PMI e Cyber risk: dalla polizza cyber al gruppo di lavoro

9 Giugno 2023 by in Cyber Risk
print
Nelle PMI un gruppo di lavoro multistakeholder con il Broker assicurativo per gestire il rischio e assicurarsi benePMI e Cyber Risk. Il ruolo del broker assicurativo e dei suoi partner specializzati nel gruppo di lavoro permanente e multidisciplinare aziendale e quali i temi su cui confrontarsi. La domanda di polizze a tutela dai danni e costi derivanti da un guasto, un fermo, un attacco ai sistemi digitali aziendali, è in costante aumento. Tuttavia, essere assicurabili e far funzionare il contratto assicurativo quando serve, non è scontato. Margas fa luce sull’evoluzione del mercato assicurativo (parte 1), sui requisiti minimi che richiede (parte 2) e sul percorso assicurativo,  forma minima di governance del cyber risk. Parte tre

PMI e Cyber Risk: verso un nuovo modo di assicurarsi e gestire il rischio

La polizza è uno strumento sicuramente molto utile per aiutare le aziende a far fronte ai rischi cyber. Quello che il mercato assicurativo sta chiedendo direttamente o indirettamente di fare per assicurarsi, può, tuttavia, essere scoraggiante e indurre a cercare vie brevi: soluzioni pronto vendita non calate sulla realtà aziendale che in caso di incidente rischiano di ritorcersi contro di essa.

Pensiamo soprattutto a quel tipo di aziende che caratterizzano, in un insieme assai variegato di fatturati, di tipologie di attività svolte e di organizzazione, il tessuto produttivo italiano: le PMI.

Quelle PMI che raramente hanno un piano di risk management e prima o poi vanno a confronto con il mondo assicurativo: quasi una contraddizione in termini che si risolve in un via vai di mail e produce troppo spesso – è una generalizzazione ovviamente – una bassa qualità della resilienza e consapevolezza assicurativa. Oltre che un fatalistico approccio alle compagnie e alle polizze acquistate o aspettative non giustificate.

Il confronto interno aiuta il confronto sul fronte assicurativo

Per questo e per i paletti o le difficoltà di cui abbiamo trattato nei post precedenti, riteniamo che si debba ricorrere a un modo diverso per le PMI di affrontare il cyber risk e, in fondo, anche tutti gli altri rischi del business – che ovviamente non può sostituire la scelta migliore di dotarsi di un risk manager interno o esterno – :

un gruppo di lavoro permanente e trasversale, con un “mediatore culturale” tra i partecipanti e poi tra la proprietà aziendale e quelle Compagnie le cui soluzioni si stanno vagliando.

Cesare Burei, co-amministratore di Margas, lo dice spesso:

“Più che fare il broker assicurativo, mi sento e devo agire come un “mediatore culturale”, perché allo stesso tavolo devo far sedere il CEO, il CFO, il Direttore di produzione e tutta la parte IT (interna ed esterna) che hanno basi culturali, obiettivi, linguaggi e preoccupazioni completamente diverse. Nel momento in cui condividiamo un linguaggio, dei punti di vista e delle informazioni (anche apparentemente irrilevanti o non interessanti per gli altri) ci capiamo e diventiamo capaci di avvicinarci in modo efficiente ed efficace alla stipula della polizza. Allo stesso modo successivamente devo tradurre in un senso e nell’altro tra azienda e Compagnia assicurativa lo stato dell’arte della gestione della sicurezza informatica dell’organizzazione e le logiche assicurative”.

Il ruolo del Broker assicurativo

La pratica quindi ci conferma che: al broker assicurativo competente, che agisce su mandato aziendale nell’individuazione della soluzione più adeguata,  deve essere permesso di sedersi al fianco del board; deve essere un partner nella discussione interna all’azienda che traduce la visione delle compagnie e il testo di questionari e contratti assicurativi e sa comprendere e rappresentare in modo corretto il rischio aziendale effettivo alla Compagnia.

Oltre i requisiti minimi di sicurezza. Il gruppo di lavoro permanente è il braccio di una governance e risolve

Se oggi una buona soluzione assicurativa si distingue anche dagli standard di sicurezza che richiede, rispetto a soluzioni tecnologiche e aspetti organizzativi e formativi, volendo comparare più proposte, si può raggiungere un livello di difficoltà e stress notevoli, che il gruppo di lavoro multidisciplinare può tuttavia affrontare.

Perché un gruppo di lavoro permanente nelle PMI sul Cyber Risk?

