Le compagnie di assicurazione sono spesso in difficoltà nel valutare i rischi dei loro clienti quando si tratta di cybersecurity. Le polizze tradizionali utilizzano modelli attuariali basati su dati storici decennali o, in alcuni casi, persino centenari. Questi modelli consentono loro di prevedere i rischi e di garantire una copertura basata su premi altamente calcolati. Le assicurazioni sui rischi cyber, invece, rappresentano una sfida differente. In un contesto in cui le minacce sono sempre maggiori e la tecnologia cambia continuamente, i modelli assicurativi tradizionali si trovano ad affrontare uno scenario non solo complesso, ma anche imprevedibile.
La complessità delle polizze sui rischi legati alla cybersecurity
Nella scelta della compagnia assicurativa, le aziende devono prendere in considerazione una grande quantità di fattori dinamici, ciascuno con il proprio profilo di rischio. Il settore delle assicurazioni per la cybersecurity è stracolmo delle più diverse tipologie di coperture e prodotti per il rischio informatico. Ma se un piano assicurativo può proteggere un provider di tecnologia in caso di interruzione del servizio o guasto ai prodotti, può non essere in grado di coprire un’anomalia causata da altri cyber eventi.
Le aziende devono saper cogliere questa distinzione e accertarsi di ottenere la giusta copertura per il rischio cyber, senza dimenticare gli errori della tecnologia e la copertura per omissioni. Solo in questo modo si garantisce una reale copertura per problematiche ai prodotti, siano essi causati da cyber eventi o meno.
Man mano che le aziende affrontano la trasformazione digitale è necessario che includano una strategia di cybersecurity all’interno del loro programma di gestione dei rischi, al fine di assicurarsi contro ransomware, fughe di dati o altri attacchi informatici.
Il mercato delle cyber assicurazioni è complesso e tutt’altro che chiaro. I contraenti non devono pensare di essere coperti in modo completo grazie agli add-on o a bundle della loro copertura di responsabilità generale. Spesso, infatti, tali “add-on” coprono solamente alcuni tipi di incidenti oppure si riferiscono a scenari che non hanno a che fare con le attività di business dell’utente.
4 consigli su come scegliere la polizza migliore
Data la complessità delle cyber assicurazioni, come possono le aziende e i team di sicurezza accertarsi di ottenere la migliore copertura al miglior prezzo? Ecco quattro mosse vincenti.
1. Migliora la tua “cyber hygiene” e valuta la tua architettura
Fai una stima della superficie di attacco della tua azienda utilizzando strumenti di analisi e valutazione della superfice di attacco. Crea un elenco dei rischi informatici che potrebbero essere mitigati tramite patching, o l’attuazione di configurazioni migliori e altri strumenti di remediation. Poiché le aziende si trasformano rapidamente e con la stessa velocità adottano nuove tecnologie, devono anche valutare di volta in volta le loro architetture. Implementa modelli di fiducia adattiva e basata sul contesto ovunque si trovino dati e risorse, per consentire l’eliminazione della fiducia implicita e limitare l’impatto di un potenziale attacco. Una buona igiene informatica e un’architettura Zero Trust ti guideranno nella giusta direzione.
2. Comprendi i rischi correlati a terze parti
Nel mondo interconnesso di oggi, i rischi vanno ben oltre i perimetri tecnologici tradizionali. Un programma per la gestione dei rischi di terze parti è fondamentale per comprendere i pericoli della supply chain e
raccogliere i segnali rilevanti che forniscono informazioni alle aziende sulla loro superficie d’attacco, sulla security hygiene, sulla copertura assicurativa, la protezione dei dati e le strategie di privacy. È necessario effettuare valutazioni su base regolare dei partner della supply chain per garantire che la sicurezza e le misure per la privacy messe in atto dai fornitori siano aggiornate, nonché determinare se sia necessario limitare la quantità di dati che un fornitore elabora, o ancora, se uno di essi debba essere sostituito.
Nel processo di valutazione dei fornitori, è importante non dimenticare gli assicuratori. Fanno parte della catena di valore e sono un target accattivante per i criminali. Se gli hacker possono compromettere una compagnia assicurativa, sono anche in grado di accedere ai dati e ai limiti di copertura delle polizze dei suoi clienti. Quando si effettua la valutazione dei rischi dei fornitori, è necessario analizzare a fondo la security hygene dell’assicuratore, la governance, le strategie e i controlli adottati.
3. Scegli accuratamente il tuo fornitore
Molte delle principali e tradizionali compagnie assicurative usano ancora approcci manuali, basati su questionari, per misurare i rischi di un’azienda. Queste valutazioni basate sul momento presente non sono efficaci per numerosi motivi, tra cui il fatto che la persona incaricata di compilare il questionario spesso non conosce le risposte alle domande. Gran parte dell’innovazione in questo ambito proviene da operatori nuovi e zelanti sul mercato delle cyber assicurazioni, che sfruttano le tecnologie basate sui dati. Questi pionieri possono offrire molta più consulenza alle aziende, aiutandole a ridurre i rischi sia prima sia durante la validità della polizza, nonché consentendo loro di personalizzare le polizze in modo che soddisfino le necessità dei clienti.
È fondamentale che broker e assicuratori comprendano il business dei loro clienti. Gli assicuratori devono porre domande, conoscere nel dettaglio l’attività dei loro clienti e sapere quali pericoli vanno coperti affinché la polizza sia idonea al piano di rischio e di risposta agli attacchi.
4. Implementa l’automazione, ovunque sia possibile
Per garantire l’efficienza e l’efficacia dell’intero processo, dal monitoraggio della superficie esposta agli attacchi, fino alle partnership con gli assicuratori, passando per la gestione dei rischi di terze parti, utilizza, ovunque possibile, l’automazione. Idealmente, un’azienda dovrebbe essere sempre pronta e collaborativa in relazione al proprio livello di sicurezza e ai dati sui rischi posti dalla supply chain. La tecnologia può aiutare le aziende a raggiungere questo obiettivo, consentendo loro di valutare automaticamente le configurazioni e i controlli in un ambiente cloud, comprendere i rischi in una supply chain e valutare come appaia un’organizzazione dal punto di vista della superficie d’attacco.
Cybercriminali e ransomware non scompariranno – gli attaccanti continueranno a cercare nuovi modi per infiltrarsi e sottrarre dati, nonché per monetizzare le loro operazioni. Ma le aziende che cambiano la loro prospettiva sulla cybersecurity, che passano a tecnologie che consentono loro di valutare costantemente i rischi e che si affidano ai giusti assicuratori, saranno decisamente più preparate a proteggersi meglio dagli scenari peggiori.
di Nathan Smolenski, head of cyber intelligence strategy di Netskope
