5 consigli per gestire il rischio informatico in studio

Qual è il valore più importante da proteggere per uno studio professionale? Sei un avvocato, un commercialista, un medico o più in generale un professionista? Possiamo affermare con certezza che i “dati” intesi come informazioni (bilanci, cartelle cliniche, dati industriali, personali e sensibili dei clienti) sono il cuore pulsante del lavoro quotidiano e gli asset principali da tutelare. Un’eventuale divulgazione non autorizzata di queste informazioni, infatti,  può compromettere la reputazione dello studio, danneggiare i sistemi informatici, il rapporto con il cliente e causare richieste di risarcimento da parte delle Authority preposte o dei terzi danneggiati.

Nella gestione del rischio professionale sta emergendo in modo prorompente la necessità di gestire in modo efficiente il rischio di data breach o più in generale il cyber risk. Le peculiarità di questo rischio sono principalmente: la difficoltà di controllo del fattore umano e la frequente mancanza di correlazione tra le dimensioni dello studio e i danni potenziali riscontrabili.

Nel caso del rischio informatico non è infatti il fatturato, preso a riferimento come parametro di calcolo per svariate coperture assicurative, a poterlo quantificare in modo univoco essendo strettamente correlato ai clienti, alle loro dimensioni e alla quantità di attività esposte.

Nell ultimo “cybersecurity law report” vengono evidenziati numerosi casi di attacco informatico a diversi studi professionali e il Wall street journal conferma che nel 2015 alcuni hackers hanno avuto accesso alle reti di due tra i più prestigiosi studi legali statunitensi: “Cravath Swaine & Moore” e “Weil Gotshal & Manges”. Il furto di informazioni dagli studi professionali risulta spesso più redditizio per l’enorme mole di dati trattati e per la possibilità di ottenere informazioni riservate su molteplici aziende senza doverle “attaccare” singolarmente.

Tornando in europa, il nuovo regolamento sulla privacy, che entrerà in vigore nel 2018 introdurrà tra le altre cose l’obbligo per l’azienda (o lo studio) di denunciare pubblicamente il fatto in caso di attacco informatico e furto di dati, con conseguenze in termini commericiali e di reputation.

Come operare una corretta prevenzione? Ecco alcuni consigli:

• Investire nella formazione del personale – la conoscenza delle conseguenze è alla base della corretta gestione del rischio da parte dei dipendenti;
• Mantenere i back-up disconnessi dalla rete locale e da internet;
• Installare patches e aggiornamenti – permettono di coprire eventuali bug o punti deboli dei programmi;
• Bloccare immediatamente files provenienti da mittenti sconosciuti;
• Avere chiare ed effettive restrizioni di accesso da parte del personale ai vari tipi di device e di informazioni attraverso una policy aziendale condivisa.

Successivamente un’attività di protezione attraverso antivirus, firewall e ciò che di meglio offre oggi la tecnologia consente di ridurre gli impatti conseguenti ad un attacco.

Infine, tassello tra i più trascurati, il trasferimento del rischio informatico al mercato assicurativo è oggi diventato indispensabile per due motivi: il numero di attacchi (in questa incredibile mappa in tempo reale è possibile rendersi conto di cosa parliamo) e per le possibili conseguenze che possono di fatto compromettere l’attività in modo irrimediabile.

Al termine del processo sarà possibile quantificare la ritenzione, ovvero i rischi che lo studio dovrà assumere in proprio, valore questo di fondamentale importanza per la programmazione del business futuro.

Nel mercato assicurativo alcune Compagnie stanno mettendo a disposizione prodotti che mirano a offrire protezione sia per i danni direttamente subiti dai sistemi, comprese le spese necessarie al loro ripristino, che per indennizzare le possibili richieste di danni da terzi. Non dimentichiamo infine la possibilità di avere a disposizione un team di esperti e/o legali specializzati per poter gestire l’emergenza e ridurre l’impatto reputazionale.

Per una valutazione dei rischi legati alla tua attività di impresa o al tuo studio compila il form e saremo lieti di incontrarti senza alcun impegno per approfondire le tue esigenze.