Gestire Il Cyber Risk

Il Cyber Risk o Rischio informatico

E' il rischio di incorrere in perdite economico/finanziarie in seguito al verificarsi eventi accidentali o di azioni dolose inerenti il sistema informatico (hardware, software, banche dati, etc.).

Oggigiorno i media sono affollati di notizie riguardanti attacchi informatici, hacker, malware che bloccano i dati e chiedono un riscatto ai danni di aziende, privati e professionisti.

Il Cyber Risk non è solo questo, facciamo quindi un po' di chiarezza in merito, distinguendo la macrocategoria del Cyber Risk in due fattispecie di rischio:

Cyber Risk Definizione

 

Perchè è indispensabile gestire il Cyber Risk?

Le infrastrutture informatiche delle aziende e la quantità dei dati gestiti sono in continua evoluzione e sono ormai diventate un asset indispensabile per la gestione del business: in primis le aziende tutelano le persone, le strutture e i macchinari, ma oggi è anche importante tutelare il sistema informatico e i dati in quanto rappresentano il motore del successo aziendalePer comprendere l'importanza dell'argomento è sufficiente pensare ad un'azienza senza email, senza centralino telefonico e senza banca dati: come potrebbe sopravvivere?

 

Come gestire efficacemente questi rischi?

Processo logico gestione del rischio con sfondo

 

Falsi miti sul Cyber Risk

  • In Italia siamo al sicuro: l'Italia è uno dei Paesi più a rischio e la crescita delle perdite economiche dovute al verificarsi di eventi Cyber è in continua crescita.
  • E' un rischio che riguarda solo le grandi aziende: le aziende più colpite sono le piccole, in quanto in genere gestiscono il rischio in maniera approssimativa e con budget limitati, sono pertanto più vulnerabili. Oggi sono sempre più diffusi gli attacchi massivi alle PMI rispetto all'attacco mirato e sofisticato alla grande impresa.
  • La mia azienda è al sicuro:nessuna azienda è completamente al sicuro in quanto uno dei rischi principali è l'errore umano, come dimostra la diffusione del famigerato Cryptolocker.
  • E' sufficiente un backup giornaliero dei dati:il backup è un'ottima abitudine, ma i danni da fermo attività e le spese per la ricostruzione delle banche dati sono spesso molto rilevanti.
  • Il danno non sarebbe comunque così rilevante: in effetti un server non ha un costo proibitivo, ma se dovesse verificarsi una perdita di informazioni importanti o peggio una divulgazione di dati riservati o sensibili a terzi allora si verificherebbero anche interruzioni dell'attività, richieste di risarcimento da parte di terzi e danni reputazionali di difficile quantificazione.

  

Quali sono i rischi più diffusi?

Ogni azienda, a prescindere dal settore di attività, utilizza almeno un PC, un server, una banca dati, un sistema di posta elettronica e dei dispositivi mobili (notebook, tablet e smartphone): ognuno di questi rappresenta una porta attraverso cui le minacce possono introdursi all'interno dell'azienda e causare i danni.

Le minacce che potenzialmente possono danneggiare e/o rendere inoperativo il sistema informativo aziendale sono principalmente le seguenti:

  • errore umano che apre la strada a virus e malware (es: un click di troppo del dipendente)
  • evento accidentale che compromette il sistema informativo (es: sbalzo di tensione, rottura dell'impianto di climatizzazione della sala server, etc.)
  • azione dolosa di terzi (es. furto di informazioni e dati da parte di interni o esterni, attacco hacker, sequestro dei computer, etc.)

 

Quali danni può causare?

  • Danni diretti e materiali ai sistemi elettronici e informatici: ad esempio, in caso di danneggiamento del server potrebbe rendersi necessario un intervento di un tecnico per la sua riparazione o sostituzione. Il costo dell'intervento, delle licenze software, del ripristino dei dati, del nuovo server, della pulizia dai malware, sono tutte voci di spesa che incidono sul bilancio aziendale.
  • Danni da interruzione di attività: ad esempio, in caso di danneggiamento del server il sistema informatico dell'azienda potrebbe essere inutilizzabile per diversi giorni. L'interruzione di attività che ne deriva rappresenta una perdita economica per l'azienda; questo danno può assumere dimensioni rilevanti ove il sistema informatico gestisca reparti importanti come il magazzino e/o la produzione.
  • Richieste di risarcimento danni da parte di terzi: ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati i titolari dei dati potrebbero richiedere un risarcimento sulla base di un pregiudizio da loro subito. 
  • Danno reputazionale e perdita di clienti e fornitori: ad esempio, nel caso di disservizi prolungati o di perdita di dati importanti ci si potrebbe trovare di fronte ad un deterioramento delle relazioni con i propri partner (clienti, fornitori, finanziatori, etc.) con un impatto negativo di difficile quantificazione.
  • Costi emergenti per servizi professionali: ad esempio, nel caso di perdita o sottrazione di dati sensibili o riservati diventa indispensabile poter contare su professionisti informatici, legali e delle pubbliche relazioni, al fine di limitare le richieste di risarcimento da parte di terzi e limitare il danno reputazionale.

 

La prevenzione e protezione del sistema

Un buon consulente informatico può impostare un sistema informativo affidabile e tenerlo aggiornato in base alle necessità. Il passo successivo è affidarsi ad un consulente esperto in sicurezza dei sistemi, al fine di individuare le vulnerabilità del sistema: questo è necessario in quanto non esiste un sistema "aperto" e in comunicazione con l'esterno che sia privo di vulnerabilità.

Conoscere i propri punti deboli è il primo step per gestirli con i seguenti strumenti:

  • informazione e formazione finalizzati a creare una cultura aziendale sui rischi informatici;
  • adattamenti tecnici finalizzati a prevenire il verificarsi dei danni (rilevazione continua delle minacce, filtri, crittografia dei dati, aggiornamento e monitoraggio periodico dei sistemi, etc.);
  • adattamenti tecnici finalizzati a diminuire l'entità dei danni, ove si dovessero comunque verificare (backup, sistemi ridondanti e compartimentazione, etc.);
  • stesura di un Disaster Recovery Plan per la gestione efficiente delle emergenze.