Skip to main content
Marsh logo

7 requisiti minimi di cybersecurity richiesti dal mercato assicurativo

Scopri Marsh Cyber Insurability Fast Survey

12/09/2023

Attacchi cyber sofisticati e in crescita portano gli assicuratori ad adottare livelli di analisi assuntiva sempre più approfonditi.

Con la rapida evoluzione della tecnologia e della pervasività dei servizi digitali, le minacce informatiche hanno ormai un impatto sulle aziende di ogni settore e di ogni dimensione (sebbene studi recenti evidenzino come le piccole e medie imprese del nostro Paese siano tra gli obiettivi privilegiati dei cyber criminali). Qualsiasi azienda pubblica o privata che utilizzi tecnologie digitali o gestisca dei dati è esposta al rischio cyber. Le conseguenze degli attacchi cyber vanno dall’interruzione dell’esercizio ai danni patrimoniali , senza dimenticare gli aspetti normativi legati al Regolamento generale sulla protezione dei dati (cliccate qui per scoprire la nostra guida al GDPR per le aziende).

In questo scenario, una polizza cyber risk può rappresentare un valido strumento a protezione del bilancio aziendale, oltre a costituire una risorsa concreta per assistere l’Assicurato nella gestione della crisi.

7 requisiti minimi di cybersecurity attualmente ritenuti fondamentali per l’assicurabilità

Con l’aumento di frequenza e severità di sinistri cyber, il mercato assicurativo ha adottato criteri tecnico assuntivi decisamente più rigorosi. In questo cui contesto, una gestione proattiva del rischio cyber costituisce tassello fondamentale per il trasferimento del rischio residuo al mercato. Di seguito i 7 requisiti minimi di cybersecurity ritenuti di fondamentale criticità per l’assicurabilità di un’azienda.

1. Segregazione dei sistemi IT per le aziende controllate

Generalmente, una polizza Cyber protegge la società che la richiede (Contraente) e le sue Controllate. La polizza, quindi, non copre le eventuali società Controllanti / Parent Company della Contraente. Pertanto è sempre necessario individuare l’opportuno perimetro di sistemi informatici su cui verterà la copertura assicurativa e nel caso di una Controllante / Parent Company che non rientri nel perimetro di copertura della polizza cyber, verrà valutata da parte delle compagnie assicurative un’eventuale segregazione dei sistemi informatici.

2. Copie di sicurezza e conservazione degli archivi digitali

I dati aziendali sono il principale obiettivo dei criminali informatici. Implementare dei backup (copie di sicurezza dei dati) con cadenza almeno settimanale e conservare copia degli stessi in ambienti distaccati dalla rete aziendale consente, in caso di attacco cyber, di poter ripristinare gli archivi nel più breve tempo possibile ed evitare che l’azienda sia vittima di richieste di riscatto da parte di hackers.

3. Autenticazione multifattore (MFA) sugli accessi da remoto alla rete aziendale

Con la pandemia da Covid-19 e il conseguente ricorso forzato allo Smart-Working per grande parte delle organizzazioni in tutto il mondo la minaccia di attacchi informatici veicolati tramite gli accessi da remoto ha registrato una crescita esponenziale. L’implementazione dell’autenticazione a più fattori (MFA) per tutti gli accessi da remoto consente di ridurre notevolmente il rischio di essere vittima di incidenti informatici: si tratta di una tecnologia che permette di riconoscere, attraverso almeno due metodi di autenticazione, la persona che effettua l’accesso ad un sistema o ad un’applicazione.  

4. Firewall, Antivirus, Anti Spyware e Anti Spam

Per accedere al mercato assicurativo e quindi trasferire il rischio residuale cyber, è fondamentale implementare presidi di cyber sicurezza e misure di prevenzione per mitigare il rischio. Misure tecnico-organizzative quali Firewall, Anti Virus/Anti Spyware/Anti Spam rappresentano elementi di base imprescindibili di una buona postura di cyber sicurezza.

5. Formazione sulla consapevolezza della sicurezza informatica

La componente umana rappresenta l’anello debole della catena di cyber sicurezza, in particolare nelle realtà aziendali di dimensioni più contenute. Attacchi quali il phishing fanno leva esattamente sulla risorsa umana, tentando di indurla con l’inganno a compiere un’azione che può rivelarsi disastrosa per l’azienda, agevolando l’introduzione di un hacker all’interno dei sistemi IT. Queste tipologie di attacchi risultano essere un pericoloso veicolo d’ingresso all’interno dell’azienda, per queste ragioni è sempre necessaria formazione e training mirato in azienda a tutela della propria sicurezza informatica.

6. Gestione dei sistemi e dei software obsoleti

I sistemi obsoleti (legacy o End of Life) sono un vettore rilevante per gli attacchi cyber: non essendo più supportati dal produttore, non ricevono aggiornamenti a difesa delle sempre nuove minacce informatiche. Isolare i sistemi/software obsoleti risulta quindi una misura fondamentale per prevenire il propagarsi della minaccia informatica all’interno di altri sistemi vitali dell’organizzazione.

7. Gestione tempestiva degli aggiornamenti

Una gestione puntuale delle vulnerabilità dei propri software aziendali è un elemento fondamentale per garantire la propria cyber sicurezza e poter trasferire il rischio residuale cyber al mercato assicurativo. Le compagnie assicurative prediligono aziende attente alla gestione degli aggiornamenti e che correggono i problemi tecnici del software in tempi brevi, rafforzandone la sicurezza informatica.

Valuta la cybersecurity della tua organizzazione

Gli esperti di Marsh possono supportare le aziende in tutto il percorso di gestione del rischio cyber: dalla valutazione della loro cybersecurity e del grado di assicurabilità con il team FINPRO Cyber, fino alle misure pratiche da mettere in atto per migliorare la sicurezza informatica e la resilienza agli attacchi, con i consulenti delle practice Digital Risk e Business resilience di Marsh Advisory.

Il presente articolo ha un mero scopo informativo.

Le informazioni contenute nel presente articolo provengono da fonti ritenute affidabili, tuttavia Marsh non ne garantisce l’accuratezza. Marsh non si assume, inoltre, alcun obbligo di aggiornamento dell’articolo e declina ogni responsabilità nei confronti di terzi che ne utilizzino il contenuto a qualsiasi titolo. Qualsiasi dichiarazione relativa a questioni attuariali, fiscali, contabili o legali si basa esclusivamente sulla esperienza di Marsh quale broker assicurativo e consulente in materia di rischi e non deve essere considerata, in alcun modo, come parere di natura attuariale, contabile, fiscale o legale, per i quali si consiglia, invece, di rivolgersi ai propri consulenti. Qualsiasi analisi e informazione resa con il presente articolo è soggetta a incertezza intrinseca e il suo contenuto potrebbe risultare compromesso nel caso in cui le presupposizioni, condizioni, informazioni o fattori contenuti nello stesso fossero inaccurati o incompleti o dovessero subire modifiche.