Cyber risk: Differenza tra danni materiali e immateriali di tipo diretti e indiretti
Tecniche di gestione dei rischi
Per la Risk Management, una volta identificati e valutati i rischi e le relative cause ed effetti, è necessario avanzare con una serie di interventi tecnici e organizzativi di prevenzione e protezione volti a limitare frequenza e intensità dei possibili sinistri. Tali interventi devono essere confrontati e valutati alla luce dei costi e dei benefici che comportano. I costi si distinguono in diretti, relativi alla dotazione degli strumenti di gestione del rischio e della loro manutenzione e indiretti, dovuti a tutti quei fattori che vanno a modificare l’ambiente attuale.
La tecnica di trasferimento del rischio maggiormente utilizzata dalle imprese rimane l’assicurazione, combinata nell’ottica di accrescimento del valore dell’impresa, con adeguati livelli di ritenzione.
Tipologie di danni
Il tema del cyber risk rappresenta un punto critico nel processo di analisi e riduzione dei rischi cui un’azienda può incorrere nella conduzione della propria attività. Data la larga diffusione di tecnologie e modelli di business sempre più basati sulla rete, dove vengono possedute e scambiate informazioni sensibili, l’adozione di efficienti ed efficaci strumenti di gestione del cyber-rischio (cyber risk management) assume rilevanza cruciale, in quanto da essa possono dipendere le sorti stesse dell’impresa. Serve analizzare le possibili tipologie di danni e costi per capire se si ha bisogno di una polizza cyber e quali caratteristiche questa deve avere per tutelare il proprio business. Nello spazio cyber, si possono distinguere tre tipologie di danni:
- Danni materiali diretti: Riguardano i danni subiti da beni materiali (server, rete, PC o qualsiasi altro dispositivo elettronico) e direttamente causati dall’evento di natura tradizionale (incendio, terremoto, furto, atto maldestro o doloso, ecc.).
- Danni materiali indiretti: Si tratta sempre di danni materiali ma a conseguenza di danni diretti, per esempio uno sbalzo di tensione che danneggia una scheda che a sua volta lede la macchina di produzione da essa controllata.
- Danni immateriali diretti e indiretti: Si tratta della compromissione dell’integrità di un software e/o l’insieme logico di informazioni. Esempi di questa categoria possono essere l’incendio che brucia il server con il suo contenuto informativo, l’involontaria (o volontaria) cancellazione di un database contenenti informazioni sensibili piuttosto che l’azione di un virus o di un malware.
La copertura assicurativa di tali rischi è l’ultima fase di un processo ben definito che parte con l’analisi della realtà specifica dell’azienda, dal tipo di business che conduce al tipo di attività implementata fino alle caratteristiche dell’infrastruttura IT. Gli aspetti critici da tenere in considerazione possono essere, per esempio: il mercato di riferimento, la peculiarità dell’infrastruttura IT, il tipo di informazione trattato, le policy di cybersecurity e le misure di prevenzione e protezione poste in atto, e così via.
A fronte di tutte queste variabili si deve tenere in considerazione che l’assicurazione deve operare come strumento di tutela del bilancio aziendale, intervenendo a copertura dei rischi anche in funzione del risk appetite e risk tolerance. Inoltre si devono considerare i benefici derivanti da ulteriori azioni di prevenzione e protezione, per cui il costo da sostenere per aumentare i livelli di sicurezza può diventare insostenibile se comparato ai benefici connessi. La società deve pertanto stabilire oltre quale soglia sia maggiormente conveniente un trasferimento al mercato assicurativo del rischio residuo e, nel contempo, valutare il trade-off ottimale tra il prezzo della copertura assicurativa e il livello di esposizione residua al rischio.
