Ciber Risk e imprese: perchè dovresti preoccupartene.
Il Cyber Risk è il rischio di incorrere in perdite economiche finanziarie in seguito al verificarsi di eventi accidentali o di azioni dolose inerenti il sistema informatico (hardware, software, banche dati): dalla semplice violazione di un dato personale presente sul computer al blocco di un’attività industriale sempre più governata da infrastrutture digitali.
I rischi, inoltre, non sono esclusivamente legati al furto di proprietà intellettuale, di dati e di programmi, ma anche all’interruzione di servizi essenziali e alla reputazione.
Come conseguenza di tale rischio si sviluppa pertanto il cosiddetto Cyber Crime, ossia l’insieme dei reati perpetrati da soggetti, comunemente denominati hacker, attraverso l’uso di tecnologie e strumenti informatici con un obiettivo che può essere:
- economico: per carpire denaro o sottrarre informazioni e segreti aziendali, con atti di estorsione, sabotaggio, frode o spionaggio;
- politico: per compiere atti dimostrativi.
Negli ultimi anni si è assistito ad un notevole aumento di fenomeni di Cyber Crime e ciò in relazione allo sviluppo delle connessioni wireless, alla diffusione dei dispositivi elettronici mobili (smartphone, smartwatch, tablet, eccetera) e al diffondersi di oggetti ad uso domestico “connessi”.
Sono moltissime le tecniche impiegate per compiere atti di Cyber Crime e in continua evoluzione.
Un attacco Cyber può consistere:
a) Nell’accesso illegale ai sistemi informatici e ai dati in essi contenuti dopo che ne sono state carpite le credenziali di accesso.
b) Nell’intercettazione con mezzi tecnici, di trasmissioni riservate di dati informatici.
c) Nelle interferenze di dati informatici generate per danneggiare, cancellare o alterare i dati stessi.
Le statistiche ci mostrano una crescita esponenziale degli attacchi informatici: il rischio Cyber è diventato una delle aree di maggiore attenzione nell’ambito del risk Management aziendale, poiché un attacco Cyber può avere effetti devastanti sulla continuità produttiva e lavorativa.
Cosa possono fare quindi le aziende e i professionisti per proteggersi da eventuali attacchi informatici?
Identificazione dei rischi: il primo passo è elaborare un piano di sicurezza. Si impone la necessità da parte di aziende e professionisti di analizzare le possibili fonti e diversi scenari del rischio Cyber che possono colpire l’azienda e capire come si possano mitigarli a livello privato, aziendale e istituzionale.
Valutazione dei rischi: valutare la probabilità di accadimento, l’impatto e la rilevanza dei rischi per l’organizzazione.
Identificazione delle attività di prevenzione: bisogna, successivamente, passare a una definizione delle corrette attività di prevenzione e protezione da attuare (controlli di accessi ad esempio), pianificare e attuare tali misure nei parametri di sostenibilità aziendale.
Trasferimento del rischio: È opportuno valutare di trasferire il rischio residuo ad una compagnia assicurativa per un supporto, sia a livello operativo, sia economico, per danni arrecati a terzi oppure per un eventuale risarcimento del danno proprio all’azienda, legato -ad esempio- alle perdite per un blocco dei sistemi produttivi, per malfunzionamenti software causati da introduzione di malware, un’estorsione Cyber o, ancora, per un danno reputazionale successivo alla comparsa sui mezzi di informazione di un contenuto denigratorio o diffamatorio.