Mitigazione e trasferimento assicurativo del rischio ICT

Mitigazione e trasferimento assicurativo del rischio ICT

Mitigazione e trasferimento assicurativo del rischio ICT

Mitigazione e trasferimento assicurativo del rischio ICT: ne abbiamo parlato con Cesare Burei, Amministratore di Margas srl – Consulenti e Broker Assicurativi, società attiva nell’assessment e nell’analisi del rischio informatico da un punto di vista assicurativo.

TIG: Dottor Burei, qual è oggi secondo Lei, nella media azienda italiana, il percorso ideale per affrontare il tema della gestione del rischio Cyber e, ove possibile, del suo trasferimento assicurativo?

Cesare Burei: La nostra esperienza nell’accompagnare gli imprenditori nella ricerca e costruzione di efficaci soluzioni assicurative o nella gestione di sinistri complessi, ci ha portati ad affrontare il tema della sicurezza informatica e di quelle che una volta si chiamavano polizze elettroniche, già agli inizi degli anni 2000. Solo di recente però abbiamo ricevuto segnali di una reale attenzione alle conseguenze di sinistri in ambito informatico e di prodotti dell’offerta molto cambiati. Noi cerchiamo di proporre un percorso snello che si adatti rapidamente al livello di consapevolezza e allo stato dell’arte della gestione della sicurezza informatica in azienda. Ci sembra operativamente efficace:

  1. Creare un tavolo di lavoro, che non necessita di solito di più di uno o due incontri, in cui si confrontino il maggior numero possibile di risk owner aziendali con il partner assicurativo e un consulente esperto in analisi dei processi e della infrastruttura ICT in ottica di sicurezza.
  2. Mettere a fattor comune i diversi punti di vista seguendo una scaletta che di fatto è un questionario strutturato che possa poi dare come output un quadro dello stato di rischio.
  3. Il consulente assicurativo e il partner IT presentano e consegnano una relazione che permette all’azienda di scegliere se intraprendere delle azioni in ottica di mitigazione del rischio (a livello tecnologico, di processo, di in-formazione del personale) e/o di capire se e quali rischi sono trasferibili e richiedere le quotazioni alle compagnie per quelle che si chiamano oggi polizze cyber.

Alcuni aspetti non trascurabili che emergono in questo esercizio di dialogo iniziale con le aziende sono da un lato, in negativo:

  • Sistemi aziendali spesso improntati alla politica del “silos”, aspetto in contrasto con l’interconnessione di fatto dei sistemi e delle applicazioni informatiche, che apre falle importanti ed ha effetti pesanti sulla sicurezza;
  • Violazioni delle poche normative esistenti, che rendono non assicurabile il cliente.

Invece aspetti positivi sono:

  • Presa di coscienza dell’esistenza di rischi correlati tra mondo analogico e digitale;
  • Valutazione dell’importanza di integrare le polizze cyber con il portafoglio assicurativo esistente per ottenere il massimo della copertura, poter attuare una migliore gestione dei sinistri e non sprecare risorse;
  • Crescente consapevolezza verso danni immateriali (danneggiamento, distruzione, sottrazione di dati, danno reputazionale, perdita di profitto, Business Interruption) che, fino ad oggi e per i rischi tradizionali, ha sempre avuto scarsa attenzione (basti pensare che meno del 15% delle aziende sottoscrive una BI generale), così come alla Responsabilità Patrimoniale degli Amministratori e dei Dirigenti (D&O).

Un discorso a parte meritano le aziende di servizi ICT. Con loro dialoghiamo anche in ottica di RC Professionale. I più accorti stipulano degli SLA nei contratti che sono particolarmente importanti in ottica IaaS, SaaS o PaaS. Poter dire al proprio cliente  che si è in grado di rispondere perché assicurati nel modo corretto, ci sembra anche molto importante ai fini di una concreta qualificazione come partner affidabile.

TIG: Qual è oggi la sensibilità sul  tema del trasferimento assicurativo del rischio ICT presso le aziende che incontrate?

