Navigare verso la cyber resilience in azienda.

Report 2023 sulla cyber resilience

Le aziende di tutte le dimensioni troveranno in questo report una risorsa e uno strumento per aiutare a prendere decisioni sul rischio cyber nel 2023 e oltre. La resilienza cyber è un viaggio, che è meglio percorrere in partnership e attraverso il lavoro di squadra.

Per saperne di più

Executive Welcome

Le aziende stanno uscendo da quattro anni impegnativi, caratterizzati dall’aumento del numero e della gravità delle cyber risk e degli attacchi ransomware, seguiti da un mercato assicurativo con premi e clausole in aumento e un significativo controllo delle sottoscrizioni. Lavorando con i clienti, abbiamo osservato che la C-suite si è resa conto che gli eventi cyber possono avere un impatto su tutte le aree della loro attività. Di conseguenza, il raggiungimento della resilienza informatica è un tema ricorrente nelle discussioni nelle riunioni e la minaccia è finalmente considerata da una prospettiva di rischio integrato.

Tra il 2020 e il 2022, gli assicuratori hanno reagito all’enormità del rischio cyber e alla necessità di migliorare la loro redditività.

È stato introdotto un maggiore rigore assicurativo nel mercato cyber ed E&O, che ha comportato un esame più approfondito dei controlli di sicurezza, linee guida più rigide e una rivalutazione del cyber risk nel suo complesso.1 Sulla base dei dati riferiti dai clienti di Aon, le organizzazioni hanno risposto a questo maggiore rigore e hanno iniziato a concentrarsi maggiormente sul miglioramento della maturità del rischio nei controlli designati come critici, o segnali d’allarme, dagli assicuratori.

Il report di quest’anno è una guida per i dirigenti che consente loro di confrontare la maturità del rischio della loro organizzazione con quella delle aziende di pari livello e di prendere decisioni migliori sulla gestione del rischio cyber attraverso sei temi di rischio: cyber, operativo, supply chain, interno, reputazionale e sistemico. I dati raccolti a livello globale, da oltre 2 000 clienti di Aon in diverse regioni, settori e fasce di fatturato dal Cyber Quotient (CyQu) di Aon, una piattaforma globale di eSubmission e valutazione del rischio, sono alla base di questo report. A questi dati del CyQu si aggiungono i dati della Ransomware Supplemental Application e della Operational Technology Supplemental di Aon, che forniscono una maggiore visibilità sui controlli di sicurezza prioritari per gli assicuratori.2 Questi dati dei clienti sono stati poi integrati con le informazioni sul mercato dei sinistri informatici e arricchiti con i commenti dei team Cyber Advisory e Digital Forensic Incident Response di Aon, consentendoci di fornire, all’interno di questo report, un esame completo della resilienza e del rischio informatico. I dati del CyQu aiutano a chiarire l’ampia comprensione che il mercato assicurativo è un driver cruciale dei controlli accettati che guidano maturità accettata nella cybersicurezza. I clienti hanno riferito che la maturità e la preparazione in ambito informatico sono migliorate tra il 2020 e il 2022, realizzando un passaggio medio globale da livello di maturità “basilare” a “gestito”. Le aziende, in generale, hanno adottato misure per rafforzare le aree di sicurezza e i controlli ritenuti critici dagli assicuratori, compresa una maggiore attenzione alla gestione degli accessi e alle strategie di autenticazione a più fattori (MFA). In relazione a ciò, abbiamo assistito a un calo del 32% delle richieste di risarcimento per ransomware e a una diminuzione del 14% della frequenza dei sinistri assicurativi di cybersicurezza nel 2022.3

Al contrario, in base ai dati, le organizzazioni di tutti i settori hanno avuto difficoltà con la gestione del rischio di terze parti, per il quale nessun settore ha riportato un profilo “gestito”. Sebbene questo risultato non sia sorprendente, tende a convalidare un tema crescente all’interno del settore cyber: il rischio introdotto attraverso la supply chain di un’azienda è complesso, e la crescente interconnessione tra le strutture tecnologiche aumenta esponenzialmente il rischio di terzi. Come risultato di questo aumento del rischio, recentemente illustrato dalla violazione dei dati di una delivery platform, prevediamo che quest’anno molti assicuratori sposteranno la loro attenzione sull’esposizione e l’impatto del rischio sistemico e correlato.

