cyber insurance, cyber risk cyber security insurance

Come integrare servizi in prodotti cyber e cyber risk.

Ti stai chiedendo come fare per integrare i giusti servizi, a supporto dei tuoi prodotti assicurativi corporate sul cyber risk? Hai capito che in questo ramo, non ha senso pensare di un prodotto che trasferisca il danno economico, senza considerare un ecosistema satellite di servizi all’azienda ?

Che tu sia un intermediario o un product developer, con questo articolo condivideremo quelli che sono alcuni tra i maggiori servizi, che oggi possono essere implementati in un nuovo prodotto cyber e come fare (quale mentalità) per andarli a “pescare”. Vedremo inoltre come domani, in un approccio Insurance Partner, non avrà più senso parlare di “assicurazione”.

Come si compone l’articolo:

  • Premessa;
  • La lenta evoluzione delle polizze Cyber;
  • I Servizi;
  • Perchè Non ha Senso qui di Parlare di Assicurazione;

Premessa

Quale futuro del settore assicurativo ti immagini?

Stai osservando l’emergere di servizi un po’ ovunque, ma questa non è una novità. Ciò che potrebbe invece, diventare particolarmente interessante, è l’emergere (attraverso i servizi) di una concretizzazione del prodotto assicurativo. Un aspetto mai visto prima. Ne ho scritto in diversi articoli, ma ciò di cui non abbiamo così spesso discusso è cosa e come, possa essere affrontata questa “materializzazione” del prodotto assicurativo, per mezzo dei servizi.

Infatti i servizi si sono “scoperti” in diversi ambiti dell’industria del rischio. Servizi per la mitigazione, monitoraggio e prevenzione del rischio. Oggi però ci troviamo davanti a rischi (come quello cyber), nei quali il servizio sembra non poter essere più un’opzione.

Mancano dati e questo è un problema sentito in diversi ambiti, come ad esempio quello riassicurativo. Dove la preoccupazione per forte esposizione che scaturirebbe da un attacco multiplo, come quelli ai quali siamo stati recentemente abituati ad assistere (WannaCry, Petya etc. ), mettono dei resistenti paletti all’espandersi del mercato.

Quindi è per questo che oggi ha particolarmente senso pensare a servizi che siano in grado di assolvere almeno 4 compiti:

prodotti cyber

Quattro punti che ritengo possano rispondere almeno ad altrettante domande:

1. Come fare a colmare in fretta il gap relativo alla mancanza dei dati su questo fenomeno?
2. Come far percepire il valore del prodotto al cliente?
3. Come faccio a diversificare strategicamente la mia offerta?
4. Come gestire un rischio profondamente legato al fattore umano?

La domanda finale, potrebbe dunque essere: “Come si è arrivati a parlare di questo?”

La lenta evoluzione delle polizze Cyber

Le polizze che mirano a coprire, quelli che prima venivano definiti rischi informatici e adesso sempre più rischi cyber, non sono certo una novità. Infatti già da almeno 15 anni si assicurano rischi correlati all’ecosistema delle “macchine informatiche”. L’evoluzione però vi è stata in particolar modo nel muoversi, da prodotti “timidi” dove la copertura sul rischio informatico era solo una parte del prodotto (banalmente potremmo dire una sezione della più diffusa “liability”) verso prodotti più verticali, come quelli che oggi si posizionano sul mercato dove troviamo coperture dedicate esclusivamente a questo tipo di rischio (cyber risk). Coperture che nascono con l’obiettivo di assolvere, il complicato compito trasferire un danno economico in maniera controllata, a seguito di un attacco informatico o più in generale da una violazione dei sistemi informatici di un’azienda.

