Molti CISO ormai includono un’assicurazione sul rischio informatico, o assicurazione di responsabilità civile per i servizi informatici, nella loro strategia di gestione dei rischi legati alla sicurezza informatica. La copertura assicurativa sul rischio informatico può giocare un ruolo fondamentale nel sostenere la strategia di un’azienda volta a mitigare le conseguenza finanziarie e operative degli eventi informatici. Secondo un recente report di Hiscox sul livello di preparazione sulla sicurezza informatica, circa il 41% delle aziende negli Stati Uniti e in Europa ha già investito in polizze assicurative contro i rischi informatici.
Quali sono i vantaggi di una copertura assicurativa sul rischio informatico? Quando le aziende subiscono una violazione significativa dei dati (data breach) o un attacco ransomware significativo, possono avere difficoltà a ripristinare le attività se fanno affidamento alle stesse risorse quotidiane. La copertura assicurativa sul rischio informatico può ridurre i costi delle attività di remediation a seguito di un incidente di sicurezza informatica, tra cui i costi per l’assistenza legale, investigatori, professionisti della comunicazione e crediti o rimborsi dei clienti.
Molti responsabili della sicurezza sono sempre più consapevoli dell’importanza della copertura assicurativa informatica, data la continua diffusione di modelli di telelavoro e lavoro ibrido. Si preoccupano che informazioni sensibili e critiche per l’azienda, come i contatti dei clienti e i numeri delle carte di credito, vengano divulgati su Internet e quindi di essere più esposti agli attacchi informatici.
Le leggi e le normative sulla riservatezza dei dati aumentano la pressione sulle aziende e sulle compagnie assicurative
Tuttavia, i rischi per la sicurezza associati ai modelli di telelavoro e lavoro ibrido non sono le uniche preoccupazioni per i responsabili della sicurezza. Negli ultimi anni, governi ed enti regolatori hanno messo ancor più pressione alle aziende in termini di protezione delle informazioni personali e di assunzione di responsabilità in caso di incidente. Nel febbraio 2020, l’Assemblea dello Stato della California ha anche introdotto un disegno di legge per rendere obbligatoria l’assicurazione contro i rischi informatici per tutte le aziende che hanno contratti con lo stato e hanno accesso a informazioni personali protette.
Il crescente numero di leggi rigorose sulla riservatezza dei dati, come quelle elencate di seguito, spinge anche alcune compagnie assicuratrici a concentrarsi sulle misure assicurative per la sicurezza informatica:
- Le leggi Data Privacy Act e Notifiable Data Breach Scheme in vigore in Australia
- Lo standard di protezione dei dati per il settore delle carte di pagamento (PCI DSS)
- La normativa HIPAA (Health Insurance Portability and Accountability Act) del 1996 in vigore negli Stati Uniti
- Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) dell’Unione Europea
La copertura assicurativa sui rischi informatici non sostituisce una solida strategia di prevenzione
Le compagnie assicurative in ambito informatico non hanno altra scelta che adattare il loro approccio alla copertura, dato che le perdite non sono sostenibili. Sono note per negare contratti e richieste di risarcimento o aumentare i premi quando le aziende non possono dimostrare l'attuazione di controlli preventivi. Tuttavia, vale la pena notare che i controlli tecnici da soli non sono sufficienti per ridurre i rischi legati al fattore umano e ai comportamenti degli utenti, in un momento in cui il panorama delle minacce è dominato dalle tattiche di social engineering.
Le aziende devono anche prestare attenzione alle postille inserite nelle loro polizze di assicurazione contro i rischi informatici. Se subiscono una perdita di denaro o di dati a causa di un attacco di violazione dell’email aziendale (BEC, Business Email Compromise), per esempio, potrebbero scoprire di non avere nessuna copertura in merito. Molte polizze di assicurazione contro i rischi informatici non coprono ciò che gli assicuratori considerano falsificazione, frode informatica, social engineering, riscatto o frodi di trasferimento di fondi.
Per saperne di più sulle tendenze della sicurezza informatica attuali, scarica l’ultimo “report Il fattore umano” di Proofpoint.