Cyber security

Rischio digitale: La tecnologia non è la soluzione a tutto

Le imprese fanno eccessivamente affidamento sui software per fronteggiare le minacce digitali. Dovrebbero invece aumentare i propi investimenti nelle competenze umane di gestione del rischio digitale e approfondire il tema della Cyber Insurance.

Le imprese hanno investito miliardi di dollari in tecnologie e software che promettono di arginare le minacce digitali. La spesa globale totale in software antivirus, per esempio, raggiungerà $3,77 miliardi nel 2019, secondo il gruppo di ricerche di mercato ARC.

Indubbiamente i software giocano un ruolo fondamentale nel combattere i rischi cyber, ma ci sono altre aree che sono state trascurate. Un dato significativo è quello che emerge dai risultati dell’International Business Report (IBR) di Grant Thornton, in cui i leader aziendali intervistati sostengono che l’eccessiva dipendenza dai software è la più grande debolezza nella gestione delle minacce digitali e relative alla privacy. Nell’insieme, si definiscono le minacce alla cyber security e alla data privacy come minacce digitali.

In quest’ottica Renato Sesana, Partner di Bernoni Grant Thornton, la member firm italiana di Grant Thornton International Ltd afferma: “dall’International Business Report di Grant Thornton emerge ancora una volta come i Top Manager ritengano che la protezione dalle minacce cyber risieda ancora troppo nelle infrastrutture software piuttosto che nel cosiddetto "fattore umano”.
Parte degli investimenti in tecnologia dovrebbero infatti essere reindirizzati nell’acquisire competenze specialistiche nel campo della cybersecurity nonché nella sensibilizzazione del personale per riconoscere e saper gestire in modo efficace eventuali minacce".

“Ma anche sul fronte della gestione del rischio" – prosegue Sesana - "intesa come riduzione dell’impatto, vi sono ampi margini di miglioramento, in particolar modo nel campo delle cosiddette Cyber Insurance. E’ un mondo questo ancora immaturo che per crescere necessita della collaborazione tra imprese e compagnie assicurative soprattutto per arrivare a determinare una corretta valutazione dell’impatto economico del rischio digitale”.

È incoraggiante constatare che i leader d’impresa siano consapevoli di tali minacce. Ma ora devono agire, affinando le proprie competenze digitali specialistiche e la consapevolezza di tutti i dipendenti sulla cyber security. Dovrebbero inoltre approfondire il tema della cosiddetta cyber insurance.

Questo non significa dover spendere più denaro. In molti casi sarà possibile ridurre gli investimenti in software rafforzando le proprie competenze umane e le coperture assicurative. Un dato eloquente lo fornisce l’ARC, che prevede che i ricavi del mercato dei software antivirus crolleranno a un CAGR del -1,2% nei prossimi cinque anni.

Aumentare la consapevolezza e affinare le competenze

Nuovi modi di aumentare la consapevolezza

Le imprese possono avere software di cyber security sofisticati, ma questo non eviterà l’errore umano che si cela dietro a molte violazioni della sicurezza informatica. Dopotutto, è la forza lavoro umana a rispondere alle email di phishing e ad installare software non autorizzati.

Ma le imprese spendono cifre considerevolmente più elevate in software di cyber security che non educano le persone che vi lavorano, quindi non sorprende che l’eccessiva dipendenza dalla tecnologia sia vista come una delle principali debolezze nella gestione del rischio digitale.

Si può cercare di risolvere questa situazione aumentando la consapevolezza di tutti i dipendenti sulla cyber security. Ma come? In realtà, le imprese tengono webinar e corsi di formazione obbligatori da anni, ma l’errore umano continua ad esporle ad attacchi informatici. È necessaria una nuova forma di educazione.

Christos Makedonas, technology risk leader di Grant Thornton Cipro, afferma che sarebbe più utile utilizzare format più brevi. “Nessuno ha tempo di guardare lunghi video di formazione” dice. “Dovrebbero essere ridotti ad un massimo di due minuti. C’è inoltre bisogno di promemoria visivi – come banner per tutto l’ufficio e messaggi sugli schermi – per ricordare alle persone la best practice.

