Le imprese oltre il backup: le cyber insurance
Il backup serve a proteggere le informazioni. Ma come si protegge tutta l'azienda dai data breach e dalle loro conseguenze?
Autore: Redazione ImpresaCity
Per le aziende il World Backup Day 2020 - o quello di qualsiasi anno - vale come generico richiamo alla protezione dei dati. In un'impresa si suppone che il backup in sé sia stato già ampiamente metaboilizzato. E che si veda la salvaguardia dei dati come un complesso di procedure, tecnologie e prodotti. Di questi ultimi due, a volte anche troppi. La sensazione è però che l'accento nelle aziende sia molto più sui prodotti e molto meno sulle procedure. E che questo sbilanciamento sia ormai poco opportuno.
In parte questa focalizzazione sui prodotti è naturale. Se la protezione dei dati è un problema, allora serve una soluzione. Se guardiamo indietro alle vecchie normative sulla protezione dei dati, si vede anche in esse questo approccio. Il famigerato Documento Programmatico sulla Sicurezza della "legge privacy" 196/03 alla fine si traduceva in un elenco di cose da fare. Non in una visione complessiva del dato in azienda. Per quello abbiamo aspettato il GDPR.
Eppure, spiegano sempre più spesso gli osservatori tecnici, le aziende devono adottare una visione del dato anche più allargata di quella che hanno ora. Prima di tutto vanno protette le informazioni, certo. Ma va abbandonata l'idea della perdita di dati come un evento eccezionale. Tra attacchi esterni ed errori (o violazioni) del personale interno, sono invece davvero molte le cause di una possibile perdita dei dati.
È importante considerare la perdita di propri dati come una eventualità sempre presente. Considerare cioè che c'è sempre il rischio che si verifichi. È solo il livello di rischio che varia, a seconda delle misure preventive messe in campo. E ovviamente anche da altri fattori, più o meno rilevanti. Non tutti controllabili dall'azienda.
Mettersi al riparo da eventualità non del tutto controllabili è - anche, non solo - compito delle assicurazioni. Infatti, sempre più aziende hanno deciso di dotarsi delle cosiddette "cyber insurance", o assicurazioni contro il rischio cyber. Una scelta proporzionale all'importanza che il risk management assume nelle imprese. E che ci allontana ulteriormente dalla questione tecnologica.
Il problema che le assicurazioni segnalano è che una polizza efficace contro il cyber risk non è un prodotto standard. Come può esserlo una assicurazione automobilistica. È un prodotto fatto in buona parte su misura, determinando i potenziali fattori di rischio per l'azienda. E le risposte che essa è in grado di mettere in atto. Risposte che non sono solamente tecnologiche, anche se coinvolgono la tecnologia.
Il punto debole di molte imprese è l'assenza di un piano complessivo di gestione dei rischi. Un piano cioè che non sia semplicemente un tappare falle digitali. Qualsiasi perdita di dati comporta potenzialmente danni ed effetti a tutti i livelli della società. Dall'IT manager all'amministratore delegato, dal Finance alle Risorse Umane. Tutti i responsabili ne sono consci? Ed esiste un piano di reazione che li coinvolge? Al di là poi dell'emergenza in sé. Da un cyber risk "importante" si esce dopo parecchio tempo. E, di nuovo, se si ha un piano preciso per rimettersi in sesto.
Stipulare una cyber insurance non è scontato, almeno non del tutto. Una volta esaminata a dovere un'azienda, una società di cyber-polizze potrebbe anche decidere di non assicurarla. O quantomeno di escludere certe coperture, se considerate troppo rischiose. Ecco perché - spiegano gli esperti di settore - le aziende dovrebbero vedere nella fase di negoziazione della polizza una importante fonte di feedback per la propria "security posture". Quello che non è piaciuto alla compagnia di assicurazioni è molto probabilmente ciò sui cui si dovrebbe intervenire.
In parte questa focalizzazione sui prodotti è naturale. Se la protezione dei dati è un problema, allora serve una soluzione. Se guardiamo indietro alle vecchie normative sulla protezione dei dati, si vede anche in esse questo approccio. Il famigerato Documento Programmatico sulla Sicurezza della "legge privacy" 196/03 alla fine si traduceva in un elenco di cose da fare. Non in una visione complessiva del dato in azienda. Per quello abbiamo aspettato il GDPR.
Eppure, spiegano sempre più spesso gli osservatori tecnici, le aziende devono adottare una visione del dato anche più allargata di quella che hanno ora. Prima di tutto vanno protette le informazioni, certo. Ma va abbandonata l'idea della perdita di dati come un evento eccezionale. Tra attacchi esterni ed errori (o violazioni) del personale interno, sono invece davvero molte le cause di una possibile perdita dei dati.
È importante considerare la perdita di propri dati come una eventualità sempre presente. Considerare cioè che c'è sempre il rischio che si verifichi. È solo il livello di rischio che varia, a seconda delle misure preventive messe in campo. E ovviamente anche da altri fattori, più o meno rilevanti. Non tutti controllabili dall'azienda.Mettersi al riparo da eventualità non del tutto controllabili è - anche, non solo - compito delle assicurazioni. Infatti, sempre più aziende hanno deciso di dotarsi delle cosiddette "cyber insurance", o assicurazioni contro il rischio cyber. Una scelta proporzionale all'importanza che il risk management assume nelle imprese. E che ci allontana ulteriormente dalla questione tecnologica.
Le imprese e il cyber risk
Non tutte le aziende però approcciano a dovere il tema delle cyber insurance. A dirlo sono le stesse aziende che offrono polizze di vario genere contro il cyber risk. Polizze che con il tempo sono migliorate in qualità e copertura. Man mano che le aziende, ma anche le società di assicurazioni, hanno compreso meglio la natura dei rischi possibili. E anche dei danni che questi possono comportare, in rapporto poi a normative che stanno anch'esse evolvendo.Il problema che le assicurazioni segnalano è che una polizza efficace contro il cyber risk non è un prodotto standard. Come può esserlo una assicurazione automobilistica. È un prodotto fatto in buona parte su misura, determinando i potenziali fattori di rischio per l'azienda. E le risposte che essa è in grado di mettere in atto. Risposte che non sono solamente tecnologiche, anche se coinvolgono la tecnologia.
Il punto debole di molte imprese è l'assenza di un piano complessivo di gestione dei rischi. Un piano cioè che non sia semplicemente un tappare falle digitali. Qualsiasi perdita di dati comporta potenzialmente danni ed effetti a tutti i livelli della società. Dall'IT manager all'amministratore delegato, dal Finance alle Risorse Umane. Tutti i responsabili ne sono consci? Ed esiste un piano di reazione che li coinvolge? Al di là poi dell'emergenza in sé. Da un cyber risk "importante" si esce dopo parecchio tempo. E, di nuovo, se si ha un piano preciso per rimettersi in sesto.Stipulare una cyber insurance non è scontato, almeno non del tutto. Una volta esaminata a dovere un'azienda, una società di cyber-polizze potrebbe anche decidere di non assicurarla. O quantomeno di escludere certe coperture, se considerate troppo rischiose. Ecco perché - spiegano gli esperti di settore - le aziende dovrebbero vedere nella fase di negoziazione della polizza una importante fonte di feedback per la propria "security posture". Quello che non è piaciuto alla compagnia di assicurazioni è molto probabilmente ciò sui cui si dovrebbe intervenire.
Notizie correlate
Rimani informato sulle notizie di ImpresaCity.it?
Iscriviti alla nostra Newsletter
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.