Cyber Risk: come gestire il rischio e perché sottoscrivere polizze

Cyber Risk: come gestire il rischio e perché sottoscrivere polizze

Heading 2

Heading 3

Heading 4

Blockquote with link

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content.

  1. Item
  2. Item
  3. Item
  • Item
  • Item
  • Item

Heading 2

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content.

Heading 3

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content.

Heading 4

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content:

  • Item 1
  • Item 2
  • Item 3

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content:

  1. Item 1
  2. Item 2
  3. Item 3

I nemici invisibili sono quelli più difficili da combattere: lo sta scoprendo l’intero mondo dinanzi al COVID-19, lo stanno scoprendo le imprese vittime di Cyber Attack.

In entrambi i casi, il complice ideale è l’indifferenza o la superficialità durante le fasi iniziali, che dovrebbero invece essere caratterizzate da prevenzione.

In assenza di formazione, al momento del bisogno si è sempre impreparati.

Qual è il corretto processione di gestione del rischio cyber?
Come avviene la gestione e il trasferimento del rischio cyber?
In cosa consistono le polizze di trasferimento del rischio?
Come comportarsi in caso di cyber attack?

Cyber Risk: significato e standard internazionali


Viene definito cyber risk ogni rischio di perdita economica e/o finanziaria in seguito a eventi accidentali o dolose inerenti al sistema informatico.

Ne abbiamo già parlato: mentre le precauzioni scarseggiano, in Italia e nel Mondo in generale, il trend è in costante e pericoloso aumento.

Secondo una ricerca condotta dall’Osservatori.net su un campione di 180 aziende di grandi dimensioni, il 14% non ha un assessment, il 24% non ha alcun framework formalizzato per la valutazione del cyber risk, il 14% sviluppa il framework internamente mentre il 48% delle aziende basa la valutazione del rischio cyber su standard internazionali:

Esistono 4 principali standard internazionali da rispettare:

  • NIST - Cybersecurity framework: Framework che supporta le aziende nella messa in campo di processi per la gestione della cybersecurity
  • ISO/IEC 27001: Norma internazionale che definisce i requisiti per una corretta gestione dell’information security;
  • OCTAVE: Framework per la definizione del livello di esposizione aziendale al rischio cyber;
  • COBIT: Framework per la gestione e il controllo dei processi della funzione IT

Il corretto processo di gestione del rischio cyber

Per prima cosa è necessario identificare il rischio cyber: il tempo medio per identificare la violazione ammonta a 200 giorni.

La seconda fase è rappresentata dalla classificazione del rischi cyber, accompagnata dalla stima e dalla valutazione dei pericoli e delle conseguenze.

Poi avviene la mitigazione dei rischi attraverso la gestione o il trasferimento del rischio residuo.

Il rischio residuo e le polizze di trasferimento

Esiste la seria possibilità che il rischio cyber permanga dopo l’implementazione di azioni di mitigazione.

In questo caso il rischio può essere accettato oppure gestito e trasferito all’assicurazione tramite una polizza.

Un fenomeno diffuso soprattutto in Nord America (con l’87% delle polizze di trasferimento mondiali) e un mercato in grande crescita che da 3 anni fa registrare un aumento costante del 28% annuo ed è destinato a salire fino a 14 miliardi di dollari nel 2022 secondo i dati raccolti da Allied Market Research.

Lo scenario italiano delle polizze per trasferire il cyber risk

Nonostante il pericolo sia invisibile e sempre in agguato, dall’indagine dell’Osservatori emerge che il 23% delle aziende intervistate non ha polizze per trasferire il rischio cyber e l’11% non ha opinioni a riguardo.

Il 19% delle aziende ha polizze di trasferimento del rischio cyber, mentre l’11% ha polizze che coprono in parte il cyber risk.

Il restante 37% di aziende intervistate afferma di essere in fase di valutazione, magari consapevoli dei rischi, ma non ancora convinte dei benefici.

Rispetto all’indagine di un anno prima, un dato in forte aumento: la percentuale di aziende che 12 mesi prima stavano valutando la sottoscrizione di polizze era fermo al 25%.

Le 4 domande da porsi in caso di attacco DDOS

Gli attacchi DDOS (Distributed Denial of Service, letteralmente interruzione distribuita del servizio) rappresentano le principali minacce informatiche perché sono sempre in agguato e possono mandare in tilt intere aziende.

Adottare le giuste contromisure non è semplice e non sempre prevenire significa tutelarsi e ottenere la totale sicurezza informatica.

Ecco le 4 domande più comuni in caso di attacco cyber:

  1. Perché le contromisure adottate non sono risultate efficaci?

  • Le contromisure sono state orientate alla reazione e non alla prevenzione;
  • Le contromisure sono state programmate per dei test e non per attacchi reali;
  • Le minacce DDOS e i rischi sono stati sottovalutati;
  • Il servizio acquistato tramite polizza non era stato ancora ottimizzato.

  1. Quali aree vanno migliorate per gestire la sicurezza?

  • Contract Management: figure tecniche legali per definire la responsabilità in caso di danno;
  • Focus su gestione del rischio legato alle terze parti;
  • Collaborazione e coinvolgimento di tutte le funzioni aziendali;
  • Lavorare sulla sensibilizzazione del top management.

  1. E’ meglio accettare o rifiutare la richiesta di riscatto?

  • Accettare il riscatto non garantisce la risoluzione del problema;
  • Il danno reputazionale in caso di pagamento potrebbe essere peggiore del danno provocato dall’attacco;
  • Il riscatto non è assicurabile;
  • Implicazioni etiche sia per aziende pubbliche, sia per aziende private.


  1. La polizza assicurativa che supporto può dare?

  • Creazione di documentazione;
  • Pagamento e gestione provider;
  • Consigli e best practice in fase di gestione dell’incidente;
  • Quantificazione e valutazione degli impatti economici.
data-breach
 SCOPRI TUTTE LE NEWS SUL GDPR

Rimani aggiornato sul mondo GDPR e ricevi l'infografica sull'accountability documentale

Scopri quali sono gli adempimenti documentali obbligatori e consigliati a fronte dell’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali.

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

infographic
Iscrizione effettuata con successo!
Abbiamo inviato una email all'indirizzo che hai scelto con il link per scaricare l'infografica sull'accountability documentale. Assicurati che non sia andata a finire nello SPAM.
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...
ue-logoorlandi-logo