In un mercato che possiamo definire in crescita, ma ancora giovane per numerosità di contratti stipulati e quindi per dati ed esperienza, ci si sta accorgendo che essere assicurabili non è scontato. Dopo le riflessioni sul contesto che determina le caratteristiche attuali delle polizze cyber (parte 1), passiamo ai prerequisiti minimi richiesti e su come il processo assicurativo possa stimolare la Governance del rischio nelle aziende meno strutturate. Parte 2
Rispettare requisiti minimi per mitigare il rischio cyber
La pandemia ha cambiato le modalità con cui si svolge l’attività lavorativa di milioni di persone e sono cresciuti a dismisura gli accessi da remoto ai sistemi aziendali. Questo stato di cose, in aggiunta a quanto abbiamo illustrato nella prima puntata, preoccupa gli assicuratori e dovrebbe pre-occupare anche noi.
Per questo al giorno d’oggi nella fase di analisi del rischio o di raccolta delle informazioni necessarie per ottenere una proposta assicurativa Cyber, è bene avere già messo in campo le seguenti misure minime:
- VPN (Virtual Private Network) ed MFA (Multifactor Autentication)
- backup con la regola del 231 e le prove programmate di consistenza e ripristino
- strumenti di rivelazione e analisi dei log
- XDR (extended detection and response)
- gestione/automazione cambio password
- criptazione file server
- protezione degli endpoint (anche mobili)/dashboard di controllo con alert.
L’attacco a Coinbase, operatore di cryptovalute, sferrato nella primavera del 2021 dopo aver ottenuto in modo surrettizio le credenziali dai correntisti e aggirato anche, per chi la adottava, l’autenticazione a due fattori con SMS, è un ottimo esempio per spiegare e riaffermare che le persone sono certamente l’anello debole, ma possono e debbono essere invece la prima linea di difesa.
Per questo motivo ci sono assicuratori che richiedono anche documentazione relativa a piani di formazione aziendale alla Cyber Security Awareness
Requisiti minimi in organizzazioni data critical
Nel caso di organizzazioni che gestiscono grandi quantità di dati personali e sensibili e dunque sono ad alto rischio sul versante Protezione dei Dati e violazione GDPR, ai prerequisiti citati prima, se ne possono aggiungere altri:
- classificazione dei dati sulla base di criticità e sensibilità
- segregazione tra sistemi e/o database critici e non critici
- procedura scritta per la gestione di un eventuale Data Breach;
- effettuazione regolare di Vulnerability/Penetration Test
- gestione di privilegi e accessi a dati sensibili
- SIEM – Security Incident and Event Management
- SOC – Security Operation Center
- avere un piano formalizzato di risposta all’incidente (Incident Response Plan)
La nostra esperienza ci dice che, in assenza di una o più misure, ma a fronte di un
- piano di miglioramento definito con budget e tempistiche certe di implementazione e
- un canale di confronto aperto e competente con la Compagnia, che trasferisca chiaramente il contesto specifico aziendale,
è possibile ottenere ugualmente un contratto assicurativo in deroga e con alcune limitazioni in attesa dell’attuazione del piano.
L’asticella si è alzata molto e le aziende non sono tutte pronte, ma guardare alla cybersecurity come a un percorso, sia il modo giusto di affrontarlo. Noi lo chiamiamo Progetto CyR.
Nella prossima puntata ci occuperemo di ulteriori fattori da tenere in considerazione nella fase di analisi del rischio del più ampio processo assicurativo e vedremo come questi ci consiglino di introdurre una governance del processo assicurativo e quindi di gestione del Cyber risk. Nell’esperienza di Margas, se l’azienda non si è dotata di un Risk Manager interno o esterno come dovrebbe, almeno si misuri con una modalità “light” e pragmatica applicabile nelle PMI.
