Alessandro De Felice, presidente di Anra, è intervenuto a un recente seminario sul tema. E ha detto…

«La cyber-security? Non può essere considerata come rischio a sé stante o come materia unicamente di competenza dell’It, ma deve essere affrontata in un’ottica olistica di risk management che nasce con lo sviluppo di una cultura aziendale del rischio». È quanto affermato da Alessandro De Felice (nella foto), presidente di Anra (Associazione nazionale risk manager e responsabili assicurazioni aziendali) intervenendo a una tavola rotonda nell’ambito del primo seminario internazionale del programma di ricerca applicata dell’Unione Europea Horizon 2020 Hermeneut su “Insurance in Cyber-security”, che si è svolto nei giorni scorsi e che ha riunito a Milano ricercatori, professionisti, broker e assicuratori. L’obiettivo era quello di discutere lo stato dell’arte e le sfide future del mercato della sicurezza informatica, con particolare attenzione alle nuove normative e alle best practice da attuare.

Secondo De Felice occorre valutare un insieme di aspetti e di fattori diversi: «Prima di tutto il fattore umano: comportamenti e percezioni delle persone sono sempre la prima causa di debolezza di un sistema», ha spiegato, «e a questi si aggiungono oggi altri rischi che un’azienda non può ignorare, come quelli che riguardano la supply chain, lungo tutta la quale va garantita la sicurezza dei dati, legali e di compliance».

Questo anche in considerazione del fatto che i legislatori stanno inasprendo le sanzioni per le imprese che non garantiscono la tutela delle informazioni. «Vi sono poi cambiamenti sociali», ha continuato il presidente di Anra, «che avvengono oggi in modo estremamente rapido e che modificano atteggiamenti e mercato: i consumatori chiedono di finalizzare un acquisto il più rapidamente e semplicemente possibile, con pochi clic, il che richiede all’azienda di memorizzare quanti più loro dati possibili, garantendone però al tempo stesso la tutela. È un equilibrio difficile, una vera e propria scelta strategica. Infine ci sono i rischi reputazionali: amplificati da internet e social media, indiscrezioni e fake news possono creare gravi danni alla reputazione di un’azienda in pochissimo tempo».

De Felice ha portato l’attenzione sulle criticità nell’industria delle assicurazioni sul fronte cyber: «La più importante riguarda la preparazione di intermediari e sottoscrittori, che non hanno per lo più conoscenza tecnica e capacità di integrare il rischio in un sistema di governance & compliance, con la derivante difficoltà a prezzare il rischio. Con la conseguenza che l’offerta assicurativa oggi disponibile è costituita essenzialmente da soluzioni di data protection piuttosto che una vera gestione del rischio informatico».

Per colmare questo gap, ha precisato De Felice, «è necessario integrare le varie skill, per esempio affiancando specialisti nella sicurezza informatica con business continuity manager». (fs)

© RIPRODUZIONE RISERVATA