Trasferimento dei “rischi residui” delle attività informatiche tramite polizze Assicurative

Nell’ultimo  periodo  si assiste al  diffondersi  dell’informatica in ogni campo in modo pervasivo anche in campi già normalmente soggetti ad altri rischi (IoT, Indistria 4.0, ecc).
Questo pone gli “addetti ai lavori” e gli “utilizzatori finali” di fronte ad una serie di rischi sostanziali, non trattandosi più solo di attività “accessorie” bensì di parte del processo di produzione.
I danni sono soprattutto derivanti da errato utilizzo, guasto (che causa fermi importanti delle attività) e da tentativi di causare danno (malware, phishing, ecc).
Sebbene si agisca sulle riduzioni dei rischi, agendo ad esempio sulle strutture organizzative e sul personale, con adeguata formazione, rimane il problema di determinare come coprire il così detto “rischio residuo”, ovvero quella parte di rischio residuale che è stato necessario accollarsi e quindi mantenerla o si è evidenziata l’impossibilità di risolverla adeguatamente. (vedere capitolo 7)link

La stima dei rischi residui in questo campo è difficile, le variabili da considerare sono molte e soggette ad  una  variazione  rapida, sia come casistica, che come entità.
Tipicamente  il  punto  di  vista  di  un’analisi  tecnica  di  risk  management  specifica  tende  a minimizzare le % e la magnitudo degli accadimenti residuali (e a limitarla assolutamente a quelli conosciuti), rendendo  così  le  stime  sui  rischi  residui più  favorevoliper incentivare ad accollarsi il rischio residuo “in proprio”.
D’altronde in Italia le assicurazioni  dell’attività  informatica  si  contano  sulla  punta  delle dita, sono infatti pochi che  accettano  di  fornire  polizze  specifiche  sulle  perdite  di  profitto  o sui danni determinati  da  eventi informatici dannosi. Sia per la scarsa conoscenza del tema, sia per l’elevata variabilità dello stesso, che non permette una stima statistica affidabile, dato su cui si basano per il calcolo dei premi di assicurazione.

Trasferire il rischio informatico è un’operazione sia tecnica che economica, basata sulle capacità dell’imprenditore di evitare gli incidenti, ed attuare tutte le procedure per minimizzarne l’eventualità, sulle capacità di un tecnico “super partes” di dare una valutazione idonea e sulle capacità di un’assicuratore di valutare, anche sulla base delle sue esperienze di “rimoborso sinistri”, di creare un’offerta accettabile da entrambe le parti.

Il  primo  risultato  è una  valutazione  “tecnico-assicurativa”  del  proprio rischio, un “campanello d’allarme” proveniente da un settore che non è quello tecnico. Inoltre si dovrà stimare la  cosiddetta  “valutazione  della  perdita economica”  per scenari  critici  e  dannosi, per quantificare il “massimo danno probabile” (o “i” se più di un tipo).
Il massimo danno informatico probabile è una perdita di utile, di immagine, di affidabilità, che si ripercuote su tutto lo stato economico dell’azienda, per più tempo di quello necessario alla semplice “risoluzione tecnica”, riduce gli utili  dell’anno in  corso  e  di  quello  successivo, con effetto immediato sulla fiducia dei clienti (per ritardi nelle consegne, perdite di immagine, errori o perdite dati personali).

Quali sono i rischi trasferibili, analizziamoli insieme:

1. Danni Diretti: le perdite direttamente imputabili malware o ad errori  degli  operatori (operativi, di configurazione, di trascuratezza), ma anche guasti e furti, compresi i costi per il ripristino. Ricadono qui anche gli errori delle società esterne o per dolo dei dipendenti (privacy, furto informazioni, etc..) o di malintenzionati (cybercrime,spionaggio industriale); ogni evento che abbia alterato dati o resa impossibile l’attività di elaborazione degli stessi.
2. Danni Indiretti: sono invece quelli conseguenti ad uno degli eventi diretti; perdite di profitto, spese straordinarie, difesa del Brand, o perdita di immagine, frode o responsabilità professionali. Sono inclusi qui anche i danno causati ad altre apparecchiature non “direttamente informatiche” come ad esempio macchine operatrici o la perdita delle merci in lavorazione a causa del guasto.

È per questo che la valutazione di una polizza resta un ottimo investimento in “sicurezza”.

Vi portiamo l’esempio che abbiamo valutato, senza citare nomi per evitare pubblicità (restiamo a disposizione però per eventuali suggerimenti).

L’Agenzia ci mette in contatto con una società che effettua, dopo aver ricevuto una nostra autorizzazione scritta, un penetration test e un security assessment sugli asset da noi indicati come “strategici” e da proteggere.
Ovviamente sono quelli che abbiamo deciso di voler proteggere assicurandoli, e quelli su cui si baserà il premio di polizza.
Al termine del test viene assegnato un punteggio da 1 a 5 (1 = ottimo, 5 = scarso) che inciderà sulla possibilità di accedere a certi tipi di assicurazione del rischio e ad una percentuale di sconto crescente tanto più quanto più siamo stati virtuosi ad assicurare la sicurezza del Sistema.

Con il report in mano l’Agente ci mostra cosa possiamo includere e basandosi su un altro paio di dati (dimensione del cliente medio e fatturato della nostra azienda) ci propone delle fasce di prezzo che coprono man mano rischi crescenti, assicurano per valori e forniscono coperture ausiliarie (ad esempio l’assistenza legale per i contenziosi).

Bene, la cosa che ci ha stupito innanzitutto è stata la qualità della verifica, effettuata da una società INFORMATICA (non da un’assicurazione), il che espone, in caso di inadeguatezza, alcuni dubbi sulla qualità delle strutture adottate. E poi sinceramente non ci aspettavamo … IL PREZZO!

Un costo che è effettivamente alla portata anche di piccole aziende, proprio perché il rischio è rapportato alla effettiva validità delle misure adottate (e generalmente i “piccoli” sono più attenti nonostante abbiamo minore potere di spesa) e alla dimensione del danno causabile.

Parametri forniti dal cliente stesso durante l’esecuzione del test e la successiva scelta delle fasce legate al fatturato e servizi.

Non vi dico il costo per una società come la nostra, che ha diversi server di clienti su internet, lavora tecnicamente su programmi gestionali, che ha diversi collaboratori saltuari e 8 persone fisse sui vari progetti, ma vi assicuro che costa meno dei caffè che ogni giorno beviamo tra colleghi…