Le aziende devono ormai strutturare un processo integrato di risk management che includa l’ambito cyber. Un approccio innovativo al problema è usare una cyber insurance supportata dal Framework nazionale della cyber security e dal pensiero sistemico. Vediamo come e perché.
Rischio cyber, il peso di errori e scarsa consapevolezza
La premessa è che, come ben noto tra gli addetti ai lavori che parlando di cyber security, il rischio zero non esiste, come non esiste alcun “silver bullet” in grado di proteggere sistemi ed infrastrutture IT da potenziali incidenti o attacchi cyber.
Nonostante i consistenti sforzi effettuati in questi ultimi anni, non vi è oggi alcuna possibilità di disporre di sistemi non vulnerabili, specialmente considerando che l’errore umano risulta determinante nella stragrande maggioranza degli incidenti ed attacchi cyber odierni.
La complessità e i metodi di attacco utilizzati da hacker e cyber criminali diventano sempre più sofisticati e i vettori di attacco diventano sempre più accessibili anche a persone che non possiedono conoscenze tecniche di altissimo livello; basti pensare alle possibilità offerte dal dark web di reperimento di un malware per poche centinaia di dollari.
Il problema si amplifica ulteriormente considerando la poca consapevolezza degli utenti che, non conoscendo pienamente i rischi in cui potrebbero incorrere, sono quotidianamente esposti ad una quantità elevatissima di minacce.
Il rischio cyber necessita dunque di azioni mirate e coordinate per essere gestito in modo adeguato. Queste azioni devono necessariamente coinvolgere tutti gli aspetti organizzativi e tecnologici di un’azienda, abilitando in questo modo un approccio integrato di prevenzione del rischio e protezione del bilancio di impresa.
Cos’è il Framework Nazionale di Cyber Security
Nel febbraio 2016, da un’iniziativa del CIS Sapienza e del Laboratorio Nazionale di Cybersecurity, è stato presentato il primo Framework Nazionale di Cyber Security (FNCS) che, costruito sulle basi proposte dal Framework del NIST, ha lo scopo di “offrire alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber”.
Costituito da 98 sotto-categorie (o controlli di sicurezza) il FNCS agisce da ponte tra strumenti di Enterprise Risk Management e IT & Security Standard, definendo un terreno condiviso per qualsiasi tipo di organizzazione, indipendentemente dalla dimensione o dal settore, allineando le pratiche di cyber security ma mantenendo la necessaria neutralità rispetto alle pratiche di Risk Management aziendali quanto rispetto alla tecnologia che ogni attore adotta. Inoltre, in un ambiente dove le minacce cyber si modificano continuamente ed allo stesso tempo aumentano a ritmi esponenziali, il FNCS non si presenta come un documento statico ma in continua evoluzione, attraverso la possibilità di un suo aggiornamento costante sulla base dei rapidi cambiamenti di tecnologie, pratiche di Risk Management o delle stesse minacce.
FNCS e valutazione del rischio cyber
L’adozione del FNCS deve dunque tener conto delle numerose variabili discusse e della loro gestione, richiedendo uno sforzo notevole anche in termini economici da parte del management aziendale, che necessariamente deve legarsi ad una precisa valutazione del profilo di rischio cyber. Le iniziative di cyber security, infatti, coinvolgono contesti socio-tecnici, l’interazione di componenti tecnologici (hardware e software), persone (con capacità cognitive e difetti associati), dati e problemi organizzativi (politiche, processi e gestione) rendendo la valutazione del profilo di rischio cyber un compito arduo ma fondamentale. Da queste interazioni emerge un ambiente dinamico complesso, che mostra circolarità di relazioni e interdipendenze complesse, ritardi e conseguenze inattese, cause ed effetti distanti nel tempo e nello spazio che quindi richiedono soluzioni non banali e non intuitive. Una delle principali sfide attuali è dunque quella di sviluppare metodi e strumenti, basati sul FNCS, di valutazione del rischio attraverso assessment organizzativi che supportino la proiezione di risultati futuri in funzione degli investimenti fatti dalle organizzazioni per ridurre l’esposizione ai rischi stessi.
