Prospettive

Cyber Insurance: perché bisogna coinvolgere il CIO

Il Cyber Insurance, la copertura assicurativa in area cybersecurity, è un mercato ancora acerbo, dove è difficile quantificare i danni, i costi e il “rischio residuo” da assicurare; per vincere la sfida bisogna creare dei tavoli di collaborazione tra gli attori aziendali e soprattutto coinvolgere il CIO.
Una survey racconta se e quanto in Italia questo stia effettivamente avvenendo…

Pubblicato il 20 Set 2017

Collaborazione

Secondo i dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano le grandi organizzazioni in Italia sono ancora poco mature in materia Cyber Insurance, ovvero di polizze contro il rischio di attacchi cyber: solo il 15% delle imprese ha già attive coperture assicurative sul tema e soltanto nella metà dei casi si tratta non di coperture generaliste ma di polizze espressamente orientate al rischio cyber (figura 1).

Figura 1 – Cyber Insurance: diffusione e criticità – Fonte: Osservatorio Information Security & Privacy, Politecnico di Milano

Tuttavia l’aumento del numero e dell’efficacia degli attacchi e la conseguente attenzione crescente, anche da parte dei board aziendali, per il tema sicurezza IT, sta portando CIO e aziende a familiarizzare col cyber risk (da questo punto di vista il GDPR che impone una riflessione proprio sul tema del rischio sta dando un aiuto importante) e a interessarsi all’offerta in ambito Cyber insurance: secondo gli stessi dati del Politecnico quasi un’azienda su tre si dice in fase di valutazione di coperture assicurative.

Quali sono le criticità in ambito cyber insurance

La domanda dunque cresce, ma l’approccio al tema è tutt’altro che semplice:

  1. l’offerta è ancora acerba: il 35% delle imprese intervistate nella ricerca appena citata non ritiene ancora sufficientemente maturo il mercato cyber insurance; lo dicono anche gli autori del Rapporto Clusit dell’anno scorso: “Le polizze cyber presenti oggi sul mercato sono poche e piuttosto diverse tra loro per linguaggio, strutturazione e ambito di azione”. Mancando una offerta strutturata e avendo (sia le realtà della domanda sia quelle dell’offerta) ancora poca esperienza accumulata, la definizione di un contratto adeguato diventa evidentemente più complicato.
  2. Difficile dare un “valore” al dato perduto – Nuovamente il Rapporto Clusit 2016, sottolinea che è relativamente semplice per le polizze cyber, a seguito di un incidente, riconoscere, quantificare e risarcire una serie di voci di costo tra cui quelle per le spese legate alle operazioni di ripristino o ricostruzione dei dati. Ma se i dati non possono essere recuperati (per esempio se a seguito di un attacco ransomware non si può/vuole ottenere la chiave di decriptazione), come si può quantificare e assicurare il valore di un database, delle informazioni in esso contenute? Una polizza completa dovrebbe arrivare a considerare anche questo scenario. Si tratta di un calcolo complesso (come d’altra parte lo è quello per tanti altri danni immateriali diretti e indiretti, quali il danno di immagine) che si deve evidentemente sviluppare su un piano di forte personalizzazione della polizza rispetto alle peculiarità dei dati in gioco, del business dell’impresa, del lavoro che implica ripopolare di nuovi dati, ripartendo da zero, quel database.
  3. Complicato definire e comunicare il “rischio residuo” – La funzione delle assicurazioni cyber è quella di coprire il cosiddetto “rischio residuo”, ovvero quello che non può essere mitigato con delle opportune misure di sicurezza; è evidente che più questo rischio è alto – di fatto, ma soprattutto nella percezione dell’assicurazione – più si tradurrà in una polizza costosa: gioca dunque un ruolo fondamentale sul piano economico il complicato lavoro di dotarsi di tecnologie, strategie e una cultura della sicurezza efficaci e di saperle valorizzare e comunicare correttamente alla società di assicurazione. Per un approfondimento si veda l’articolo “Sicurezza IT e Cyber Insurance: 3 motivi per chiedere al Ciso.

