Panorama Assicurativo Ania

🇫🇷 Cyber risk, Sicurezza

FRANCIA: INDAGINE DELLA VIGILANZA (ACPR) SULLA GESTIONE DEI RISCHI PER LA SICUREZZA INFORMATICA NELLE IMPRESE ASSICURATRICI

“Les points d’attention de l’APCR à l’égard des assureurs en matière de gestion des risques liés aux systèmes d’information et leur sécurité” (COMUNICATO STAMPA, 22 ottobre 2020) “Synthèse de l’enquête déclarative de 2019 sur la gestion de la sécurité des systèmes d’information des assureurs. Analyses et synthèses n°117, 2020” (WEBPGE DI PRESENTAZIONE E REPORT)

ACPR – AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE RÉSOLUTION (Banque de France)
https://acpr.banque-france.fr/

ACPR Link alla PRESS RELEASE

ACPR Link alla WEBPAGE DI PRESENTAZIONE

ACPR Link al REPORT


L'ACPR, l’Autorità di vigilanza prudenziale in Francia, ha recentemente pubblicato un Report di analisi concernente le risposte fornite dalle imprese di assicurazione a un questionario sulla gestione dei sistemi informativi e la loro sicurezza.

L’indagine segue quelle svolte nel 2015 e nel 2017 e consente di misurare i progressi nella percezione delle problematiche legate alla sicurezza dei sistemi informativi. In tal senso, alcune pratiche sembrano aver preso piede, in particolare la definizione e l'attuazione di politiche di sicurezza, con la mappatura dei rischi dei sistemi informativi, l'istituzione di una strategia di sicurezza che partecipi e sostenga la strategia globale dell’azienda, l’organizzazione di comitati dedicati, la sensibilizzazione dei dipendenti nei confronti del rischio.

Tuttavia, l'autovalutazione dei partecipanti risulta essere più ottimistica di quanto non emerga dalle verifiche in loco svolte dall'Autorità, principalmente in termini di gestione dei rischi legati all’ outsourcing e alla progettazione di business continuity e piani di ripristino.

Alcuni aspetti, in particolare, richiedono miglioramenti:

  • resta da rafforzare la gestione approfondita della sicurezza: nello specifico, la revisione annuale dei diritti di accesso alle applicazioni, l’aggiornamento periodico delle apparecchiature IT e la gestione delle diverse versioni deve essere effettuato e sistematizzato;
     
  • il ricorso a soluzioni esterne per i sistemi informativi è ancora insufficientemente vigilato nonostante i rischi che esso comporta. Si tratta, ad esempio, dell'uso di soluzioni Cloud, a volte più ergonomico o più facilmente accessibile rispetto alle soluzioni convalidate dai reparti IT, ma in grado di aumentare il rischio di perdite di dati per l’azienda. Allo stesso modo, la generalizzazione del telelavoro deve essere accompagnata da riflessioni in merito alla sicurezza d'uso negli ambienti IT domestici.