Pubblicato da Il Documento Digitale lโarticolo a firma dellโ Avv. Valentina Frediani focalizza gli strumenti per costruire un perimetro di protezione attorno agli asset informativi delle imprese: policiesย adeguate e cyber insurance rappresentano le chiavi di volta nellaย strategia di gestione del rischio.
Il 2015 ha registrato una crescita esponenziale di numero e varietร di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Ma andiamo con ordine.
Che cosa sono i cyber-risks ed i cyber-danni?
I cyber-risks sono tutte le quelle minacce in grado di colpire il sistema di sicurezza informatica e comportare una violazione di dati e di informazioni importanti per una societร . Tali rischi sono frutto di un mondo sempre piรน gravitante attorno ad informazioni e sistemi informatici, ovvero dati digitali scambiati e conservati su server in grado di connettersi alla rete o in Cloud. I rischi cambiano quasi quotidianamente e diventano di giorno in giorno piรน complessi. I pericoli cibernetici possono infatti comportare diversi danni divisibili in tre macro-categorie:
danni materiali diretti, individuabili in tutti quei danni che colpiscono i beni materiali, come il furto o la distruzione totale o parziale dei server, di PC, della fibra ottica, etc.;
danni materiali indiretti, ravvisabili nei danni materiali che sono stati a loro volta creati da altri danni materiali, come ad esempio il danneggiamento del circuito elettrico che ha causato la bruciatura di una scheda magnetica che a sua volta ha comportato la compromissione della macchina di produzione ad essa collegata;
danni immateriali diretti e indiretti, identificabili in quelli per cui lโevento dannoso colpisce un software o lโinsieme logico delle informazioni (distruzione del server e delle informazioni contenute nello stesso, lโattacco di un virus, blocco della rete internet, etc.).
Quali sono i costi derivanti da un attacco cyber?
Uno degli aspetti che spaventano maggiormente gli imprenditori รจ quello dei costi da sostenere a seguito di un attacco informatico. Secondo gli ultimi sondaggi il costo totale di una violazione รจ aumentato, negli anni 2014 e 2015, del 23%.
Il report Clusit, ad esempio, effettua una stima dei danni e del tempo necessario al ripristino. Soffermandosi su un tipo di danno analizzato, pensiamo a quello causato da un virus che attacca un sistema informatico usato nella GDO; il ripristino potrร comportare una tempistica lavorativa di oltre 10 giorni, con un costo totale pari a circa lo 0,6% di perdite di profitto da risarcire e una perdita di mercato stimata dello 0,7%.
Un altro danno รจ quello derivante da un semplice errore causato dallo Staff dellโarea IT di unโazienda che lavora nel settore TLC. In tale caso, il Rapporto Clusit, individua come il ripristino allโerrore potrร comportare una tempistica lavorativa di oltre 85 giorni, con un costo totale stimato in circa 55 milioni di euro per perdite di profitto non risarcibili.
Intermezzo promozionale ... continua la lettura dopo il box:
Perchรฉ sviluppare una buona policy interna sulla sicurezza informatica?
La minaccia rappresentata dai cyber-rischi รจ oggi concreta tanto quanto i rischi fisici cui sono esposti i beni di unโazienda ed รจ in grado di produrre gravi effetti a catena. Le statistiche internazionali ci dicono che gran parte delle minacce puรฒ essere risolta attraverso una buona politica di sicurezza, mentre in parte minoritaria occorre ricorrere allโadozione di misure di protezione maggiormente diversificate e flessibili, ed ecco entrare in gioco la Cyber Insurance.
