Nonostante se ne parli da anni, le aziende italiane generalmente sottovalutano ancora i rischi cyber che, in altri paesi, sono invece considerati molto seriamente. Oggi è sempre più importante il concetto di reputazione aziendale, sulla quale insiste per tutti il cosiddetto rischio di danno reputazionale, un danno intangibile ma potenzialmente in grado di minare pesantemente il business di qualsiasi azienda.

Se l’80% delle vulnerabilità informatiche di un’azienda richiederebbe investimenti limitati per la mitigazione – ad esempio interventi organizzativi o di processo -, il restante 20% si divide in un 10% di investimenti importanti ma supportati da opportuni business case e un 10% di investimenti non sostenibili poiché anti-economici. Proprio su questi ultimi è focalizzata la ricerca intrapresa da Via Virtuosa, ovvero sull’opportunità di trasferire il rischio cyber residuo mediante la stipula di appositi contratti di assicurazione.

Sono stato invitato da Luca Moroni di Via Virtuosa e Debora Casalini di Margas (qui la pagina Facebook) – che ringrazio sentitamente per l’interessante opportunità – a fornire un mio contributo nell’allestimento di un white paper (patrocinato da AUSED, CLUSIT, ISACA Milano, AIEA e ANRA) sul tema dell’assicurazione del rischio cyber, conseguente alla realizzazione di un sondaggio su CIO e Risk Manager sul livello di sensibilizzazione sul rischio cyber e sul suo trasferimento assicurativo. A pagina 20 del white paper si trova il mio contributo nella sezione “Il punto di vista del CIO – Tre business case“, mentre nelle pagine 30-31 sono illustrate le risposte alle domande 13, 14 e 15 da me formulate sul tema del trasferimento assicurativo del rischio.

Via Virtuosa, attraverso la pubblicazione gratuita del white paper, ha scelto di supportare il mio progetto “Generazione Z” per la rilevazione dell’esperienza dei minori nell’uso di Internet e delle moderne tecnologie di comunicazione, con l’obiettivo di sensibilizzarsi sui relativi rischi e di educarli ad adottare i migliori comportamenti per prevenire ripercussioni negative sulla loro vita privata.

Il white paper “Cyber Risk Exposure e Cyber Insurance” è liberamente scaricabile da questi siti:

• Via Virtuosa: https://www.viavirtuosa.com/whitepaper
• Margas: http://www.margas.it/whitepaper-cyber-risk-insurance/

Riporto di seguito l’articolo che illustra il mio punto di vista sul tema:

Il punto di vista del CIO: Ettore Guarnaccia

In un mercato nazionale in cui il concetto di rischio è generalmente poco compreso, parlare di rischio cyber può talvolta sembrare pura fantascienza. Fortunatamente, il settore bancario italiano vanta sul tema un livello generale di maturità sensibilmente più avanzato rispetto agli altri settori nazionali, sebbene debba comunque scontare un certo gap con il livello di maturità di altre nazioni occidentali, con particolare riguardo al mondo anglosassone.

In moltissime banche italiane è oggi piuttosto comune parlare di gestione del rischio, una pratica ormai consolidata nel framework dei controlli interni, grazie anche al forte impulso generato dal crescente volume di disposizioni in materia di vigilanza bancaria. Un po’ meno comune è il tema della gestione del rischio informatico – disciplina che include di fatto il rischio cyber – poiché le normative che ne hanno reso obbligatoria l’attuazione sono relativamente recente e molti istituti e gruppi bancari sono tuttora impegnati nell’allestimento di competenze, metodologie e processi a riguardo.

La spinta normativa ha certamente generato un aumento del livello di competenza e consapevolezza degli IT manager bancari, ma è condivisibile che essi vadano comunque aiutati a considerare il problema della gestione del rischio in modo più olistico. Ciò è dovuto all’ancora troppo elevata lontananza dell’IT dal top management aziendale, al differente linguaggio adottato dai due mondi – business e information technology – e alla carenza di punti di raccordo che mettano in comunicazione le due differenti culture. Da qui la diffusa frustrazione degli IT manager citata nel white paper.

Il rischio cyber è tipicamente originato dalla tecnologia, pertanto è generalmente – ed erroneamente – attribuito all’IT, ma i suoi potenziali impatti riguardano quasi sempre il business.

Il problema principale è tradurre un rischio di origine prettamente tecnologica in qualcosa di comprensibile al CEO e al CFO, in particolare per tutti quegli aspetti intangibili che vengono spesso trascurati e che invece vanno accuratamente stimati e quantificati. Mi riferisco, ad esempio, al danno reputazionale per l’immagine aziendale sul mercato che, in un mondo ipertecnologico e iperconnesso, può generarsi e diffondersi con pervasività e rapidità inarrestabili, mantenendo i propri effetti per lunghissimo tempo in virtù dell’incapacità del Web 2.0 di “dimenticare”.

Ferma restando la necessità di un migliore allineamento fra business e IT, in materia di gestione del rischio informatico il raccordo più efficace fra l’alta direzione aziendale e il CIO (o il CISO) non può che essere costituito dal risk manager o, meglio, dall’IT risk manager. Il processo di gestione del rischio informatico, infatti, è attualmente l’unico processo che preveda il calcolo dei rischi connessi all’uso della tecnologia e la loro quantificazione in termini economici che siano comprensibili a chi si occupa del business aziendale.

Il risk manager ha il compito di effettuare l’analisi dei rischi informatici, collaborando con le funzioni IT e di sicurezza delle informazioni, per poi effettuarne la quantificazione economica in accordo con i rispettivi owner del business. In sede di approvazione dei rischi, il CEO, il CFO e il Consiglio di Amministrazione ottengono così una chiara e comprensibile rappresentazione dei rischi derivanti dall’uso della tecnologia, ovviamente espressi in termini monetari, potendo così indirizzare al meglio gli interventi e gli investimenti per il loro trattamento.

Dato che siamo in tema di assicurazione del rischio cyber, va ricordato che fra le opzioni di trattamento dei rischi, oltre ad accettazione, mitigazione ed elusione, c’è il trasferimento, che nella maggior parte dei casi assume due particolari forme: l’esternalizzazione e l’assicurazione. Non è un caso, infatti, che l’esplosione dell’offerta di polizze di copertura del rischio cyber si sia verificata in concomitanza con l’innalzamento generale del livello di maturità nella gestione del rischio, in particolare proprio nel settore bancario.

Andando un po’ controcorrente rispetto al sondaggio,

il migliore riferimento per broker e compagnie assicuratrici per una corretta gestione del rischio cyber è senza dubbio il risk manager, l’unico a ricoprire il fondamentale ruolo di interprete fra business e IT in materia.

Il CIO e il CISO non possono certo autoescludersi dal problema, così come il CEO e il CFO: molto semplicemente i due mondi fanno fatica a relazionarsi con efficacia, tutto qui. Non è un caso che le normative che insistono sul settore bancario posizionino il risk management fra le funzioni di controllo interno e ne prescrivano il rapporto diretto verso le funzioni IT e di sicurezza delle informazioni per l’analisi del rischio informatico, verso i business owner per la definizione del trattamento dei rischi e verso CEO e Consiglio di Amministrazione per l’approvazione delle misure individuate.

Il compito non è semplice, perché assegnare una quantificazione economica ad impatti difficilmente misurabili, spesso intangibili, richiede una forte e diffusa cultura del rischio, competenze elevate, metodologie e strumenti collaudati, processi ben disegnati ed attuati, nonché un mandato direzionale piuttosto forte. Altrettanto arduo è il compito delle compagnie assicurative che, nell’allestimento delle polizze di copertura cyber, dovranno necessariamente puntare sulla flessibilità e sull’adozione di criteri di quantificazione dei molti aspetti intangibili tipici del rischio informatico.

Molto probabilmente sarà necessario attendere ancora un certo periodo di maturazione sia della cultura del rischio che dei processi di gestione del rischio cyber, affinché maturi anche la domanda delle aziende verso broker e compagnie assicuratrici, per coperture che siano perfettamente calzanti con il profilo di rischio aziendale e con le reali esigenze di trasferimento dei rischi residui.

Ettore Guarnaccia

Testo tratto dal white paper “Cyber Risk Exposure e Cyber Insurance” di Via Virtuosa S.r.l.