Lo scopo di questo articolo è dunque quello di presentare un approccio per la analisi delle interdipendenze tra le sotto-categorie costituenti il FNCS, al fine di poter identificare le relazioni sistemiche e non lineari tra di esse e tra le varie aree di rischio.
Gestione dei rischi cyber e investimenti in sicurezza
L’identificazione di tali correlazioni potrà in seguito prevedere lo sviluppo di un modello quantitativo che, attraverso un simulatore, potrà indirizzare il management aziendale fornendo un utile strumento di valutazione per la corretta e puntuale gestione dei rischi cyber e degli investimenti in sicurezza informatica. In sostanza, trattasi di un approccio che potrebbe essere utile a definire anche un rating interno, uno strumento come in passato, per esempio, è stato “Basilea II”, che introduceva la possibilità per gli istituti di credito di affiancare ai rating emessi dalle agenzie specializzate, anche rating prodotti al proprio interno. Sempre “Basilea II” ha permesso alle banche di dotarsi di maggiori strumenti per la gestione del rischio di impresa garantendo agli istituti un maggior numero di informazioni rilevanti e permettendo loro di formulare valutazioni più concrete e realistiche.
Quello che presenteremo dunque è un nuovo approccio che consentirebbe all’azienda di valutare il proprio profilo di rischio cyber, indirizzare investimenti, e che potrebbe trasformarsi anche in uno strumento di valutazione utile per tutta la supply chain ed altri rilevanti stakeholder.
Rischi cyber, sostenibilità e competitivitàL’aumento incessante della digitalizzazione dei processi di business e la necessità di un sempre maggiore livello di collaboration-sharing-networking delle modalità produttive, associati alla globalizzazione e alla “commercializzazione” del cyber-crime, hanno favorito una maggiore frequenza e gravità degli incidenti informatici e data breaches, attraverso modalità sempre più sofisticate di esecuzione di attacchi mirati al capitale informativo delle aziende. Lo sviluppo di nuove tecnologie (Internet of Things, mobile Apps, etc.) sta producendo un numero crescente di oggetti fisici connessi a Internet e un maggiore rischio di “permeabilità” dei perimetri aziendali da parte di malicious attackers in grado di identificare le vulnerabilità generate dalla stratificazione di diverse tipologie di tecnologie, non sempre adeguatamente presidiate dalle organizzazioni. I rischi cyber non sono un problema relativo alla sola funzione ICT dell’azienda ma riguardano tutti gli aspetti della sostenibilità del business e la competitività delle aziende nel lungo periodo, in particolare le strategie di sviluppo su mercati globali. Nonostante questo, il rischio cyber sembra essere il rischio più sottovalutato da parte delle imprese, anche dalle stesse funzioni che hanno come proprio mandato il compito di supportare il management nel valutare e gestire adeguatamente i rischi nelle scelte strategiche e operative aziendali. La Direttiva NIS (Network & Information Security), insieme alla nuova normativa GDPR (Generale Data Protection Regulation), rappresentano la risposta dell’Unione europea alla necessità di innalzare il livello di sicurezza del cyberspace, soprattutto per quel che riguarda gli operatori di servizi essenziali (cosiddette Infrastrutture critiche), nonché all’introduzione di innovazioni operative nella gestione dei dati personali da parte delle aziende pubbliche e private soggette alla giurisdizione degli Stati membri dell’Unione europea. |
Assessment del rischio cyber ed il mondo assicurativo
Il tema del cyber risk rappresenta oggi un punto critico nel processo di analisi e mitigazione dei rischi cui un’azienda può andare incontro nella conduzione della propria attività.
Infatti, la diffusione di tecnologie e modelli di business sempre più basati sulla rete, sullo scambio/possesso di informazioni sensibili e sulla condivisione di spazi virtuali (social media, cloud computing, . . .) racchiude certamente nuove possibilità, ma deve comportare anche una maggiore attenzione da parte delle imprese sui pericoli che derivano da questi cambiamenti.