Per assicurare una protezione concreta dai rischi informatici occorre prima di tutto prevedere una corretta Policy sulla Sicurezza Informatica, ovvero disporre un regolamento nel quale dovrebbero essere indicate tutte le disposizioni, i comportamenti e le misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare il rischio informatico. Lโazienda, in qualitร di datore di lavoro, deve controllare il corretto utilizzo degli strumenti di lavoro (cfr. il D.lgs. n. 196 del 2003 e s.m.i. โCodice in materia di dati personaliโ, Provv. del Garante del 1ยฐ marzo 2007 โLavoro: le linee guida del Garante per posta elettronica e internetโ e artt. 2086, 2087 e 2104 cc) al fine di evitare lโutilizzo improprio degli strumenti telematici che esporrebbe lโazienda al pericolo di accessi abusivi da parte di hacker (art. 615 bis c.p.) e diffusione di virus (art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e informazioni riservate. Tale anche al fine dellโapplicazione di un esonero della eventuale responsabilitร dellโazienda per reato informatico (art.24 bis del D.lgs. n. 231 del 2001).
Gli aspetti da tenere in considerazione nella policy sono diversi ma, per la maggior parte di essi, occorre tenere a mente che le minacce peggiori non derivano solo dallโesterno, ma anche dallโinterno, proprio dai dipendenti. Il contenuto delle policy deve svilupparsi essenzialmente attorno a 4 ambiti:
Il pc o comunque i dispositivi di lavoro. Le regole sullโutilizzo del dispositivo (che sia un computer fisso, uno portatile, un tablet, uno smartphone o altro strumento) e in generale della postazione di lavoro del dipendente, devono indicare tra lโaltro che lo strumento di lavoro รจ di proprietร dellโazienda e che deve essere usato per esclusivo uso aziendale e connesso ai fini produttivi e lavorativi, etc.
La rete aziendale interna ed il web. Le regole sullโutilizzo della rete aziendale interna, il salvataggio delle informazioni, lโuso del cloud eventualmente impiegato dallโazienda, come accedere alla rete internet, come navigare sul web, quali sono i siti web considerati attinenti allโattivitร lavorativa e quali, invece, sono considerati al di fuori degli interessi dei dipendenti e, quindi, vietati, etc.
Lโuso della posta elettronica aziendale. Per una maggiore tutela della sicurezza informatica ed aziendale, nel regolamento occorre indicare il come utilizzare lโindirizzo aziendale, per evitare di ledere lโimmagine dellโazienda, e regolare lโuso privato della posta elettronica aziendale.
I controlli che possono essere espletati dal datore di lavoro. In linea con quanto prescritto dallโordinamento giuridico italiano (art. 4 dello Statuto dei Lavoratori), la societร deve escludere la configurabilitร di forme di controllo aziendali aventi direttamente ad oggetto lโattivitร lavorativa dellโUtente. Ciononostante non si esclude che, per ragioni organizzative e produttive, per esigenze dettate dalla sicurezza del lavoro ovvero per tutelare il patrimonio aziendale, la societร possa utilizzare strumenti dai quali derivi la possibilitร di controllo a distanza dellโattivitร dei lavoratori. Tali strumenti devono essere subordinati rispetto alla normativa di settore.
Non basta un regolamento informatico per proteggersi dagli attacchi informatici.
Per far fronte alle minacce informatiche occorre adottare, oltre alla policy sopra indicata, una logica multidisciplinare di Cyber Resilience. Questo significa comprendere le vulnerabilitร e le criticitร dellโazienda per predisporre un modello di rischio cosiddetto โcyberโ accurato e costantemente aggiornato, che consenta di:
diventare consapevole della condizione di sicurezza informatica adottata dallโazienda;
utilizzare le conoscenze acquisite con lโanalisi e sensibilizzare tutti i soggetti facenti parte della societร sulle best practice della sicurezza informatica aziendale;
creare una strategia di sicurezza idonea che possa garantire un livello costante di rischio informatico;
stimare le perdite potenziali al fine di determinare correttamente gli investimenti necessari in sicurezza.
In sostanza, lโazienda dovrebbe essere in grado di far convergere compliance e cyber security, governance e risk management, cyber intelligence e crisis management, attivitร di prevenzione e di reazione rapida, fino alla cooperazione. La Cyber Security รจ definita come unโattivitร complessa, parte di un processo piรน ampio di Risk Management volta a proteggere gli asset informatici da guasti, errori ed attacchi, inderogabilmente connessa agli aspetti di natura legale, piรน che mai alla luce del recente Regolamento Europeo in materia di protezione dati personali che introduce lโobbligo del Data Breach per tutte le aziende.
