Il contributo della Cyber Insurance nelle strategie di Risk Management

Il contributo della Cyber Insurance nelle strategie di Risk Management

Il contributo della Cyber Insurance nelle strategie di Risk Management

La copertura assicurativa per rischi IT e Cyber (CYBER INSURANCE) è uno strumento di trasferimento del rischio ancora poco conosciuto, ma che in prospettiva sarà sempre più utilizzato dalle aziende. Ne abbiamo parlato con Corrado Zana, Business Resilience Practice Leader di Marsh Risk Consulting.

Qual è la percezione che ha oggi il Management delle imprese con riferimento al rischio Cyber e alla capacità della propria azienda di rispondere a questa minaccia?

Corrado Zana – Da un’indagine effettuata da Marsh a livello europeo (European 2015 Cyber Risk Report), intervistando responsabili del risk management in organizzazioni medio grandi, emerge che in oltre metà dei casi il top management delle aziende ritiene di avere in atto processi di trasferimento assicurativo del rischio cyber, mentre di fatto questo avviene soltanto in una minoranza di aziende, in percentuali inferiori al 10% dei casi. Inoltre, il rischio cyber solo in una minoranza di aziende è considerato tra i 5 più importanti da prendere in considerazione. Altro punto debole: la gestione del rischio IT e Cyber è tuttora responsabilità dell’area IT, in Europa in media  nel 65% delle aziende, in Italia in una quota anche superiore, nel 76% delle aziende. Questo significa dare una delega in bianco all’IT e prevedere un coinvolgimento molto limitato di altre funzioni aziendali, quindi in parte sottovalutare il potenziale impatto sul business di queste minacce.

Quali sono le barriere che impediscono la traduzione del rischio cyber in un Business Risk per l’impresa?

Corrado Zana – Il Risk Management delle aziende spesso non condivide un linguaggio comune con l’IT, per cui è difficile riuscire a trasferire qual è il livello di rischio che l’azienda sta sopportando, quali potrebbero essere gli impatti e quali le misure da attuare. Al momento su queste tematiche la sensibilità maggiore si ha in Nord Europa, mentre in Italia siamo molto indietro. Nelle grandi organizzazioni osserviamo poi una maggiore consapevolezza, mentre le PMI spesso si considerano – a torto – esenti da rischi cyber. Le indagini infatti ci mostrano che gli attacchi riguardano anche società di piccola dimensione, solo che in queste situazioni spesso non ci si accorge neanche dell’accaduto.

Quali attività svolgete presso le aziende in ottica di miglioramento delle risposte alle minacce cyber?

Corrado Zana – Ci proponiamo per attività di cyber risk financing optimization, in modo da aiutare le aziende ad identificare, in base alle proprie necessità specifiche, le modalità di investimento più opportune e dove possibile il trasferimento del rischio tramite una copertura assicurativa cyber. Per una valutazione del possibile danno economico legato ad attacchi di tipo cyber ci basiamo su un Cyber Risk Register, una libreria con statistiche e scenari legati a fatti avvenuti, a livello globale, per vari settori e territori, adattabili anche alla singola realtà italiana. In questo modo, in una fase di assessment ed analisi legata alla situazione attuale dell’azienda, siamo in grado di stimare il valore economico associato a possibili eventi cyber. Alcuni di essi saranno assicurabili (ad esempio, il furto di un laptop del management con dati critici dell’azienda), altri, come il danno reputazionale, sono parzialmente assicurabili.

Qual è la situazione in Italia con riferimento al ricorso a cyber insurance? Quali coperture assicurative sono tipicamente scelte dalle aziende per rischi IT e cyber?

Corrado Zana – Molte  grandi aziende italiane oggi stanno guardando con attenzione a forme di tutela contro il rischio cyber. Scendendo di dimensione d’impresa il tema è invece del tutto nuovo. In generale, l’offerta di queste assicurazioni è modulare e in grado di coprire vari scenari. Le polizze possono coprire solo l’evento di diffusione di dati oppure anche danni materiali, possono avere come causa scatenante l’attacco hacker esterno oppure anche danni dovuti ad infiltrazioni interne o eventi accidentali. In generale si disegna una soluzione ad hoc per il cliente mettendo insieme i componenti che servono.

Quale consiglio vuole dare a chi sta approcciando oggi il tema del miglioramento del Cyber Risk Management?

Corrado Zana – Innanzitutto il tema deve essere affrontato in comitati o gruppi di lavoro che raggruppano più funzioni aziendali. Il risk management e l’IT, ma anche il CFO, l’ufficio legale e il marketing. Questi comitati, eventualmente con l’ausilio di consulenti, devono comprendere e dettagliare quali sono i possibili scenari di rischio per la propria realtà. Quindi va definita una strategia complessiva di gestione del rischio cyber che comprenda tutti gli elementi: asset tecnici di prevenzione, asset organizzativi, controllo dei comportamenti degli utenti, aspetti legali e contrattuali nei rapporti con terze parti. Gli asset contrattuali da controllare sono importanti per sapere chi è responsabile in caso di evento dannoso. Infine, va considerato l’asset assicurativo, in modo che in caso di evento con conseguenze gravi si possa ricorrere alla copertura da cyber insurance. Tutti questi elementi sono importanti, ma nella situazione attuale quello su cui si basano per lo più le strategie delle aziende è l’aspetto tecnico di prevenzione.

A cura di: Elena Vaciago, The Innovation Group

 

PARLEREMO CON CORRADO ZANA DEL RUOLO DELLA COPERTURA ASSICURATIVA PER RISCHI IT E CYBER  NEL CORSO DEL WEBINAR DEL PROSSIMO 15 DICEMBRE 2015 CYBER INSURANCE: PROTEGGERSI DAI DANNI LEGATI AL RISCHIO CYBER”.

 

ISCRIVITI SUBITO PER PARTECIPARE!!!