Executive Welcome
Le aziende stanno uscendo da quattro anni impegnativi, caratterizzati dall’aumento del numero e della gravità delle cyber risk e degli attacchi ransomware, seguiti da un mercato assicurativo con premi e clausole in aumento e un significativo controllo delle sottoscrizioni. Lavorando con i clienti, abbiamo osservato che la C-suite si è resa conto che gli eventi cyber possono avere un impatto su tutte le aree della loro attività. Di conseguenza, il raggiungimento della resilienza informatica è un tema ricorrente nelle discussioni nelle riunioni e la minaccia è finalmente considerata da una prospettiva di rischio integrato.
Tra il 2020 e il 2022, gli assicuratori hanno reagito all’enormità del rischio cyber e alla necessità di migliorare la loro redditività.
È stato introdotto un maggiore rigore assicurativo nel mercato cyber ed E&O, che ha comportato un esame più approfondito dei controlli di sicurezza, linee guida più rigide e una rivalutazione del cyber risk nel suo complesso.1 Sulla base dei dati riferiti dai clienti di Aon, le organizzazioni hanno risposto a questo maggiore rigore e hanno iniziato a concentrarsi maggiormente sul miglioramento della maturità del rischio nei controlli designati come critici, o segnali d’allarme, dagli assicuratori.
Il report di quest’anno è una guida per i dirigenti che consente loro di confrontare la maturità del rischio della loro organizzazione con quella delle aziende di pari livello e di prendere decisioni migliori sulla gestione del rischio cyber attraverso sei temi di rischio: cyber, operativo, supply chain, interno, reputazionale e sistemico. I dati raccolti a livello globale, da oltre 2 000 clienti di Aon in diverse regioni, settori e fasce di fatturato dal Cyber Quotient (CyQu) di Aon, una piattaforma globale di eSubmission e valutazione del rischio, sono alla base di questo report. A questi dati del CyQu si aggiungono i dati della Ransomware Supplemental Application e della Operational Technology Supplemental di Aon, che forniscono una maggiore visibilità sui controlli di sicurezza prioritari per gli assicuratori.2 Questi dati dei clienti sono stati poi integrati con le informazioni sul mercato dei sinistri informatici e arricchiti con i commenti dei team Cyber Advisory e Digital Forensic Incident Response di Aon, consentendoci di fornire, all’interno di questo report, un esame completo della resilienza e del rischio informatico. I dati del CyQu aiutano a chiarire l’ampia comprensione che il mercato assicurativo è un driver cruciale dei controlli accettati che guidano maturità accettata nella cybersicurezza. I clienti hanno riferito che la maturità e la preparazione in ambito informatico sono migliorate tra il 2020 e il 2022, realizzando un passaggio medio globale da livello di maturità “basilare” a “gestito”. Le aziende, in generale, hanno adottato misure per rafforzare le aree di sicurezza e i controlli ritenuti critici dagli assicuratori, compresa una maggiore attenzione alla gestione degli accessi e alle strategie di autenticazione a più fattori (MFA). In relazione a ciò, abbiamo assistito a un calo del 32% delle richieste di risarcimento per ransomware e a una diminuzione del 14% della frequenza dei sinistri assicurativi di cybersicurezza nel 2022.3
Al contrario, in base ai dati, le organizzazioni di tutti i settori hanno avuto difficoltà con la gestione del rischio di terze parti, per il quale nessun settore ha riportato un profilo “gestito”. Sebbene questo risultato non sia sorprendente, tende a convalidare un tema crescente all’interno del settore cyber: il rischio introdotto attraverso la supply chain di un’azienda è complesso, e la crescente interconnessione tra le strutture tecnologiche aumenta esponenzialmente il rischio di terzi. Come risultato di questo aumento del rischio, recentemente illustrato dalla violazione dei dati di una delivery platform, prevediamo che quest’anno molti assicuratori sposteranno la loro attenzione sull’esposizione e l’impatto del rischio sistemico e correlato.
Questi dati preliminari rappresentano un assaggio degli approfondimenti forniti in questo report, composto da singoli articoli. L’analisi settoriale viene fornita per i settori finanziario e assicurativo, sanitario e manifatturiero, e le analisi regionali saranno pubblicate per Nord America, EMEA, Regno Unito, America Latina e Asia Pacific.
Intraprendere un percorso verso il raggiungimento della resilienza informatica e, in ultima analisi, del business è una sfida importante per qualsiasi organizzazione. La resilienza è una componente essenziale per contribuire a minimizzare i rischi dal punto di vista finanziario, operativo e reputazionale. Richiede una visione olistica che colleghi la gestione proattiva del rischio, la preparazione della risposta e i meccanismi di trasferimento del rischio. Il trasferimento del rischio è una componente fondamentale della resilienza e non si limita al solo collocamento assicurativo tradizionale. Le obbligazioni vincolate e il capitale alternativo sono opzioni praticabili da considerare per la protezione del bilancio. Che tu stia guidando un’azienda Fortune 100 o guidando un’impresa di piccole e medie dimensioni che si trova ad affrontare rischi simili, ci auguriamo che questo report sia una risorsa utile e uno strumento in grado di aiutarti a prendere decisioni più consapevoli nel 2023 e negli anni a venire. La resilienza informatica è un viaggio, che si percorre al meglio in partnership e attraverso il lavoro di squadra.
Christian E. Hoffman
Aon Global Cyber Leader
References
1 Aon | Analisi del mercato E&O e Cyber| Metà anno 2022. Errors & Omissions, metà anno 2021 | Snapshot dell’assicurazione per la cybersicurezza (aon.com)
2 Vedere l’articolo ‘ Metodologia‘ all’interno del report Aon sulla resilienza cyber del 2023
3 Fonte: Sicurezza basata sul rischio, analisi di Aon. Dati al 1/3/2023