Assicurazione informatica: meglio prevenire che curare
Insieme al venditore di aspirapolveri, l’agente assicurativo era visto, fino a qualche tempo fa, come un visitatore tutt’altro che gradito. Ma i tempi sono cambiati, perché al giorno d’oggi, per trovare la giusta assicurazione, spesso bisogna muoversi in autonomia. Per quanto riguarda la gestione del rischio, le aziende farebbero bene a pensare all’assicurazione informatica. Ma come fare per scegliere quella più appropriata?
Per i responsabili della sicurezza esistono due tipi di aziende: quelle che sono già state attaccate dagli hacker e quelle che ancora non lo sanno. Secondo l’associazione di settore Bitkom, nove aziende su dieci sono state colpite da attacchi informatici negli ultimi due anni. I principali fattori di questo enorme aumento sono le estorsioni, che comportano il malfunzionamento dei sistemi informativi e produttivi e l’interruzione dei processi operativi. Secondo Bikom, il danno totale che questo provoca all’economia tedesca ammonta ogni anno a circa 223 miliardi di euro - il doppio rispetto agli anni precedenti. E chi deve risarcire il danno? Esatto: la parte lesa!
Tuttavia, le aziende possono proteggersi in anticipo dalle minacce incombenti adottando misure su diversi livelli. Possono alzare i loro scudi protettivi e aumentare la loro cyber resilienza generale contro i cyberattacchi e le compromissioni di dati e infrastrutture. E possono ridurre in anticipo i rischi di responsabilità, a livello organizzativo, stipulando un'adeguata assicurazione informatica. Ma quale assicurazione è davvero adatta? Come fanno le aziende a ottenere l’assicurazione giusta e cosa si deve fare prima di stipulare una polizza?
Cosa copre un’assicurazione informatica?
L’assicurazione informatica è diversa dall’assicurazione di responsabilità professionale IT. Quest’ultima copre, ad esempio, le richieste di risarcimento danni e i sinistri, che comportano limitazioni delle funzioni promesse o riduzione dei servizi. L’assicurazione informatica, invece, copre i danni che non sono imputabili all’assicurato. Formalmente si tratta di violazioni della sicurezza delle informazioni (ISV). Una ISV si verifica quando vengono violate la riservatezza, l’integrità o la disponibilità dei dati elettronici. Anche l’autenticità, intesa come identità univoca dei partner della comunicazione, svolge un ruolo importante nel contesto degli obiettivi di protezione. In pratica, tuttavia, l’assicurazione informatica è spesso una combinazione di responsabilità, interruzione dell’attività e assicurazione dati per danni a terzi e personali sotto forma di perdite finanziarie.
Il danno non riguarda solo l’economia nel suo complesso, ma può minacciare l’esistenza delle singole aziende. E non comportano solo la perdita di fatturato, ma anche interruzioni del lavoro, costi per il ripristino dell’infrastruttura IT e per il recupero dei dati dei clienti. Inoltre, ci sono misure e costi di follow-up, ad esempio per la gestione delle crisi e le perdite dovute a danni reputazionali difficili da quantificare. L’assicurazione informatica dovrebbe quindi essere considerata una parte importante della più ampia gestione del rischio di un’azienda.
Come fanno le aziende a trovare l’assicurazione informatica più adatta?
Nell’aprile 2017, al fine di fornire un punto di riferimento per entrambe le parti del rapporto contrattuale previsto, l’Associazione Assicurativa Tedesca (GDV) ha sviluppato le “Condizioni Generali di Assicurazione per l’Assicurazione del Rischio Cyber” e un questionario sul rischio per l’uso opzionale. Il gruppo target sono le piccole e medie imprese, che ottengono così importanti indicazioni. Gli assicuratori assegnano ai propri clienti dei questionari sull’assicurazione informatica per l’autovalutazione prima della stipula del contratto. Naturalmente è consigliabile compilare il catalogo dei criteri nel modo più veritiero possibile, perché in caso di sinistro gli assicuratori verificheranno attentamente se i criteri sono stati effettivamente rispettati dopo la stipula del contratto. L'autovalutazione determina se un’azienda può essere considerata un partner contrattuale per una compagnia assicurativa e, in caso affermativo, come devono essere strutturate le polizze e le condizioni nel singolo caso.
Un ulteriore aiuto per la verifica delle rispettive misure di protezione è fornito dalla guida sullo “stato dell’arte” della sicurezza informatica pubblicata da TeleTrusT - Bundesverband IT-Sicherheit e.V . Contiene raccomandazioni tecniche e organizzative per l’azione e fornisce una panoramica delle misure e dei passaggi possibili per creare una struttura di sicurezza informatica, che corrisponda alle attuali possibilità tecniche. In vista di accordi contrattuali, può essere utilizzata come riferimento per aziende, fornitori e prestatori di servizi, ma non sostituisce la valutazione nei singoli casi.
