PMI e Cyber Risk. Il ruolo del broker assicurativo e dei suoi partner specializzati nel gruppo di lavoro permanente e multidisciplinare aziendale e quali i temi su cui confrontarsi. La domanda di polizze a tutela dai danni e costi derivanti da un guasto, un fermo, un attacco ai sistemi digitali aziendali, è in costante aumento. Tuttavia, essere assicurabili e far funzionare il contratto assicurativo quando serve, non è scontato. Margas fa luce sull’evoluzione del mercato assicurativo (parte 1), sui requisiti minimi che richiede (parte 2) e sul percorso assicurativo, forma minima di governance del cyber risk. Parte tre PMI e Cyber Risk: verso un nuovo modo di assicurarsi e gestire il rischio La polizza è uno strumento sicuramente molto utile per aiutare le aziende a far fronte ai rischi cyber. Quello che il mercato assicurativo sta chiedendo direttamente o indirettamente di fare per assicurarsi, può, tuttavia, essere scoraggiante e indurre a cercare vie brevi: soluzioni pronto vendita non calate sulla realtà aziendale che in caso di incidente rischiano di ritorcersi contro di essa. Pensiamo soprattutto a quel tipo di aziende che caratterizzano, in un insieme assai variegato di fatturati, di tipologie di attività svolte e di organizzazione, il tessuto produttivo
Finalmente “Fuori di schermo” con Nethesis e i suoi Eroi Digitali per confrontarsi sul rapporto tra la loro responsabilità professionale e il cyber risk dei loro clienti. Cosa è emerso nella effervescente due giorni di Riccione. Dopo due anni la consapevolezza su responsabilità professionale e cyber risk è in aumento Due anni di pandemia hanno lasciato il segno nelle relazioni di business. Non ci si è fermati, sono maturati progetti assicurativi e collaborazioni, ma certo c’è molta voglia di “uscire dagli schermi” (e anche dagli schemi) e stringersi la mano. Una voglia espressa decisamente dalla partecipazione di più di 300 aziende partner nuove e consolidate e i sorrisi di più di 600 tra tecnici e commerciali del mondo ICT al Nethesis Partner Meeting 2022 di Riccione. E Margas, Broker e Consulente di Assicurazioni, perché è tornata? Gli operatori che analizzano, implementano e gestiscono in tutta Italia, anche attraverso le soluzioni e servizi di Nethesis, la digitalizzazione dei loro clienti PMI, sono interlocutori importanti per noi. Lo sono per due ragioni: perché portatori sani di una loro responsabilità professionale ICT di fare al meglio il loro lavoro, possibilmente senza causare danni ai loro clienti, ma anche perché hanno il polso dell’approccio
Assicurazioni contro il Cyber Risk? Cominciamo dall’ABC La tua azienda usa Internet, programmi software, posta elettronica per svolgere tutta o parte della propria attività. Hai tutto il tuo piccolo o grande ecosistema digitale “in casa” oppure dislocato presso uno o più fornitori di servizi. Il tuo personale usa device mobili che dilatano il tuo perimetro aziendale. Attui politiche di smartworking. I dati sono il tuo oro. Sei un fornitore di servizi digitali e devi garantire sicurezza, continuità di servizio e soluzioni sempre aggiornate ai tuoi clienti. Sei bravo, previdente e non temi nulla. E tuttavia nulla ti garantisce il rischio zero. Le probabilità di avere dei gravi problemi, la cui soluzione potrebbe avere costi elevatissimi, restano e stanno nelle cronache. Di seguito, con l’ausilio di una serie di domande e risposte chiave, cercheremo di stimolare la tua consapevolezza del rischio digitale prima di ricorrere ad assicurazioni contro il cyber risk a scatola chiusa. #1 Mi devo proteggere? Sì. Se l’azienda è collegata ad Internet, avrà almeno una porta verso l’esterno dalla quale qualcuno può introdursi nella rete e violare la mia “casa informatica” alla pari di un ladro. Come un ladro, può spiarmi, può impedirmi di accedere e dunque lavorare, può rubare
