Italia.
Secondo valutazioni pressoché unanimi, l’ambito tecnologico appare destinato ad avere un ruolo sempre più decisivo nel futuro: qui, infatti, vengono collocati i principali rischi legati alla crescente centralità delle tecnologie dell'informazione e della comunicazione con riferimento a individui, imprese e governi.
Mancanza di consapevolezza
Allo stato le forme più diffuse di attacco risultano essere i malware (virus, trojan horses, etc.), il social engineering (compreso il cd. phishing), il furto dei dispositivi soprattutto portatili, gli attacchi denominati “denial of service” e lo sfruttamento di vulnerabilità.
Nonostante tale scenario, nelle imprese italiane sembrerebbe predominare ancora molta inconsapevolezza e, in particolare, emergono:
- scarsa diffusione dell'analisi del rischio informatico;
- bassa propensione ad assicurare il rischio informatico;
- limitata capacità di analisi del danno economico subito a causa dell'attacco;
- scarsa distinzione dei ruoli e delle responsabilità nell'ambito delle funzioni ICT;
- mancata attuazione delle prove dei piani di emergenza e di disaster recovery.
In buona sostanza, da un lato i rischi informatici vengono temuti, ma dall'altro non si fa molto per prevenirli. Appare, quindi, prioritario affrontare il cyber risk promuovendo misure e metodi ad hoc, oltre che specifiche capacità organizzative e, in tal senso, l’adozione di efficienti ed efficaci strumenti di gestione del rischio informatico assume rilevanza cruciale, anche per medie e piccole imprese, per proteggere i dati e la loro sicurezza.
Il ruolo della polizza assicurativa
Tale processo di cyber risk management viene svolto attraverso diverse fasi:
- identificazione delle risorse e del loro grado di vulnerabilità;
- individuazione delle minacce;
- individuazione dei possibili danni;
- definizione di un piano di azioni per affrontate le minacce;
- analisi costi/benefici dei costi.
Nel piano di azioni con cui affrontare le minacce informatiche particolare importanza rivestono quelle assicurative, che entrano in funzione nel momento in cui le misure di prevenzione non hanno funzionato.
Affinché possa esplicare la propria efficacia, la scelta della copertura assicurativa deve essere preceduta da uno studio idoneo a:
- identificare i rischi da assicurare;
- considerare tutti i riflessi diretti e indiretti conseguenti al verificarsi del rischio;
- individuare eventuali condizioni speciali di assicurazioni;
- determinare se e quale parte del rischio è sopportabile in proprio (franchigia o scoperto).
In merito ai danni sarà, altresì, necessario distinguere tra danni materiali e danni immateriali (cancellazione di documenti informatici, danneggiamento di software, uso illecito di dati, etc.), nonché tra danni diretti e danni indiretti (per es. i costi di ripristino di un data base).
Altro aspetto essenziale, ma spesso sottovalutato dalle imprese, appare essere la responsabilità civile verso terzi: si pensi ai data breach subiti negli ultimi anni da Sony o Adobe e alla sottrazione di dati personali (anche relativi alle carte di credito) dei clienti, con conseguente danno patrimoniale subito dai medesimi.
Infine vanno valutati i danni economici sia in termini di danno emergente (cfr. pagamento di sanzioni e/o penali) che di lucro cessante (es. diminuzione del fatturato), nonché da ultimo, ma non per importanza, i danni di immagine, ossia il nocumento alla reputazione commerciale.
In conclusione le polizze cyber risk si stanno facendo largo anche nel mercato italiano e ciò appare in linea con le nuove esigenze dettate dalla globalizzazione e dall'utilizzo degli strumenti tecnologici.
Tuttavia risulta essenziale che le imprese considerino tali coperture assicurative quali tassello di un mosaico più vasto composto di una pluralità di fattori (tecnici, organizzativi, legali, etc.): saper coniugare tali aspetti avendo un approccio consapevole al problema rappresenta il primo passo per contrastare efficacemente il rischio informatico.
In effetti l’espansione dell’informatica nelle realtà aziendali e nel quotidiano delle persone e, in particolare, la diffusione dei social network, dei dispositivi mobili, delle tecnologie wifi e dei servizi cloud hanno portato a un aumento delle vulnerabilità aggravando una situazione da molti già considerata critica.