Coinvolgimento del CIO nella definizione di cyber insurance

Viste queste complessità diventa fondamentale, per la stipula di un contratto, un coinvolgimento orizzontale di più funzioni aziendali, compresa quella del CIO e di chi si occupa di sicurezza IT; l’interlocutore dell’assicuratore non può essere solo il CFO, figura tradizionalmente deputata a gestire l’ambito Insurance.

Il report del Clusit di quest’anno dedica un approfondimento al commento del White Paper “Cyber Risk Exposure & Cyber Insurance”, frutto di una recente indagine fatta nel Nord-Est Italia da Via Virtuosa in collaborazione con Margas (pubblicata online a fine 2016, coinvolti soprattutto CIO di 63 aziende, per la maggioranza del settore industria e servizi, al di sopra dei 20 milioni di euro di fatturato); nell’approfondimento si sostiene che la gestione del Cyber Risk, e in particolare l’aspetto del trasferimento del rischio alle assicurazioni, debba essere affidata “a un tavolo collaborativo che ha nel CIO il suo volano”, il CIO, in quanto detentore della dimensione del rischio o dei livelli di protezione messi in atto dall’azienda, è dunque interlocutore indispensabile all’interno di una trattativa.

Quanto siamo lontani da questo obiettivo e dal generarsi di un dialogo che coinvolga questa figura e la includa nelle scelte in materia cyber insurance? Lo scenario è di luci e ombre:

Alcuni dati rivelano quanto il tema non sia ancora percepito come prioritario:

Figura 2 – Polizze presenti in azienda – Fonte: Rapporto Clusit 2017

  1. c’è poco interessamento al tema cyber insurance da parte degli stessi CIO. Nella maggioranza delle aziende (figura 2) non c’è una polizza cyber attiva e il 60% dei CIO non si è ancora, ad oggi, interessato alle coperture assicurative.
  2. nell’80% dei casi nessuno in azienda ha chiesto al CIO quale potrebbe essere l’impatto di un sinistro cyber: il dato rivela che perlopiù non si riflette ancora abbastanza sui danni e sui costi derivati dal cybercrime e dunque non si fanno domande sul tema ai CIO.

Figura 3 – Richieste fatte ai CIO su danni/costi legati a un sinistro cyber

Mancano anche dati dove si intraveda lo spazio per la nascita dei tavoli collaborativi di cui si è parlato:

  1. nel 60% dei casi un CIO viene coinvolto nei tavoli di gestione della sicurezza generale aziendale. La maggioranza delle volte, la sicurezza IT è dunque vista come parte integrante del più ampio capitolo Sicurezza aziendale (anche fisica) o possibile fonte di rischi: se già esiste questo terreno di scambio può essere più facile costruire un dialogo anche in ambito cyber insurance.
  2. Spesso al CIO arrivano richieste in merito alla gestione della sicurezza Ict. A rafforzare quanto detto nel punto precedente, la ricerca segnala da parte delle altre funzioni interne all’azienda un diffuso interessamento – accade in più del 70% dei casi – sulle modalità con cui viene gestita la sicurezza IT (sebbene il punto 2 sottolinei i limiti di tale interessamento, che non entra nel merito dei costi/danni dei sinistri).
  3. I CIO si sono dimostrati in grado di indicare quali settori aziendali potrebbero soffrire di più di una interruzione di attività confermando di avere una prospettiva orizzontale sull’argomento che risulterebbe preziosa per la definizione di una polizza assicurativa cyber; nella figura 4 le risposte del panel che segnala gli ambiti amministrazione/fatturazione e logistica/consegne come quelli in cui la mancata business continuity può generare più danni.

Figura 4 – Aree di lavoro dove un fermo di attività potrebbe impattare maggiormente

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4