Assicurazione informatica: un “ombrello” per i rischi IT
Considerato in passato un argomento tecnico di competenza dei soli professionisti IT, oggi la gestione dei rischi informatici e del loro potenziale impatto finanziario è una questione che riguarda anche i top business manager. Questo articolo spiega perché i CISO e i CFO dovrebbero considerare l’assicurazione informatica come una componente fondamentale della gestione generale del rischio.
In sintesi
- Il numero crescente di dannosi attacchi informatici e le nuove, stringenti normative in materia di sicurezza IT hanno cambiato il “clima” della IT security.
- L’assicurazione informatica è oggi considerata come una sorta di ombrello finanziario, che fornisce una protezione fondamentale nell’incerto scenario attuale, in quanto contribuisce a mitigare i costi di ripristino sostenuti a seguito di furti, danni o perdite di dati elettronici, che possono verificarsi anche in presenza di efficaci misure di difesa.
- Attualmente, tutti i dirigenti considerano l’assicurazione informatica come una componente essenziale della gestione del rischio aziendale; CISO, CIO e CFO, però, hanno priorità ed esigenze diverse relativamente alla copertura tecnica, operativa e finanziaria.
In questa seconda parte della nostra serie di articoli sulla sicurezza informatica ci concentreremo sulle responsabilità di CISO e CFO. Nella parte 1 abbiamo esaminato il ruolo importante degli amministratori IT nella fase di stipula o rinnovo delle assicurazioni informatiche aziendali.
2023: un clima variabile di sicurezza IT
I fatti parlano chiaro: il numero delle società di tutte le dimensioni che subiscono attacchi informatici sta aumentando notevolmente su scala globale.
- Secondo CVEdetails.com, le vulnerabilità individuate a livello mondiale sono salite da 25.083 nel 2022 a 29.065 nel 2023.
- Il rapporto IBM del 2023 intitolato “Cost Of A Data Breach” (I costi della violazione dei dati) ha rilevato come il costo medio di un episodio di violazione dei dati si attesti sui 4,45 milioni di $ (4,11 milioni di €). Il World Economic Forum riferisce che il costo dei crimini informatici su scala globale ha raggiunto una cifra pari a 11,5 trilioni di $ (10,6 trilioni di €) nel 2023, con una proiezione di crescita fino a 23,8 trilioni di $ (22 trilioni di €) nel 2027.
- Il vendor del software di sicurezza IT Malwarebytes rivela che il numero degli attacchi noti di ransomware è cresciuto del 68% nel 2023, e che la domanda media di riscatto è aumentata molto rapidamente, sostenuta da una richiesta di 80 milioni di $ seguita a un attacco perpetrato ai danni della Royal Mail nel Regno Unito.
- Nel 2023 si sono verificati oltre 420 milioni di attacchi a infrastrutture di importanza critica (più di 13 attacchi al secondo), con un incremento del 30% rispetto al 2022, secondo quanto riportato da Forescout Research.
Gli operatori delle infrastrutture di importanza critica e delle aziende associate sono sottoposti all’esame sempre più attento delle autorità governative in materia di requisiti di sicurezza informatica e rapporto sugli incidenti. Negli USA, l’Istituto nazionale di scienza e tecnologia (NIST) ha pubblicato il documento Guide to Operational Technology(OT) Security (Guida alla sicurezza della tecnologia operativa) nel settembre 2023, per fornire agli operatori OT delle linee guida utili a migliorare la sicurezza della tecnologia operativa. La pubblicazione è avvenuta in seguito all’approvazione, nel 2022, della Cyber Incident Reporting for Critical Infrastructure Act, una legge che ha concesso autorità normativa ed esecutiva alla Cybersecurity and Infrastructure Security Agency (CISA) e sancito l’obbligatorietà di riportare gli incidenti per i provider delle infrastrutture critiche.
Nell’UE, la nuova direttiva NIS2 ha stabilito requisiti più stringenti per la sicurezza IT aziendale e assegnato alla dirigenza delle singole organizzazioni la responsabilità della conformità della difesa informatica agli standard più aggiornati. La NIS2 riguarda le aziende con più di 50 dipendenti e 10 milioni di € di fatturato annuale operanti nel comparto bancario, sanitario, energetico, dei trasporti e molti altri settori. L’ampliamento della platea di aziende soggette ai requisiti e l’aumento delle sanzioni in caso di non conformità hanno indotto il Presidente dell’Ufficio federale della sicurezza informatica tedesca (Bundesamt für Sicherheit in der Informationstechnik o BSI) a raccomandare alle attività di destinare almeno il 20% dei loro budget IT alle misure di sicurezza informatica.
