E’ l’inconsapevolezza il vero nemico del Cyber Risk: non si conoscono o si sottovalutano i rischi e quindi si è inevitabilmente vulnerabili. Nelle imprese italiane predominano infatti una scarsa diffusione dell’analisi di questi rischi e una limitata capacità di analisi dei danni economici che ne possono derivare. Non solo: neppure ruoli e responsabilità delle strutture IT sono spesso definite.
Eppure negli ultimi anni è cresciuta l’attenzione verso i rischi informatici, anche perché la tecnologia è sempre più protagonista di ogni attività lavorativa, esponendo di fatto le aziende a maggiori rischi, primo fra tutti l’interruzione del servizio, ma anche la perdita di dati sensibili o il rischio reputazionale.
E gli attacchi informatici sono ormai all’ordine del giorno, fra malware, phishing e sfruttamenti della vulnerabilità della rete.
Secondo l’ultimo report di Norton Cybercrime, ci sono 18 vittime di attacchi informatici al secondo, ovvero 1 milione e mezzo al giorno, per un totale di oltre 556 milioni ogni anno.
Hanno fatto notizia, negli ultimi anni, gli attacchi alla PlayStation di Sony, con il furto di dati personali di 77 milioni di iscritti, e di Adobe System, con 38 milioni di password trafugate.
In Italia si stima che il cyber risk possa causare danni economici per 20/40 miliardi annui.
Non stupisce quindi che questo rischio sia fra i più temuti dalle aziende, come risulta anche dal recente Allianz Risk Barometer on Business Risks 2014.
Proteggere i dati e garantire la sicurezza alle reti aziendali è quindi un’attività da pianificare accuratamente.
Il primo passo da compiere è identificare i rischi a cui ogni azienda è esposta, come evidenzia lo Studio Avvocati D’Agostini (Insurance Daily, ed. 23.03.2015).
Un corretto processo di Cyber Risk Management dovrebbe quindi suddividersi in distinte fasi:
- Identificazione delle risorse e del loro grado di vulnerabilità;
- Individuazione delle minacce;
- Individuazione dei possibili danni;
- Definizione di un piano di azione per affrontare le minacce;
- Analisi dei costi e dei benefici.
Oltre a queste attività, è importante sottoscrivere anche una polizza assicurativa che possa entrare in funzione nel momento in cui le misure di prevenzione non sono siano sufficientemente efficaci.
Ma come scegliere la copertura più adatta alle esigenze della propria attività?
E’ importante identificare per prima cosa i rischi da assicurare e valutare tutte le possibile conseguenze, dirette e indirette, del verificarsi di un sinistro. Uno dei danni indiretti, ad esempio, è il costo per il ripristino di un database, e vanno considerati sia i danni materiali sia immateriali (come la cancellazione di documenti o dati o l’uso illecito dei dati stessi).
Occorre poi individuare eventuali condizioni speciali di assicurazione, in base alle esigenze dell’azienda, e determinare con attenzione se e quale parte del rischio può rimanere a carico dell’assicurato (in franchigia) o scoperto.
Aprile 2015