Elementi costitutivi della sicurezza informatica
Zu allen diesen Aspekten leistet die baramundi Management Suite (bMS) einen wichtigen Beitrag. Ihr Einsatz verhilft zu einer besseren Übersicht und Kontrolle im Netzwerk und erleichtert die Einhaltung der Compliance-Richtlinien. Mit Funktionen wie der automatischen Inventarisierung von Hard- und Software im Netzwerk, Endpoint Protection, automatisierten Updates und Patchmanagement bis hin zu Backup- und Restore-Funktionen trägt sie wesentlich dazu bei, das Niveau der Unternehmenssicherheit zu erhöhen. Damit verbessert sie zugleich die Transparenz in puncto Security für Unternehmen, die eine Cyberversicherung abschließen wollen, und hilft ihnen, zu dem für sie jeweils besten Abschluss zu gelangen. Denn je sicherer ein Unternehmen, desto leichter wird für die Versicherer die Vergabe günstiger Versicherungsverträge, weil die Bewertung der Risiken detaillierter als gewöhnlich erfolgt. Für beide Vertragsparteien beschleunigt eine umfassende Management-Software für Endpoints das Handling im Schadensfall, während sie gleichzeitig dessen Eintreten unwahrscheinlicher macht.
Dopo i dati di base, l’autovalutazione entra nel vivo. Gli elementi costitutivi della sicurezza informatica comprendono i seguenti componenti:
- Linee guida di sicurezza e gestione dei rischi. Per stabilirli, vengono identificati i rischi dei sistemi informativi critici al fine di determinare meccanismi di controllo appropriati per ridurre al minimo i rischi.
- Sistemi e programmi di protezione dei sistemi informativi. Questi includono applicazioni per la gestione centralizzata di hardware e software e per il monitoraggio della configurazione dei sistemi informatici.
- Misure per la protezione dei sistemi informativi. Queste includono l’aggiornamento e il monitoraggio continui del software di sicurezza utilizzato, come firewall personali e software antivirus, o l’applicazione regolare, controllata o automatizzata di patch di sicurezza.
- Vulnerability Assessments. Per la sicurezza della rete e il mantenimento delle attività aziendali è sempre più importante effettuare regolarmente scansioni e analisi delle vulnerabilità e porvi rimedio immediatamente, se possibile in modo automatico.
- Backup e ripristino. La protezione e la verifica dei backup dei dati sono essenziali nel caso in cui l’azienda sia già stata attaccata, in modo da poter ripristinare i dati importanti.
La baramundi Management Suite (bMS) fornisce un importante contributo a tutti questi aspetti. Il suo utilizzo contribuisce a fornire una migliore visione d’insieme e un maggiore controllo della rete e facilita il rispetto delle linee guida di conformità. Con funzioni quali l’inventario automatico hardware e software in rete, la protezione degli endpoint, gli aggiornamenti automatici e la gestione delle patch fino alle funzioni di backup e ripristino, contribuisce in modo significativo ad aumentare il livello di sicurezza aziendale. Allo stesso tempo, migliora la trasparenza in termini di sicurezza per le aziende, che vogliono stipulare un’assicurazione informatica, e le aiuta a trovare l’offerta migliore per loro. Dopo tutto, più un’azienda è sicura, più è facile che gli assicuratori propongano condizioni assicurative favorevoli, perché i rischi sono valutati in modo più dettagliato del solito. Per entrambe le parti del contratto, un software di gestione degli endpoint completo accelera la gestione dei sinistri e ne riduce le probabilità.
Prospettive future
Avere un’assicurazione informatica è oggi praticamente un must per le grandi aziende. Ma anche le medie imprese hanno riconosciuto la sua importanza e la protezione aggiuntiva che offre, anche se non rappresenta una panacea contro le crescenti minacce informatiche. Con un numero crescente di clienti, è quindi consigliabile garantire la trasparenza della rete e misure di sicurezza chiaramente tracciabili, che possono essere applicate in modo sostenibile con sistemi di gestione come il bMS. Poiché, in caso di danni, le compagnie di assicurazione analizzano accuratamente le cause del danno per definire l’importo del risarcimento da pagare, è utile avere una panoramica il più possibile chiara della rete, dei dispositivi utilizzati, del loro software e del rispettivo stato di aggiornamento.
Oltre a questi fattori intrinseci che depongono a favore della stipula di un’assicurazione informatica, c’è anche un motivo esterno che spinge le aziende a stipulare al più presto un’assicurazione adeguata: la rapida crescita dei premi per le assicurazioni informatiche. Secondo il bollettino commerciale tedesco, già nel quarto trimestre dello scorso anno i premi sono aumentati del 65% rispetto all’anno precedente, mentre i premi delle altre assicurazioni contro i danni sono aumentati solo del 13%. Uno dei motivi è probabilmente l’ondata di attacchi ransomware, in forte aumento lo scorso anno. Un’altra nuova ragione è la guerra in Ucraina, a seguito della quale gli assicuratori si aspettano un aumento di costosi attacchi informatici da parte della Russia. Una panoramica rapida e precisa degli asset importanti dell’azienda può quindi far risparmiare molto tempo e, di conseguenza, anche denaro.
Leggi di più
La cybersicurezza nelle piccole e medie imprese
- Tags:
- cybersecurity,
- kmu,
- it security