Questa verticalizzazione però non è stata così immediata, difatti ancora oggi le società assicuratrici che propongono sul mercato prodotti vertical sul rischio cyber, non sono poi molte. E questo fatto è particolarmente interessante quando si vanno ad osservare i numeri. di quali siano i player posizionati oggi sul mercato, notando così come in Europa (allo stesso modo in USA) gran parte dei premi (sul cyber risk), in particolare circa l’81%, sia raccolto dai top market player (source: Aon Inpoint Analysis). Instaurando così l’interessante fenomeno polarizzante, che permette a queste compagnie già posizionate di accumulare ancora più dati (gli stessi dati di cui il mercato è povero), in modo tale da poter creare prodotti assicurativi data-based. Dunque strutturare offerte sempre più performanti, sia dal punto di vista delle condizioni che dal punto di vista del premio.

Appare chiaro a questo punto, come con l’avanzare del tempo il divario tra compagnie lungimiranti e compagnie “sterili” – permettetemi il termine riferito esclusivamente a questo ramo – si allunghi.

Plausibilmente, siamo in una fase storica dove “il recupero” è ancora possibile e la penetrazione di mercato di questi prodotti, tra le PMI, è ancora basso (5% secondo dati ANIA). Fase che può essere sfruttata dalle compagnie per posizionarsi, oppure no. La scelta in mano alla Governance naturalmente.

Il fenomeno evolutivo di questi strumenti per il trasferimento del rischio, non si è fermato certamente alla creazione di prodotti “cyber vertical”, ma si è infatti espanso e plasmato con quella che è una logica ormai nota (da alcuni anni). L’approccio di assicurazione partner.

Credo a questo punto che la presa di coscienza, da parte del mondo assicurativo, verso la possibilità di diventare partner aziendale nella gestione del rischio cyber, potrebbe essere riassunta con questa grafica:

assicurazioni partner

Dove emerge la possibilità di rendere “assicurabile” il supporto alla gestione di una violazione informatica. Supporto che può essere etichettato più in generale come un servizio.

I Servizi

Nell’ecosistema dei servizi però, non esiste certo solo quello relativo all’incident response. Servizio peraltro, che potremmo definire il principe di tutto l’ecosistema a supporto di un prodotto cyber e del quale si avvalgono già oggi tutte le compagnie più senzienti, o comunque i soggetti che hanno strutturato prodotti assicurativi verticali su questo tema.

ibm security

Servizio (incident response) che viene abbinato ad un prodotto, con lo scopo di attenuare il danno economico mediante un intervento tempestivo, sin dai primi istanti successivi alla violazione dei sistemi.

Appare chiaro in questi termini, come il prodotto assicurativo (il cui compito rimane comunque quello di trasferire il danno economico), si materializzi agli occhi del cliente per mezzo del suo servizio.

Questo sottile processo, fa si che il prodotto possa essere visto sotto una luce diversa, plausibilmente acquisisce importanza nel garantire all’azienda che si assicura, non solo un risarcimento economico dove previsto, ma anche una risposta veloce e dunque la possibilità di ripristinare in tempi brevi il proprio business nel regime standard (attività di business recovery).

Ma oltre a questo servizio principe, abbiamo accennato ad altre tipologie di servizi da abbinare a questo prodotto. Quali?

Per scoprirle, potremmo anziché partire dalle soluzioni, ragionare sui problemi che attanagliano ancora oggi la sicurezza dei sistemi aziendali (mia personalissima  deviazione professionale da approccio startup lean). In particolare conosciamo ad esempio che oltre il 60% degli attacchi informatici parte con tecniche di phishing (guarda cosa sono), così che si giunge rapidamente a capire cosa significhi la frase: “nella security l’anello debole della catena è l’uomo”.

E in questo senso si può pensare di strutturare (avvalendosi di esperti veri della materia), di contenuti standard e scalabili per educare all’utilizzo delle tecnologie informatiche all’interno dell’azienda. Servizi questi, che possono ampiamente rientrare in un investimento iniziale all’atto della creazione del prodotto, per poi essere offerti ai vari clienti, a supporto di quella che viene chiamata “loss prevention”.

Rimanendo in ambito di loss prevention però, i servizi possono consistere oltre che nella parte educativa, come appena accennata, anche in varie altre tipologie di software o hardware.

