SICUREZZA AZIENDALE

Sistemi informativi e polizze: l’importanza degli aggiornamenti in ottica cyber insurance

Una revisione annuale delle cyber insurance serve anche a verificare i cambiamenti architetturali implementati in materia di sicurezza. Ecco quali sono i vantaggi di mantenere i sistemi giovani e svecchiare le polizze cyber

17 Set 2018
C
Cristiano Campion

Cyber Insurance Specialist Allianz-Moscova & Partners

Al giorno d’oggi progettare o appoggiarsi su una infrastruttura informatica sicura significa disegnare un sistema e dei processi in grado di recepire velocemente (se non dinamicamente) gli aggiornamenti di sicurezza messi a disposizione, essere in grado di testarli e rilasciarli perché sempre più la battaglia col cyber crime si gioca su vulnerabilità e attacchi zero-day.

D’altronde, nel campo della cyber insurance si indaga già in fase assuntiva per capire se i sistemi hanno adeguate procedure di aggiornamento, con che periodicità e se tali procedure siano automatiche.

Per ora è quasi sempre un esercizio volto a valutare l’entità del rischio, perché se oggi può essere una leggerezza, con il tempo diverrà anche insostenibile: se non aggiorni i sistemi non ti proteggo.

Combattere nuove minacce ridisegnando l’architettura di sicurezza

Hai aggiornato l’antivirus? Hai configurato il firewall? Usi un proxy per Internet? Fino a qualche anno fa, queste erano le domande che un consulente di sicurezza avrebbe potuto fare al responsabile IT di qualunque azienda preoccupato di un attacco da virus informatico.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Da allora le cose sono un po’ cambiate: gli aggiornamenti di sicurezza dei sistemi sono diventati settimanali, quelli degli antivirus giornalieri, ma l’architettura di sicurezza in sé è stata completamente ridisegnata. Nell’era dei ransomware e dei cryptolocker, oggi parliamo di endpoint protection, dove il passaggio e l’integrazione con il cloud ha reso la sicurezza un elemento che si estende al di fuori dell’azienda e pertanto va gestita in quest’ottica.

Il 2017 è stato segnato da un deciso incremento degli attacchi informatici. Tra questi, quello ad aver destato maggiori preoccupazioni è stato l’attacco simultaneo avvenuto tra maggio e giugno 2017 ad opera di WannaCry, che ha interessato molte aziende e che si è protratto fino al maggio 2018 quando è stata colpita la Boeing: oltre un anno dopo il rilascio delle patch di sicurezza il ransomware continua a colpire.

Aggiornare i sistemi informatici è fondamentale

L’esempio di WannaCry, purtroppo, non è l’unico malware che ha continuato a propagarsi indisturbato trovando terreno fertile nei sistemi non aggiornati. Le patch di sicurezza, purtroppo, vengono inesorabilmente ignorate. È notizia di questi giorni, ad esempio, il rilascio da parte di Oracle e SAP di importanti aggiornamenti di sicurezza, con l’invito ad una immediata installazione sui sitemi vulnerabili. Ciononostante, sono state individuate ben 17.000 installazioni, 3.000 aziende, almeno 10.000 server e una serie di università ed enti governativi che non avevano installato tali patch, né adottato altre misure di sicurezza raccomandate.

Addirittura l’US-CERT, il Computer Emergency Readiness Team americano, ha lanciato l’allarme sull’elevato rischio di sottrazione di dati sensibili come dati finanziari, brevetti o numeri di carte di credito gestiti attraverso software affetti da vulnerabilità vecchie anche di dieci anni e mai corrette che i criminali informatici potrebbero sfruttare per acquisire l’accesso ai sistemi SAP e Oracle e riuscire a controllarli anche da remoto senza lasciare tracce visibili.

È auspicabile, quindi, che nei prossimi mesi venga rilasciata una qualche linea guida legislativa per iniziare a identificare la sicurezza dei sistemi informatici come un elemento dapprima di distinzione e poi come prerequisito, come già è avvenuto per il GDPR nella Pubblica Amministrazione: o sei compliant oppure potresti essere estromesso da una gara.

Ovviamente le architetture di sicurezza devono evolvere di conseguenza: DMZ, Guest LAN in Wi-Fi, ambienti virtuali e sandbox sono solo alcune delle evoluzioni architetturali introdotte negli ultimi anni, ma altre ne arriveranno.

Sempre più aziende si stanno aprendo all’e-commerce ed hanno una presenza che ormai valica i confini nazionali: tutto questo va protetto adeguatamente, la cyber security aziendale va adeguata e tenuta sempre aggiornata in base alle evoluzioni del business.

