La considerazione del cyber risk nel processo di Risk Management

rischi emergenti, Cyber risk

La considerazione del cyber risk nel processo di Risk Management.

“Nessun computer è al sicuro” ha detto recentemente il nuovo Presidente americano Trump e, in effetti, la situazione è proprio questa. Gli ultimi anni sono stati anni tremendi per la cyber security: l’impatto degli attacchi informatici è stato sempre maggiore e le violazioni sono diventate sempre più trasversali, con bersagli non limitati ai profili personali, ma estesi alle aziende e ai governi. La stessa tipologia e intensità degli attacchi è aumentata e continua a crescere, incidendo in modo pesante sulla stima dei danni potenziali.

Cyber risk, come si stanno muovendo le Assicurazioni

Le compagnie di assicurazione stanno reagendo ad un tale contesto sviluppando delle risposte assicurative ai cyber attacks. Recentemente le polizze cyber sono aumentate in termini di dimensione del mercato e fatturato e ciò nonostante le difficoltà di prevedere, ridurre e gestire gli attacchi informatici. La definizione del corretto pricing delle polizze, per esempio, è ancora complessa per via della scarsità di dati storici.

La cyber insurance, ovviamente, non può impedire che l’attacco informatico si verifichi, ma può aiutare l’azienda colpita a reagire allo stesso. E’ opportuno, tuttavia, che quanto detto si collochi all’interno di un processo più ampio. Le aziende dovrebbero, infatti, strutturare un processo integrato di Risk Management, che comprenda l’aspetto cyber.

Cyber risk ancora sottovalutato

Fino a poco tempo fa il cyber risk era considerato un rischio di minore importanza, residuale. Oggi, invece, sta assumendo una rilevanza maggiore, anzi, lo si può ormai definire un rischio “critico”. Gli asset informatici sono cruciali, strategici per la gran parte delle attività aziendali; la loro tutela non deve, pertanto, essere trascurata. A ciò si aggiunge che, come già detto, gli attacchi informatici sono sempre più numerosi e dannosi, anche a causa, talvolta, della facilità con cui possono essere compiuti. In taluni casi, si osserva ancora una sottovalutazione del pericolo cyber. Sembra incredibile ma non di rado si osserva la mancanza o, comunque, la carenza delle misure di cautela minima (come la variazione delle password con una certa frequenza o la disattivazione delle credenziali dei dipendenti con cui è stato interrotto il rapporto di lavoro).

Cyber risk, i passi da compiere

E’ necessario, invece, essere previdenti e capaci di mitigare l’impatto dei rischi cyber. Il primo passo da compiere è accrescere la consapevolezza e ottimizzare il processo di trasferimento del rischio. La copertura assicurativa può essere considerata, quindi, l’ultima fase di un processo strutturato, il Risk Management summenzionato, il cui punto di partenza è l’analisi della realtà aziendale. Un’analisi basata sulla comprensione di fattori chiave, tra cui il mercato di riferimento, il contesto geografico in cui l’impresa opera, l’infrastruttura IT, il tipo di dati ed informazioni da essa trattati. E’ necessario valutare le possibilità di accesso ai sistemi e alle reti aziendali ed esaminare le policy di cyber security e le misure di prevenzione e protezione poste in atto. In altri termini, ci si dovrebbe chiedere: “La situazione è sotto controllo o si potrebbero apportare dei miglioramenti?”

Per concludere, in generale, la cyber insurance dovrebbe operare quale strumento a tutela del bilancio aziendale, intervenendo a copertura dei rischi, tra cui quello informatico, anche in funzione del risk appetite e della risk tolerance dell’impresa. Occorre considerare che i benefici incrementali derivanti da ulteriori azioni di prevenzione e/o protezione si riducono progressivamente oltre una certa soglia, quindi il costo da sostenere per accrescere in misura ulteriore i livelli di sicurezza diverrebbe insostenibile se comparato ai benefici connessi. Ogni impresa dovrebbe stabilire oltre quale soglia sia più conveniente optare per il trasferimento assicurativo del rischio e, allo stesso tempo, valutare il trade-off ottimale tra il prezzo della copertura assicurativa e il livello di esposizione residua al rischio.

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.
Maria Cristina Arcuri

Maria Cristina Arcuri

Cultore della materia “Economia degli Intermediari Finanziari” presso il dipartimento di Scienze Economiche e Aziendali dell’Università di Parma, con cui collabora in qualità di esperto di risk management e presso cui è stato professore a contratto. E’ SDA fellow presso l’Area Intermediazione Finanziaria e Assicurazioni (AIFA) di SDA Bocconi School of Management. E’ ad hoc reviewer ed editor di riviste e volumi internazionali e autore di una monografia e di numerose pubblicazioni nazionali e internazionali. E’ membro di progetti di ricerca, di consulenza e formazione presso primari intermediari e società finanziarie. Partecipa regolarmente a workshop e convegni su tematiche di risk management, bancarie, assicurative e previdenziali. E’ associato ADEIMF – Associazione dei Docenti di Economia degli Intermediari Finanziari. E’ membro del corpo docente dei percorsi formativi di AIEF - Associazione Italiana Educatori Finanziari. E’ dottore commercialista e revisore legale dei conti.

Lascia un commento