Per far fronte alle crescenti minacce cibernetiche, le aziende devono strutturare un processo integrato di Risk Management che includa l’ambito cyber. Tale approccio garantisce infatti il più efficace metodo per prevenire/mitigare l’impatto di un rischio informatico, grazie allo sviluppo di una adeguata consapevolezza unitamente all’ottimizzazione del processo di trasferimento del rischio al mercato assicurativo. La copertura assicurativa di tali rischi è infatti l’ultimo tassello di un processo strutturato, che parte con l’analisi della realtà specifica dell’azienda: dal tipo di business che conduce, al tipo di attività che implementa, fino alle caratteristiche dell’infrastruttura IT.
Per essere efficace, un prodotto assicurativo per la gestione del Cyber Risk deve necessariamente prevedere:
- La copertura da danni immateriali diretti (es. la colposa cancellazione o la distruzione di un archivio, di materiale inerente progetti etc.)
- La copertura da danni immateriali indiretti che impattano sulla reputazione aziendale o che possano incidere sul brand diminuendone il valore di mercato delle azioni aziendali, nel caso di società quotata sui mercati regolamentati.
- La copertura di danni materiali diretti ed indiretti (es. distruzione o il furto di un server, di un dispositivo fisso o mobile)
Con l’entrata in vigore della nuova normativa GDPR (General Data Protection Regulation, Regolamento UE n. 2016/679), si è posta ancora di più l’attenzione sul tema della protezione dei dati offrendo l’opportunità di rivedere posizioni e policy, ma non risolvendo certo la totalità della governance. Ecco perché per le assicurazioni il capitolo del Cyber Risk costituisce un mercato che offrirà tantissime nuove opportunità.
Cyber risk e gap assicurativo
Nonostante la crescente consapevolezza sul cyber risk, è tutt’oggi presente un vasto gap assicurativo. Se si confrontano i beni materiali ed i beni immateriali, i Business Leader EMEA indicano che i beni immateriali sono più esposti del 38% rispetto ai beni materiali circa la protezione assicurativa. Circa la metà delle perdite potenziali (49%) sui beni materiali è coperta dall’assicurazione, mentre tale percentuale si attesta solo all’11% per quanto concerne i beni immateriali. Al contrario, per ciò che concerne i beni immateriali è più diffusa l’autoassicurazione.
La carenza normativa fa sì che non esista uno standard a cui gli assicuratori debbano comunque fare fronte, cosicché il fenomeno di anti-selezione del rischio viene esasperato.
In realtà tutti gli assicuratori hanno o stanno tentando di sviluppare coperture per la protezione dai rischi cibernetici. Proprio il fatto che gli operatori assicurativi stiano ancora valutando la portata di questo comparto, può rappresentare un’opportunità per le aziende che vogliano tutelarsi. Quasi tutte le compagnie si stanno strutturando per poter offrire, nell’ambito delle garanzie accessorie al programma assicurativo, anche coperture per la proprietà intellettuale (violazione di marchi ecc.) e per i danni reputazionali, pur in presenza di sottolimiti del massimale principale di polizza e soltanto in conseguenza di una violazione informatica esterna, oppure interna, ma fraudolenta.
La Cyber Insurance, in questo senso, rappresenta una grande opportunità ma anche una soluzione estremamente concreta per qualsiasi azienda, consentendo di schermare, nella maniera più ampia possibile, il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un’omissione umana, anche potenziale. Definendo Il problema della sicurezza informatica globale e possibile affermare che altrettanto globale sarà il trend di crescita delle polizze cyber risk (basti pensare che in india, nel 2017 il mercato delle polizze cyber risk cresciuto più del 50%). Infatti, secondo l’Insurance Information institute i premi per coperture cyber risk raddoppieranno in pochissimo tempo e raggiungere i 7,5 miliardi entro il 2020”.
Fatti quindi i necessari distinguo tra i vari settori di operatività e quindi tra i principali fattori di rischio, è importante – ai fini della progettazione di una copertura assicurativa – effettuare un processo di assessment che sia in grado di valutare e apprezzare i rischi maggiormente significativi in termini finanziari.
Il beneficio finale che le aziende possono trarre da questo tipo di copertura – progettata alla luce di una valutazione accurata del rischio – risiede fondamentalmente nella tutela finanziaria del bilancio d’Impresa, a fronte di un rischio residuo non ulteriormente contenibile, se non a fronte di investimenti eccessivamente significative.
