30+credea

17
Ven, Apr

I rischi del settore IT e la NIS 2

Cyber
Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 
Condividi su Whatsapp

NIS 2

Per affrontare le minacce informatiche sempre più sofisticate e invasive che hanno visto un incremento significativo negli ultimi anni e rafforzare il livello di sicurezza informatica all'interno dell'Unione Europea, è stata emanata la Direttiva NIS 2 (Direttiva UE 2022/2555) che si integra con altre normative come GDPR, DORA e Cyber Resilience Act.

NIS2 (Network and Information Security 2) riguarda tutte le organizzazioni che forniscono servizi identificati come "essenziali" o "importanti per l'economia" e le società europee e nei settori individuati rientrano automaticamente "in perimetro NIS2" sia "grandi imprese", "medie imprese" che, in alcuni casi, anche "piccole imprese".

Dover adottare i requisiti NIS 2 non è certamente una passeggiata, nemmeno per aziende mediamente strutturate e non esserne soggetti è sicuramente un sollievo ma, dato che fra i requisiti c'è l'adozione di misure per la gestione dei rischi, inclusa la sicurezza della catena di fornitura, ecco che si potrebbe esserne obbligati (o perdere il cliente!).

La questione riguarda in particolare tutte le aziende IT e di software, i cui clienti, per essere conformi alla NIS 2, potrebbero decidere di valutare la sicurezza informatica e la resilienza operativa dei loro fornitori rilevanti.

Il settore IT

Gli sviluppatori e i distributori di software sono fortemente esposti ai rischi cyber e per tutelare se stessi e i propri clienti devono adottare un piano completo di cyber hygiene.

La sicurezza informatica è un’area di rischio che richiede un’attenzione enorme. Secondo Cybersecurity Ventures, i costi della criminalità informatica previsti su scala mondiale ammonteranno a 10,5 trilioni di dollari all’anno entro il 2025. Le aziende del settore Information Technology sono particolarmente esposte a tali rischi, poiché il loro ruolo di software/service provider le rende un potenziale veicolo per la diffusione di malware o ransomware a più aziende con un solo attacco.

Esposizioni comuni

Le aziende del settore IT fanno i conti con due rischi principali, estremamente interconnessi: gli attacchi ai propri sistemi e gli attacchi che colpiscono i clienti. Un attacco informatico a uno sviluppatore o a un distributore di software può tradursi nel furto di dati riservati, che potrebbero essere usati in modo improprio dagli hacker per accedere direttamente ai sistemi di un cliente. In caso di attacco ransomware, un’azienda del settore IT potrebbe non essere in grado di fornire servizi di supporto cruciali per i clienti. Così come è possibile che i clienti acquistino inconsapevolmente software compromessi da malware di tipo “backdoor”, agevolando così un attacco a centinaia o migliaia di aziende.

Le conseguenze finanziarie e reputazionali per le aziende operanti nel settore Information Technology possono essere immense. La preoccupazione dei clienti potrebbe spingerli a passare alla concorrenza, con forti ripercussioni sui profitti.

Trend emergenti

Quali sono le tendenze riscontrate oggi dagli assicuratori?

Poiché le aziende migliorano progressivamente i propri livelli di protezione, i criminali informatici puntano sempre di più a colpire venditori e fornitori:

  • in quanto “intermediari”, i fornitori di servizi gestiti (Managed Service Provider) sono esposti a rischi informatici concreti; infatti l’espansione costante di questo segmento è accompagnata da un incremento dei sinistri
  • anche i sistemi Platform as a Service (PaaS) e Software as a Service (SaaS) sono più esposti. Il profilo di rischio è aumentato notevolmente con l’allontanamento dalle soluzioni software on-premise a favore di modelli basati su piattaforme o sul cloud
  • un’altra area di rischio emergente riguarda il Duty of care. Nell’ambito di una relazione tra fornitore e cliente, in genere una società che opera nel settore IT è considerata l’esperto: spesso le sue responsabilità vanno oltre il contratto scritto e quindi i rischi connessi alla responsabilità possono moltiplicarsi
 

Quindi, in che modo è possibile mitigare questi rischi attraverso una buona cyber hygiene?

Analizziamo le best practice per le aziende del settore IT in base a quattro azioni: identificare, prevenire, individuare e reagire.

  1. Puoi identificare i rischi a cui la tua azienda e i tuoi clienti sono esposti?
    • La definizione dei rischi cyber dipende semplicemente da un’efficace gestione del rischio.
    • Le aziende del settore IT devono identificare con esattezza i prodotti e i servizi che forniscono in modo da valutare cosa può potenzialmente tradursi in un rischio. Producono software o si limitano a distribuirli? Sono un Managed Service Provider? Memorizzano password per i clienti? Un Sistema di gestione per la sicurezza delle informazioni (ISMS) consente alle aziende di determinare tali dati.
  2. Sai cosa fare per prevenire i rischi una volta identificati?
    • Per fermare gli attacchi informatici occorrono, come minimo, misure standard di cyber hygiene, quali: l’autenticazione a più fattori; un’adeguata formazione per il personale; i firewall; la scansione delle e-mail di phishing e il filtraggio dei siti web; i test continui dei backup e la loro archiviazione offline; un’attenzione particolare alla crittografia delle password e degli altri dati; la presenza di un responsabile della sicurezza informatica dedicato.Le aziende del settore IT dovrebbero mettere in atto le migliori best practice possibili, considerando il rischio di rilevanti perdite causate da eventi di ampia portata e le accresciute responsabilità connesse al Duty of care. Esse necessitano di un sistema di gestione degli accessi privilegiati (Privileged Access Management - PAM), che preserva le identità con accessi privilegiati o funzionalità supplementari rispetto a quelle degli utenti comuni. Questo è particolarmente importante per i Managed Service Provider, dove molti utenti hanno bisogno di accedere a più programmi attraverso un pacchetto software centrale.Tuttavia prevenire non significa solo adottare misure di prevenzione tecnica, bensì anche comunicare adeguatamente e stabilire accordi contrattuali sul livello di servizio e sulla protezione dei dati. Una società operante nel settore IT ha il dovere di avvertire e istruire i clienti sul livello di protezione potenzialmente scarso di un particolare ambiente. I clienti dovrebbero essere informati per iscritto e, per tutelarsi dal punto di vista della responsabilità, il processo andrebbe documentato.
  3. Sono presenti misure efficaci per l’individuazione delle violazioni?
    • I software di monitoraggio e rilevamento, quali EDR (Endpoint Detection and Response), sono imprescindibili per le aziende operanti nel settore IT, come anche i firewall efficaci e i sistemi di monitoraggio della rete, tenuti sotto osservazione 24/7 da un centro operativo di sicurezza interno o esterno. Nel momento in cui un hacker entra in un sistema, è fondamentale scoprirlo in tempo.
  4. Esiste un piano chiaro su come reagire in caso di attacco?
    • Uno degli aspetti più cruciali per le aziende nella gestione degli attacchi cyber è la presenza di un piano di incident response ben definito. Un’attenta pianificazione anticipata permette alle aziende di reagire in modo idoneo e tempestivamente in caso di attacco. Per le società di software, questo piano va ben oltre il proprio ambiente e dovrebbe includere una procedura di comunicazione con i clienti e di gestione delle crisi. In caso di violazione dei sistemi IT, le aziende devono garantire che i sistemi siano sicuri e che il ripristino delle loro funzionalità avvenga il prima possibile, oltre alla capacità di assistere i clienti in modo competente nel lasso di tempo intermedio.Il futuro dei rischi cyber nell’era del digitale può intimidire, ma la mancata adozione di misure preventive per proteggere la propria azienda equivale un po’ a lasciare costantemente spalancata la porta di casa e sperare che nessuno rubi niente. In un’ottica aziendale, ha molto più senso formarsi sul tema della cyber hygiene e predisporre misure adeguate per proteggere la propria attività e i propri clienti.

 

 Fonte: CHUBB

La soluzione per chi opera nel settore I.C.T.

Le aziende che operano nel settore IT sono esposte a danni che riguardano non solo cose e persone ma anche beni immateriali, dati e perdite finanziarie.

Da Chubb una grande novità, la polizza MULTIRISCHI TECHNOLOGY, una soluzione completa che offre servizi e garanzie assicurative in un'unica polizza, una copertura per danni propri e danni a terzi

Vuoi saperne di più? Vuoi un preventivo personalizzato? Compila il form di contatto CLICCANDO QUI

 

Condividi su Whatsapp
news professionisti rc professionale broker broker di assicurazioni assicurazione professionisti Cyber Risk Chubb Professioni Non Regolamentate RC Professionale Professioni Non Regolamentate RC Professionale Professioni protette Assicurarsi Bene Informatica Settore ICT Rischi informatici polizza RC Professionale Informatica RC Professionale Informatica polizza Cyber

Pico

F.A.Q. Pico