Panorama Assicurativo Ania

🇬🇧 Cyber risk

SCENARI PER LA VALUTAZIONE DEL RISCHIO OPERATIVO CYBER NELLE IMPRESE DI ASSICURAZIONE

“Cyber operational risk scenarios for insurance companies”

R. EGAN, S. CARTAGENA, R. MOHAMED, V. GOSRANI, J. GREWAL, M. ACHARYYA, A. DEE, R. BAJAJ, V.-J. JAEGER, D. KATZ, P. MEGHEN, M. SILLEY, S. NASSER-PROBERT, J. PIKINSKA, R. RUBIN, K. ANG

CAMBRIDGE UNIVERSITY PRESS
https://www.cambridge.org/

CAMBRIDGE UNIVERSITY PRESS Link al PAPER


Il cyber risk viene sempre più spesso indicato, nelle indagini a livello internazionale, come una delle fonti più importanti di rischio operativo per le aziende. Negli ultimi anni, il rischio informatico è entrato nella coscienza pubblica attraverso eventi di grande rilevanza mediatica. Regolatori e legislatori stanno ponendo una crescente attenzione su questo tema.

Attuari e professionisti della gestione del rischio presso le compagnie assicuratrici devono effettuare una solida valutazione delle potenziali perdite derivanti dal rischio cibernetico cui sono esposte le loro aziende. Dovrebbero essere in grado di farlo nell'ambito di una gestione globale del rischio e di comunicarlo efficacemente agli stakeholder.
Dato che i rischi informatici sono ancora un territorio relativamente nuovo per gli assicuratori e che non esiste una pratica comune accettata, il Paper in esame propone un quadro in cui eseguire tale valutazione.

Gli Autori prendono come riferimento la tassonomia degli incidenti informatici del CRO Forum(1) e il framework del National Institute of Standards and Technology ("NIST") per definire una tassonomia degli incidenti informatici, gli aspetti di mitigazione del rischio e i relativi profili di sicurezza.

Gli Autori hanno esaminato tre scenari specifici, che prevedono:

  • la diffusione indebita di dati da parte di un dipendente di un’impresa di assicurazione danni;
  • un attacco cyber esterno presso un’impresa vita;
  • l’“hackeraggio” di un device telematico presso un’impresa assicuratrice auto.

L’analisi compiuta porta a concludere che il rischio informatico è una minaccia molto reale e non deve essere ignorato o trattato con leggerezza nel contesto del rischio operativo, in quanto ha il potenziale per minacciare l’esistenza di un’azienda. I gestori del rischio e gli attuari dovrebbero essere consapevoli delle varie fonti di rischio cibernetico e dei potenziali impatti per poter garantire che l'azienda sia sufficientemente preparata per tali eventi.

È fondamentale che gli assicuratori si sforzino di capire meglio il rischio informatico e cerchino di affinare le ipotesi man mano che vengono ricevute nuove informazioni. Oltre a garantire che sia detenuto un capitale sufficiente a fronte dei principali rischi operativi, una migliore comprensione del rischio cibernetico aiuta a educare il senior management e può avere benefici rafforzando le competenze interne di sicurezza.

 

_______________________
(1) Su cui si veda: “Una mappa dei rischi informatici delle imprese in un recente report CRO Forum”, IN Panorama Assicurativo n. 185, marzo 2019 (Sezione “NEWS”).
http://www.panoramassicurativo.ania.it/admin/plugin/panorama/view.html?id=40468&est=1