Un nuovo approccio al Cyber Risk Assessment
Il nuovo approccio che si vuole introdurre in quest’articolo si basa su due principi cardine:
- L’implementazione del Framework Nazionale per la Cyber Security (FNCS);
- I principi del pensiero sistemico.
In primo luogo, l’utilizzo del FNCS pone il concetto di cyber security come good practice aziendale, fornendo uno strumento di valutazione del rischio cyber che ben si inserisce a tutti i livelli aziendali, dal livello esecutivo a quello operativo. In secondo luogo, correlando le categorie di rischio cyber all’interno di una mappatura causale ideata per una tipica struttura processuale di un’azienda medio-grande, è possibile identificare le relazioni non-lineari che le legano per portarsi in uno Step successivo ad una simulazione computerizzata del modello.
Il Framework del NIST, ideato per le Infrastrutture Critiche, infatti, si presenta come uno strumento completo di analisi del rischio che, con riferimento al panorama industriale italiano costituito dal 86% di Piccole e Medie Imprese con un fatturato inferiore ai 2 milioni di euro, risulta difficilmente adattabile e poco gestibile. Per tale motivo, il Framework Italiano di Cyber Security introduce tre concetti fondamentali per poter adattare il Framework a qualsiasi realtà industriale italiana, ovvero:
- I livelli di priorità: definiscono appunto la priorità con la quale si devono affrontare le Subcategory del Framework Core in base al tipo di business, alla dimensione e al profilo di rischio dell’azienda.
- I livelli di maturità: definiscono le diverse modalità con cui si può implementare ogni singola Subcategory del Framework Core e devono essere scelti attentamente dall’organizzazione perché livelli di maturità maggiori richiederanno effort maggiori, sia dal punto di vista economico che gestionale.
- Contestualizzazione del Framework: significa selezionare le Function (5), Category (21) e Subcategory (98) per un settore produttivo, un’azienda o una tipologia di aziende, specificandone livelli di priorità e maturità.
Figura 1 – Function e Category costituenti il Framework del NIST ed il FNCS
La sicurezza informatica come opportunità
Ogni organizzazione può dunque allineare le pratiche di cyber security basandosi sul proprio business, definendo quello che è il suo profilo corrente (AS-IS). Dalla valutazione effettuata attraverso le Subcategory del Framework Core insieme alla definizione dei livelli di priorità e maturità si ottiene quello che è definito profilo target (TO-BE). Per raggiungere il livello di maturità definito sarà dunque necessario strutturare una puntuale roadmap che indirizzi l’organizzazione nelle azioni da intraprendere, nella eventuale riorganizzazione di politiche e processi ma soprattutto negli investimenti necessari per aumentare la propria resilienza cyber. La sicurezza informatica, infatti, è ancora troppo spesso vista dal top management aziendale solamente come un costo e non come un’opportunità; ma lo stesso top management è poi consapevole del danno che la propria azienda potrebbe subire a seguito un attacco cyber? Il livello di consapevolezza è decisamente troppo basso ed ecco che la Cyber security diventa anche un problema culturale.
Si potrebbero presentare una quantità indefinita di studi che riportano statistiche e numeri riguardanti attacchi cyber ed i loro impatti negativi ma ancora le vere perdite che un’azienda potrebbe subire non sarebbero facilmente calcolabili. I costi relativi ad un attacco o un incidente cyber risultano costituiti da differenti categorie quali: perdita di produttività, lavoro diretto, spese di cassa, lavoro indiretto, perdita di reputazione e altri costi. Oltre ai costi strettamente connessi ad un attacco o un incidente, si riscontrano costi indiretti ingenti i cui confini sono difficilmente calcolabili.
La consapevolezza del rischio e dei danni incalcolabili che un’azienda potrebbe subire, dovrebbe attivare il top management nell’intraprendere azioni decise e mirate. Ma quale sarebbe l’impatto che tali azioni e tali investimenti potrebbero avere sull’azienda e sui suoi processi? Come un cambio organizzativo in una particolare funzione aziendale andrà a ripercuotersi su un altro dipartimento? Come un investimento in sicurezza informatica andrà ad impattare il resto delle unità organizzative?
