All’intermo delle organizzazioni è in atto un forte cambiamento, che porta a ripensare la gestione del rischio cyber, ad adottare framework integrati di Cyber Risk Management, a far evolvere il monitoraggio della security adottando strumenti opportuni, a diffondere una cultura sul tema e una maggiore security awareness.
Le organizzazioni sono oggi maggiormente consapevoli della necessità di rivedere la gestione interna del rischio IT e cyber, di ripensare il disegno complessivo, misure e processi, nell’ottica di:
- Abbandonare l’approccio compliance-based finora seguito e adottare un approccio intelligence-led (di continuo monitoraggio all’interno e all’esterno, verso la supply chain, subfornitori, ecc) e risk based in modo da prioritizzare gli investimenti. Inoltre i tempi operativi della security devono essere allineati a quelli dello sviluppo del business: nell’era delle App Mobile e dei Big Data, la velocità è diventata un elemento critico di sopravvivenza delle aziende, e lo stesso vale anche per chi garantisce la sicurezza delle applicazioni e dei dati dei clienti.
- Capire quali sono le minacce più gravi per il proprio business e quali sono gli asset chiave da proteggere. In molte aziende ad esempio la protezione del Brand è rivolta principalmente a considerare il livello di fiducia dei clienti finali. Oggi questo approccio non basta più: i rischi da considerare sono tanti, dalla frode, alla sicurezza fisica, la violazione dei marchi, i contenziosi legali e il phishing.
- Impostare piani di Incident Response efficaci e testarli, per essere sicuri di essere preparati ad affrontare un attacco. Migliorare la propria Security Posture e il Cyber Risk Management significa anche adottare pratiche di info-sharing con terze parti, collaborare con i peers, le forze dell’ordine e le autorità di controllo.
- Valutare nel Cyber Risk Management tutte le possibilità: ossia di evitare, accettare, mitigare ed eventualmente trasferire tale rischio tramite le coperture assicurative disponibili sul mercato. Per avere un reale approccio risk-based, servirebbe la capacità di calcolare la perdita finanziaria di un attacco informatico. Una prima raccomandazione fondamentale è quindi quella di assegnare un valore economico agli asset da proteggere, in modo da poterne calcolare il danno finanziario in caso di compromissione.
In tema di trasferimento del rischio cyber, viene spesso affermato che in futuro un numero sempre maggiore di aziende potrà sottoscrivere polizze anti-hacker specifiche contro gli attacchi informatici, la perdita di dati e di Intellectual Property. Le compagnie assicurative si stanno infatti adeguando, creando coperture specifiche per il rischio cyber, ma il tema è complicato in quanto non è facile valutare con certezza rischi e costi per i cyber attack. Secondo quanto riporta uno studio Allianz di settembre 2015 (Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity), al momento meno del 10% delle imprese internazionali ha sottoscritto una cyber insurance.
Si stima però che i premi di queste polizze registreranno un tasso di crescita annuale di oltre il 20%, aumentando a livello globale dagli attuali 2 miliardi a più di 20 miliardi di dollari l’anno nei prossimi 10 anni. Negli USA la crescita che si ha avuto negli ultimi anni è stata conseguenza di una legislazione più attenta sul fronte delle notifiche dei data breach verso gli utenti impattati. Al momento responsabilità legale e data protection sono gli ambiti per cui più spesso si fa ricorso a cyber insurance, mentre in futuro il focus si sposterà sulla business interruption.
A cura di: Elena Vaciago, The Innovation Group
Accedi per scaricare il Report