Cyber Risk: come gestire il rischio e sottoscrivere polizze

Cyber Risk: come gestire il rischio e sottoscrivere polizze

I nemici invisibili sono quelli più difficili da combattere: lo sta scoprendo l’intero mondo dinanzi al COVID-19, lo stanno scoprendo le imprese vittime di Cyber Attack.

In entrambi i casi, il complice ideale è l’indifferenza o la superficialità durante le fasi iniziali, che dovrebbero invece essere caratterizzate da prevenzione.

In assenza di formazione, al momento del bisogno si è sempre impreparati.

Qual è il corretto processione di gestione del rischio cyber?
Come avviene la gestione e il trasferimento del rischio cyber?
In cosa consistono le polizze di trasferimento del rischio?
Come comportarsi in caso di cyber attack?

Cyber Risk: significato e standard internazionali


Viene definito cyber risk ogni rischio di perdita economica e/o finanziaria in seguito a eventi accidentali o dolose inerenti al sistema informatico.

Ne abbiamo già parlato: mentre le precauzioni scarseggiano, in Italia e nel Mondo in generale, il trend è in costante e pericoloso aumento.

Secondo una ricerca condotta dall’Osservatori.net su un campione di 180 aziende di grandi dimensioni, il 14% non ha un assessment, il 24% non ha alcun framework formalizzato per la valutazione del cyber risk, il 14% sviluppa il framework internamente mentre il 48% delle aziende basa la valutazione del rischio cyber su standard internazionali:

Esistono 4 principali standard internazionali da rispettare:

  • NIST - Cybersecurity framework: Framework che supporta le aziende nella messa in campo di processi per la gestione della cybersecurity
  • ISO/IEC 27001: Norma internazionale che definisce i requisiti per una corretta gestione dell’information security;
  • OCTAVE: Framework per la definizione del livello di esposizione aziendale al rischio cyber;
  • COBIT: Framework per la gestione e il controllo dei processi della funzione IT

Il corretto processo di gestione del rischio cyber

Per prima cosa è necessario identificare il rischio cyber: il tempo medio per identificare la violazione ammonta a 200 giorni.

La seconda fase è rappresentata dalla classificazione del rischi cyber, accompagnata dalla stima e dalla valutazione dei pericoli e delle conseguenze.

Poi avviene la mitigazione dei rischi attraverso la gestione o il trasferimento del rischio residuo.

Il rischio residuo e le polizze di trasferimento

Esiste la seria possibilità che il rischio cyber permanga dopo l’implementazione di azioni di mitigazione.

In questo caso il rischio può essere accettato oppure gestito e trasferito all’assicurazione tramite una polizza.

Un fenomeno diffuso soprattutto in Nord America (con l’87% delle polizze di trasferimento mondiali) e un mercato in grande crescita che da 3 anni fa registrare un aumento costante del 28% annuo ed è destinato a salire fino a 14 miliardi di dollari nel 2022 secondo i dati raccolti da Allied Market Research.

Lo scenario italiano delle polizze per trasferire il cyber risk

Nonostante il pericolo sia invisibile e sempre in agguato, dall’indagine dell’Osservatori emerge che il 23% delle aziende intervistate non ha polizze per trasferire il rischio cyber e l’11% non ha opinioni a riguardo.

Il 19% delle aziende ha polizze di trasferimento del rischio cyber, mentre l’11% ha polizze che coprono in parte il cyber risk.

Il restante 37% di aziende intervistate afferma di essere in fase di valutazione, magari consapevoli dei rischi, ma non ancora convinte dei benefici.

Rispetto all’indagine di un anno prima, un dato in forte aumento: la percentuale di aziende che 12 mesi prima stavano valutando la sottoscrizione di polizze era fermo al 25%.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Cliccando il pulsante dichiaro di aver preso visione dell'informativa privacy e delle finalità di cui al punto (3).
Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...

Le 4 domande da porsi in caso di attacco DDOS

Gli attacchi DDOS (Distributed Denial of Service, letteralmente interruzione distribuita del servizio) rappresentano le principali minacce informatiche perché sono sempre in agguato e possono mandare in tilt intere aziende.

Adottare le giuste contromisure non è semplice e non sempre prevenire significa tutelarsi e ottenere la totale sicurezza informatica.

Ecco le 4 domande più comuni in caso di attacco cyber:

  1. Perché le contromisure adottate non sono risultate efficaci?

  • Le contromisure sono state orientate alla reazione e non alla prevenzione;
  • Le contromisure sono state programmate per dei test e non per attacchi reali;
  • Le minacce DDOS e i rischi sono stati sottovalutati;
  • Il servizio acquistato tramite polizza non era stato ancora ottimizzato.

  1. Quali aree vanno migliorate per gestire la sicurezza?

  • Contract Management: figure tecniche legali per definire la responsabilità in caso di danno;
  • Focus su gestione del rischio legato alle terze parti;
  • Collaborazione e coinvolgimento di tutte le funzioni aziendali;
  • Lavorare sulla sensibilizzazione del top management.

  1. E’ meglio accettare o rifiutare la richiesta di riscatto?

  • Accettare il riscatto non garantisce la risoluzione del problema;
  • Il danno reputazionale in caso di pagamento potrebbe essere peggiore del danno provocato dall’attacco;
  • Il riscatto non è assicurabile;
  • Implicazioni etiche sia per aziende pubbliche, sia per aziende private.


  1. La polizza assicurativa che supporto può dare?

  • Creazione di documentazione;
  • Pagamento e gestione provider;
  • Consigli e best practice in fase di gestione dell’incidente;
  • Quantificazione e valutazione degli impatti economici.
 SCOPRI TUTTE LE NEWS SUL GDPR

Rimani aggiornato sul mondo GDPR e ricevi l'infografica sull'accountability documentale

Scopri quali sono gli adempimenti documentali obbligatori e consigliati a fronte dell’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali.

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

infographic
Cliccando il pulsante dichiaro di aver preso visione dell'informativa privacy privacy e delle finalità di cui ai punti (3) e (9).
Iscrizione effettuata con successo!
Abbiamo inviato una email all'indirizzo che hai scelto con il link per scaricare l'infografica sull'accountability documentale. Assicurati che non sia andata a finire nello SPAM.
Ops! Si è verificato un errore. Ricarica la pagina e riprova...