Il pensiero sistemico
È necessario dunque introdurre il secondo “strumento” utile a tale analisi: il pensiero sistemico.
I principi del pensiero sistemico si rendono necessari per l’elaborazione di un modello causale che enfatizzi il ruolo dell’intreccio tra politiche, processi organizzativi, strutture decisionali e ritardi temporali nell’influenzare i fenomeni dinamici aziendali. La base del metodo, infatti, è proprio il riconoscimento nella struttura del sistema delle molte relazioni causa-effetto non lineari, intrecciate e a volte ritardate nel tempo. Il pensiero sistemico fornisce un approccio utile poiché:
- Rafforza le capacità logiche e creative delle persone e dei gruppi;
- Aiuta a leggere e ad interpretare la complessità;
- Fornisce un linguaggio pratico per descrivere, capire e portare a soluzione complessi problemi aziendali;
- Permette di descrivere e indagare la struttura dinamica di un sistema con l’uso di modelli;
- Introduce alla dinamica dei sistemi.
Il pensiero sistemico dà un vantaggio notevole, portando l’azienda un passo avanti nel tempo, mostrando i cicli nascosti, i fenomeni che si ripetono, si rafforzano e si bilanciano nel tempo introducendo la dinamica dei sistemi che fornisce una metodologia per la modellazione e la successiva simulazione automatizzata.
Nei sistemi complessi quali quelli aziendali, esistono delle interdipendenze tra gli elementi del sistema, le quali generano dei “loop”, dei cicli, che sono combinazioni di relazioni tra singoli elementi dove ogni elemento è sia causa che effetto dell’altro.
Per comprendere e definire in maniera adeguata un sistema complesso bisogna definire l’area di studio e ricercare gli elementi chiave che determinano il fenomeno. Una volta trovati questi elementi si dovrà descriverli tramite variabili univoche e collegarli fra loro grazie a “link”, o archi, in modo da evidenziarne l’influenza reciproca.
Le due tipologie di influenze non lineari
Le influenze non-lineari individuate potranno dunque essere di due tipologie: auto-rinforzanti o auto-bilancianti.
- Il loop di tipo auto-rinforzante si ha quando all’interno del ciclo si ha un numero pari (o nullo) di archi negativi; essere in presenza di un ciclo di questo tipo significa che ad ogni cambiamento delle variabili del ciclo si avrà una crescita o un collasso dell’effetto totale.
Figura 2 – Loop auto-rinforzante
- Il ciclo auto-bilanciante, invece, si ha quando all’interno del ciclo si ha un numero dispari di archi negativi; ad ogni cambiamento delle variabili si va verso un valore di riferimento, questo ciclo è quindi sinonimo di stabilità ma anche resistenza al cambiamento ed è tipico dei loop dove bisogna conseguire un obiettivo, in presenza di un gap da colmare.
Figura 3 – Loop auto-bilanciante
La combinazione di questi due tipi di cicli può dare vita a diverse situazioni in base a quale dei due prevale inizialmente.
L’insieme di tutti i cicli costituenti le relazioni causa-effetto non lineari utili a rappresentare le interdipendenze tra processi aziendali porta alla definizione di una “Mappa causale”. Questo lavoro è puramente qualitativo in quanto si descrive il fenomeno sulla base delle interazioni positive o negative tra gli elementi ed è necessario per identificare i circuiti di retroazione, cioè quando un elemento si auto-influenza indirettamente, attraverso l’influenza su elementi che a loro volta lo influenzano, il cosiddetto “feedback loop”.
Per poter comprendere come il Framework Nazionale di Cyber Security ed i principi del pensiero sistemico possano confluire in un unico strumento di valutazione dei rischi cyber, presenteremo un caso studio, facilmente adattabile a qualsiasi realtà aziendale italiana, indipendentemente dalle dimensioni e dal settore industriale di appartenenza.
