Miti e false idee sulla cyber insurance

Miti e false idee sulla cyber insurance

12 giugno 2018 0 Di Yuri Poletto

 

I rischi cyber e la cyber-security sono al centro dell’attenzione sia dei media sia dei consigli di amministrazione delle società di tutto il mondo. Abbiamo assistito al costante aumento delle frodi informatiche e a rivelazioni di enormi violazioni di dati, nonché a eventi sul web che paralizzano le aziende. Eppure, nonostante l’ovvia necessità, l’adozione della cyber insurance rimane bassa.

 

Cyber: cosa significa?

In un mondo in cui la tecnologia è incorporata praticamente in ogni cosa, il termine “cyber” è un termine abusato. Questa mancanza di una definizione precisa spesso porta a fraintendimenti. Vediamo quindi innanzitutto cosa si intende per “cyber risk”.

Il termine “Cyber risk” indica qualsiasi rischio per un’organizzazione di subire un danno finanziario, un’interruzione di attivita’ o un danno alla reputazione di, derivante da un qualche tipo di fallimento dei suoi sistemi informatici. Esistono numerose minacce e livelli di vulnerabilità, e un incidente informatico può portare a diversi tipi di perdite economiche per l’organizzazione che la subisce (si veda la tabella in fondo all’articolo per maggiori dettagli).

Poiché i cyber-risk sono così pervasivi, si puo’ essere portati a pensare che questi rischi possano essere coperti dalle polizze di assicurazione gia’ stipulate, siano esse Property o Liability. Nel migliore dei casi ciò può essere solo parzialmente vero, ma poiché ogni polizza ha uno scopo specifico, ci saranno quasi certamente delle lacune nella copertura.

Il cyber come fattore di rischio tocca molti aspetti di un’azienda e le sfaccettature del rischio riguarderanno anche altri prodotti assicurativi. Quindi, senza la guida specialistica di un intermediario o di un assicuratore specializzato, e’ abbastanza facile avere un’idea errata sulla disponibilità o l’efficacia della copertura. I prodotti cyber insurance utili esistono. In particolare, i Lloyd’s sono all’avanguardia in questa nuova frontiera assicurativa e vantano oltre 17 anni di esperienza nella copertura dei cyber risk.

Inoltre, parlando con un assicuratore o un intermediario specializzato i clienti hanno l’opportunità di analizzare, prima di sottoscrivere una polizza, i potenziali scenari di danno ai quali la loro attivita’ puo’ essere esposta, avendo cosi’ la possibilita’ di comprendere meglio come una copertura potrebbe rispondere in ciascuno di questi scenari, riducendo cosi’ la probabilita’ di delusioni nel momento di un sinistro. Questo esercizio può anche aiutare l’organizzazione ad individuare ed eliminare alcune aree di rischio che possono essere meglio affrontate con altre coperture assicurative.

 

Alcuni utilizzi della cyber insurance nella pratica.

La sicurezza informatica ha una valenza diversa per i diversi stakeholder aziendali. E’ importante quindi comprendere che sottoscrivere una polizza cyber che soddisfi tutti gli stakeholder richiede che qualcuno si assuma un ruolo guida nel comprendere i singoli punti di vista e preoccupazioni. Ecco alcuni esempi:
Un responsabile della sicurezza delle informazioni (CISO) potrebbe essere interessato ad individuare la potenziale superficie di attacco e vorrebbe mostrare continui miglioramenti nelle KPI. Gli assicuratori cyber hanno una visione unica di ciò che rende costoso un incidente informatico. Le domande poste dagli assicuratori in fase di valutazione del rischio, o eventuali esclusioni che emergono durante l’analisi della quotazione, possono aiutare un’azienda a dare un’ordine di priorità alle proprie iniziative di sicurezza informatica.
Un Chief Information Officer (CIO) potrebbe voler bilanciare la spesa con le esigenze tecnologiche dell’azienda, al fine di massimizzare il ROI della propria business unit. Una polizza cyber può aiutare a trovare il trade-off ideale tra la spesa per i sistemi di prevenzione e protezione e la copertura assicurativa, e il livello di ritenzione del rischio, aiutando il CIO a a raggiungere il suo obiettivo.
Il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea prevede che le imprese dispongano di un piano di risposta agli incidenti e che notifichino qualsiasi violazione dei dati entro 72 ore dalla presa di coscienza dell’evento. Una polizza cyber può essere una parte importante di questo processo. Può aiutare a preparare l’attività prima, durante e dopo un incidente cyber.


Ti potrebbe interessare anche: I principali freni allo sviluppo del mercato della cyber insurance


 

Quanto sono affidabili le polizze cyber?

Le polizze cyber sono efficaci per la copertura dei rischi cyber, a patto che si abbia piena consapevolezza delle complessità di questa classe di rischio. Poiché includono sia garanzie dirette che di responsabilita’ civile, le polizze cyber possono generare incomprensioni. Spesso, laddove un assicuratore è pesantemente criticato per essersi rifiutato di pagare un sinistro cyber, ci possono essere motivi legittimi per la sua decisione, come ad esempio il mancato rispetto da parte dell’assicurato delle procedure previste dalla polizza.

Ad esempio, la garanzia breach response (risposta agli incidenti cyber) spesso richiede all’assicurato di coinvolgere l’assicuratore nella gestione della crisi molto prima rispetto ad altri tipi di assicurazione, e di ottenere il consenso dell’assicuratore prima di sostenere le spese per la gestone degli incidenti. Oltre ad essere un requisito della polizza, la notifica anticipata offre inoltre all’assicurato l’opportunità di beneficiare dell’esperienza dell’assicuratore. Se coinvolto abbastanza presto, l’assicuratore potrebbe essere in grado di aiutare a minimizzare i costi.

Questo evidenzia un vantaggio distintivo della cyber insurance: con questa polizza si acquista più di una semplice copertura, dal momento che offrira’ anche l’accesso a consulenze specializzate e supporto in un momento di notevole incertezza e preoccupazione per un’organizzazione. Ciò può aiutare gli assicurati a prendere buone decisioni e quindi a mitigare i danni alla loro reputazione e le perdite economiche.

L’ottenimento del pagamento di un sinistro cyber segue uno schema abbastanza noto. L’assicurato deve innanzitutto verificare se esiste una procedura da seguire, e non semplicemente attivare il servizio di risposta agli incidenti e inviare una fattura per il rimborso. A volte l’assicuratore farà tutti gli accordi con i vari service providers al posto dell’assicurato. E’ importante inviare il reclamo al proprio assicuratore o all’intermediario il prima possibile, fornendo dettagli in modo chiaro, documentando il danno e tenendo aperte le linee di comunicazione.

In altre parole, piu’ che per altri tipi di polizze, con le polizze cyber insurance e’ cruciale capire le procedure e agire di conseguenza. Per il resto, le polizze cyber sono normali polizze di assicurazione, in grado di fornire un’ampia copertura, con condizioni negoziabili e premi che possono essere anche molto competitivi e che lo saranno sempre di piu’ con l’ampliamento del mercato e l’aumento della concorrenza.

 

Si=generalmente incluso nella copertura (con eventuali sottolimiti). No=generalmente escluso dalla copertura

* I costi di gestione dell’incidente includono normalmente: digital forensic, notifiche delle violazioni, credit monitoring e altri costi simili.

Fonte: Airmic


Iscriviti alla nostra newsletter

Condividi il post