RISULTATI DELL’INDAGINE IVASS SULLA GESTIONE DEI CYBER RISK DA PARTE DI AGENTI E BROKER
“Esiti dell'indagine conoscitiva sui presidi degli intermediari tradizionali per la gestione delle informazioni e la prevenzione dei rischi informatici. Indicazioni per gli intermediari.” (Prot. N° 99816/17 del 29/12/2017)
IVASS – ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
https://www.ivass.it/
Il 29 dicembre scorso IVASS ha pubblicato una Lettera al mercato contenente i risultati dell’indagine conoscitiva sulla gestione delle informazioni e la prevenzione dei rischi informatici da parte degli intermediari assicurativi tradizionali.
Il campione di intermediari che hanno partecipato all’indagine (circa 3.000 tra agenti e broker) ha dimostrato, complessivamente, un discreto livello di consapevolezza dell’esistenza del rischio informatico e della necessità di protezione dei dati e delle informazioni della clientela.
Avvertita è anche l’esigenza di informare dipendenti e collaboratori sulle problematiche inerenti i rischi informatici.
E’ scaturito un quadro incoraggiante sul fronte dei presidi e dei processi di acquisizione e protezione dei dati, configurazione e protezione dei sistemi, conservazione delle informazioni. Infatti, oltre l’80% dei partecipanti all’indagine:
-
adotta sistemi di protezione dei dati attraverso il ricorso a password alfanumeriche;
-
raccoglie soltanto i dati indispensabili allo svolgimento dell’attività;
-
assegna ai propri collaboratori utenze personali non condivisibili con altri utenti;
-
utilizza sistemi e reti protetti da accessi non autorizzati;
-
effettua periodici backup dei dati;
- affida la configurazione di sistemi e dispositivi a personale esperto.
I risultati dell’indagine si presentano meno incoraggianti per quanto riguarda il grado di percezione dell’importanza di effettuare monitoraggi periodici dei propri sistemi al fine di intercettare eventuali malware e accessi non autorizzati. L’analisi delle risposte, infatti, mostra che il 78% del campione riferito al canale agenziale e il 50% del campione dei broker non dispone di sistemi di monitoraggio per la rilevazione di accessi non autorizzati.
Una riflessione si impone – sottolinea l’Istituto - anche in relazione alla diffusa mancanza di una policy di gestione del rischio informatico formalizzata in un documento scritto, e alla scarsa frequenza dei test anti-intrusione.
La Lettera IVASS contiene anche alcune indicazioni di carattere generale sulle possibili azioni da intraprendere da parte degli intermediari, al fine di elevare il livello di presidio dei rischi informatici e di protezione dei dati e delle informazioni.
Sul piano della prevenzione, l’Istituto raccomanda che gli intermediari si dotino di specifiche policy sul cyber risk, che potranno essere individuate anche sulla base di linee guida definite con le rispettive Associazioni di categoria.
Per quanto riguarda la protezione, al fine di offrire un adeguato livello di resilienza contro gli attacchi informatici, si raccomanda di innalzare la sicurezza dei sistemi utilizzati (configurazione dei sistemi, accessi protetti), aumentare la frequenza dei backup dei dati (almeno giornaliera), incrementare i sistemi di monitoraggio e il ricorso ai test anti-intrusione, prevedere un piano di gestione di eventuali crisi.
Considerato inoltre che il rischio cyber, per sua natura, è in continua evoluzione ed espone a crescenti minacce, l’Istituto raccomanda un aggiornamento costante nell’analisi delle vulnerabilità aziendali e nell'identificazione di elementi potenzialmente oggetto di attacchi o di tentativi di intrusione.