Ecco alcune situazioni in cui è giocoforza imbattersi quando ci si vuole assicurare e che il gruppo di lavoro sarà in grado di risolvere:

Linguaggio e competenze

  • i questionari assicurativi si basano su definizioni di polizza e terminologie non omogenee tra le diverse compagnie; vanno comprese attraverso esperienza di un continuo confronto con le stesse;
  • la rete agenziale o la compagnia non hanno personale preparato da mettere a disposizione di tutti per aiutare a interpretare i quesiti e capire le risposte che raccolgono inquadrandole in un contesto e valutare caso per caso;
  • per rispondere alle domande afferenti a diverse sezioni del questionario, è necessario attingere a diverse tipologie di dati e informazioni e probabilmente coinvolgere diversi stakeholder aziendali o esterni a seconda del grado di strutturazione dell’azienda o di adozione dell’ outsourcing (per esempio fornitori ICT e e-manufacturing, DPO esterno, studi legali,….);

Tempo e Misura

  • il/i questionari cominciano a passare di scrivania in scrivania; si perdono certamente tempi lunghissimi e un beneficio importante: condividere una visione d’insieme del rischio, delle criticità e anche delle contromisure;
  • per un corretto dimensionamento della polizza (massimali, limiti, sottolimiti) è molto utile che chi è in grado di calcolare i costi e danni di un fermo d’attività (CFO) abbia un confronto franco con chi può stimare scenari e tempi minimi di ripartenza (CIO) e che il risultato sia condiviso con la proprietà e il board;

La ciclicità del Risk management

  • Le polizze cyber vengono automaticamente rinnovate a scadenza; una verifica dello stato dell’arte di un rischio estremamente fluido e in continua evoluzione, deve essere effettuata almeno una volta all’anno, meglio ogni sei mesi;
  • Non è al momento ammissibile che una serie di informazioni strettamente afferenti alla cyber security tecnologica siano fornite sulla base della eventuale documentazione tecnica, output di strumenti automatizzati e dedicati ad analisi e controllo; sono utilissimi, vanno condivisi nel tavolo di lavoro e col broker, ma non sostituiscono la procedura del questionario.

E allora? Una seria analisi del rischio PMI e Cyber va fatta nel migliore dei modi e nell’interesse dell’assicurato, indipendentemente dall’ uno o più questionari, che per altro si rivelano fondamentali nelle organizzazioni in cui non esiste un approccio risk based alla governance o alla governance stessa.

L’agenda minima del gruppo di lavoro permanente nelle PMI sul Cyber Risk

Tra i temi da trattare a questo tavolo condiviso, si consiglia di non dimenticare a titolo esemplificativo:

Cosa ho da perdere

  • in quanto parte integrante del risk management, la verifica dei requisiti di assicurabilità (vedi parte 1) va vista come punto di partenza o di arrivo nella gestione della cyber security;
  • se non ancora eseguita, una analisi della postura di sicurezza da parte di un terzo: si può partire da un VA (Vulnerability Assessment), per procedere con PT (Penetration Test), campagne di phishing pilotate, fino ad arrivare ad attività di intrusione logico-fisica; i risultati vanno condivisi tra tutti gli stakeholder;
  • un censimento degli asset digitali e di chi li gestisce e come, perché altrimenti non so valutare dove migliorare e cosa devo proteggere in ordine a delle priorità; rendersi conto di cosa serve o cosa usano anche i reparti Marketing, Sales, Logistica, Produzione che alle volte sono ancora autonomi nella scelta e nella gestione rispetto al reparto ICT con conseguenze non irrilevanti sulla sicurezza;
  • il valore del dato non è calcolabile, né risarcibile e per questo devo occuparmi di proteggerlo, ridondarlo, avere politiche di amministrazione degli accessi, fare periodica pulizia; se sono allocati in cloud, se possibile, scegliere i fornitori che chiariscono al meglio la ripartizione delle responsabilità, le opzioni di security, le SLA (Service Level Agreement) e le modalità di migrazione (bisogna quindi leggere gli EULA – End-User License Agreement – magari con l’aiuto di un legale specializzato e capace di tradurci i punti critici) e di backup;
  • avere in testa un RTO (Recovery Time Objective) e accertare quale sia quello più realistico nelle condizioni date (in media minimo 6 giorni) e avere un ordine di grandezza di quanto ci può costare il fermo d’attività in ore/giorni; questa informazione è importante sia per calibrare in modo corretto sia la nostra polizza cyber, sia per mettere a bilancio le attività di mitigazione del rischio e, ovviamente, il premio assicurativo;

Il rischio in supply chain

  • l’analisi delle procedure di accesso/condivisione di strumenti di e da parte di clienti e fornitori critici e valutazione di una catena assicurativa congrua per tutelare la supply chain; la fiducia reciproca e la mitigazione dei rischi da lite legale possono farci continuare a lavorare sereni sui core business;
  • conosco le coperture assicurative dei miei fornitori critici?

Pianificazione è prevenzione

  • scrivere un piano di gestione e miglioramento con attori, interventi e tempistiche
  • adottare un piano di Disaster Recovery e Incident Response.

In questo modo, il broker assicurativo competente in materia digitale – che agisce su mandato dell’azienda e non delle Compagnie di assicurazione – avrà una idea che va oltre e più in profondità del questionario che vi aiuta a compilare. Potrà corredarlo con indicazioni che possono impattare positivamente sull’output assicurativo. Ma non solo. Averlo coinvolto e aver approntato quanto sopra, prepara il terreno al funzionamento della polizza al momento opportuno, che, come si diceva in introduzione, non è scontato.

Ma di questo parleremo nella quarta e ultima parte.

CONTINUA - PARTE 4

 

Recommend
  • Facebook
  • Twitter
  • LinkedIN
Share
Tagged in
Margas