La Cyber Insurance
Una volta applicate le metodologie del Risk Management il patrimonio informativo aziendale non puรฒ dirsi comunque del tutto sicuro, alcuni pericoli sono comunque in agguato. Eโ a questo punto che entra in gioco il trasferimento assicurativo del rischio cosiddetto โresiduoโ. Esso rappresenta la fase โfinaleโ della strategia di Risk Management.
Tale fase รจ molto importante in quanto consente a tutti i risk owner, in primis manager IT, CIO, responsabili informatici ed in generale chi si occupa delle polizze in azienda e chi segue i costi e i danni a seguito di un sinistro, di dotarsi di uno strumento in grado di proteggerli da rischi economico-finanziari ingenti.
La Cyber Insurance da un lato si rivolge alle aziende in qualitร di utilizzatrici di sistemi e di soluzioni ICT, le quali dovrebbero avere un portafoglio assicurativo organico e ottimizzato in modo da garantire la totale copertura ed evitare inutili sovrapposizioni. Dallโatro lato, invece, si rivolge alle aziende che erogano servizi ICT (come servizi Cloud, System Integrator, etc.) le quali, oltre a dotarsi di soluzioni di Cyber Insurance che preservino la loro attivitร interna come ogni altra azienda, devono garantire la loro responsabilitร professionale e dunque a dotarsi di soluzioni di Responsabilitร Civile verso Terzi (RCT) adeguate. Questo per il semplice fatto che le stesse offrono una delicata attivitร e pongono in essere interventi o addirittura gestiscono sistemi informativi di terzi.
Le stesse dovranno, naturalmente, qualificarsi come fornitori ITC capaci di rispettare:
lo Standard ISO/IEC 27001:2013, che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni;
il decreto legislativo n. 196 del 2003 e s.m.i. ed il suo allegato B;
dal 25/05/2018, il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchรฉ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Proprio in materia di Regolamento UE, sopra accennato, occorre soffermarsi in questa sede su alcuni punti essenziali, in quanto il Regolamento non รจ una semplice nuova legge. Per le societร comporterร lโobbligo di innovazione da ogni punto di vista. Lโinnovazione travolgerร un contesto estremamente complesso con uno scenario giuridico nuovo. In particolare, il contesto di appartenenza รจ quello della compliance aziendale, la quale si sviluppa prendendo in riferimento da un lato i requisiti richiesti dalla legge (tra cui appunto il nuovo Regolamento), dallโaltro gli impegni presi con il cliente ed individuati nelle policy, nei codici etici oppure ai comportamenti stabiliti direttamente dallโazienda. La parte compliance dovrร collegarsi a due recenti standard internazionali: la ISO 19600:2014 utile per implementare un sistema che assicuri la conformitร di unโorganizzazione in funzione di norme volontarie, requisiti contrattuali, aspetti cogenti, etc., basandosi sul principio del miglioramento continuo; la ISO 9001:2015 che richiede lโanalisi del contesto in cui il Regolamento privacy si identifica come una variabile determinante da tenere a mente in alcuni settori o situazioni.
Lโanalisi dei rischi รจ infatti il requisito innovativo del nuovo Regolamento che dovrร essere parte integrante del modello di risk assessment e management scelto (p.e. con la ISO 31000:2010 sulla gestione del rischio).
Un tema dunque quello della Cyber Insurance complesso ma che puรฒ costituire unโopportunitร per il mondo business di analizzare ed integrare i propri processi prevenendo integralmente alcuni rischi, riducendone altri o potendo valutare lโadozione di polizze ad hoc da utilizzare in caso di eventi che creino danno.
Pubblicato da Il Documento Digitale
Cyber Insurance per proteggere il patrimonio informativo aziendale
