Assicurare i Rischi Cyber

Valutazione attuale: 5 / 5

Stella attivaStella attivaStella attivaStella attivaStella attiva
 

Le attività informatiche espongono ogni azienda a una serie di minacce Cyber. Da diversi anni sono disponibili soluzioni assicurative per proteggerle da questi danni, ma l'aumento esponenziale degli eventi di questo tipo ha determinato che le Compagnie che assicurano questi rischi richiedono alle aziende, prima di assicurarle, di avere messo in atto una serie di misure, altrimenti non le assicurano. Vediamo quali sono oggi i minimi requisiti richiesti.

Cyber Risk

Da diversi anni sono disponibili soluzioni assicurative per proteggere le aziende dai danni causati dai vari rischi informatici ma l'aumento esponenziale degli eventi di questo tipo ha logicamente determinato, man mano, l'aumento delle specifiche che le Compagnie di assicurazione richiedono alle aziende prima di assicurarle.

In sostanza, l'azienda che si vuole assicurare deve già avere (o in mancanza, attivarsi per metterle in atto) tutta una serie di caratteristiche tecnico-organizzative per la sicurezza della propria rete e dati: se in alcuni casi è sufficiente una dichiarazione nel questionario (naturalmente se poi avviene l'hackeraggio e non si dimostra che quelle caratteristiche erano presenti, la polizza sarà inefficace), in altri è proprio previsto che un'ente esterno effettui un "penetration test" al fine di verificare la bontà delle misure in atto nell'azienda "assicuranda".

I requisiti minimi

Ovviamente fanno parte della valutazione anche le dimensioni dell'azienda ed il settore di attività, ma questi di seguito sono i requisiti minimi di sicurezza che i sottoscrittori delle compagnie prendono generalmente in considerazione prima di fare o di NON fare una polizza cyber all'azienda.

Parametri principali

  • Corsi di formazione sul rischio “phishing” con cadenza e test di verifica sui partecipanti almeno annuale
  • Rete privata virtuale (VPN) per la connessione degli Utenti da remoto
  • Autenticazione Multifattoriale (MFA) per accessi da remoto, per la posta elettronica in cloud e per gli Utenti Admin
  • Pre-visualizzazione e scansione e-mail in cerca di allegati e link potenzialmente dannosi
  • Installazione di patches altamente critiche entro 30 giorni dalla pubblicazione dello sviluppatore
  • Data Network Security (DNS)
  • Back-up off-site, off-line o cloud e criptato
  • Presenza di Incident Response Plan (IRP) – Disaster Recovery Plan (DRP) – Business Continuity Plan (BCP)

Aspetti di valutazione

  • Protezione degli End-Point (EPP)
  • Endpoint Detection and Responce (EDR)
  • Security Operation Center (SOC)
  • Presenza di test del ripristino delle principali configurazioni di server e dei dati dei backup almeno ogni 6 mesi
  • Rimozione agli Utenti della possibilità di eseguire documenti MS Office Macro come impostazione predefinita
  • Computer System «End Of Life»: verifica se sono presenti e come vengono gestiti all’interno della rete aziendale e rispetto all’Open Internet
  • Segregazione rete IT Vs. OT (organizzazione gerarchica rispetto ad organizzazione piatta) e segregazione rete OT rispetto all’Open Internet

Quindi non è più "faccio la polizza e sono a posto": occorre coinvolgere e far dialogare gli esperti IT dell'azienda con quelli della compagnia assicurativa altrimenti il rischio cyber... "rimane in casa". 

Vuoi tutelare la tua azienda? Abbiamo le soluzioni specifiche!

Compila il form di contatto CLICCANDO QUI.
 
 
 
 
 
 

Contattaci

I dati ricevuti tramite questo modulo saranno trattati conformemente al GDPR (privacy) esclusivamente per rispondervi.