Questi dati preliminari rappresentano un assaggio degli approfondimenti forniti in questo report, composto da singoli articoli. L’analisi settoriale viene fornita per i settori finanziario e assicurativo, sanitario e manifatturiero, e le analisi regionali saranno pubblicate per Nord America, EMEA, Regno Unito, America Latina e Asia Pacific.

Intraprendere un percorso verso il raggiungimento della resilienza informatica e, in ultima analisi, del business è una sfida importante per qualsiasi organizzazione. La resilienza è una componente essenziale per contribuire a minimizzare i rischi dal punto di vista finanziario, operativo e reputazionale. Richiede una visione olistica che colleghi la gestione proattiva del rischio, la preparazione della risposta e i meccanismi di trasferimento del rischio. Il trasferimento del rischio è una componente fondamentale della resilienza e non si limita al solo collocamento assicurativo tradizionale. Le obbligazioni vincolate e il capitale alternativo sono opzioni praticabili da considerare per la protezione del bilancio. Che tu stia guidando un’azienda Fortune 100 o guidando un’impresa di piccole e medie dimensioni che si trova ad affrontare rischi simili, ci auguriamo che questo report sia una risorsa utile e uno strumento in grado di aiutarti a prendere decisioni più consapevoli nel 2023 e negli anni a venire. La resilienza informatica è un viaggio, che si percorre al meglio in partnership e attraverso il lavoro di squadra.

Christian E. Hoffman
Aon Global Cyber Leader

 

References

1 Aon | Analisi del mercato E&O e Cyber| Metà anno 2022. Errors & Omissions, metà anno 2021 | Snapshot dell’assicurazione per la cybersicurezza (aon.com)

2 Vedere l’articolo ‘ Metodologia‘ all’interno del report Aon sulla resilienza cyber del 2023

3 Fonte: Sicurezza basata sul rischio, analisi di Aon. Dati al 1/3/2023

Vai alla sezione
  1. Fattori di Rischio Principali
  2. Settori
  3. Regioni
  4. Metodologia dei dati

Gestire il cyber risk attraverso sei fattori principali.

Il report di quest’anno è una guida per dirigenti che consente loro di confrontare la maturità del rischio della loro organizzazione nei confronti delle aziende di pari livello e di prendere decisioni migliori sulla gestione del cyber attraverso sei temi di rischio: informatico, operativo, supply chain, interno, reputazionale e sistemico.

In che modo il Cyber Risk tocca quasi tutti gli aspetti del rischio aziendale

L'aumento del rigore delle sottoscrizioni nel mercato delle assicurazioni informatiche ed E&O ha contribuito a stimolare la crescita della maturità del Cyber Risk tra i settori e le fasce di fatturato nel 2022.

Saperne di più
Le minacce cyber interne sono un rischio aziendale in crescita

I malintenzionati sanno che gli umani sono fallibili. Nel 2022, due aziende su cinque hanno segnalato una mancanza di controlli da parte del centro operativo di sicurezza (security operations center - SOC), accentuando il rischio proveniente dall’interno.

Saperne di più
Adotta queste misure per ridurre i rischi operativi

Nel 2022 gli assicuratori hanno dato priorità ai controlli relativi al rischio operativo e i clienti hanno risposto. Mentre le violazioni di dati ransomware sono diminuite per un breve periodo, c’è stata un’impennata nel primo trimestre 2023 e le truffe di phishing e spear phishing rappresentano un grande rischio.

Saperne di più
Sviluppare un piano per affrontare i pericoli del rischio reputazionale

Gli attacchi cyber possono danneggiare il valore per gli azionisti. Ma non tutte le aziende perdono valore a causa di un attacco. La ricerca ha rivelato che 17 aziende hanno realizzato un impatto medio sul valore, superiore a quello del mercato, di+18% dopo l’evento, o un impatto totale sul valore di 445 miliardi di dollari a seguito di un incidente.

Saperne di più
Gli attacchi informatici alle supply chain stanno causando un impatto diffuso

Le minacce cyber aggiungono un livello di complessità al rischio della supply chain. La gestione del rischio di terzi, fondamentale per la protezione dell’organizzazione, ha ricevuto il punteggio CyQu più basso di tutti i nove settori valutati.

