Marc-Cierpisz_uneDi Marc Cierpisz, Security Practice Manager presso Econocom-Osiatis

Che lo ammettiamo o meno, appena andiamo online, in ufficio o a casa, diventiamo vulnerabili perché membri di una cibercomunità. L'interconnettività offerta da Internet, reti sociali o cloud, crea tra gli utenti un allarmante grado di prossimità. Un collega può diventare un hacker arrabbiato contro la sua azienda, o un burlone che vuole divertirsi alle nostre spalle.

Un sostituto della fiducia o un differenziatore marketing

Negli ultimi trent'anni, l'industria IT ha attraversato una transizione importante, spostandosi da reti chiuse basate su grandi calcolatori centralizzati a reti aperte, tramite esternalizzazione, gestione delle infrastrutture, Big Data e adesso il cloud. Ed è innegabile!

La sicurezza non può essere associata unicamente alla fiducia: una strategia di sicurezza deve essere in linea con gli obiettivi primari di business e i principi guida dell'azienda.

I business hanno bisogno di demistificare le sfide di sicurezza che hanno davanti, allo scopo di ristabilire questa fiducia e smettere di rappresentarsi come vittime di ciberattacchi.

In un mondo globalizzato, la concorrenza tra i business è feroce. La sicurezza non è più un mezzo per proporre un servizio, una forma di protezione o un differenziatore di marketing, ma un modo di combattere la sfiducia.

Sfiducia vuol dire più cibercrimine

Nel 2014 CLUSIF, l'ente francese per la sicurezza IT, ha presentato una panoramica che evidenzia un aumento dei ciberattacchi e categorizza gli attacchi per tipo: waterholing, attacchi distruttivi, attacchi debilitanti e attacchi ai business.

Questa tendenza diventa più marcata ogni anno e, sebbene questi incidenti correlati alla sicurezza nascano per lo più da attacchi (quattro percento per la Francia, 30 percento per gli USA e 11 percento per il Regno Unito), hanno un impatto significativo sui livelli di fiducia e confidenza delle parti in causa (clienti, azionisti, fornitori eccetera).

Realizzare una governance della sicurezza che sia tanto completa quanto coerente è probabilmente uno dei compiti più difficili per i Chief Information Security Officer.

Una volta implementato questo approccio e identificati i rischi (collegati a sistema informativo, staff, contratti con subappaltatori, catena delle forniture, tecnologie innovative e shock esterni), che cosa può essere fatto per coprire il costo di un disastro IT dovuto a un qualsiasi tipo di ciberattacco?

I ciberrischi hanno la caratteristica inalterabile di sembrare non assicurabili secondo i metodi assicurativi tradizionali.

Per i dieci anni scorsi e grazie a pionieri come il broker, Marsh, e organizzazioni come CLUSIF, il mondo assicurativo è riuscito ad appreciate il mercato ciberassicurativo, con una gamma di prodotti che permettono alle aziende di proteggere asset intangibili come quelli informativi, l'essenza autentica del loro core business.

Per quanto alcune compagnie offrano polizze con qualche grado di copertura dei rischi da ciberattacco, rimane il fatto che – afferma Jeff Moghrabi di ACE Group – I rischi associati al cibercrimine saranno domani per gli assicuratori quello che oggi sono i disastri naturali: una nuova sfida a cui rispondere.

Se queste sono le condizioni, come valutare il rischio e chi ritenere responsabile?

La misura del ciberrischio e della sua assicurabilità può essere suddivisa in due fasi:

  • Audit tecnico

Questa prima fase deve consentire la misurazione della maturità della sicurezza del sistema informativo. Resta un asse binario e deve essere pesata secondo parametri certi, perché il detentore della polizza non possa scivolare dallo stato di vittima potenziale a quello di colpevole, come nel precedente legale del caso Sarenza (estratto: La Corte riterrà le aziende Vivaki responsabili di negligenza. La Corte comminerà una multa di 100 mila euro, che sarà in seguito ridotta a 70 mila euro ritenendo la Corte che Sarenza debba il 30 percento delle proprie perdite ai suoi difetti di gestione dell'identificazione dell'utente al momento di accedere alla base dati.)

