FERMA pubblica “Prepararsi per la Cyber Insurance”, un’analisi delle polizze cyber e uno strumento per definire gli obiettivi nel processo di assicurazione dei rischi.
Il report FERMA (Federation of European Risk Management Associations) prende le mosse dai dati della società di consulenza EY, secondo cui solo il 35% delle aziende ha un’assicurazione contro il rischio cyber veramente efficace e calibrata sulle reali esigenze. La guida, pensata per supportare gli insurance buyer nel dialogo con assicuratori e broker, è la prima nel suo genere a proporre un modus operandi che coinvolge tutte le parti in causa nel processo sottoscrittivo (compagnie, intermediari, aziende).
Il modello proposto si articola nello specifico in due momenti: il primo sottolinea come la cyber security sia una questione interfunzionale, indipendentemente dalle dimensioni dell’azienda.
Vale a dire che l’insurance manager – per quanto faticoso questo processo possa essere – deve necessariamente coinvolgere nella fase di analisi dei requisiti di polizza un gran numero di funzioni: dal Finance, per capire come e quanto i rischi informatici impattano sul business, al Legal, per comprendere i possibili risvolti giuridici, anche alla luce delle nuove norme (si pensi al GDPR), fino alle Risorse Umane, dal momento che gli errori del personale sono responsabili di molti attacchi cyber, e ovviamente al reparto IT, per accertarsi di avere adeguate tecnologie e filtri difensivi.
Alessandro De Felice, Presidente ANRA e Chief Risk Officer Prysmian Group
Quello del Risk Manager non può essere un lavoro solitario, ha un ruolo di trait d’union, dev’essere cioè capace di parlare linguaggi diversi e di comunicare in maniera capillare con tutte le funzioni aziendali. Solo così può creare una robusta struttura per la governance del rischio informatico, che migliori i processi decisionali dell’impresa e garantisca che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati.
Il secondo momento individuato dal modello proposto da FERMA riguarda la valutazione della polizza cyber, che secondo il report dovrebbe basarsi sul punteggio ottenuto in quattro aree: Prevenzione, Assistenza, Operations e Liability, ponderabili in base ad una checklist da utilizzare nel dialogo con l’assicuratore.
Questo modello nasce con l’obiettivo di aiutare tutte le parti in gioco: gli insurance/risk manager e gli insurance buyer riusciranno a valutare più efficacemente le esigenze della propria azienda, gli assicuratori riceveranno informazioni più precise e tecniche sul rischio da coprire e sulle misure di prevenzione e protezione messe in atto, gli intermediari potranno basare la loro ricerca e contrattazione su informazioni più chiare e puntuali.