Caso Studio: PMI come modello organizzativo applicativo
Al fine di fornire un esempio pratico di quanto illustrato, consideriamo un’ipotetica azienda appartenente al panorama delle PMI del settore manifatturiero. Una tipica struttura di PMI rappresenta un ambiente sufficientemente complesso che tiene conto di vari aspetti nella gestione delle organizzazioni ma allo stesso tempo è anche sufficientemente semplice e gestibile per l’ambito di questa analisi. Di conseguenza, il modello presentato rappresenta solo un esempio del metodo proposto ma non intende costituire un paradigma per tutte le PMI o strutture organizzative ancora più complesse.
Come illustrato, il primo step da affrontare è l’identificazione delle funzioni aziendali, dei processi organizzativi e delle variabili che li costituiscono. Ipotizziamo dunque una struttura funzionale come quella rappresentata nella figura di seguito:
Figura 4 – La struttura funzionale di riferimento
Dalla struttura funzionale identificata e dallo studio dei processi organizzativi per ciascuna area funzionale, si identificano quelli che sono i loop necessari per la modellazione della mappa causale.
A livello macro della mappa causale, è possibile evidenziare le aree di business e le loro interdipendenze attraverso l’elaborazione di un “Bubble Diagram” (Figura 5). Il diagramma a bolle dà risalto a quale sia l’approccio sistemico adottato in questo lavoro: il pensiero sistemico, che consente di vedere sia le parti (aree funzionali – livello medio e micro della modellazione), sia il sistema (l’intera azienda – livello macro della modellazione) e può operare al meglio in entrambi i casi.
Figura 5 – Il Bubble Diagram
Per poter comprendere maggiormente l’approccio sistemico e le interdipendenze non-lineari individuate, si prenda di riferimento la funzione Sicurezza dell’ipotetica azienda utilizzata per il caso studio.
Oggigiorno, qualsiasi tipo di organizzazione necessita di un sistema ICT, formato da componenti tecniche / tecnologiche, procedure organizzative, risorse umane dedicate per supportare il proprio funzionamento e affrontare la crescente mole di dati scambiati durante la normale esecuzione dei processi aziendali.
Gran parte del successo dell’azienda dipende proprio dal corretto funzionamento del sistema ICT e della sua sicurezza.
L’impatto di un cyber attacco sui processi aziendali
Cosa accadrebbe, dunque, se l’azienda fosse vittima di un incidente o un attacco cyber? Quali sarebbero gli impatti e quali le ripercussioni su tutti i restanti processi aziendali?
I “Danni causati” da un attacco cyber potrebbero senza alcun dubbio provocare “Danni all’immagine aziendale”. In questo periodo storico dove la reputazione “digitale” delle aziende è fortemente esposta e le notizie di incidenti cyber sono quotidianamente in prima pagina, un danno reputazionale potrebbe portare a conseguenze irreparabili. Per aziende quotate in borsa, la diffusione di una notizia simile porterebbe a picchi decrescenti durevoli nel tempo e difficilmente recuperabili. A poco più di un anno dalla diffusione di WannaCry è possibile fare una stima dei danni provocati da attacchi ransomware nel 2017: perdite economiche pari a circa $5 miliardi (15 volte di più rispetto al 2015) in quanto le aziende hanno perso produttività a causa del downtime ma soprattutto a causa della conseguente perdita reputazionale.
Le “Operazioni di ripristino” da mettere in atto a seguito di un attacco cyber andranno ad aumentare in modo considerevoli anche i “costi” aziendali. Con riferimento ai costi derivanti da attacchi informatici verso piccole e medie imprese, le spese di ripristino post-attacco informatico sono (circa) tre volte superiori ai costi che si sosterrebbero assumendo del personale qualificato. Nel caso di una violazione rilevata quasi immediatamente (meno di un’ora), i costi dell’attacco si aggirano attorno ai 25 mila euro, destinati a salire a oltre 100 mila euro nel caso in cui passi una settimana dall’attacco al suo rilevamento.