Direttiva NIS e Assicurazioni. Analogamente al GDPR, anche la Direttiva Europea NIS sulla Cyber Security punta ad un approccio basato sulla gestione e mitigazione del rischio, l’autodenuncia di incidenti e infine alle sanzioni. L’autodenuncia nella Direttiva NIS A partire dalla lettura di un post su Cybersecurity360 sulla Direttiva NIS, ecco alcuni punti di contatto, a nostro avviso interessanti, tra questo provvedimento europeo e le soluzioni assicurative a tutela dal rischio digitale. <<.. “autodenunciarsi” non deve essere un rischio ma un’opportunità di difesa.>> Perfettamente d’accordo. La conoscenza può produrre consapevolezza e migliorare la capacità decisionale nelle imprese. Dal punto di vista assicurativo, l’aumento della base statistica può avere importanti ricadute sulla appropriatezza delle soluzioni assicurative che si occupano di danni e costi derivati da ICT disruption, rendendole più vicine alla realtà delle problematiche aziendali. Nella Direttiva NIS la parola d’ordine è risk management Le aziende OSE (Operatori di servizi essenziali) e FSD (Fornitori di Servizi Digitali*) dovranno orientarsi con maggior decisione verso l’adozione di misure tecniche e organizzative adeguate alla gestione dei rischi misure di prevenzione e mitigazione dell’impatto di incidenti di sicurezza delle reti e sistemi informatici Prerequisiti importanti anche sul fronte assicurativo. Infatti permettono di disegnare meglio il profilo di rischio, configurano le aziende come meno
Le aziende si assicurano per tutelare i beni aziendali dagli effetti di un eventuale sinistro. Esistono tuttavia tipologie di danni che possono superare per entità quelli materiali e in grado di mettere in ginocchio e far chiudere l’azienda. Parliamo dei Danni Indiretti o Danni da interruzione di attività. Ecco cos’è una polizza danni indiretti e a cosa serve. Il caso studio, positivo, di RONCADIN SPA. I Danni Indiretti questi sconosciuti Secondo quanto riportato in un articolo pubblicato su InsuranceReview 2018 e facente riferimento a dati del Comitato Europeo Assicuratori (C.E.A.), statisticamente, se il danno diretto è pari a 100, il correlato danno indiretto sarà pari a 247. Il dato naturalmente può variare in modo consistente a seconda del tipo di evento, di tipologia di attività svolta, della qualità della prevenzione e gestione del rischio. In Europa, inoltre, quasi il 90% delle aziende assicurate con Polizza Incendio estesa o All Risks si preoccupa di questi danni, assicurandosi extra. In Italia meno del 10% . L’ Osservatorio Assicurativo 2017 di NSA Soluzioni Assicurative ha rilevato a sua volta – su un campione di 5.000 PMI analizzate – come solo l’1,5% delle aziende intervistate sia assicurata per i danni indiretti, malgrado il 30% sia già stata effettivamente
Che cos’è una BIA? Perché è funzionale alla gestione del Cyber Risk, al GDPR e ai fini assicurativi? Abbiamo provato a ragionarne con l’aiuto di Matteo Cecchini, consulente informatico delle PMI Effettuare una BIA per gestire Cyber Risk e compliance al GDPR Da Broker Assicurativi e consulenti in Risk Management dobbiamo segnalare ai nostri clienti il Rischio Cyber e le sue interconnessioni con il Nuovo Regolamento Europeo per la Protezione dei Dati di prossima applicazione (GDPR, 25 maggio 2018). Avendo da sempre a cuore la continuità operativa aziendale, è anche necessario evidenziare la stretta correlazione tra il mondo “analogico” con i suoi rischi tradizionali e il mondo digitale in continua evoluzione. Infatti, non importa da dove nasca il problema, se da un cryptolocker o da un fulmine: se mette in blocco i servizi ICT e l’accessibilità ai dati, bloccherà l’azienda. Per questo motivo, proponendo il Progetto CyR, attività di consulenza che ha come output un corretto trasferimento assicurativo del rischio cyber, dobbiamo partire da una analisi dello stato dell’arte e la BIA può essere un valido strumento. BIA o Business Impact Analysis – Cos’è? Prima di capire come si traduce nella pratica l’attività di BIA da parte dei nostri partner ICT,
Sicurezza, Privacy e Assicurazioni sono i temi con cui Margas aderisce a ECSM, Mese Europeo della Sicurezza informatica. Tre convegni in Veneto per promuovere il #GDPR e la gestione del rischio digitale nelle imprese. A ottobre sei dei nostri. Sicurezza, Privacy e Assicurazioni, la tua opportunità Nello spirito della nostra adesione al CLUSIT e in vista dell’attuazione del Nuovo Regolamento Europeo della Privacy (GDPR) il prossimo 25 maggio 2018, continuano le nostre proposte info-formative per imprenditori e manager del tessuto produttivo del Nord-Est. Stimolare consapevolezza e proporre soluzioni per l’adeguamento normativo (Privacy), la sicurezza digitale (Sicurezza) e il trasferimento assicurativo del rischio residuo (assicurazioni) è il nostro obiettivo. Per questo tre appuntamenti a Padova, Rovigo e Vicenza rappresenteranno per imprenditori, professionisti, associazioni altrettante occasioni per comprendere cosa sia il GDPR o Nuovo Regolamento Europeo della Privacy perché riguarda tutti la centralità della Sicurezza dei Sistemi Informativi e dei Dati l’importanza e utilità della valutazione del rischio o l’analisi di impatto quali passi compiere per essere a norma entro il prossimo 24 maggio 2018 come tutelare attività produttive, reputazione e mercato. Iscriviti al convegno su Sicurezza, Privacy e Assicurazioni più vicino a te Bassano del Grappa (VI) il 29/9/2017 ore 9.30 – Info & Iscrizioni Rovigo (RO) il 12/10/2017 ore 9.00 – Info
