Assicurazioni cyber: una guida per proteggere la sicurezza dell’azienda

Il report pubblicato FERMA aiuta le aziende a definire i requisiti delle polizze assicurative contro i rischi alla cyber sicurezza

assicurazione cyber security

Secondo una recente indagine della società di consulenza EY, solo il 35% delle aziende europee ha un’assicurazione efficace contro i rischi cyber. Per supportare le aziende a definire un’assicurazione calibrata sulle proprie esigenze di sicurezza FERMA (Federation of European Risk Management Associations) ha reso disponibile il report “Prepararsi per la Cyber Insurance”.

Pubblicato da FERMA, che riunisce Risk e Insurance Manager a livello europeo e di cui ANRA è il membro per l’Italia, in collaborazione con BIPAR (International Bureau of Insurance and Reinsurance Producers, che raggruppa gli intermediari di assicurazione di diversi paesi europei) e Insurance Europe, il report è stato elaborato da esperti del settore assicurativo e aziendale.

Presentata in occasione del FERMA Seminar, che si è svolto in ottobre 2018 ad Anversa, in Belgio, la guida offre una panoramica sullo stato delle polizze cyber a livello europeo e un utile strumento per le aziende nel definire gli obiettivi nel processo di assicurazione contro questi rischi.

Il report propone un modus operandi che coinvolge tutte le parti in causa nel processo di definizione della polizza assicurativa (compagnie, intermediari, aziende). Il modello proposto si basa su due cardini: la necessità di coinvolgere tutte le parti interessate e le quattro aree che concorrono a definire la polizza.

La cyber security è un lavoro di squadra

Il report sottolinea come la cyber security sia una questione interfunzionale, indipendentemente dalle dimensioni dell’azienda. Secondo FERMA, l’insurance manager deve necessariamente coinvolgere nella fase di analisi dei requisiti di polizza diverse funzioni: dal Finance, per capire come e quanto i rischi informatici impattano sul business, al Legal, per comprendere i possibili risvolti giuridici, anche alla luce delle nuove norme (quali il GDPR), fino alle Risorse Umane, dal momento che gli errori del personale sono responsabili di molti attacchi cyber, oltre al reparto IT, per accertarsi di avere adeguate tecnologie e filtri difensivi.

Alessandro De Felice anra
Alessandro De Felice, Presidente ANRA

“Quello del Risk Manager non può essere un lavoro solitario: ha un ruolo di trait d’union, dev’essere cioè capace di parlare linguaggi diversi e di comunicare in maniera capillare con tutte le funzioni aziendali”, ha confermato Alessandro De Felice, Presidente ANRA e Chief Risk Officer Prysmian Group. “Solo così può creare una robusta struttura per la governance del rischio informatico, che migliori i processi decisionali dell’impresa e garantisca che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e a un costo inferiore – e mitigati”.

Le quattro aree da valutare

Secondo il report la valutazione della polizza dovrebbe basarsi sull’analisi di quattro aree: prevenzione, assistenza, operations e liability. Ad ognuna di esse si può assegnare un punteggio in base a una checklist da utilizzare nel dialogo con l’assicuratore.

Il dialogo tra le parti interessate

Il modello proposto da FERMA si pone l’obiettivo di aiutare tutte le parti in gioco. Da un alto gli insurance/risk manager e gli insurance buyer riusciranno a valutare più efficacemente le esigenze della propria azienda, dall’altro gli assicuratori riceveranno informazioni più precise e tecniche sul rischio da coprire e sulle misure di prevenzione e protezione messe in atto, mentre gli intermediari potranno basare la loro ricerca e contrattazione su informazioni più chiare e puntuali.

In secondo luogo, l’associazione vuole scoraggiare interventi regolatori non necessari, rispondendo a un report della European Union Agency for Network and Information Security che, nel 2017, ha proposto un’armonizzazione dei questionari sulla cyber insurance e sulle coperture. FERMA ritiene che “la risposta sia un aumento del dialogo e dello scambio di informazioni tra le parti in gioco, piuttosto che altre regolamentazioni e lungaggini burocratiche”.

CIO
Con informazioni, approfondimenti ed eventi ad hoc, CIO Italia è una risorsa preziosa per tutti i leader delle strutture IT e i decisori delle strategie tecnologiche aziendali.