Cyber security e resilienza: come gestire il rischio

La resilienza, ovvero la capacità di affrontare positivamente e proattivamente i cambiamenti, deve essere sviluppata anche nella gestione del rischio cyber, ambito che oggi presenta le sfide più insidiose e incerte per qualsiasi tipo di organizzazione.

E' un rischio molto temuto che, in recenti analisi  (Allianz Risk Barometer, analisi realizzata tra ottobre e novembre 2015 ), si attesta al 3° posto, dopo i rischi legati alla Business Interruption, che possono riguardare la supply chain e i rischi collegati alla volatilità, stagnazione e concorrenza nei mercati in cui le aziende operano.

I motivi  dell'aumento del rischio  derivano da svariati fattori. Tra questi:

• La fruizione e la distribuzione di beni e servizi si sviluppano su reti globali, con connessioni sempre più vaste, in un mercato che insieme alla complessità vede crescere anche le esposizioni e i rischi.
• Si diffondono e sono sempre più facilmente disponibili gli strumenti e le competenze per progettare attacchi informatici fraudolenti.

Nonostante però siano evidenti, osserva   Alessandro De Felice, Presidente di ANRA  (l'associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali ) e conclamati gli effetti potenzialmente disastrosi di rischi quali i danni reputazionali, la perdita o furto di informazioni e l'interruzione dei sistemi informatici, la mancata consapevolezza della complessità della minaccia cyber, le imprese sembrano non comprendere a pieno il problema, e di conseguenza non si tutelano a sufficienza, o disperdono le risorse in protezioni generalizzate e poco mirate a difendere gli asset fondamentali.

Puntare sulla Cyber Resilience

La soluzione per contenere il rischio è puntare sulla Cyber Resilience, ovvero la costante analisi della capacità di resistenza di fronte alle minacce e la tensione nel cercare di recuperare lo status quo precedente all'evento emergenziale, adattandosi alla nuova condizione e trovando eventualmente modalità alternative di comportamento, di operatività e di funzionamento del business . 

La forte connessione tra il mondo del cyber e della resilienza è emersa in un sondaggio condotto da Marsh in collaborazione con DRII (Disaster Recovery Institute International). I risultati evidenziano che la resilienza dei sistemi informativi gioca un ruolo fondamentale nel raggiungimento degli obiettivi di business, e il loro malfunzionamento può avere un impatto importante sulla reputazione aziendale.

Del resto, osserva De Felice,  gli scenari indicati dai partecipanti tra i più severi e probabili sono tutti legati al mondo informatico: danni alla reputazione causati da una violazione/furto di dati sensibili (impatto 79% – probabilità 79%), malfunzionamento al Data Center IT (59% – 77%), indisponibilità di servizi online a causa di un attacco cyber (58% – 77%).  

Un problema è poi legato al fatto che i CEO sovrastimano i livelli di protezione assicurativa dei rischi da loro stessi valutati come più severi: il 28% infatti ritiene di disporre già di una specifica copertura assicurativa contro gli attacchi informatici. Di opinione diversa sono i risk manager che, solo nel 6% dei casi, ritengono di avere coperture dedicate a questi due rischi. Di certo un sereno confronto tra le due tipologie di manager sarebbe utile.

Cosa fare per contenere il rischio

Il dato di fatto indiscutibile è che assicurare una protezione totale dai rischi informatici è impossibile, poiché nessun sistema è impenetrabile. Per una difesa efficace si può però pensare a una struttura plurifunzionale che potenzi il sistema di risk management aziendale e favorisca lo sviluppo delle capacità di resilienza dell'organizzazione.

I membri del CRO Forum, un gruppo di ricerca che riunisce i Chief Risk Officer di grandi imprese multinazionali, hanno individuato quattro pilastri su cui una struttura di Cyber Resilience dovrebbe fondarsi: 

• Preparazione, ovvero una fase che prevede i seguenti step: individuare gli asset fondamentali dell'impresa, sviluppare la capacità di affrontare diversi livelli di rischio, stabilire un corretto risk appetite, integrare il risk management nella struttura aziendale;
• Protezione, per raggiungere la quale è necessario: garantire l'immediatezza della reazione ad un evento avverso, e fare in modo che sia uno schema solido e ripetibile; condurre attente valutazioni delle minacce, con controlli accurati e azioni investigative nei confronti delle terze parti coinvolte; potenziare la gestione sinistri e promuovere l'educazione e la formazione del personale, se possibile anche con esercizi di simulazione;
• Analisi, promuovendo lo sviluppo e l'aggiornamento continuo delle capacità di monitoraggio e rilevamento di anomalie e minacce;
• Sviluppo, attraverso la creazione di un database completo degli incidenti, una "memoria storica" dell'azienda che sia da supporto all'attività formativa e consenta di affrontare con maggiore esperienza gli accadimenti futuri.

"Le modalità con cui le organizzazioni possono essere colpite sono innumerevoli, motivo per cui è difficile riuscire a prevedere con esattezza l'impatto e i costi . Esperienza e capacità dovrebbero essere inclusi come parte del prodotto assicurativo proposto, nel tentativo di promuovere le forme di gestione migliori tramite il trasferimento del rischio e i premi assicurativi", suggerisce De Felice