Che cos’è il cyber risk
Il cyber risk rappresenta un pericolo di notevole gravità
per le aziende; tuttavia, molto spesso viene sottovalutato. Con lo
sviluppo delle tecnologie digitali, le aziende si trovano a dover
gestire un’ampia gamma di dati e informazioni che riguardano sia il
proprio know how e i dipartimenti interni sia i propri clienti e
fornitori.
L’informatizzazione delle procedure e delle
comunicazioni costituisce certamente un notevole beneficio,
quindi qualunque operatore possiede una struttura IT, uno o
più server e device per la gestione di volumi variabili di
dati.
Ciò comporta al tempo stesso un cyber risk, cioè
la possibilità che le connessioni informatiche siano utilizzate per
danneggiare l’impresa oppure per entrare in possesso di
informazioni sensibili della cui sicurezza l’azienda è
responsabile.
Quali sono i rischi concreti per l’azienda
Secondo quanto riportato dallo studio statistico Netdiligence
claims study 2015 il cyber risk è rappresentato dal 54% da
malware e virus e per il 45% da attacchi di hacker e pirati
informatici.
Soltanto nell’1% dei casi si può parlare
di altre cause, ad esempio l’errore umano. Gli attacchi informatici
hanno conosciuto negli ultimi anni una crescita esponenziale di oltre
il 100%. I settori più colpiti riguardano i servizi sanitari
(si tratta di casi di violazione della privacy e di furto di dati
sensibili) e quelli finanziari, molto spesso per entrare in
possesso dei dati di carte di credito.
Tuttavia, anche
numerosi altri settori merceologici di vario genere presentano un
alto livello di rischio. I danni che possono essere causati dai cyber
attacchi sono:
– I costi per l’intervento di una squadra di tecnici ed esperti informatici che devono risolvere il problema e ripristinare l’operatività del sistema;
–
I danni diretti derivanti dalla violazione dei dati
personali sia dell’azienda sia dei clienti o dei fornitori. Rientrano
in questa categoria l’accesso non autorizzato a questi dati, la loro
perdita, divulgazione, oppure alterazione.
Secondo quanto
stabilito dal GDPR (General Data Protection Regulation), bisogna dare
immediata comunicazione di questo fatto all’Autorità di
Controllo. Ciò porta all’avvio di un’istruttoria e l’azienda
coinvolta deve dimostrare che le misure messe in atto per la
protezione dei dati personali erano a norma di legge;
– I danni per l’inattività. Si ricorda che, finché il problema non viene risolto e l’operatività ristabilita, l’azienda non può svolgere la propria attività. Il blocco operativo può essere parziale oppure totale, tuttavia questo fatto si traduce sempre in una perdita di reddito, mentre rimangono i costi fissi;
– L’eventuale perdita dei dati. Se i dati vengono persi oppure parzialmente o totalmente danneggiati, il loro ripristino comporta costi aggiuntivi. Inoltre, in caso di danneggiamento irreparabile, il funzionamento aziendale è compromesso perché si perdono dati importanti relativi a clienti oppure fornitori;
– Le richieste di risarcimento. Uno degli obiettivi degli attacchi hacker è entrare in possesso dei dati personali, sia per acquisire informazioni sugli utenti sia a scopo di estorsione nei confronti del titolare del trattamento. Le aziende sono responsabili del trattamento dei dati personali e della loro sicurezza. Di conseguenza, i soggetti danneggiati dal furto dei dati possono richiedere un risarcimento all’impresa per la divulgazione non autorizzata di dati personali conservati nei loro server;
– I danni alla reputazione. L’aver subito un attacco informatico e non aver saputo proteggere i dati personali conservati porta a una notevole perdita di reputazione. Si tratta di pesanti danni indiretti con forti ripercussioni sul fatturato, soprattutto se si innesca una vera fuga di clienti oppure se i fornitori sono restii a sottoscrivere un contratto perché non si sentono sufficientemente tutelati.
Come proteggersi dal cyber risk
Nella maggior parte dei casi, si percepisce una diffusa sensazione
di apparente sicurezza quando si parla di cyber risk; tuttavia, non
bastano un buon firewall, un antivirus e un antispam per avere
un’adeguata protezione contro le violazioni dei dati personali e gli
attacchi informatici.
Ogni azienda presenta alcuni
elementi di vulnerabilità nell’ambito dell’organizzazione
informatica e dei dati sensibili. Per proteggersi, bisogna
innanzitutto mettere in atto adeguate misure di prevenzione sia
organizzative sia digitali e fisiche, facendo riferimento a quanto
prescritto dal recente GDPR (Regolamento UE 2016/679).
Tuttavia,
queste soluzioni non sempre sono sufficienti a eliminare
completamente ogni fattore di rischio. Proprio per questo motivo,
alcune aziende decidono di optare per il trasferimento del rischio e
sottoscrivere una polizza assicurativa cyber risk. Si possono
scegliere e comparare le migliori su www.ConvieneOnline.it.
Si
tratta di un prodotto introdotto recentemente sul mercato da parte
delle compagnie assicuratrici e che si pone l’obiettivo di rispondere
alle esigenze dell’azienda di essere completamente tutelate nei
confronti di un eventuale attacco digitale, sia da parte di malware o
virus sia dai pirati informatici.
Queste polizze in genere
hanno costi contenuti e sono costruite su misura in base alle
caratteristiche dell’impresa in questione, del volume dei dati
trattati e della struttura del sistema informatico.
Che cosa sono le assicurazioni cyber risk
Anche se sono state introdotte di recente sul mercato, le
assicurazioni cyber risk si stanno diffondendo sempre più. Pensate
inizialmente per le realtà aziendali di medie e grandi dimensioni,
possono essere adottate con ottimi risultati anche da liberi
professionisti e piccole imprese per avere una maggiore tutela dei
dati personali e dei sistemi informatici.
Infatti,
sono proprio gli operatori con un bacino di utenza ridotto che
possono subire i danni maggiori (sia diretti sia indiretti) a causa
del cyber risk. Le assicurazioni cyber risk mettono a disposizione
delle imprese e dei liberi professionisti servizi personalizzati
per proteggersi dalla criminalità informatica e avere una
maggiore tutela nei confronti di questi rischi.
In
genere, si effettua un’analisi interna della propria attività
d’impresa, così da determinare quale sia la propria esposizione al
rischio informatico. A questo punto è possibile verificare quali
siano le polizze assicurative che rispondono alle proprie esigenze e
quali quelle più convenienti.
Si ricorda che si possono
integrare prestazioni addizionali, come il risarcimento per la
perdita di reputazione e l’assistenza tecnica e legale.