La mappa duale
La modellazione della mappa causale, una volta elaborata anche nei suoi livelli medio e micro, si rende necessaria in uno step successivo alla modellazione di una “mappa duale”. Tale mappa risulta utile al collocamento all’interno dei processi organizzativi aziendali di ciascuna Subcategory del FNCS in corrispondenza dell’appropriata variabile individuata. L’elaborazione della Mappa Duale ed il corretto collocamento delle Subcategory all’interno della stessa mostreranno le interdipendenze non-lineari tra le variabili individuate che, passando da un modello qualitativo ad uno quantitativo simulato al computer, forniranno la stima dei costi di un eventuale attacco cyber o degli investimenti necessari per innalzare la resilienza cyber aziendale.
Per un maggior dettaglio riguardante la metodologia, le mappe causali elaborate insieme alle loro mappe duali, si fa rimando a quanto descritto all’interno dell’articolo scientifico “Towards the Definition of a Dynamic and Systemic Assessment for Cybersecurity Risks” (Armenia et al., 2018), in corso di pubblicazione sulla rivista “Systems Research and Behavioral Science”.
Utilizzo del profilo del FNCS come base per le polizze cyber risk
Ai fini dell’implementazione di una adeguata copertura assicurativa cyber risk, sarebbe opportuno che l’azienda avesse a disposizione un proprio profilo di rischio. Infatti, come anticipato, il settore dei rischi cyber non è ancora maturo né ha standard di riferimento (in ambito assicurativo) per cui la peculiarità del rischio e l’immaturità del settore rendono indispensabile la conoscenza del mercato e delle leve tecnico-commerciali degli operatori del settore assicurativo.
Ai fini di isolare correttamente il massimo danno probabile e di stimare correttamente l’esposizione al rischio, sarebbe opportuno, prima di stipulare la Polizza, effettuare un’analisi e quantificazione del rischio stesso. Molto spesso, infatti, le Aziende faticano a quantificare la propria esposizione, soprattutto lato danni indiretti, in quanto è di difficile valutazione l’impatto economico che un evento informatico avverso può causare. Attraverso l’utilizzo del FNCS come strumento di assessment del rischio e del modello di stima dei costi, è possibile reperire le informazioni utili alla stipula corretta e proporzionale in base al proprio profilo aziendale.
Questo ha lo scopo di raccogliere le informazioni base necessarie per una prima valutazione del rischio da parte degli assicuratori ed ha come risultato il fatto che possano essere apprezzate le varie ipotesi di limite di indennizzo che stanno alla base del contratto assicurativo e, parallelamente, fa prendere coscienza all’assicurando di quelli che sono i suoi punti di forza e di debolezza. Inoltre, permette all’assicuratore di avere delle certezze su alcuni dati fondamentali, essendo tra l’altro sottoscritto dall’azienda che richiede la copertura assicurativa.
Il nuovo approccio proposto di valutazione del rischio cyber non è però da considerare solamente uno strumento utile ex-ante la stipula di una polizza assicurativa. Lo stesso strumento permetterebbe all’assicurando di indicare all’assicuratore dei percorsi virtuosi da intraprendere in modo da abbattere ulteriormente i potenziali danni di un incidente o attacco cyber. L’azienda, definendo un profilo target da raggiungere attraverso, ad esempio, investimenti in tecnologie, ridefinizione di politiche e processi organizzativi, oltre ad aumentare la propria resilienza cyber potrebbe migliorare la sua “classe di merito” assicurativa. Una migliore classe di merito è legata ovviamente ad un premio minore da corrispondere alla compagnia assicurativa. Lo strumento utilizzato in una fase ex-post la stipula del contratto assicurativo, garantirebbe dunque una maggiore resilienza ad incidenti ed attacchi cyber, minori impatti in caso di evento indesiderato ed un risparmio importante relativo al premio assicurativo da corrispondere.
