Il Cyber Risk o Rischio informatico
È il rischio di incorrere in perdite economico/finanziarie in seguito al verificarsi eventi accidentali o di azioni dolose inerenti il sistema informatico (hardware, software, banche dati, etc.).
Oggigiorno i media sono affollati di notizie riguardanti attacchi informatici, hacker, malware che bloccano i dati e chiedono un riscatto ai danni di aziende, privati e professionisti.
Il Cyber Risk non è solo questo, facciamo quindi un po' di chiarezza in merito, distinguendo la macrocategoria del Cyber Risk in due fattispecie di rischio:
Perchè è indispensabile gestire il Cyber Risk?
Le infrastrutture informatiche delle aziende e la quantità dei dati gestiti sono in continua evoluzione e sono ormai diventate un asset indispensabile per la gestione del business: in primis le aziende tutelano le persone, le strutture e i macchinari, ma oggi è anche importante tutelare il sistema informatico e i dati in quanto rappresentano il motore del successo aziendale. Per comprendere l'importanza dell'argomento è sufficiente pensare ad un'azienza senza email, senza centralino telefonico e senza banca dati: come potrebbe sopravvivere?
Come gestire efficacemente questi rischi?
Falsi miti sul Cyber Risk
- In Italia siamo al sicuro: l'Italia è uno dei Paesi più a rischio e la crescita delle perdite economiche dovute al verificarsi di eventi Cyber è in continua crescita.
- È un rischio che riguarda solo le grandi aziende:le aziende più colpite sono le piccole, in quanto in genere gestiscono il rischio in maniera approssimativa e con budget limitati, sono pertanto più vulnerabili. Oggi sono sempre più diffusi gli attacchi massivi alle PMI rispetto all'attacco mirato e sofisticato alla grande impresa.
- La mia azienda è al sicuro:nessuna azienda è completamente al sicuro in quanto uno dei rischi principali è l'errore umano, come dimostra la diffusione del famigerato Cryptolocker.
- È sufficiente un backup giornaliero dei dati:il backup è un'ottima abitudine, ma i danni da fermo attività e le spese per la ricostruzione delle banche dati sono spesso molto rilevanti.
- Il danno non sarebbe comunque così rilevante: in effetti un server non ha un costo proibitivo, ma se dovesse verificarsi una perdita di informazioni importanti o peggio una divulgazione di dati riservati o sensibili a terzi allora si verificherebbero anche interruzioni dell'attività, richieste di risarcimento da parte di terzi e danni reputazionali di difficile quantificazione.
Quali sono i rischi più diffusi?
Ogni azienda, a prescindere dal settore di attività, utilizza almeno un PC, un server, una banca dati, un sistema di posta elettronica e dei dispositivi mobili (notebook, tablet e smartphone): ognuno di questi rappresenta una porta attraverso cui le minacce possono introdursi all'interno dell'azienda e causare i danni.
Le minacce che potenzialmente possono danneggiare e/o rendere inoperativo il sistema informativo aziendale sono principalmente le seguenti:
- errore umano che apre la strada a virus e malware (es: un click di troppo del dipendente)
- evento accidentale che compromette il sistema informativo (es: sbalzo di tensione, rottura dell'impianto di climatizzazione della sala server, etc.)
- azione dolosa di terzi (es. furto di informazioni e dati da parte di interni o esterni, attacco hacker, sequestro dei computer, etc.)
Quali danni può causare?
- Danni diretti e materiali ai sistemi elettronici e informatici: ad esempio, in caso di danneggiamento del server potrebbe rendersi necessario un intervento di un tecnico per la sua riparazione o sostituzione. Il costo dell'intervento, delle licenze software, del ripristino dei dati, del nuovo server, della pulizia dai malware, sono tutte voci di spesa che incidono sul bilancio aziendale.
- Danni da interruzione di attività: ad esempio, in caso di danneggiamento del server il sistema informatico dell'azienda potrebbe essere inutilizzabile per diversi giorni. L'interruzione di attività che ne deriva rappresenta una perdita economica per l'azienda; questo danno può assumere dimensioni rilevanti ove il sistema informatico gestisca reparti importanti come il magazzino e/o la produzione.
- Richieste di risarcimento danni da parte di terzi: ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati i titolari dei dati potrebbero richiedere un risarcimento sulla base di un pregiudizio da loro subito.
- Danno reputazionale e perdita di clienti e fornitori: ad esempio, nel caso di disservizi prolungati o di perdita di dati importanti ci si potrebbe trovare di fronte ad un deterioramento delle relazioni con i propri partner (clienti, fornitori, finanziatori, etc.) con un impatto negativo di difficile quantificazione.
- Costi emergenti per servizi professionali: ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati diventa indispensabile poter contare su professionisti informatici, legali e delle pubbliche relazioni, al fine di limitare le richieste di risarcimento da parte di terzi e limitare il danno reputazionale.
La prevenzione e protezione del sistema
Un buon consulente informatico può impostare un sistema informativo affidabile e tenerlo aggiornato in base alle necessità. Il passo successivo è affidarsi ad un consulente esperto in sicurezza dei sistemi, al fine di individuare le vulnerabilità del sistema: questo è necessario in quanto non esiste un sistema "aperto" e in comunicazione con l'esterno che sia privo di vulnerabilità.
Conoscere i propri punti deboli è il primo step per gestirli con i seguenti strumenti:
- informazione e formazione finalizzati a creare una cultura aziendale sui rischi informatici;
- adattamenti tecnici finalizzati a prevenire il verificarsi dei danni (rilevazione continua delle minacce, filtri, crittografia dei dati, aggiornamento e monitoraggio periodico dei sistemi, etc.);
- adattamenti tecnici finalizzati a diminuire l'entità dei danni, ove si dovessero comunque verificare (backup, sistemi ridondanti e compartimentazione, etc.);
- stesura di un Disaster Recovery Plan per la gestione efficiente delle emergenze.