Conoscere il Cyber Risk

Il Cyber Risk o Rischio informatico

E' il rischio di conseguire una perdita economica conseguente al verificarsi di eventi accidentali o di azioni dolose inerenti il sistema informatico (hardware, software, banche dati...).

 

 

Perchè è indispensabile gestire il Cyber Risk?

Le infrastrutture informatiche delle aziende e la quantità dei dati da esse gestite sono in continua evoluzione e sono ormai diventate un asset indispensabile per la gestione del business: in primis le aziende tutelano le persone, le strutture e i macchinari, ma oggi è indispensabile tutelare anche il sistema informatico e i dati in quanto rappresentano il motore chiave del successo aziendale. 

Per comprendere l'importanza dell'argomento è sufficiente pensare ad un'azienza senza email, senza centralino telefonico e senza banca dati: come può sopravvivere oggi?

 

 

Falsi miti sul Cyber Risk

  • In Italia siamo al sicuro: l'Italia è uno dei Paesi più a rischio e la crescita delle perdite economiche dovute al verificarsi di eventi Cyber in continua crescita.
  • E' un rischio che riguarda solo le grandi aziende:paradossalmente le aziende più colpite sono le piccole aziende, in quanto in genere gestiscono il rischio in maniera approssimativa e con budget limitati, sono pertanto più vulnerabili.
  • La mia azienda è al sicuro:nessuna azienda è completamente al sicuro in quanto uno dei rischi principali è l'errore umano, come dimostra la diffusione del famigerato Cryptolocker.
  • E' sufficiente un backup giornaliero dei dati:il backup è un'ottima abitudine, ma i danni da fermo attività e le spese per la ricostruzione delle banche dati sono spesso molto rilevanti.
  • Il danno non sarebbe comunque così rilevante: in effetti un server non ha un costo proibitivo, ma se dovesse verificarsi una perdita di informazioni importanti o peggio una divulgazione di dati riservati o sensibili a terzi allora si verificherebbero anche interruzioni dell'attività, richieste di risarcimento da parte di terzi e danni reputazionali di difficile quantificazione.

 

 

Quali sono i rischi più diffusi?

Ogni azienda, a prescindere dal settore di attività, utilizza almeno un PC, un server, una banca dati, un sistema di posta elettronica e dei dispositivi mobili (notebook, tablet e smartphone): ognuno di questi rappresenta una porta attraverso cui le minacce possono introdursi all'interno dell'azienda e causare i danni.

Le minacce che potenzialmente possono danneggiare e/o rendere inoperativo il sistema informativo aziendale sono principalmente le seguenti:

  • errore umano che apre la strada a virus e malware (es. un maldestro click di troppo del dipendente...)
  • evento accidentale che compromette il sistema informativo (es. sbalzo di tensione, rottura dell'impianto di climatizzazione della sala server...)
  • azione dolosa di terzi (es. furto di informazioni e dati da parte di interni o esterni, attacco hacker, sequestro dei computer...)

 

 

Quali danni può causare?

  • Danni diretti e materiali ai sistemi elettronici e informatici: ad esempio, in caso di danneggiamento del server potrebbe rendersi necessario un intervento di un tecnico per la sua riparazione o sostituzione. Il costo dell'intervento, delle licenze software, del ripristino dei dati, del nuovo server, della pulizia dai malware...sono tutte voci di spesa che incidono sul bilancio aziendale.
  • Danni da interruzione di attività: ad esempio, in caso di danneggiamento del server il sistema informatico dell'azienda potrebbe essere inutilizzabile per diversi giorni. L'interruzione di attività che ne deriva rappresenta una perdita economica per l'azienda; questo danno può assumere dimensioni rilevanti ove il sistema informatico gestisca reparti importanti come il magazzino e/o la produzione.
  • Richieste di risarcimento danni da parte di terzi: ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati i titolari dei dati potrebbero richiedere un risarcimento sulla base di un pregiudizio da loro subito. 
  • Danno reputazionale e perditta di clienti e fornitori: ad esempio, nel caso di disservizi prolungati o di perdita di dati importanti ci si potrebbe trovare di fronte ad un deterioramento delle relazioni con i propri partner (clienti, fornitori, finanziatori ecc) con un impatto negativo di difficile quantificazione.
  • Costi emergenti per servizi professionali:ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati diventa indispensabile poter contare su professionisti informatici, legali e delle pubbliche relazioni, al fine di limitare le richieste di risarcimento da parte di terzi e limitare il danno reputazionale.

 

 

La prevenzione e protezione del sistema

Un buon consulente informatico può impostare un sistema informativo affidabile e tenerlo aggiornato in base alle necessità che emergono dalla veloce evoluzione tecnologica. Il passo successivo è affidarsi ad un consulente esperto in sicurezza dei sistemi, al fine di individuare le vulnerabilità del sistema: questo è necessario in quanto non esiste un sistema "aperto" e in comunicazione con l'esterno che sia privo di vulnerabilità.

Conoscere i propri punti deboli è la linea di partenza per gestirli con i seguenti strumenti:

  • informazione e formazione finalizzati a creare una cultura aziendale sui rischi informatici;
  • adattamenti tecnici finalizzati a prevenire il verificarsi dei danni (rilevazione continua delle minacce, filtri, crittografia dei dati, aggiornamento e monitoraggio periodico dei sistemi...);
  • adattamenti tecnici finalizzati a diminuire l'entità dei danni, ove si dovessero comunque verificare (backup, sistemi ridondanti e compartimentazione...);
  • stesura di un Disaster Recovery Plan per la gestione efficiente delle emergenze.

 

 

L'assicurazione dei rischi 

Il migliore dei sistemi informativi avrà comunque sempre un grado di vulnerabilità, questo è il motivo per cui nella gestione del Cyber Risk non può mancare la componente assicurativa. Un contratto di assicurazione dei Rischi Informatici deve necessariamente essere realizzato tenendo conto delle esigenze specifiche dell'azienda e del settore di attività in cui essa opera, su queste basi rappresenta un valore aggiunto importante perchè consente di affrontare le situazioni di difficoltà con la necessaria tranquillità.