Nel Regno Unito l’ 81% delle grandi imprese e il 60% delle piccole ha subito una violazione della sicurezza informatica, con un costo raddoppiato nei due ultimi anni. Le assicurazioni, molto dinamiche nel Regno Unito, hanno avviato una attività di diffusione di best practice, a livello di Pmi, con l’obiettivo di creare la cultura della sicurezza nel mondo imprenditoriale. Inoltre le compagnie mettono in atto una pressione sui decision maker, che punta a creare o lasciare spazio al risparmi privato e alle compagnie di assicurazione, puntando decisamente sulla responsabilità dei soggetti privati nei confronti di sé stessi e delle proprie organizzazioni.
Un esempio di questa volontà di affermare la centralità della responsabilità individuale è l’associazione Robust, creata da 4 compagnie assicurative: Ecclesiastical, Allianz, Nfu mutual, Qbe, con lo scopo di ridurre i rischi attraverso la ricerca, le formazione e la diffusione delle buone pratiche. Il servizio è gestito dalla Fire Protection Association, che raggruppa le compagnie assicurative, i vertici dei Vigili del Fuoco, gli esperti e le aziende del settore.
Robust ha creato un pacchetto formativo e un software gratuiti per organizzarsi al fine gestire i rischi ed assicurare la business continuity delle Pmi. Così la versione più recente di Robust offre risorse che aiutano le Pmi ad affrontare i rischi informatici e ad assicurare alla propria organizzazione una adeguata resilienza agli attacchi.
Vi è anche una miopia interna alle grandi aziende. I dirigenti delle imprese che sono a conoscenza di soluzioni assicurative tendono a sovrastimare la misura in cui sono coperti: le indagini mostrano che il 52% dei ceo crede di avere copertura, mentre in realtà si tratta di meno del 10%.
Questo dato è probabilmente il risultato della complessità delle polizze assicurative dei rischi cyber, a volte coperti solo come add-on. Gli assicuratori possono aiutare le imprese di trattamento del rischio informatico in modo più coerente, sicuramente un ruolo importante spetta allo Stato nel determinare gli standard di sicurezza delle pubbliche amministrazioni.
Anche il governo contribuisce, quindi, alla creazione di questa consapevolezza. Il CiSP (Cyber Security Information Sharing Partnership) è parte del Cert UK, cioè della struttura dedicata alla cybersecurity nel Paese, raggruppa aziende e rappresentanti del governo per condividere le informazioni sulla vulnerabilità, accrescere la consapevolezza delle minacce e
ridurre l’impatto sulle attività economiche nel Regno Unito. CiSP riceve dal gruppo di esperti del governo e delle aziende, che analizza le informazioni di diversa origine che possono aiutare ad individuare i rischi.
Il CiSP conta attualmente 950 organizzazioni e 2500 individui, iscritti per svolgere questo servizio gratuito. Anche questo è un esempio di social responsibility, che intende affrontare le sfide più complesse, come quelle poste dagli attacchi alla cybersecurity, non gonfiando le strutture pubbliche, ma puntando sulla collaborazione con i privati. Lasciando spazio alla crescita di un’offerta di servizi privati efficace e competitiva. In grado quindi di affrontare anche le esigenze delle piccole e medie aziende.
Nell’ambito delle attività dolose e dei loro danni, classificati in una semplice tassonomia del cyber- risk, alcuni aspetti possono essere affrontati a livello di organizzazione dell’azienda e di celte tecnologiche adeguate. Altri aspetti possono essere affrontati attraverso lo scambio di informazioni, e questi sono i più importanti, tra imprese e amministrazioni pubbliche. Ciò va fatto a livello europeo, dove il ruolo di Enisa appare troppo debole.
E’ interessante mettere a fattor comune le risorse e le competenze delle grandi aziende private (ad es. di internet, della cybersecurity, delle assicurazioni) con l’intelligenza degli individui e con la loro motivazione, all’interno di un quadro cooperativo garantito dal regolatore pubblico. Una risposta che si basa sulla motivazione professionale e sulla condivisione di valori etici: le due forze che delimitano il sentiero in cui muoverci in fenomeni globali come la cybersecurity.
