GESTIONE DEL RISCHIO TRA RESILIENZA E CYBER SECURITY
Il
rischio cyber si attesta fra le minacce maggiormente temute dalle
aziende. Segue i rischi legati alla Business Interruption, che possono
riguardare la supply chain e quelli collegati alla volatilità,
stagnazione e concorrenza nei mercati di riferimento delle imprese. Fra i
rischi maggiori connessi alla cyber security troviamo i danni alla
reputazione causati da una violazione/furto di dati sensibili, il
malfunzionamento ai Data Center IT, l'indisponibilità di servizi online a
causa di un attacco cyber.
Per le aziende sono 4 i pilastri su cui fondare la Cyber Resilience
Milano, 3 marzo 2016
– La resilienza, ovvero la capacità di affrontare positivamente e
proattivamente i cambiamenti, deve essere sviluppata anche nella
gestione del rischio cyber, ambito che oggi presenta le sfide più
insidiose e incerte per qualsiasi tipo di organizzazione.
Un rischio molto temuto che, in recenti analisi[1],
si attesta al 3° posto, dopo i rischi legati alla Business
Interruption, che possono riguardare la supply chain e i rischi
collegati alla volatilità, stagnazione e concorrenza nei mercati in cui
le aziende operano.
"La
rivoluzione digitale è una realtà che tocca tutti gli aspetti della
società attuale: sia le persone, nelle loro azioni private, sia le
imprese, nel loro business, sono estremamente dipendenti nella
quotidianità dalla tecnologia e da internet – commenta Alessandro De Felice, Presidente di ANRA. La
fruizione e la distribuzione di beni e servizi si sviluppano su reti
globali, con connessioni sempre più vaste, in un mercato che insieme
alla complessità vede crescere anche le esposizioni e i rischi.
Parallelamente, si diffondono e sono sempre più facilmente disponibili
gli strumenti e le competenze per progettare attacchi informatici
fraudolenti. Alcune indagini, condotte di recente dalle più
autorevoli aziende multinazionali che si occupano di sicurezza
informatica, hanno stimato in 575 miliardi di dollari all'anno il costo
complessivo sostenuto dalle aziende a livello globale per gestire
attacchi cyber e in 800 milioni le vittime di 'cyber attack' a livello
globale. Nonostante siano evidenti e conclamati gli effetti
potenzialmente disastrosi di rischi quali i danni reputazionali, la
perdita o furto di informazioni e l'interruzione dei sistemi
informatici, la mancata consapevolezza della complessità della minaccia
cyber, le imprese sembrano non comprendere a pieno il problema, e di
conseguenza non si tutelano a sufficienza, o disperdono le risorse in
protezioni generalizzate e poco mirate a difendere gli asset
fondamentali. Per questa ragione va introdotto il tema della Cyber Resilience,
ovvero la costante analisi della capacità di resistenza di fronte alle
minacce e la tensione nel cercare di recuperare lo status quo precedente
all'evento emergenziale, adattandosi alla nuova condizione e trovando
eventualmente modalità alternative di comportamento, di operatività e di
funzionamento del business ".
La
forte connessione tra il mondo del cyber e della resilienza è emersa
chiaramente anche in un altro sondaggio condotto da Marsh in
collaborazione con DRII (Disaster Recovery Institute International)[2].
I risultati confermano che la resilienza dei sistemi informativi gioca
un ruolo fondamentale nel raggiungimento degli obiettivi di business, e
il loro malfunzionamento può avere un impatto importante sulla
reputazione aziendale.
Del resto gli scenari indicati dai partecipanti tra i più severi e probabili sono tutti legati al mondo informatico: danni alla reputazione causati da una violazione/furto di dati sensibili (impatto 79% - probabilità 79%), malfunzionamento al Data Center IT (59% - 77%), indisponibilità di servizi online a causa di un attacco cyber (58% - 77%).
Del resto gli scenari indicati dai partecipanti tra i più severi e probabili sono tutti legati al mondo informatico: danni alla reputazione causati da una violazione/furto di dati sensibili (impatto 79% - probabilità 79%), malfunzionamento al Data Center IT (59% - 77%), indisponibilità di servizi online a causa di un attacco cyber (58% - 77%).
"La posta in gioco è alta: ne va infatti dell'operatività di un'azienda, ma anche dei suoi risultati e della sua reputazione – aggiunge De Felice.
Per questo, diventa ancora più urgente lavorare sulle discrepanze che
emergono se si confrontano le risposte di CEO e Risk Manager nel
sondaggio effettuato da Marsh: i CEO sovrastimano i livelli di
protezione assicurativa dei rischi da loro stessi valutati come più
severi: il 28% infatti ritiene di disporre già di una specifica
copertura assicurativa contro gli attacchi informatici; il 21% ha
affermato di disporre anche di una copertura assicurativa per i danni
alla reputazione a seguito di un data breach. Di opinione nettamente
diversa sono i risk manager che, solo nel 6% dei casi, ritengono di
avere coperture dedicate a questi due rischi."
Assicurare
una protezione totale dai rischi informatici è impossibile, poiché
nessun sistema è impenetrabile. Per una difesa efficace bisogna, quindi,
saper prevedere una struttura plurifunzionale che potenzi il sistema di
risk management aziendale e favorisca lo sviluppo delle capacità di
resilienza dell'organizzazione.