A tal proposito vale la pena citare il rapporto Clusit 2015, il Global Risk 2014 a cura del World Economic Forum e l’indagine condotta dall’Oai (Osservatorio Attacchi Informatici) in Italia.
Secondo valutazioni pressoché unanimi, l’ambito tecnologico appare destinato ad avere un ruolo sempre più decisivo nel futuro: qui, infatti, vengono collocati i principali rischi legati alla crescente centralità delle tecnologie dell'informazione e della comunicazione con riferimento a individui, imprese e governi.
Mancanza di consapevolezza
Allo stato le forme più diffuse di attacco risultano essere i malware (virus, trojan horses, etc.), il social engineering (compreso il cd. phishing), il furto dei dispositivi soprattutto portatili, gli attacchi denominati “denial of service” e lo sfruttamento di vulnerabilità.
Nonostante tale scenario, nelle imprese italiane sembrerebbe predominare ancora molta inconsapevolezza e, in particolare, emergono:
- scarsa diffusione dell'analisi del rischio informatico;
- bassa propensione ad assicurare il rischio informatico;
- limitata capacità di analisi del danno economico subito a causa dell'attacco;
- scarsa distinzione dei ruoli e delle responsabilità nell'ambito delle funzioni ICT;
- mancata attuazione delle prove dei piani di emergenza e di disaster recovery.
In buona sostanza, da un lato i rischi informatici vengono temuti, ma dall'altro non si fa molto per prevenirli. Appare, quindi, prioritario affrontare il cyber risk promuovendo misure e metodi ad hoc, oltre che specifiche capacità organizzative e, in tal senso, l’adozione di efficienti ed efficaci strumenti di gestione del rischio informatico assume rilevanza cruciale, anche per medie e piccole imprese, per proteggere i dati e la loro sicurezza.
Il ruolo della polizza assicurativa
Tale processo di cyber risk management viene svolto attraverso diverse fasi:
- identificazione delle risorse e del loro grado di vulnerabilità;
- individuazione delle minacce;
- individuazione dei possibili danni;
- definizione di un piano di azioni per affrontate le minacce;
- analisi costi/benefici dei costi.
Nel piano di azioni con cui affrontare le minacce informatiche particolare importanza rivestono quelle assicurative, che entrano in funzione nel momento in cui le misure di prevenzione non hanno funzionato.
Affinché possa esplicare la propria efficacia, la scelta della copertura assicurativa deve essere preceduta da uno studio idoneo a:
- identificare i rischi da assicurare;
- considerare tutti i riflessi diretti e indiretti conseguenti al verificarsi del rischio;
- individuare eventuali condizioni speciali di assicurazioni;
- determinare se e quale parte del rischio è sopportabile in proprio (franchigia o scoperto).
In merito ai danni sarà, altresì, necessario distinguere tra danni materiali e danni immateriali (cancellazione di documenti informatici, danneggiamento di software, uso illecito di dati, etc.), nonché tra danni diretti e danni indiretti (per es. i costi di ripristino di un data base).
Altro aspetto essenziale, ma spesso sottovalutato dalle imprese, appare essere la responsabilità civile verso terzi: si pensi ai data breach subiti negli ultimi anni da Sony o Adobe e alla sottrazione di dati personali (anche relativi alle carte di credito) dei clienti, con conseguente danno patrimoniale subito dai medesimi.
Infine vanno valutati i danni economici sia in termini di danno emergente (cfr. pagamento di sanzioni e/o penali) che di lucro cessante (es. diminuzione del fatturato), nonché da ultimo, ma non per importanza, i danni di immagine, ossia il nocumento alla reputazione commerciale.
In conclusione le polizze cyber risk si stanno facendo largo anche nel mercato italiano e ciò appare in linea con le nuove esigenze dettate dalla globalizzazione e dall'utilizzo degli strumenti tecnologici.
Tuttavia risulta essenziale che le imprese considerino tali coperture assicurative quali tassello di un mosaico più vasto composto di una pluralità di fattori (tecnici, organizzativi, legali, etc.): saper coniugare tali aspetti avendo un approccio consapevole al problema rappresenta il primo passo per contrastare efficacemente il rischio informatico.
© RIPRODUZIONE RISERVATA
cyber risk,
👥