Saperne di più
Gli step per minimizzare l’impatto informatico sul rischio sistemico

La gestione del rischio sistemico è balzata in cima alla lista delle priorità del settore assicurativo, in quanto eventi cyber significativi hanno messo in allerta che il rischio sistemico è considerevole, e può causare un impatto diffuso.

Saperne di più

Sviluppare il cyber resilience in tutti i settori

I settori si confrontano con un panorama globale di rischi interconnessi che i leader sono chiamati ad analizzare per prendere decisioni rapide.

Finanza e assicurazioni

La sicurezza del backup continua ad essere un’area di vulnerabilità per il settore, e le aziende statunitensi hanno riportato carenze in quasi il 40% dei controlli critici IT. Questo settore deve essere oggetto di attenzione nel 2023.

Maggiori informazioni

Sanità

Nessun altro settore deve prendere decisioni sulla sicurezza che potrebbero avere un impatto sulla sicurezza e sul benessere dei pazienti come il settore sanitario. I clienti del settore sanitario del mid-market, aziendale e globale hanno segnalato un miglioramento dei profili di cyber risk, con la maggioranza di loro che è passata da “basilare” a “gestito”.

Maggiori informazioni

Manifatturiero

Le aziende manifatturiere hanno registrato un miglioramento costante nel loro profilo di cyber risk complessivo tra il 2020 e il 2022. Ma la resilienza non è ancora stata raggiunta in quanto le aziende manifatturiere statunitensi sono particolarmente carenti di controlli IT significativi sulla resilienza aziendale.

Maggiori informazioni

Maturità informatica per regione

La maturità informatica complessiva delle aziende può variare in base alla regione. Scopri di più sulle lacune, le sfide e le opportunità, compresi i passaggi suggeriti che i leader possono intraprendere per sviluppare la resilienza informatica e aziendale.

Europa, Medio Oriente e Africa: le novità nella gestione mostrano un cambio di mindset

Le società dell’area EMEA si sono concentrate sul miglioramento della sicurezza dei dati e sulla salvaguardia dei dati organizzativi nel 2022, in parte spinte dal conflitto Ucraina-Russia.

Saperne di più
America Latina: Raggiungimento della maturità

La maturità informatica complessiva delle società latinoamericane è vicina a quella delle aziende dell’area EMEA e del Regno Unito, ma sono emerse tre lacune significative: la gestione di terze parti, la resilienza aziendale e la sicurezza delle applicazioni.

Saperne di più
Asia-Pacifico: cambiamento del panorama dei rischi

Per la prima volta, il rischio informatico guadagna un posto nella classifica dei cinque principali rischi aziendali della regione Asia Pacifico. Laziende segnalano un miglioramento dei livelli di maturità informatica, con particolare attenzione alla governance, alla protezione dei dati e ai controlli della supply chain.

Saperne di più
Nord America: La resilienza informatica sta migliorando ma c’è ancora da fare

Le organizzazioni del Nord America hanno registrato ampi miglioramenti nelle aree critiche della resilienza informatica. Tuttavia, ci sono opportunità di miglioramento in aree chiave come la strategia di backup e l’MFA, in particolare per le piccole e medie imprese.

Saperne di più
UK: L'evoluzione nel panorama dei rischi

Essere consapevoli di un rischio non significa essere pronti ad affrontarlo. La maturità complessiva del rischio informatico per le organizzazioni del Regno Unito è diminuita marginalmente tra il 2020 e il 2022; alcuni ambiti, infatti, sono andati eccezionalmente bene mentre, mentre altri hanno subito un arretramento.

Saperne di più

Resilienza al ransomware

Gli attacchi ransomware sono in aumento: 8 passi per essere più resilienti

Dopo più di un anno di calo della frequenza del ransomware, all’inizio del 2023 gli attacchi sono aumentati. I controlli e le valutazioni di sicurezza delle sottoscrizioni hanno contribuito a mitigare gli attacchi, ma il livello di resilienza non è ancora sufficiente. Questi otto passi possono contribuire a sviluppare la giusta resilienza.

Per saperne di più

Two people collaborating over a single laptop by the bannister of the sixth floor.

Metodologia dei dati

Dietro i dati: Metodologia di ricerca

Il report 2023 sulla cyber resilience si basa sui dati proprietari dei clienti raccolti dal Cyber Quotient Evaluation (CyQu) di Aon, dal Ransomware Supplemental Application e l’Operational Technology Supplemental di Aon.

Per saperne di più