“Le imprese dovrebbero poi simulare dei tentativi di phishing e i dipendenti che rispondono dovrebbero ricevere una formazione aggiuntiva. Abbiamo constatato che programmi di formazione di questo tipo sono molto più efficaci rispetto ai webinar convenzionali”.

Prima identificare le vulnerabilità, poi investire

Le imprese devono capire dove sono più vulnerabili ad attacchi informatici e alle violazioni degli obblighi sulla protezione dei dati prima di investire in software preventivi. Tutto ciò richiede competenze specialistiche che molte imprese non hanno.

“Le imprese hanno bisogno di avere competenze in tema privacy che possano aiutarle a tracciare i propri dati e capire i requisiti normativi che le riguardano - in particolare in un ambiente cloud” afferma Mike Harris, partner, Cyber Security Services di Grant Thornton Irlanda. “Hanno inoltre bisogno di competenze specifiche per poter gestire le tecnologie cyber che utilizzano.

“Per esempio, se un’impresa usa dei servizi cloud forniti da Amazon o Azure, deve avere internamente le competenze necessarie per comprendere cosa questi servizi faranno o non faranno con riferimento alla cyber security. Questa parte di competenze solitamente è trascurata.”

Tecnologie analitiche avanzate richiedono menti analitiche avanzate

Molte imprese hanno investito molto in tecnologie analitiche di cyber security avanzate, che aiutano a identificare nuove minacce e vulnerabilità.

Ma queste sono efficaci solo in parte, perché c’è bisogno anche delle persone che devono interpretare i risultati e implementare i cambiamenti di conseguenza.

“Molte persone guardano alla tecnologia come a un rimedio miracoloso, ma non lo è” afferma James Arthur, partner, head of cyber consulting, Grant Thornton. “Molte società spendono un sacco di denaro per software analitici di cyber security basati sull’AI, che possono essere molto utili in alcune circostanze, tuttavia serve molto tempo per impostare i criteri giusti che permettano di ottenere risultati efficaci. C’è inoltre bisogno di avere delle persone alla fine di questa catena che possano analizzare i risultati e apportare/approvare i cambiamenti necessari”.

Cyber insurance

Assicurarsi contro l’inevitabile

“Ci sono solo due tipi di imprese: quelle che sono state attaccate e quelle che lo saranno. Ed entrambe stanno convergendo in un’unica categoria: società che sono state attaccate e che verranno attaccate ancora”.

Queste le parole dell’ex direttore dell’FBI Robert Mueller nel 2012.

Il suo messaggio è chiaro – e vale tanto oggi quanto sette anni fa: un attacco è inevitabile. Sostiene fortemente la necessità di investire in un’assicurazione per mitigare l’impatto di eventuali attacchi informatici, piuttosto che investire solo in software per prevenirli.

“Qualsiasi programma efficace di gestione del rischio digitale deve avere un elemento di investigazione, risposta e assicurazione perché gli attacchi informatici sono inevitabili” afferma Mike Harris. “Stiamo assistendo a una maggiore adozione di polizze assicurative che coprono sia gli attacchi informatici sia le violazioni della privacy dei dati. Ma sebbene siano misure perentorie e il loro uso sia in aumento, la maggior parte delle imprese non ha ancora implementato questo tipo di assicurazioni”.

Le imprese possono supporre che la propria polizza assicurativa generica protegga anche dagli attacchi informatici. Ma potrebbero ricevere delle spiacevoli sorprese; per esempio, la compagnia assicurativa Hiscox è coinvolta in un contenzioso con la società legale DLA Piper – del valore probabile di diversi milioni di sterline – generata dal fatto che quest’ultima non aveva una polizza informatica specifica.

