Cyber Risk: come gestire il rischio e sottoscrivere polizze

I nemici invisibili sono quelli più difficili da combattere: lo sta scoprendo l’intero mondo dinanzi al COVID-19, lo stanno scoprendo le imprese vittime di Cyber Attack.

In entrambi i casi, il complice ideale è l’indifferenza o la superficialità durante le fasi iniziali, che dovrebbero invece essere caratterizzate da prevenzione.

In assenza di formazione, al momento del bisogno si è sempre impreparati.

Qual è il corretto processione di gestione del rischio cyber?
Come avviene la gestione e il trasferimento del rischio cyber?
In cosa consistono le polizze di trasferimento del rischio?
Come comportarsi in caso di cyber attack?

Cyber Risk: significato e standard internazionali

Viene definito cyber risk ogni rischio di perdita economica e/o finanziaria in seguito a eventi accidentali o dolose inerenti al sistema informatico.

Ne abbiamo già parlato: mentre le precauzioni scarseggiano, in Italia e nel Mondo in generale, il trend è in costante e pericoloso aumento.

Secondo una ricerca condotta dall’Osservatori.net su un campione di 180 aziende di grandi dimensioni, il 14% non ha un assessment, il 24% non ha alcun framework formalizzato per la valutazione del cyber risk, il 14% sviluppa il framework internamente mentre il 48% delle aziende basa la valutazione del rischio cyber su standard internazionali:

Esistono 4 principali standard internazionali da rispettare:

• NIST - Cybersecurity framework: Framework che supporta le aziende nella messa in campo di processi per la gestione della cybersecurity
• ISO/IEC 27001: Norma internazionale che definisce i requisiti per una corretta gestione dell’information security;
• OCTAVE: Framework per la definizione del livello di esposizione aziendale al rischio cyber;
• COBIT: Framework per la gestione e il controllo dei processi della funzione IT
  

Il corretto processo di gestione del rischio cyber

Per prima cosa è necessario identificare il rischio cyber: il tempo medio per identificare la violazione ammonta a 200 giorni.

La seconda fase è rappresentata dalla classificazione del rischi cyber, accompagnata dalla stima e dalla valutazione dei pericoli e delle conseguenze.

Poi avviene la mitigazione dei rischi attraverso la gestione o il trasferimento del rischio residuo.

Il rischio residuo e le polizze di trasferimento

Esiste la seria possibilità che il rischio cyber permanga dopo l’implementazione di azioni di mitigazione.

In questo caso il rischio può essere accettato oppure gestito e trasferito all’assicurazione tramite una polizza.

Un fenomeno diffuso soprattutto in Nord America (con l’87% delle polizze di trasferimento mondiali) e un mercato in grande crescita che da 3 anni fa registrare un aumento costante del 28% annuo ed è destinato a salire fino a 14 miliardi di dollari nel 2022 secondo i dati raccolti da Allied Market Research.

Lo scenario italiano delle polizze per trasferire il cyber risk

Nonostante il pericolo sia invisibile e sempre in agguato, dall’indagine dell’Osservatori emerge che il 23% delle aziende intervistate non ha polizze per trasferire il rischio cyber e l’11% non ha opinioni a riguardo.

Il 19% delle aziende ha polizze di trasferimento del rischio cyber, mentre l’11% ha polizze che coprono in parte il cyber risk.

Il restante 37% di aziende intervistate afferma di essere in fase di valutazione, magari consapevoli dei rischi, ma non ancora convinte dei benefici.

Rispetto all’indagine di un anno prima, un dato in forte aumento: la percentuale di aziende che 12 mesi prima stavano valutando la sottoscrizione di polizze era fermo al 25%.

Le 4 domande da porsi in caso di attacco DDOS

Gli attacchi DDOS (Distributed Denial of Service, letteralmente interruzione distribuita del servizio) rappresentano le principali minacce informatiche perché sono sempre in agguato e possono mandare in tilt intere aziende.

Adottare le giuste contromisure non è semplice e non sempre prevenire significa tutelarsi e ottenere la totale sicurezza informatica.

Ecco le 4 domande più comuni in caso di attacco cyber:

1. Perché le contromisure adottate non sono risultate efficaci?
   
   

• Le contromisure sono state orientate alla reazione e non alla prevenzione;
• Le contromisure sono state programmate per dei test e non per attacchi reali;
• Le minacce DDOS e i rischi sono stati sottovalutati;
• Il servizio acquistato tramite polizza non era stato ancora ottimizzato.
  
  

2. Quali aree vanno migliorate per gestire la sicurezza?
   
   

• Contract Management: figure tecniche legali per definire la responsabilità in caso di danno;
• Focus su gestione del rischio legato alle terze parti;
• Collaborazione e coinvolgimento di tutte le funzioni aziendali;
• Lavorare sulla sensibilizzazione del top management.
  
  

3. E’ meglio accettare o rifiutare la richiesta di riscatto?
   
   

• Accettare il riscatto non garantisce la risoluzione del problema;
• Il danno reputazionale in caso di pagamento potrebbe essere peggiore del danno provocato dall’attacco;
• Il riscatto non è assicurabile;
• Implicazioni etiche sia per aziende pubbliche, sia per aziende private.

4. La polizza assicurativa che supporto può dare?
   
   

• Creazione di documentazione;
• Pagamento e gestione provider;
• Consigli e best practice in fase di gestione dell’incidente;
• Quantificazione e valutazione degli impatti economici.