La modalità di approccio al rischio cyber, nelle compagnie che per lavoro valutano e coprono i rischi, compresi quelli cyber per le altre organizzazioni, è un tema che potrebbe ricordare il famoso proverbio: “Il calzolaio con le scarpe rotte”. A indicare che chi svolge una certa attività, a favore degli altri, non trova mai né il tempo né la voglia di svolgerla per sé stesso.
Invece, le compagnie assicurative, in funzione della loro esperienza nel core business della valutazione e copertura dai rischi, sono chiamate dal regolamento Reg 38/2018 dell’Istituto di Vigilanza delle ASSicurazioni (IVASS) e dalle Linee guida EIOPA, (da applicare a partire dal primo luglio 2021), ad avere “scarpe sane e ottimamente performanti”. Sono chiamate, cioè, ad attuare per loro stesse un approccio al rischio cyber molto solido e strutturato per non rischiare di essere loro stesse preda dei criminali digitali.
L’approccio delle norme è orientato ad aggiungere il rischio cyber fra quelli strategici da valutare e ridurre, dotandosi di strumenti tecnici abilitanti, per innalzare il rischio cyber a rango di rischio operativo di impresa e fronteggiarlo con strumenti non limitati al solo dipartimento IT.
Secondo i tecnici del settore assicurativo “Gli orientamenti forniscono le indicazioni in materia di governance delle tecnologie dell’informazione e della comunicazione (ICT). Il regolamento n.38 del 3 luglio 2018 che contiene disposizioni in materia di sistema di governo societario delle imprese e dei gruppi, è lo strumento regolatorio con cui l’IVASS ha completato l’adeguamento al framework Solvency II della normativa secondaria di settore. I principi in esso contenuti e in particolare le disposizioni di cui all’articolo 16 in materia di sistemi informatici e cybersecurity sono in larga parte coerenti con i contenuti degli orientamenti” (fonte: Assinews).
L’obiettivo delle linee guida è promuovere l’aumento della resilienza operativa delle operazioni digitali delle imprese di assicurazione e di riassicurazione a fronte dei rischi che corrono. La resilienza operativa è fondamentale per proteggere le risorse digitali delle imprese di assicurazione e di riassicurazione, compresi i loro sistemi e dati, da contraenti e beneficiari.
Ne abbiamo parlato con Elisa Garavaglia, esperta di tematiche di cyber security governance & business continuity.
Ecco come le assicurazioni gestiscono i danni da cyber crime e cyberwar
Indice degli argomenti
Cyber security: regolamenti cogenti per le compagnie assicurative
Quali sono i regolamenti che le compagnie assicurative sono tenute a rispettare e correlate con la sicurezza informatica?
In ambito assicurativo, dopo l’entra in vigore del GDPR nel 2018, il primo regolamento che parta espressamente di cyber security è il Reg 38/2018 dell’Istituto di Vigilanza delle ASSicurazioni (IVASS.) In questo regolamento, incentrato sul sistema dei controlli dell’impresa di assicurazione, c’è un articolo intero dedicato ai controlli in ambito ICT e cyber security.
La scorsa estate sono entrate in vigore le linee guida del Regolatore Europeo, ratificate in Italia da IVASS, incentrate sulla Governance ICT e Security (Linee guida EIOPA, “Orientamenti sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione”). Queste linee guida riprendono quanto già descritto nel Regolamento 38/2018, ma aggiungono molti dettagli, ad esempio, in tema di gestione degli incidenti, accesso ai sistemi, business continuity .
Quali sono gli elementi di maggiore importanza su cui queste norme puntano?
Entrambe le norme puntano a definire in modo esaustivo i vari ambiti della cyber security, partendo dall’identificazione dei rischi e alle opportune misure di protezione degli asset, senza tralasciare il monitoraggio e la risposta degli incidenti, con attenzione alla comunicazione, in base alla gravità, agli stakeholder interessati.
Il profondo cambiamento introdotto dalle norme
Che tipo di cambiamento comportano queste norme nelle organizzazioni assicurative?
Il principale cambiamento è dovuto al fatto che il Legislatore ha parlato per la prima volta di cyber security, e ne ha parlato in modo completo, partendo dalla valutazione del rischio cyber, arrivando alla gestione e risposta degli incidenti, passando per le misure di protezione logica e fisica, senza tralasciare la continuità operativa e il disaster recovery. Non meno importante è il fatto che si parla di una struttura organizzativa dedicata alla cyber security, con competenze e skill opportuni per proteggere la Compagnia. Nasce quindi anche nel mondo assicurativo il ruolo del CISO e meglio del CSO (che include anche la responsabilità della sicurezza fisica) autonomo rispetto alle altre figure aziendali, a partire dal Responsabile IT o CIO.
Come affrontare il cambiamento in una organizzazione assicurativa in modo da garantire non solo la compliance, ma anche l’efficacia degli interventi?
Prima di tutto partendo dagli aspetti organizzativi, ovvero identificando una struttura sotto il Chief Operating Officer, separato dall’IT, con un responsabile e risorse adeguate, ovvero persone preparate e budget adeguato. Entrambe le cose non sono banali: trovare risorse competenti è sempre più difficile in Italia e attribuire budget alla security non è banale per il top management, perché non è misurabile il ritorno dell’investimento in termini di aumento del business.
Best practice ed errori da evitare
Quali sono le best practice che è importante implementare per rispondere alle regolamentazioni vigenti?
Su tutte una mi sembra la più importante: la cooperazione. Infatti, la collaborazione è fondamentale ai fini dell’efficacia tra le strutture aziendali: il risk management per la valutazione dei rischi, l’IT per adottare le misure di sicurezza di protezione e prevenzione e il facility per la sicurezza degli accessi e del personale.
Quali sono le sfide da tenere presenti o gli errori da evitare?
L’errore principale sarebbe ridurre il tutto ad un adempimento formale, senza cogliere l’importanza di organizzare una security efficace che protegga gli asset aziendali!
Per approfondire si può consultare il sito EIOPA dedicato ai temi della ICT Security e Governance, e la pubblicazione della Banca d’Italia dal titolo “Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass” che offrono spunti esplicativi sulla genesi degli approcci di protezione nel campo della cyber security che hanno portato alla emanazione del regolamento 38/2018 e delle linee guida specialistiche EIOPA.