Assicurazione informatica: una diversa tipologia di “polizza ombrello”
La stipula di un’assicurazione informatica offre alle aziende uno strumento a cui affidarsi per far fronte all'emergenza di un attacco IT. Si tratta di una polizza diversa dalla tradizionale assicurazione di responsabilità aziendale e indennità professionale, che copre i rischi derivanti da errori, malfunzionamenti o limitazioni riguardanti prodotti o servizi. L’assicurazione informatica copre i costi causati da attacchi a danno della riservatezza, dell’integrità o della disponibilità di dati elettronici verificatisi nonostante la presenza di misure di sicurezza conformi alle norme. Attualmente, l’assicurazione informatica dovrebbe essere considerata come parte integrante della gestione del rischio aziendale e IT.
Un attento reporting per individuare la giusta assicurazione
La maggior parte degli assicuratori sottopone alle aziende dei questionari di assicurazione informatica da compilare. L’autocertificazione determina inoltre l’idoneità
all’assicurazione e aiuta a delineare la possibile struttura individuale della polizza. Il questionario include domande su linee guida di sicurezza, gestione del rischio, protezione
dei sistemi informatici, valutazioni di vulnerabilità, backup dei dati e formazione dei dipendenti. Le aziende devono rispondere a queste domande nel modo più accurato
possibile, in quanto gli assicuratori provvederanno a effettuare delle verifiche in caso di presentazione di una richiesta di risarcimento. In definitiva, un maggiore livello di
sicurezza aziendale consente agli assicuratori di valutare meglio i rischi specifici e offrire polizze con condizioni più favorevoli.
I software integrati di unified endpoint management (UEM) come la baramundi Management Suite (bMS) possono aiutare le aziende a
mantenere un’aggiornata e accurata panoramica dei loro sistemi, dello stato di sicurezza e della conformità della documentazione rispetto ai requisiti applicabili.
Le diverse priorità in sede di scelta della copertura
La procedura di domanda e valutazione dell’idoneità alla stipula di un’assicurazione informatica coinvolge attualmente diversi dirigenti e dipartimenti aziendali. Il
CISO (Chief Information Security Officer), ad esempio, preferirà un’assicurazione che copra rischi specifici come il furto e la violazione dei dati e l’interruzione
dell’attività aziendale. L’ambito di applicazione e l’entità dei servizi di risposta agli incidenti sono ugualmente prioritari.
Il CIO (Chief Information Officer) assegna la massima importanza alla copertura dei danni arrecati all’infrastruttura e ai dati IT dell'azienda, ad inclusione della
protezione contro il malware e il danno fisico. Ciò include i dettagli tecnici e i requisiti di copertura di hardware e software.
Il CFO (Chief Financial Officer) è invece interessato alla copertura dei rischi di perdite derivanti da danni informatici, quali ad esempio interruzioni dell’attività e
richieste di risarcimento. L’analisi costi-benefici e il potenziale impatto finanziario degli incidenti di sicurezza hanno la precedenza.
Una protezione per un futuro più sicuro
Una cosa è certa: il CFO non è l’unico a interessarsi ai costi. Il costo dell’assicurazione informatica sta crescendo, a causa, in parte, dell’aumento dei conflitti
geopolitici e dei gruppi di criminali informatici organizzati supportati dalle autorità governative. Ad esempio, Microsoft ha subito un attacco da parte di un
gruppo di hacker sostenuto dal governo russo, che è riuscito ad accedere alle email di numerosi top manager.
Investire nell’assicurazione informatica richiede indubbiamente un’attenta fase di preparazione e analisi, ma in caso di emergenza questo può fare la differenza nell’entità del danno e
nella velocità di ripristino. L’assicurazione fornisce una protezione finanziaria nell'evento di un attacco informatico, tramite il pagamento di un risarcimento e
sostenendo le spese delle indagini forensi e i costi causati dall’interruzione dell'attività.
Inoltre, la copertura può fornire accesso a competenze utili nell’ambito delle procedure di valutazione del rischio e di prevenzione. CISO e CFO devono garantire un equilibrio ottimale tra
i costi di assicurazione e l’esborso sostenuto per approntare misure di sicurezza che soddisfino i requisiti. Anche se l’assicurazione informatica non sostituisce la necessità di
implementare misure di sicurezza IT appropriate e conformi, offre comunque una protezione dai danni di un attacco informatico.
Come risulta chiaro dalle nuove normative e dallo spesso incerto scenario di sicurezza IT, l’assicurazione informatica è diventata parte integrante di una moderna gestione del rischio
aziendale e informatico.
Una guida per ottenere un’assicurazione IT
Stai pensando di stipulare, rinnovare o ampliare la polizza di assicurazione informatica come parte della tua strategia di gestione del rischio IT e aziendale? baramundi ha 6 consigli essenziali per orientarti nella complessa realtà dell'assicurazione IT.
Vai alla checklist di baramundi per l’assicurazione informatica