Business Continuity e Reputation: due asset aziendali da salvaguardare dal Cyber Risk. Continua l’impegno di Margas – Broker e Consulente di Assicurazioni nell’attività di sensibilizzazione e informazione delle imprese sul tema del Cyber Risk Management e la Cyber Insurance. Giovedì 27 ottobre 2016 pomeriggio presso il Centro Congressi di Unindustria Torino e nell’ambito della serie di seminari che annualmente la sezione Piemonte di ANDAF – Associazione Nazionale Direttori Amministrativi e Finanziari – e CDAF – Club Dirigenti Amministrativi e Finanziari -organizzano per i loro associati, propone in replica dopo il successo padovano di maggio, l’appuntamento dal titolo “Gestire il Rischio Cyber per salvaguardare Business Continuity e Reputation“ ovvero strategie e strumenti per l’analisi, la mitigazione e il trasferimento del rischio alle assicurazioni. Al nostro fianco il partner assicurativo torinese Furgiuele srl con il servizio dedicato ProtezioneCyber e 4en6Lab, agguerrito e preparatissimo team bresciano esperto in Security & Forensics. La trasferta si fa più prestigiosa per il patrocinio ulteriore di ANRA – Associazione Nazionale Risk Manager e Responsabili Assicurazioni aziendali ed la fiducia di sponsor nazionali e locali: GDATA – security endpoint solutions – rinnova il suo sostegno dopo la bella collaborazione nell’edizione padovana, LOGICA Torino – vera sartoria del cloud service – e GFO Europe distributore nazionale
L’edizione 2016 del Clusit Report dedica uno spazio speciale al trasferimento assicurativo del rischio cyber ovvero alla cyber insurance. L’approfondimento ha l’obiettivo di fornire informazioni base per valutare il rischio informatico come una variabile in grado di minacciare la business continuity e dunque il bilancio delle imprese. Mettere in luce se e in quali casi le logiche assicurative possono rispondere al verificarsi di un sinistro cyber. Clusit report: oltre la cyber security Il contesto in cui il focus-on si inserisce è quello di una ampia panoramica sui rischi cyber in Italia, quelli consolidati e quelli in crescita. Mette in evidenza le mille vulnerabilità a cui sono soggette le aziende, specialmente a causa di: sistemi IoT (Internet of Things) lavoro in mobilità l’intensificarsi del cosiddetto Cyber Crime. Gli altri approfondimenti sono dedicati all’importanza della protezione dei database e delle credenziali di accesso a piattaforme e sistemi, alla crescita dell’ecommerce e alle problematiche di sicurezza connesse. Una visione olistica del problema e l’applicazione di modelli di sicurezza ispirati alla prevenzione e non solo alla reazione ad una crisi, sono la chiave di volta di tutto il Report Clusit 2016. Il trasferimento alla cyber insurance dei danni e costi derivanti da un incidente
Elena Vaciago – The Innovation Group – ha intervistato Cesare Burei, Amministratore di Margas srl – Consulenti e Broker Assicurativi per per avere un punto di vista sul ruolo del trasferimento assicurativo del Rischio ICT nelle PMI. TIG: Dottor Burei, qual è oggi secondo Lei, nella media azienda italiana, il percorso ideale per affrontare il tema della gestione del rischio Cyber e, ove possibile, del suo trasferimento assicurativo? Cesare Burei: La nostra esperienza nell’accompagnare gli imprenditori nella ricerca e costruzione di efficaci soluzioni assicurative o nella gestione di sinistri complessi, ci ha portati ad affrontare il tema del rischio ICT e di quelle che una volta si chiamavano polizze elettroniche, già agli inizi degli anni 2000. Solo di recente però abbiamo ricevuto segnali di una reale attenzione alle conseguenze di sinistri in ambito informatico e di prodotti dell’offerta molto cambiati. Noi cerchiamo di proporre un percorso snello che si adatti rapidamente al livello di consapevolezza e allo stato dell’arte della gestione della sicurezza ICT in azienda. Ci sembra operativamente efficace: Creare un tavolo di lavoro, che non necessita di solito di più di uno o due incontri, in cui si confrontino il maggior numero possibile di risk owner aziendali con il partner assicurativo e un consulente esperto
