L'assicurazione che sprona a migliorare la cybersicurezza: ne parliamo con Resilience

È da tempo che esistono assicurazioni specializzate per proteggere le aziende dai rischi legati al crimine informatico. Tuttavia, tali polizze non tutelano realmente le aziende dai danni e possono ripararli solo limitatamente: nel caso di danni alla reputazione, ad esempio, non c'è polizza assicurativa. L'approccio di Resilience è dunque doppio: da un lato fornire servizi assicurativi alle aziende, dall'altro dare loro degli incentivi per migliorare il proprio approccio alla sicurezza. Ne abbiamo parlato con Andrea Nicelli, Responsabile dell'Assicurazione in Italia, e Si West, Direttore dell'Engagement del Cliente presso Resilience.

Oltre l'assicurazione: Resilience sprona le aziende a migliorare la sicurezza

Durante la nostra conversazione con Nicelli e West è emerso chiaramente come Resilience usi un approccio in cui cerca di incentivare le aziende a migliorare la propria sicurezza. "Per aiutare le aziende a valutare, misurare e gestire il rischio, controlliamo la loro superficie di rischio: questo significa monitorare costantemente le esigenze di sicurezza per tradurle in valore finanziario, valutare quanto di tale valore sia a rischio, quali sono le possibili perdite materiali e, cosa più importante, cosa si possa fare al riguardo", ci dice West.

"Il mercato europeo in generale è servito molto poco dalle cyber-assicurazioni e nonostante l'Italia sia un centro critico per l'innovazione digitale, le aziende nel Paese affrontano minacce significative da parte del crimine informatico, in particolare nella sanità, nella pubblica amministrazione e nelle università; al momento a tali settori mancano soluzioni comprensive di cyber-assicurazione, ma mancano anche i controlli di sicurezza IT di base", ci dice Nicelli (in foto a destra). "Il modello tradizionale in cui si trasferisce il rischio cyber sui bilanci non funziona in questi settori dove le organizzazioni sono immature dal punto di vista della cybersicurezza. C'è quindi bisogno di soluzioni che offrano funzionalità di visibilità integrate con la polizza assicurativa."

La posizione di Resilience, che offre copertura ad aziende e organizzazioni con un fatturato tra 50 milioni e 10 miliardi di euro, è dunque di collocarsi non solo come un'assicurazione, ma come una realtà in grado di spronare i propri clienti a cambiare, "perché vediamo ciò che non va e siamo quindi in grado di spingere i nostri clienti a cambiare i propri comportamenti", ci dice West. "I cyber criminali fanno più soldi che mai, ma non è un problema tecnologico: è un problema legato alle persone. Significa che non gestiamo il rischio nella maniera corretta. Spesso i CSO sono bloccati al livello tattico, al dover mettere mano ai controlli, ma abbiamo in realtà bisogno che questi professionisti trasformino le informazioni che ricevono per comunicarle al resto dell'azienda così da trasformarsi in consiglieri strategici. Dall'altro lato, i team incaricati di gestire i rischi di sicurezza non hanno sempre la preparazione tecnica per capire la situazione come dovrebbero. Infine, ci sono i responsabili finanziari che non hanno la giusta competenza nel gestire questi aspetti a un livello strategico. Come trasformiamo, dunque, queste informazioni sui rischi di sicurezza in informazioni finanziarie, che siamo comprensibili dai dirigenti e dai consigli d'amministrazione?"

La risposta è che Resilience fornisce ai propri clienti esattamente questo genere d'informazione. L'azienda offre consigli sulle strategie da adottare ai team di sicurezza, nonché incentivi finanziari per apportare i cambiamenti necessari ad avere un corretto approccio alla sicurezza. "Forniamo ai nostri clienti un'idea di quale sia il valore a rischio, e forniamo anche loro un piano d'azione con una valutazione dell'impatto sul business e del ritorno dell'investimento", continua West (in foto sopra). L'idea di base è di continuare a monitorare lo stato della sicurezza nelle organizzazioni clienti, così da spronarle a mantenere alta la guardia e a non pensare alla sicurezza solo in caso di problemi o quando è il momento di rinnovare la polizza.

Resilience usa degli strumenti per monitorare lo stato dell'infrastruttura IT dei propri clienti e in tal modo ne ha visibilità costante; tale visibilità serve per poter offrire incentivi (come un aumento della copertura) qualora il cliente decida di intervenire per migliorare la propria sicurezza tramite suggerimenti mirati.

Si tratta di un approccio che sembra garantire vantaggi tanto all'azienda assicurata, che riduce la probabilità che un attacco abbia successo, quanto all'assicurazione, che contiene così il rischio di dover pagare un risarcimento. Questo approccio rende dunque Resilience una realtà per molti versi unica, che si posiziona a metà tra una soluzione di assicurazione e una di sicurezza e proprio per questo ha (forse) qualche strumento in più per stimolare i cambiamenti necessari tra i propri assicurati.