Sebbene sia un mercato ancora acerbo, cresce l’interesse delle aziende per la cyber insurance, ovvero la copertura assicurativa contro i rischi in ambito di sicurezza informatica. Troppo spesso tuttavia l’avvicinamento a questo genere di assicurazione avviene senza il coinvolgimento di figure che si occupano di sicurezza IT, e resta invece nelle mani dei CFO, le figure tradizionalmente deputate a gestire l’ambito Insurance.
Di questo servizio fa parte anche il seguente articolo:
- SCENARIO - Cyber Insurance: perché bisogna coinvolgere il CIO
Una ricerca Symantec di quest’anno “Why CISOs Should Embrace Their Cyber Insurer”, segnala in particolare lo scarso coinvolgimento dei Ciso e spiega quali sono i vantaggi che invece avrebbero le aziende nell’invertire questo trend. Quando il Ciso partecipa alla trattativa infatti:
- migliorano le condizioni contrattuali: per le compagnie assicurative avere poche informazioni significa assumersi più rischi, dunque alzare i costi della polizza. Nella survey si segnala il caso reale di due compagnie aeree che di fronte ad un approccio alla sicurezza sostanzialmente simile, hanno ottenuto prezzi del 30% differenti; a fare la differenza, la fiducia trasmessa all’assicuratore da un team di sicurezza fortemente coinvolto nella trattativa e la “cultura della sicurezza aziendale” che il Ciso è stato in grado di trasmettere;
- le assicurazioni possono diventare alleate dell’azienda nel migliorare la sicurezza: un dialogo trasparente Ciso-assicuratore dovrebbe riguardare anche i sistemi di security che mancano in azienda; alcune compagnie assicurative arrivano a offrire una riduzione premio del 10-20% se si acquista una protezione aggiuntiva; quando manca questo tipo di dialogo si rischia di perdere importanti occasioni, magari relative a soluzioni di
sicurezza che si aveva comunque intenzione di acquistare. Va considerato che gli assicuratori hanno tutto l’interesse a rendere il cliente più sicuro e a offrire dunque utili consigli; - si favorisce un vantaggioso atteggiamento di trasparenza anche sui data breaches: le assicurazioni hanno a disposizione ricchi database relativi alle violazioni di dati subite dalle aziende anche in un passato tutt’altro che recente; tentare di “nascondere” i data breaches precedenti non solo dunque può essere inutile, ma rischia di generare nell’assicuratore una sensazione di non trasparenza che può solo peggiorare le condizioni contrattuali. Agevolare un dialogo aperto col Ciso rimane dunque, anche su questo fronte, la soluzione ideale.