Esaminare la copertura da un punto di vista legale

Ma non è detto che quelle imprese che hanno in essere un’assicurazione informatica possano stare del tutto tranquille. Le compagnie assicurative potrebbero rifiutarsi di pagare se ritengono che l’attacco sia utilizzato come una dichiarazione di guerra, se generato da operatori finanziati dallo Stato.

“Avere un’assicurazione va bene, ma occorre stare attenti ai dettagli” spiega James Arthur. “Abbiamo visto compagnie assicurative insistere per non pagare perché gli attacchi erano riconducibili a enti pubblici”. Molti malware si generano e si diffondono da certi tipi di attività promosse dallo Stato, quindi le imprese devono stare molto attente ai dettagli più minuti.

Inoltre, le polizze informatiche possono contenere delle clausole che richiedono alle imprese di installare frequenti aggiornamenti e patch. Il mancato aggiornamento potrebbe portare a un mancato rimborso nel caso di un attacco.

“Alcune polizze richiedono alle imprese di aggiornare i propri sistemi molto più frequentemente di quanto siano abituate – o di quanto siano disposte a farlo, date le interruzioni che ne potrebbero derivare” aggiunge Arthur.

Le imprese devono pertanto esaminare da un punto di vista legale i dettagli delle proprie assicurazioni contro i rischi legati alla cyber security per assicurarsi di essere coperte e soddisfare tutti i requisiti.

Collaborare con le compagnie assicurative

Quello dell’assicurazione contro il rischio digitale è diventato un tema sempre più diffuso, ma il livello di complessità dell’offerta assicurativa non è cambiato. Questa è l’opinione dei leader aziendali intervistati nell’IBR di Grant Thornton. Infatti, più di due terzi di loro crede che il settore debba migliorare e ampliare la propria offerta alle imprese con riferimento al rischio di violazione della privacy.

“Il mercato dell’assicurazione contro le violazioni informatiche e dei dati è molto lontano dall’essere maturo come altri mercati assicurativi”, spiega Christos Makedonas. “Le compagnie assicurative fanno fatica a valutare i rischi perché le imprese hanno vulnerabilità differenti. Due società che operano nello stesso settore e della stessa dimensione possono avere una cultura diversa e utilizzare tecnologie diverse, il che rende molto difficile dare un valore al rischio.

“Tuttavia è molto importante per le imprese approfondire questo tema e lavorare insieme alle compagnie assicurative per far progredire il mercato”.

Cinque suggerimenti per la gestione del rischio digitale

Gli approcci tradizionali alla formazione in tema di cyber security non sono efficaci. Le imprese dovrebbero sviluppare video più brevi e più frequenti e simulare attacchi di phishing per formare meglio la propria forza lavoro.

Le imprese hanno bisogno di competenze per identificare e mappare le proprie vulnerabilità digitali. Hanno bisogno di selezionare personale specializzato  a complemento dei software di cyber security. Questo farà sì che gli investimenti in software per la prevenzione siano reindirizzati verso le aree giuste.

Tutte le imprese subiranno almeno un attacco informatico – non importa quanto investiranno in software per prevenirlo. Una polizza assicurativa generica potrebbe non coprire gli attacchi informatici, quindi le imprese dovrebbero implementare assicurazioni specifiche contro i rischi digitali che coprano sia gli attacchi cyber sia le violazioni dei dati.

Ma il mercato della cyber insurance è relativamente immaturo. Pertanto, le imprese dovrebbero investire del tempo nell’istruire le compagnie assicurative sulle proprie vulnerabilità in modo da dare il giusto valore monetario al rischio.

Una volta ottenuta l’assicurazione, le imprese devono fare molta attenzione ai termini e alle condizioni. La mancata installazione degli aggiornamenti potrebbe invalidare l’assicurazione.

Questi suggerimenti devono però essere adattati allo specifico contesto di gestione del rischio digitale di ciascuna impresa. Pertanto il primo passo per i leader aziendali è comprendere le proprie vulnerabilità e minacce specifiche e solo allora potranno implementare le tecnologie, iniziative di formazione e coperture assicurative più adeguate.