  • Revisione contrattuale

Questa seconda fase deve consentire la garanzia della catena degli impegni e dei processi contrattuali, in linea con le sfide affrontate dalle aziende. In quest'area l'ascesa del cloud ha cambiato il contesto nel quale si definiscono le responsabilità delle parti in causa, specialmente nel ritrasferire segmenti di responsabilità nel campo della sicurezza tra provider, hosting web, esternalizzate, web designer eccetera. Questa proliferazione di stakeholder ha complicato notevolmente il lavoro.

Una volta completate le due fasi in modo da definire la maturità della sicurezza aziendale e quando l'azienda sia esposta a rischi, le cose diventano più complicate nel momento in cui bisogna saper compilare una valutazione dettagliata dei costi allo scopo di coprire le perdite o i danni che l'azienda può subire (per interruzione dei servizi, danni al business o perdita di fiducia).

Lo scopo è determinare le probabilità di ciberincidenti e garantire che le responsabilità di ciascuna parte siano chiaramente identificate, così poterle attribuire in caso di incidente con conseguenze quali perdita di dati, diffusione di informazioni confidenziali eccetera.

Questa iniziativa viene vista con favore dalla Commissione Europea. Se usiamo come punto di riferimento la direttiva europea sulla protezione dei dati personali, sia la sfida tecnologica che quella legale possono essere affrontate.

La legge dovrebbe condurre a elementi definiti e tangibili in modo da offrire maggiore sicurezza legale per le imprese e le persone coinvolte, così consentendo alle parti al lavoro nel mercato delle ciberassicurazioni di comprendere e categorizzare meglio questo nuovo segmento.

 

Il futuro delle ciberassicurazioni

I pochi annunci di partnership tra aziende di servizi IT e assicuratori lasciano irrisolta una questione importante: come può un'azienda, che lavora con servizi IT e il cui assicuratore è in partnership con i servizi IT stessi, dare credibilità all'IT nel caso di un ciberattacco che dà origine a una richiesta di rimborso? La situazione non dovrebbe essere valutata da una terza parte imparziale?

 

 

Marc Cierpisz

Dal 2014 Marc Cierpisz, Security Practice Manager presso Econocom-Osiatis, ha avuto il compito di sviluppare numerosi segmenti della gamma di servizi di sicurezza per rispondere alle esigenze di un mercato costantemente messo di fronte all'emergere di nuove minacce.

"Sta tutto nell'anticipare i requisiti di sicurezza delle aziende in accordo alla legge e alle necessità del business; una cosa che è diventata indispensabile per assicurare esistenza a lungo termine e competitività", afferma Marc Cierpisz.  "In questo contesto, e in aggiunta al fatto che il mercato continua a evolvere secondo nuove tendenze come cloud, mobilità, gestione dell'identità e ciberassicurazione, dove la protezione dei patrimoni informativi aziendali assume dimensioni critiche, è più importante che mai supportare i business e accrescere la loro consapevolezza, grazie all'offerta di soluzioni su misura per le problematiche di ogni organizzazione, capaci di suscitare risposte migliori alle minacce di ciberattacco e ai ciberrischi in generale".

 

Prima di entrare in Econocom-Osiatis, Marc Cierpisz è stato Risk & Security Excellence Team Manager presso DEVOTEAM; ha inoltre diretto i programmi IAM/DLP (Identity and Access Management / Data Loss Prevention) di gestione dell'identità e protezione dati all'interno della Security Division. In precedenza ha lavorato come Project Manager, a capo del gruppo IAM che si occupava dei principali clienti francesi, come Manager presso Harmonie Technologie, e in qualità di Deputy Manager della divisione consulenza di Vision IT in Francia.

Email: marc.cierpisz@econocom-osiatis.com