Cesare Burei: Il mercato della domanda è maturo? La risposta è: no. C’è molto da fare in termini di informazione e sensibilizzazione. Le campagne mediatiche concentrate sulla criminalità informatica stanno aiutando, ma spostano l’attenzione dal quotidiano, dalla qualità della gestione informatica. Noi vorremmo che si pensasse a tutelarsi anche dagli effetti del guasto o dell’errore umano che costituiscono, secondo diverse ricerche, dal 60 al 70% (75% in Italia) della causa di sinistri cyber in senso lato e intorno al 30% delle cause da data breach (35% in Italia)[1].

Quando mettiamo in luce nei nostri sopralluoghi e nelle analisi dei portafogli assicurativi il fatto che tutti i servizi operativi aziendali dipendono direttamente dal funzionamento dell’ICT, diversamente dal passato, oggi non ci vengono fatte obiezioni.  Le aziende che hanno intrapreso percorsi di analisi della sicurezza informatica in ottica di cyber risk management arrivano prima o poi al tema del trasferimento assicurativo del rischio, che ne è il necessario completamento e, se si vuole, il giusto “premio” per lo sforzo di analisi, gestione e controllo che si sta facendo. Va detto, tuttavia, che nel nostro paese non ci sono obblighi normativi tali da richiedere una copertura assicurativa o reali incentivi a cui attingere.

TIG: Dal punto di vista di un Broker assicurativo, quanto è matura l’offerta di Cyber Insurance e come potrebbe/dovrebbe evolvere nel breve periodo?

Cesare Burei: Se negli USA il mercato è in mano a una cinquantina di carrier, in Italia le Assicurazioni specializzate in questo campo sono poche. Proprio l’ultima considerazione sulle norme più o meno stringenti condiziona in modo non indifferente la qualità dell’offerta  assicurativa in termini di aderenza delle coperture alle necessità delle imprese e di premi basati su dati statistici inesistenti e dunque anche meno flessibili. Nella realtà si passa tranquillamente da prodotti estremamente basic o da “scaffale” a prodotti molto completi e complessi con premi che raggiungono vette “improponibili” alle medie imprese italiane, spesso pari al costo complessivo dell’intero portafoglio assicurativo! Qualche dato: polizze con massimali intorno ai 5 Mio$ prevedono premi medi intorno ai 50,000 $/annui[2] e nel nostro piccolo lo possiamo confermare, almeno per alcune compagnie.

Ci sembra di poter dire allora che bisogna “stimolare” le assicurazioni con questionari ben fatti, presentare i bilanci e stati di rischio certificati ed essere il più consapevoli possibile delle reali necessità dell’azienda per lavorare su un prodotto su misura, che abbia le esclusioni che possiamo sostenere o le garanzie indispensabili. In questo senso il lavoro del Broker assicurativo – un consulente in analisi e gestione dei rischi e sinistri e Partner nel dialogo con tutte le Assicurazioni – può essere determinante.

TIG: In conclusione… ecco perché assicurarci e come

Cesare Burei: Occupandoci dell’integrità e disponibilità dei sistemi informativi e dei dati e per quanto riguarda questi ultimi anche della loro confidenzialità, chiediamo alle Assicurazioni garanzie per questi aspetti, sia in ottica interna, sia di Responsabilità Civile.

In un contesto di mercato fortemente competitivo è utile fare prevenzione innanzitutto per la business continuity, la reputazione e il know-how nostro o dei nostri clienti  e, in ottica di paracadute economico-finanziario, trasferire il rischio residuo alle Assicurazioni. E non sotto-assicuriamoci: quando è il momento di fare i conti e sommiamo i costi straordinari, le perdite di profitto e le perdite di quote di mercato per un sinistro cyber si tratta molto spesso di cifre a sei zeri! Ma … per fare le giuste valutazioni dobbiamo essere prima di tutto consapevoli di quanto pesa nella nostra realtà di business la dimensione digitale.

A cura di: Elena Vaciago, The Innovation Group

 

[1] Ponemon Institute 2015 e Net Diligence Claim Study 2013

[2] RIMS Cyber Survey 2015