Un nuovo rischio digitale, il cyber risk: cos’è e come proteggersi
Che cos’è il cyber risk
Il cyber risk rappresenta un pericolo di notevole gravità per le aziende; tuttavia, molto spesso viene sottovalutato. Con lo sviluppo delle tecnologie digitali, le aziende si trovano a dover gestire un’ampia gamma di dati e informazioni che riguardano sia il proprio know how e i dipartimenti interni sia i propri clienti e fornitori.
L’informatizzazione delle procedure e delle comunicazioni costituisce certamente un notevole beneficio, quindi qualunque operatore possiede una struttura IT, uno o più server e device per la gestione di volumi variabili di dati.
Ciò comporta al tempo stesso un cyber risk, cioè la possibilità che le connessioni informatiche siano utilizzate per danneggiare l’impresa oppure per entrare in possesso di informazioni sensibili della cui sicurezza l’azienda è responsabile.
Quali sono i rischi concreti per l’azienda
Secondo quanto riportato dallo studio statistico Netdiligence claims study 2015 il cyber risk è rappresentato dal 54% da malware e virus e per il 45% da attacchi di hacker e pirati informatici.
Soltanto nell’1% dei casi si può parlare di altre cause, ad esempio l’errore umano. Gli attacchi informatici hanno conosciuto negli ultimi anni una crescita esponenziale di oltre il 100%. I settori più colpiti riguardano i servizi sanitari (si tratta di casi di violazione della privacy e di furto di dati sensibili) e quelli finanziari, molto spesso per entrare in possesso dei dati di carte di credito.
Tuttavia, anche numerosi altri settori merceologici di vario genere presentano un alto livello di rischio. I danni che possono essere causati dai cyber attacchi sono:
- I costi per l’intervento di una squadra di tecnici ed esperti informatici che devono risolvere il problema e ripristinare l’operatività del sistema;
- I danni diretti derivanti dalla violazione dei dati personali sia dell’azienda sia dei clienti o dei fornitori. Rientrano in questa categoria l’accesso non autorizzato a questi dati, la loro perdita, divulgazione, oppure alterazione. Secondo quanto stabilito dal GDPR (General Data Protection Regulation), bisogna dare immediata comunicazione di questo fatto all’Autorità di Controllo. Ciò porta all’avvio di un’istruttoria e l’azienda coinvolta deve dimostrare che le misure messe in atto per la protezione dei dati personali erano a norma di legge;
- I danni per l’inattività. Si ricorda che, finché il problema non viene risolto e l’operatività ristabilita, l’azienda non può svolgere la propria attività. Il blocco operativo può essere parziale oppure totale, tuttavia questo fatto si traduce sempre in una perdita di reddito, mentre rimangono i costi fissi;
- L’eventuale perdita dei dati. Se i dati vengono persi oppure parzialmente o totalmente danneggiati, il loro ripristino comporta costi aggiuntivi. Inoltre, in caso di danneggiamento irreparabile, il funzionamento aziendale è compromesso perché si perdono dati importanti relativi a clienti oppure fornitori;
- Le richieste di risarcimento. Uno degli obiettivi degli attacchi hacker è entrare in possesso dei dati personali, sia per acquisire informazioni sugli utenti sia a scopo di estorsione nei confronti del titolare del trattamento. Le aziende sono responsabili del trattamento dei dati personali e della loro sicurezza. Di conseguenza, i soggetti danneggiati dal furto dei dati possono richiedere un risarcimento all’impresa per la divulgazione non autorizzata di dati personali conservati nei loro server;
- I danni alla reputazione. L’aver subito un attacco informatico e non aver saputo proteggere i dati personali conservati porta a una notevole perdita di reputazione. Si tratta di pesanti danni indiretti con forti ripercussioni sul fatturato, soprattutto se si innesca una vera fuga di clienti oppure se i fornitori sono restii a sottoscrivere un contratto perché non si sentono sufficientemente tutelati.
Come proteggersi dal cyber risk
Nella maggior parte dei casi, si percepisce una diffusa sensazione di apparente sicurezza quando si parla di cyber risk; tuttavia, non bastano un buon firewall, un antivirus e un antispam per avere un’adeguata protezione contro le violazioni dei dati personali e gli attacchi informatici.
Ogni azienda presenta alcuni elementi di vulnerabilità nell’ambito dell’organizzazione informatica e dei dati sensibili. Per proteggersi, bisogna innanzitutto mettere in atto adeguate misure di prevenzione sia organizzative sia digitali e fisiche, facendo riferimento a quanto prescritto dal recente GDPR (Regolamento UE 2016/679).
Tuttavia, queste soluzioni non sempre sono sufficienti a eliminare completamente ogni fattore di rischio. Proprio per questo motivo, alcune aziende decidono di optare per il trasferimento del rischio e sottoscrivere una polizza assicurativa cyber risk.
Si tratta di un prodotto introdotto recentemente sul mercato da parte delle compagnie assicuratrici e che si pone l’obiettivo di rispondere alle esigenze dell’azienda di essere completamente tutelate nei confronti di un eventuale attacco digitale, sia da parte di malware o virus sia dai pirati informatici.
Queste polizze in genere hanno costi contenuti e sono costruite su misura in base alle caratteristiche dell’impresa in questione, del volume dei dati trattati e della struttura del sistema informatico.
Che cosa sono le assicurazioni cyber risk
Anche se sono state introdotte di recente sul mercato, le assicurazioni cyber risk si stanno diffondendo sempre più. Pensate inizialmente per le realtà aziendali di medie e grandi dimensioni, possono essere adottate con ottimi risultati anche da liberi professionisti e piccole imprese per avere una maggiore tutela dei dati personali e dei sistemi informatici.
Infatti, sono proprio gli operatori con un bacino di utenza ridotto che possono subire i danni maggiori (sia diretti sia indiretti) a causa del cyber risk. Le assicurazioni cyber risk mettono a disposizione delle imprese e dei liberi professionisti servizi personalizzati per proteggersi dalla criminalità informatica e avere una maggiore tutela nei confronti di questi rischi.
In genere, si effettua un’analisi interna della propria attività d’impresa, così da determinare quale sia la propria esposizione al rischio informatico. A questo punto è possibile verificare quali siano le polizze assicurative che rispondono alle proprie esigenze e quali quelle più convenienti.
Si ricorda che si possono integrare prestazioni addizionali, come il risarcimento per la perdita di reputazione e l’assistenza tecnica e legale.
Fonte: Latinapress.it