Cyber insurance: l’importanza di una revisione annuale

A livello assicurativo, per le polizze cyber, oggi è consigliabile una revisione annuale delle condizioni di polizza per verificare i cambiamenti architetturali implementati in materia di sicurezza. Anche perché il livello di automazione industriale e di processo può variare significativamente e nella polizza tutto ciò che non è esplicitamente nominato verrebbe automaticamente escluso. È chiaro, pertanto, che procedere ad una revisione annuale delle condizioni è di mutuo interesse per l’assicurato e la compagnia di assicurazione, per poter prendere atto dei cambiamenti tecnologici e delle soluzioni di protezione corrispondenti.

Altri sono i vantaggi derivanti dallo “svecchiamento” di una polizza: in generale le compagnie di assicurazioni aggiornano i loro prodotti quando ci sono cambiamenti normativi, ma oggi ci sono motivi in più per farlo. Alcune polizze sono state arricchite includendo elementi legati alla cyber security e via via lo sarà sempre più data la pervasività della tecnologia in tutti gli aspetti della nostra vita: salute, tempo libero, viaggi e mobilità ma anche vita sociale e business ovviamente.

Sarebbe anacronistico per gli assicuratori ignorare l’esistenza di questi cambiamenti ed è un sacrosanto diritto per gli assicurati chiedere una revisione delle condizioni di polizza, per incorporare anche quegli elementi cyber che sono entrati a fare parte della propria vita: che sia un dispositivo IoT o un dispositivo di allarme collegato alle forze dell’ordine o di un antifurto satellitare.

L’impatto delle normative privacy sulla cyber insurance

È necessario segnalare anche i mutamenti sostanziali nelle recentissime polizze cyber, trasformazioni importanti su cui vale la pena soffermarsi. L’introduzione ad esempio di un sistema di log e monitoraggio: agisce in due modi per la prevenzione immediata, provvede all’inoltro automatico di un alert in caso di sospetto data o system breach e tenendo traccia dell’evento ai fini forensi, così da permettere una risposta tempestiva e atta a contenere le conseguenze di un attacco. Il tutto gestito da un provider terzo, rispetto alla compagnia di assicurazioni, che pertanto non avrà alcun accesso diretto alle informazioni, nel pieno rispetto della privacy e della copertura assicurativa.

Non solo, il sistema di monitoraggio permetterà agli operatori di poter analizzare gli eventi e indicare alle compagnie di assicurazione come costruire nuovi modelli di rischio, contribuendo a migliorare i sistemi di risposta, ovvero i servizi complementari offerti in polizza: in due parole, un servizio migliore al cliente.

L’anello debole della catena di sicurezza: l’uomo

Ma qualunque soluzione tecnica e di prevenzione per rinforzare la sicurezza informatica e per proteggere in caso di attacco, non può prescindere dall’anello debole della catena: il fattore umano.

Ancora oggi gli attacchi esterni non arrivano al 30% degli attacchi totali occorsi.

Ciò non vuole dire che non bisogna proteggersi, ma che all’interno delle aziende c’è ancora molto lavoro da fare, soprattutto a livello informativo e formativo: aggiornare la base utenti su come proteggere i dati e le informazioni.

Un altro 30% è riconducibile all’accesso diretto a dispositivi contenenti informazioni elettroniche (PC portatili, laptop, tablet, chiavette USB, smart card e dispositivi mobili in genere) che vengono sottratti o dimenticati in luoghi non sicuri o non sufficientemente protetti, per incuranza, superficialità ma banalmente perché si considera sicura la propria password e i dati spesso non sono criptati, perché manca questa informazione.

Il restante 40% degli attacchi è riconducibile al comportamento delle persone che non rispettano le privacy policies oppure le stesse non sono adeguate (8%), non sono state testate, o peggio non sono state comunicate ed opportunamente trasmesse.

Si sta investendo tanto sul GDPR ma se la base utente non riesce o non può o non vuole metterla in pratica, è un esercizio inutile.

All’interno di questo 40% vi è una parte di fughe di dati causate da errori umani (15%) ed errori software (3%). I programmatori sono anch’essi uomini, possono sbagliare e anche coloro che conoscono le procedure possono sbagliare a metterle in pratica. È pertanto necessario controllare e rivedere ciclicamente le procedure ed aggiornarle qualora ci si accorga che contengono errori e buchi logici.

Una parte minoritaria all’interno di questo 40%, ma significativa (15%), è infine rappresentata da chi infrange, sapendo di farlo, le procedure di sicurezza. E forse qui varrebbe la pena di informarlo sulle conseguenze penali di tale comportamento.

In conclusione, ancora una volta il GDPR ha acceso una nuova luce sul significato di aggiornamento ed informazione che deve essere costante e professionale.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr