Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
LA GESTIONE DELLA
CYBERSECURITY
NEL SETTORE
ASSICURATIVO
. Executive summary
EXECUTIVE
SUMMARY
1
ORGANIZZAZIONE
E STRUTTURE
DI CYBERSECURITY
33%
SI
67% NO
ORGANIZZAZIONE
E STRUTTURE 8
DI CYBERSECURITY
Fino al 100%
72%
del personale
Si parla dunque di cifre rilevanti che, come già detto, hanno richiesto un
ulteriore sforzo per garantire la sicurezza degli strumenti in dotazione del
personale che opera da remoto.
MFA/VPN 94%
Hardening e patching
delle postazioni di lavoro
89%
6%
SI
NO
94%
Già nella precedente edizione del report, era stata avviata un’analisi della
conformazione delle strutture di cybersecurity delle imprese assicurative
italiane. Ne era emersa la centralità del CISO che nella maggior parte
dei casi risulta essere figura di riferimento per tutti i processi interni di
cybersecurity.
Volendo continuare su questa linea di azione, quest’anno è stato ritenuto
opportuno indagare le figure interne a cui fa diretto riferimento il CISO
aziendale.
11%
6%
39% 11%
33%
Dopo aver esplicato il criterio secondo il quale sono stati elaborati i dati
in oggetto, è possibile analizzare quanto emerge dal grafico 1.6 dal quale
si evincere che tra le imprese di prima e seconda fascia dimensionale,
mediamente, vi sono 106 addetti dedicati alla struttura IT 8, dei quali
specificamente impiegati nell’ambito delle attività di cybersecurity.
120
106
100
80
Numero medio di risorse
impiegate nelle strutture IT
60
42 Numero medio di risorse
strutture cybersecurity
40
20
8
3
0
Prima e Seconda fascia Terza e Quarta fascia
dimensionale dimensionale
All’interno del grafico 1.7 ,invece, si offre una panoramica dei diversi ambiti in
cui, mediamente, le risorse di cybersecurity vengono impiegate in termini di
FTE - Full-Time Equivalent.
Identity and
Access Management
Server Security
Physical Security
Data Security
Application Security
Cyber Defence
Neetwork Security
Cloud Security
Security Governance
100%
90%
80% 39%
70%
60%
50%
40%
30% 61%
20%
10%
0%
2
DIMENSIONAMENTI
DEI FENOMENI
RILEVATI
Figura 2.1 - Tendenza evolutiva in termini di volumi degli attacchi cyber rilevati -
(16 rispondenti)
100%
90% 19% 24% 35%
29%
80%
47%
70% 56%
60% 78%
50%
56%
59% 47%
40% 71%
30% 47%
20% 44%
10% 25% 22%
18% 18%
0% 6%
ed ud on ge ... re e
ut f... fra ti ka n) ia wa gn
b ec a
le tio ut pa hing
i
str al
o
CE
O inf ov om m
Di eni ar
e a ta iltra tid ns Ca phis
D xf en Ra di
D
Malw (e Ev
Sanzioni 1,14
Perdita/Alterazione
1,87
di dati
Interruzione
1,80
delle attività
Figura 2.4 - Percentuale di imprese che hanno rilevato casi di clonazione di siti
web ufficiali di proprietà dell’azienda - (17 rispondenti)
28%
SI
72% NO
Il grafico 2.5 offre una panoramica degli strumenti e delle modalità tramite i
quali le imprese sono venute a conoscenza degli eventi sopra descritti.
Figura 2.5 - Modalità con le quali l’impresa è venuta a conoscenza dei «siti
clone» - (5 rispondenti)
100%
90%
80%
70%
60%
50%
40%
30% 65%
20%
10% 18% 16%
1%
0%
Utilizzo Segnalazione Segnalazione Segnalazione
di servizi da parte della della rete
di monitoraggio del CERTFin clientela agenziale
della rete
Figura 2.6 - Percentuale di imprese che hanno rilevato casi di «ghost broking»
ai danni della clientela perpetrati tramite canale internet -
(17 rispondenti)
33%
SI
67% NO
Figura 2.7 - Ambiti all’interno dei quali si sono verificati casi di «ghost broking»
nell’anno 2020 - (6 rispondenti)
100%
90%
80%
70%
60%
50% 100%
40%
30%
20%
33%
10% 17%
0%
Polizze Auto Polizze danni Polizze Vita
non Auto
3
MITIGAZIONE DEL
RISCHIO CYBER
50%
40%
30%
25%
20%
15%
10%
5%
0%
Meno del 3% Dal 3% al 6% Dal 6% al 10% Oltre il 10%
In figura 3.2 sono rappresentati gli ambiti specifici verso i quali si sono
concentrati gli investimenti sostenuti nel 2020 e quelli previsti per l’anno 2021.
15%
15
5% 5% 5%
5
0% 0%
0
y
ity
y
en d
ce
:
y
e)
rit
rit
rit
rit
rit
rit
nc
em an
en
ur
ar
t
cu
cu
cu
cu
cu
cu
na
ag ity
ec
fic
ef
Se
Se
Se
Se
Se
Se
er
an nt
rD
tS
ci
ov
M Ide
pe
er
ta
k
al
ns
d
in
be
or
ou
yG
ic
Da
rv
(s
io
Po
Cy
w
ys
Cl
Se
at
rit
o
et
Ph
tr
ic
du
N
En
Al
ss
pl
Se
Ap
ce
Ac
Percentuale di budget impiegato nel 2020 Percentuale di budget previsto nel 2021
MITIGAZIONE DEL 28
RISCHIO CYBER
Dai dati raccolti, la maggior parte del budget allocato per il 2020 e destinato
alla sicurezza informatica è stato investito su sistemi di Identity and Access
Management, Security Governance, Cyber Defence e Server Security.
A fronte degli investimenti importanti volti ad adeguare i sistemi di Identity
and Access Management nel 2020, nel 2021 è prevista una flessione
significativa rispetto a tale esigenza. Tuttavia, è previsto per il 2021 un
aumento percentuale di budget impiegato rispetto agli ambiti di Data
Security, Application Security, Cyber Defence, Network Security e Cloud
Security. Rimane invece sostanzialmente invariata la percentuale di budget
dedicata ad altre aree come quelle della Physical Security e della Endpoint
Security.
Infine, secondo le indicazioni prospettiche ricevute riguardo alla spesa
dedicata alla “security posture”, (figura 3.3) nessuno dei rispondenti ha
indicato una decrescita degli investimenti; tale trend è in linea con quanto
indicato nella rilevazione dello scorso anno. In particolare, il 73,7% dei
rispondenti ha indicato un trend crescente per quanto riguarda le spese
dedicate alla “security posture”, valore in continua crescita con quello
rilevato lo scorso anno (67% considerando un campione di 22 rispondenti).
Figura 3.3 - Previsione del trend di spesa dedicata alla “security posture” -
(19 rispondenti)
26,3%
Stabile
73,7% Crescente
3,53
3,42
Tuttavia, non si discostano di molto dai valori appena citati i livelli medi
delle valutazioni riguardanti le aree Processi e Produzione (3,42) e Capitale
Umano (3,42).
MITIGAZIONE DEL 30
RISCHIO CYBER
3,68
Network Security End Point Security
3,83
3,83
Cyber Defense Data Security
3,53
3,11
Applications Security
Altro 5,3%
Personale della
47,4%
rete agenziale
Altro 36,8%
Corretto utilizzo
della posta elettronica
100%
Rischi legati
al Social Engineering
88,2%
Corretto utilizzo del software /
Rischi legati all’utilizzo 88,2%
di software non autorizzato
L’azienda non ha voluto attività
di sensibilizzazione 5,9%
Altro 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Figura 3.9 - Rilevazione aziende che hanno stipulato una polizza cyber per la
propria protezione - (18 rispondenti)
23,5%
SI
NO
76,5%
4
DIMENSIONAMENTO
DELLE ATTIVITÀ
DI CYBER INSURANCE
Nella precedente edizione del report, era stato segnalato un trend di crescita
positivo del mercato delle polizze di cyber insurance, segmento nuovo per il
settore assicurativo, che spesso presenta diversi ostacoli per le imprese che
intendono accedervi, soprattutto in relazione alla difficoltà di individuare dei
parametri utili per determinare il reale rischio cyber del cliente.
L’andamento positivo segnalato in precedenza è stato confermato anche
nell’ambito della rilevazione 2021.
Tra gli elementi chiave che si ritiene abbiano sostenuto la domanda di
questo tipo di strumenti possiamo, senz’altro, citare la sempre maggiore
consapevolezza del «rischio cyber» da parte delle aziende ed una maggiore
esposizione dei differenti settori produttivi agli attacchi e alle minacce cyber
registrata nel corso del 2020.
Come si evince dalla figura 4.1, costruita su un campione di 19 rispondenti,
il 58% delle imprese dichiara di essere presente sul mercato delle polizze
di cyber insurance, mentre il 37% delle organizzazioni intervistate dichiara
di non fornire, al momento, questo tipo di strumento di Cyber insurance.
Danni/sinistri 78%
Riassicurazione 67%
Rischi 67%
Attuariale 67%
Security 56%
Innovazione 33%
Figura 4.3 - Percentuale delle coperture Cyber offerte nell’ambito degli strumenti
di cyber insurance offerti sul mercato -
(11 Rispondenti)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
IN COLLABORAZIONE CON
www.certfin.it
www.ania.it