Rischio informatico in azienda: è sufficiente una polizza?

Il rischio informatico, altrimenti detto cyber risk nella sua accezione più ampia, sta raggiungendo anche nel nostro paese livelli preoccupanti sia in termini di danni generati alle aziende sia come potenziale di ulteriore minaccia.

Di alcune delle caratteristiche di quello che viene considerato il ”rischio emergente” principale nel mondo di oggi, ne parlavo in questo articolo dedicato agli studi professionali. A pochi mesi di distanza osserviamo un preoccupante exploit, come evidenziato in un recente sondaggio del “Italian Cybersecurity Report 2016” (QUI lo studio completo) i cui dati riportano un “danno medio finanziario” per attacco informatico nelle PMI italiane di 35.000 €, comprendente diverse voci di danno:

  • Spese di recupero e ristoro dei dati;
  • Perdita di volume d’affari;
  • Tempi di inattività;
  • Danno di immagine.

La sicurezza rappresenta sempre un costo certo a fronte di un danno potenziale, ma ormai è chiaro a tutti che il rischio cyber è a livelli mai raggiunti prima. La tutela dei dati aziendali diventa quindi di fondamentale importanza.

LA MIA AZIENDA E’ UN TARGET APPETIBILE PER UN ATTACCO?

La risposta è affermativa se rispondi “SI” ad almeno una di queste domande:

  • L’azienda possiede proprietà intellettuale/know-how che deve rimanere riservato e memorizza su dispositivi informatici tali informazioni (disegni industriali, piani sviluppo prodotti, processi e dinamiche interne, prototipi, business plan ecc..)?
  • L’azienda ha clienti ai quali fornisce servizi o prodotti e tali prodotti o servizi potrebbero risentirne nel caso i sistemi aziendali fossero resi indisponibili o controllati in modo malevolo?
  • I prodotti (hardware/software/servizi) dell’organizzazione potrebbero essere installati in ambienti sensibili (Es. IoT) oppure eventuali manipolazioni dei prodotti potrebbero causare danni a terzi?
  • L’organizzazione ha una presenza su internet e offre servizi via web (e-commerce ecc)?
  • L’organizzazione è in possesso di dati personali relativi a dipendenti e/o clienti?
  • L’azienda ha stipulato accordi di riservatezza con clienti/fornitori?
  • L’azienda gestisce sistemi ICS – Sistemi industriali di controllo? 
  • L’azienda gestisce dati sensibili per conto di altre imprese (clienti o fornitori)?

HO AGGIORNATO L’ANTIVIRUS, SONO TRANQUILLO!

Domanda: perché sono cosi diffuse le coperture furto per i negozi nonostante la presenza di: vetrine antisfondamento, impianti di allarme e servizio di vigilanza?

Protezione e prevenzione sono due concetti spesso confusi tra loro. I firewall e gli antivirus DEVONO esserci e devono lavorare al loro meglio (aggiornati e seguiti da professionisti) ma, come dimostrato da uno studio di “Hemdal Security” (lo trovi QUI), il 99% (novantanove!) dei computer risulta comunque e inesorabilmente vulnerabile sotto mani esperte.

IL REBUS DEL FATTORE UMANO E IL VALORE DELLA CULTURA DEL RISCHIO

E’ di opinione comune che gli “attacchi” di cyber criminali arrivino sempre dall’esterno in una sorta di guerra senz’armi. Nella realtà, secondo le informazioni oggi disponibili, è interessante evidenziare come nel 90% dei casi le cause ultime dei danni siano da ricercare all’interno dell’azienda. Recenti esperimenti hanno dimostrato, ad esempio, la diffusa inconsapevolezza nell’utilizzo dei dispositivi USB – le persone che trovavano le pen-drive le collegavano immediatamente ai propri dispositivi personali, senza accertarsi riguardo al contenuto. D’altro canto è sufficiente un click distratto sulla mail sbagliata durante un tentativo di phishing, magari di un dipendente durante la pausa pranzo, e la frittata è fatta! La questione è: come possiamo controllare tutto il personale aziendale (dal CEO all’ultimo stagista) perché non commetta ingenuità in grado di compromettere l’operatività aziendale? La risposta si basa sull’aumento della cultura aziendale, sulla formazione del personale e sull’implementazione di un processo di gestione del rischio. Ne parlavo QUI.

SOLUZIONI: POLIZZA O RISK MANAGEMENT?

Meglio Risk management “E” polizza. Prima un’accurata valutazione dei rischi tramite interviste mirate e visita in loco  e solo successivamente un attento trasferimento al mercato assicurativo che, negli ultimi 2 anni, ha messo in campo strumenti sempre più accurati per la gestione di questi danni.

In particolare è possibile oggi reperire coperture per:

Responsabilità civile:

  • Violazione obblighi di riservatezza
  • Violazione di dati personali
  • Violazione di informazioni aziendali di terzi
  • Violazione involontaria delle Norme sulla privacy
  • Violazione della rete aziendale

Danni propri:

  • Perdita di dati
  • Interruzione di attività
  • Cyber estorsione

Incident response:

  • Computer Forensic
  • Costi di Notifica
  • Spese di Consulenza
  • Spese per PR

Il tutto può essere racchiuso in un unico contratto.

Relativamente alle coperture per le spese di reazione (incident response), è importante sottolineare come nel business moderno le informazioni viaggino in maniera rapidissima. E’ fondamentale per un’azienda, quindi, salvaguardare il proprio brand e la propria attività attraverso una reazione immediata e professionale nei confronti del mercato e degli stakeholders.

E’ infine importante sottolineare il filo conduttore tra il rischio informatico, le nuove normative di tutela della privacy europee “GDPR”, operative da maggio 2018, e le responsabilità degli amministratori per eventuali perdite cagionate all’azienda dalla mancata introduzione di idonei processi di gestione del rischio, eventi questi che è possibile tutelare attraverso specifiche polizze c.d. D&o (ne ho parlato QUI).

SCOPRI ORA COME CREARE LA TUA SOLUZIONE SU MISURA

Privacy Policy

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.
Share