I membri del CRO Forum, un gruppo di ricerca che riunisce i Chief Risk Officer di molte grandi imprese multinazionali, hanno individuato quattro pilastri su cui una struttura di Cyber Resilience dovrebbe fondarsi:
I membri del CRO Forum, un gruppo di ricerca che riunisce i Chief Risk Officer di molte grandi imprese multinazionali, hanno individuato quattro pilastri su cui una struttura di Cyber Resilience dovrebbe fondarsi:
- Preparazione, ovvero una fase che prevede i seguenti step: individuare gli asset fondamentali dell'impresa, sviluppare la capacità di affrontare diversi livelli di rischio, stabilire un corretto risk appetite, integrare il risk management nella struttura aziendale;
- Protezione, per raggiungere la quale è necessario: garantire l'immediatezza della reazione ad un evento avverso, e fare in modo che sia uno schema solido e ripetibile; condurre attente valutazioni delle minacce, con controlli accurati e azioni investigative nei confronti delle terze parti coinvolte; potenziare la gestione sinistri e promuovere l'educazione e la formazione del personale, se possibile anche con esercizi di simulazione;
- Analisi, promuovendo lo sviluppo e l'aggiornamento continuo delle capacità di monitoraggio e rilevamento di anomalie e minacce;
- Sviluppo, attraverso la creazione di un database completo degli incidenti, una "memoria storica" dell'azienda che sia da supporto all'attività formativa e consenta di affrontare con maggiore esperienza gli accadimenti futuri.
"Le
modalità con cui le organizzazioni possono essere colpite sono
innumerevoli, motivo per cui è difficile riuscire a prevedere con
esattezza l'impatto e i costi – conclude De Felice. Nemmeno
le organizzazioni del settore assicurativo, che possono contare su una
maggiore conoscenza in materia di protezione, sono esenti da questo
rischio, dal momento che utilizzano largamente la tecnologia
nell'interazione con i clienti e nella raccolta e custodia di una grande
quantità di dati sensibili personali. Chi si occupa di assicurazione
ha un ruolo chiave nel processo di sviluppo della resilienza aziendale
ai rischi informatici. Esperienza e capacità dovrebbero essere inclusi
come parte del prodotto assicurativo proposto, nel tentativo di
promuovere le forme di gestione migliori tramite il trasferimento del
rischio e i premi assicurativi."
CHI È ANRA
ANRA
è l'associazione che dal 1972 raggruppa i risk manager e i responsabili
delle assicurazioni aziendali. L'associazione opera attraverso la sede
di Milano e vari corrispondenti regionali. ANRA è il punto di
riferimento in Italia per diffondere la cultura d'impresa attraverso la
gestione del rischio e delle assicurazioni in azienda. Si relaziona con
le altre associazioni nazionali di risk manager in Ferma, a livello
europeo, e in Ifrima a livello internazionale.
ANRA è costituita da Risk Officer, Risk Manager ed Insurance Manager che operano quotidianamente nella professione e che trovano vantaggio nello scambio continuo delle proprie esperienze e nella condivisione di progetti a beneficio dello sviluppo del settore.
Complessivamente, le aziende pubbliche e private di cui fanno parte i soci rappresentano un fatturato complessivo di oltre 600 miliardi (pari a circa il 39% del PIL). Nella piena convinzione che l'esperienza sia il miglior argomento per diffondere la cultura del risk management, ANRA organizza incontri aperti a professionisti ed aziende su tematiche inerenti al rischio aziendale, corsi di formazione per nuove figure e scambi di esperienze con colleghi stranieri.
Nella sua attività di supporto a manager ed imprese, ANRA si appoggia a molti partner, come enti universitari, società di consulenza, compagnie assicurative, broker, società di servizio nell'ambito del rischio d'impresa: con le loro competenze specifiche, tutti questi attori portano valore aggiunto ai membri dell'associazione e alle loro imprese
ANRA è costituita da Risk Officer, Risk Manager ed Insurance Manager che operano quotidianamente nella professione e che trovano vantaggio nello scambio continuo delle proprie esperienze e nella condivisione di progetti a beneficio dello sviluppo del settore.
Complessivamente, le aziende pubbliche e private di cui fanno parte i soci rappresentano un fatturato complessivo di oltre 600 miliardi (pari a circa il 39% del PIL). Nella piena convinzione che l'esperienza sia il miglior argomento per diffondere la cultura del risk management, ANRA organizza incontri aperti a professionisti ed aziende su tematiche inerenti al rischio aziendale, corsi di formazione per nuove figure e scambi di esperienze con colleghi stranieri.
Nella sua attività di supporto a manager ed imprese, ANRA si appoggia a molti partner, come enti universitari, società di consulenza, compagnie assicurative, broker, società di servizio nell'ambito del rischio d'impresa: con le loro competenze specifiche, tutti questi attori portano valore aggiunto ai membri dell'associazione e alle loro imprese
[1]
Fonte: Allianz Risk Barometer, analisi realizzata tra ottobre e
novembre 2015 che si basa sulle risposte di oltre 800 professionisti del
rischio corporate provenienti da più di 44 paesi di tutto il mondo
--
www.CorrieredelWeb.it
Nessun commento:
Posta un commento