Conclusioni
L’approccio sistemico descritto in questo articolo, congiuntamente all’implementazione del FNCS all’interno dei processi organizzativi aziendali, possono essere utilizzati per supportare qualitativamente un’organizzazione per valutare come un investimento impegnato a fronteggiare le minacce relative a una o più categorie, possa anche “propagarsi” sistematicamente ad altri. Stesso discorso risulta facilmente ribaltabile nel caso di un attacco cyber subito dall’azienda, andando a mostrare gli impatti negativi di tale evento su ciascuna area funzionale. Il modello qualitativo, attraverso una successiva trasposizione computerizzata, potrà restituire un modello quantitativo utile non solo all’azienda, ma anche a tutti i relativi stakeholder. Ad esempio, l’utilizzo del FNCS come strumento di assessment del rischio cyber ed il modello di stima dei costi relativo restituirebbero le informazioni chiave utili ad una corretta stipula di una polizza assicurativa. Se dunque il rischio zero non esiste, un diverso approccio per la sua valutazione e mitigazione si rende necessario, specialmente per aziende quali le PMI italiane dotate di minori risorse da poter investire in sicurezza informatica e, per tale motivo, fortemente più esposte alla minaccia cyber.
I numeri e le conseguenze del cybercrime sulle aziende Nonostante i numerosi sforzi che la Commissione europea sta mettendo in atto per fronteggiare la problematica, il panorama europeo, ed in particolare quello italiano, risulta ancora fortemente impattato dal Cybercrime. Secondo l’ultima ricerca intitolata “Global Economic Crime and Fraud Survey 2018”, condotta da PwC, il cybercrime è la categoria di frode più diffusa in Italia (45%) e la minaccia più seria per i prossimi due anni (Italia 34% degli intervistati, Global 26%). I risultati del sondaggio online presentato nel recente Norton Cyber Security Insights Report, mostrano come in Europa l’anno passato circa 98,2 milioni sono state le vittime di crimini informatici; in Italia oltre 16 milioni di utenti della rete sono caduti in trappole informatiche, oltre un terzo della popolazione adulta (37%). Le perdite in Italia hanno totalizzato quasi 3,8 miliardi di euro, e ogni vittima ha perso in media circa 2 giorni lavorativi per occuparsi delle conseguenze derivanti dal crimine informatico. Analizzando il contesto, se il 2017 è stato un anno difficile per la sicurezza informatica, l’inizio del 2018 può definirsi anche peggiore a causa dell’allarme internazionale derivante dalla scoperta di una falla presente, da almeno dieci anni (forse anche di più), nei processori dei principali dispositivi in circolazione in tutto il mondo (pc, smartphone, tablet ecc.) che individuavano due tipologie di vulnerabilità:
Infatti, le conseguenze del cybercrime, che le aziende subiscono a causa dei crimini informatici, sono sempre più costose e devastanti, e sottolineano, qualora ce ne fosse bisogno l’importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza. A testimonianza di ciò, se si prende come contesto di riferimento il settore dei servizi finanziari, si nota che:
|
Bibliografia
Baldoni, R., Montanari, L., Querzoni, L. (2016) 2016 Italian Cyber Security Report. Available at: http://www.cybersecurityframework.it/sites/default/files/csr2016web.pdf
Baldoni, R., De Nicola, R., (2015) 2016 Il futuro della Cybersecurity in Italia. Available at: https://www.consorzio-cini.it/it/component/attachments/download/416
Cadbury, A. (1992) The financial aspects of corporate governance. London, UK. Available at: http://www.ecgi.org/codes/documents/cadbury.pdf.
Forrester, J. W. (1992) ‘Policies, decisions and information sources for modeling’, European Journal of Operational Research, 59(1), pp. 42–63. doi: 10.1016/0377-2217(92)90006-U.
Morecroft, J. D. (1983) ‘System dynamics: Portraying bounded rationality’, Omega, 11(2), pp. 131–142. doi: 10.1016/0305-0483(83)90002-6.
OECD (1999) OECD Principles of Corporate Governance. Available at: http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=C/MIN(99)6&docLanguage=En.
PwC (2018) Global Economic Crime and Fraud Survey 2018, Summary Italia. Available at: https://www.pwc.com/it/it/publications/docs/pwc-global-economic-crime-fraud-furvey-2018.pdf
Simon, H. A. (1955) ‘A Behavioral Model of Rational Choice’, The Quarterly Journal of Economics, 69(1), pp. 99–118.
Symantec (2018) Norton Cyber Security Insights Report 2017, Global Results. Available at: https://www.symantec.com/content/dam/symantec/docs/about/2017-ncsir-global-results-en.pdf