Partendo dalle partnership tra mondo assicurativo e specialisti della sicurezza (competenze eterogenee dunque) come quella recente tra Aon, Apple, Cisco e Allianz (vedi il comunicato), oppure ad esempio quella più italiana e dunque vicina al nostro territorio tra Reale Mutua e GData (vedi comunicato).

Arriviamo rapidamente però, anche ad essere in grado di strutturare prodotti e servizi più complessi, come ad esempio potrebbe essere la fornitura di un dispositivo che posizionato a monte dell’infrastruttura possa per mezzo di un software fungere da firewall.

firewall

Software immaginiamo collegato in real time con una centrale operativa (la quale potrebbe coincidere con quella del servizio di Incident response). Nulla di nuovo stiamo creando, ma semplicemente si sta osservando questo nuovo mondo attraverso un percorso di “ricontestualizzazione” (così mi piace chiamarlo).

Ragionando in questo modo, si capisce senza mezze misure come l’intera industria assicurativa possa fungere da lubrificante nell’accoppiamento tra questi due tipi di ingranaggi (assicurativo e cyber), di diversa dimensione, ma profondamente legati. Si capisce come l’industria assicurativa possa essere un ente facilitatore nell’abilitare sistemi e strategie di protezione, per la navigazione in queste acque oscure (per ora) chiamate cyber space.

Ancora, si può pensare ad esempio di agevolare l’espandersi tra le aziende di programmi di Bug Bounty. Lo si può fare attraverso la messa a disposizione da parte della compagnia verso un proprio cliente, di un supporto convenzionato (servizio) di suoi partner, per l’istituzione appunto di questi programmi, i quali banalmente  premiano i soggetti che trova uno o più bug relativi alle vulnerabilità nella sicurezza di un sistema aziendale.

Servizi percepiti interessanti dal cliente, ma che in realtà contribuiscono in particolar modo alla riduzione del rischio per la compagnia. Strategicamente interessanti dunque.

Perchè Non ha Senso qui di Parlare di Assicurazione

A meno che non si abbia a che fare con particolari figure competenti in materia, mediamente il cliente non riesce a rendersene conto di quali siano le dinamiche di base che rendono possibile tutto questo. Infatti è solo grazie ad un buon piano di trasferimento del danno economico, che si può realizzare questo “piacevole” e fondamentale ecosistema di servizi. Quella che meno tecnicamente poi viene chiamata assicurazione. Ma arrivati a questo punto, coscienti del fatto che il valore percepito poi spesso è l’unico valore reale, allora la domanda che probabilmente dobbiamo porci è:

“Sono i servizi a contornare un prodotto assicurativo, oppure i servizi diventano di per se IL prodotto assicurativo?”

Certamente questa, potrà apparire ai più tecnici una domanda profana e quasi al limite del buon senso. Se però ci si ferma un attimo, abbandonando per un attimo tutte le proprie nozioni e tecnicismi e mettendosi dunque dalla parte del cliente, si capisce come si stia stravolgendo il concetto stesso di prodotto assicurativo. Quasi che la tentazione è quella di cercare un altro nome (diverso da assicurazione).

In piena ottica con quello che è l’evoluzione dell’intermediario da broker o agente assicurativo, verso consulente sulla protezione e prevenzione dei rischi. E questo ci dice molto anche su quale sia il potere in mano agli intermediari oggi. Ci dice molto su quale siano le possibilità che vengono messe in mano ai “vecchi intermediari”, di prendere le redini della propria attività imprenditoriale e strutturare essi stessi il proprio ecosistema di servizi, da mettere a disposizione dei propri clienti e/o delle proprie mandanti.

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

I studied Engineering until 2016, then I worked as a freelance loss adjuster for Insurance companies but, at the same, I had a strong passion for the digital future of the insurance sector. In fact, in 2017 I co-founded Easy Claims (a insurtech startup that develops and commercializes a software that connects loss adjusters to insurers on a audio-video stream, allowing for a reduction in the time of claims management in property and automotive claims). I joined Accenture on the Tech Strategy Team in july of 2018
cyber security