LA MAPPATURA DEI RISCHI TECNOLOGICI NELLE AZIENDE: Consigli su come procedere

La rivoluzione digitale è una realtà che tocca tutti gli aspetti della società attuale: sia le persone, nelle loro azioni private, sia le imprese, nel loro business, sono estremamente dipendenti nella quotidianità dalla tecnologia e da internet. La fruizione e la distribuzione di beni e servizi si sviluppano su reti globali, con connessioni sempre più vaste, in un mercato che insieme alla complessità vede crescere anche le esposizioni e i rischi. Parallelamente, si diffondono e sono sempre più facilmente disponibili gli strumenti e le competenze per progettare attacchi informatici fraudolenti.

Le modalità con cui le organizzazioni possono essere colpite sono innumerevoli, motivo per cui è difficile riuscire a prevedere con esattezza l’impatto e i costi. Nemmeno le organizzazioni del settore assicurativo, che possono contare su una maggiore conoscenza in materia di protezione, sono esenti da questo rischio, dal momento che utilizzano largamente la tecnologia nell’interazione con i clienti e nella raccolta e custodia di una grande quantità di dati sensibili personali.

Assicurare una protezione totale dai rischi informatici è impossibile. Nessun sistema è impenetrabile. Per una difesa efficace bisogna prevedere una struttura plurifunzionale che potenzi il sistema di risk management aziendale e favorisca lo sviluppo delle capacità di resilienza dell’organizzazione.
Quattro sono i pilastri su cui una mappatura aziendale dovrebbe fondarsi:

1. Preparazione, una fase che prevede i seguenti step: individuare gli asset fondamentali dell’impresa, sviluppare la capacità di affrontare diversi livelli di rischio, stabilire un corretto risk appetite, integrare il risk management nella struttura aziendale
2. Protezione, per raggiungere la quale è necessario: garantire l’immediatezza della reazione ad un evento avverso, e fare in modo che sia uno schema solido e ripetibile; condurre attente valutazioni delle minacce, con controlli accurati e azioni investigative nei confronti delle terze parti coinvolte; potenziare la gestione sinistri e promuovere l’educazione e la formazione del personale, se possibile anche con esercizi di simulazione
3. Analisi, promuovendo lo sviluppo e l’aggiornamento continuo delle capacità di monitoraggio e rilevamento di anomalie e minacce
4. Sviluppo, attraverso la creazione di un database completo degli incidenti, una “memoria storica” dell’azienda che sia da supporto all’attività formativa e consenta di affrontare con maggiore esperienza gli accadimenti futuri

Il ruolo degli assicuratori

Chi si occupa di assicurazione ha un ruolo chiave nel processo di sviluppo della resilienza aziendale ai rischi informatici. Esperienza e capacità dovrebbero essere inclusi come parte del prodotto assicurativo proposto, nel tentativo di promuovere le forme di gestione migliori tramite il trasferimento del rischio e i premi assicurativi. La natura relativamente nuova, sicuramente in continua evoluzione, di questa tipologia di minaccia, fa si che gli assicuratori siano costretti ad utilizzare un approccio diverso nel far comprendere al board aziendale una serie di punti, tra cui i costi, relativi al cyber risk. Il processo di comprensione potrebbe risultare più semplice, grazie a tre elementi:

1. Classificare e codificare in modo univoco il rischio informatico. La varietà delle manifestazioni, la continua evoluzione, i prodotti che cambiano e la mancanza di chiarezza sugli obiettivi delle coperture, sono tutti fattori che contribuiscono a rendere la codificazione di questa minaccia una sfida non ancora vinta. I responsabili aziendali devono guidare le loro imprese verso un corretto inquadramento del rischio informatico e promuovere la sua inclusione nelle linee tradizionali di business.

2. Individuare gli accumuli di esposizione al rischio. Una gestione delle minacce e una protezione assicurativa efficaci non possono prescindere da un preciso inquadramento degli scenari di rischio, che aiutino ad individuare gli accumuli di esposizione.

3. Dotarsi di una struttura di risk management solida. Completate le fasi precedenti, le imprese avranno la consapevolezza e gli strumenti giusti per fissare i parametri di tolleranza al rischio e concordare sulla distribuzione del capitale, potendo contare su una Proprietà/Direzione informata e strutturata.

D.ssa Raffaella Sella
Consulente Risk Management
ALPHA NETWORK S.r.l.