Quantifying ROI: Understanding the impact of cybersecurity products and services on cyber insurance claims
Prodotti e Servizi PRODOTTI & SERVIZI

Come quantificare il ROI: l’impatto dei prodotti e dei servizi di cybersecurity sulle richieste di risarcimento assicurativo in ambito informatico

Una ricerca rivela che il valore delle richieste di risarcimento per la cyberassicurazione avanzate dalle organizzazioni che utilizzano i servizi MDR è, in media, inferiore del 97,5% rispetto a quelle delle organizzazioni che si affidano alla sola protezione degli endpoint
Scritto da
4 Marzo 2025
Products & Services cyberinsurance EDR Endpoint Protection featured MDR ROI XDR

Il valore dei sinistri assicurativi è un modo efficace per quantificare l’impatto degli attacchi informatici sulle organizzazioni. Un valore più elevato indica che la vittima ha subito conseguenze finanziarie e operative notevoli dall’attacco, mentre un importo basso riflette un danno limitato.

La riduzione del valore dei sinistri assicurativi è un vantaggio per tutti. Per i clienti, la riduzione dei risarcimenti dimostra una maggiore resilienza informatica, mentre gli assicuratori beneficiano di rimborsi più bassi. Si crea inoltre un circolo virtuoso: se gli assicuratori spendono meno per coprire i sinistri, possono ridurre i premi, offrendo ulteriori vantaggi ai clienti.

Sebbene l’idea che difese più forti riducano l’impatto finanziario e operativo dei cyberattacchi e il valore delle richieste di risarcimento che ne derivano sia ampiamente condivisa, nessuno è stato in grado di quantificarla. Fino ad oggi.

Sophos ha recentemente commissionato uno studio indipendente dai fornitori per quantificare l’impatto finanziario dei vari controlli informatici sul valore delle richieste di risarcimento. Lo studio ha rivelato l’impatto differente delle soluzioni di protezione degli endpoint, delle tecnologie EDR/XDR e dei servizi MDR sulle richieste di risarcimento legate agli attacchi, fornendo indicazioni preziose sia per gli assicuratori che per le organizzazioni.

I risultati principali di questo studio indicano che:

  • Le organizzazioni che utilizzano servizi MDR presentano un numero di richieste di risarcimento pari a 97,5% in meno rispetto a quelle che si affidano alla sola protezione degli endpoint (75.000 dollari contro 3 milioni di dollari).
  • Le organizzazioni che utilizzano soluzioni EDR/XDR presentano un sesto (1/6) delle richieste di risarcimento rispetto a quelle che utilizzano solo la protezione degli endpoint (500.000 dollari contro 3 milioni di dollari).
  • Le organizzazioni che utilizzano i servizi MDR hanno le richieste di risarcimento più prevedibili, mentre quelle che utilizzano strumenti EDR/XDR sono le meno prevedibili.
  • Le organizzazioni che utilizzano i servizi MDR si riprendono più rapidamente da cyberattacchi significativi: quasi la metà (47%) si riprende completamente entro una settimana, rispetto ad appena il 18% di quelle che si affidano alla sola protezione degli endpoint e al 27% di quelle che utilizzano soluzioni EDR/XDR.
  • Le organizzazioni che utilizzano i servizi MDR hanno tempi di recupero dagli incidenti ransomware più prevedibili, mentre gli utenti EDR/XDR hanno tempi di recupero minori.

Perché questo studio è importante?

Ogni anno, le organizzazioni spendono ingenti somme per la sicurezza informatica. Quantificando l’impatto dei sistemi di cybersecurity sugli esiti degli attacchi informatici, questa ricerca consente alle organizzazioni di indirizzare i loro investimenti verso le soluzioni che offrono il massimo ritorno.

Parallelamente, gli assicuratori esercitano un’influenza significativa sulla spesa per la sicurezza informatica, richiedendo determinati dispositivi di controllo come condizioni di copertura e offrendo sconti se ne vengono installati altri. Questa ricerca consente loro di garantire che gli investimenti che stanno incentivando siano davvero in grado di fare la differenza in termini di risultati degli incidenti e di valore dei sinistri che ne derivano.

I criteri di ricerca

In questo programma di ricerca sono stati studiati 282 reclami provenienti da 232 organizzazioni con un numero di dipendenti compreso tra 50 e 3.000. Gli intervistati hanno utilizzato soluzioni di cybersecurity di vari fornitori, tra cui 19 fornitori di protezione degli endpoint e 14 fornitori di servizi MDR. Tutte le organizzazioni utilizzavano l’autenticazione a più fattori (MFA) al momento dei cyberattacchi che hanno portato alle richieste di risarcimento. La ricerca è stata condotta da Vanson Bourne per Sophos.

Quantifying ROI: Understanding the Impact of Cybersecurity Products and Services on Cyber Insurance Claims - Research criteria

Le risposte sono state segmentate in tre gruppi statisticamente significativi in base alle difese informatiche implementate al momento degli attacchi che hanno provocato le richieste di risarcimento:

  • Utenti di endpoint: utilizzavano una soluzione di protezione degli endpoint da almeno un anno, ma non utilizzavano strumenti di rilevamento e risposta degli endpoint (EDR) o di rilevamento e risposta estesa (XDR) o servizi MDR (n=63 organizzazioni, 83 eventi di sinistro).
  • Utenti EDR/XDR: utilizzavano una soluzione di protezione degli endpoint e uno strumento EDR/XDR da almeno un anno, ma non utilizzavano servizi MDR (n=109 organizzazioni, 129 eventi di reclamo).
  • Utenti MDR: utilizzavano una soluzione di protezione degli endpoint e un servizio MDR da almeno un anno (n=60 organizzazioni, 70 eventi di reclamo).

Nel corso del rapporto utilizzeremo la terminologia di questo segmento.

Quantifying ROI: Understanding the Impact of Cybersecurity Products and Services on Cyber Insurance Claims - terminology

A scanso di equivoci, la ricerca si concentra esclusivamente sulle richieste di risarcimento derivanti da cyberattacchi ed esclude le richieste avanzate da una polizza assicurativa cyber per altri motivi (ad esempio, l’impatto sull’azienda di interruzioni di servizio da parte di fornitori di cybersicurezza o la perdita accidentale di dati).

Risultato n. 1: le organizzazioni che utilizzano i servizi MDR presentano richieste di risarcimento del 97,5% in meno rispetto a quelle che si affidano alla sola protezione degli endpoint.

La ricerca rivela che il valore mediano delle richieste di risarcimento da parte delle organizzazioni che utilizzano servizi MDR è inferiore del 97,5% rispetto a quello degli utenti di endpoint. La richiesta di risarcimento media (mediana) da parte degli utenti MDR è stata di soli 75.000 dollari, rispetto ai 3 milioni di dollari richiesti dagli utenti degli endpoint.  In altre parole, gli utenti degli endpoint richiedono in media risarcimenti 40 volte superiori a causa di attacchi informatici rispetto agli utenti MDR. Il valore inferiore delle richieste di risarcimento riflette probabilmente la capacità del servizio MDR di rilevare e neutralizzare rapidamente le attività dannose, evitando così che si verifichino danni gravi.

I dati confermano anche il vantaggio dell’utilizzo di uno strumento EDR o XDR in aggiunta alla protezione degli endpoint: la media delle richieste di risarcimento da parte degli utenti EDR/XDR è pari a un sesto (1/6) rispetto agli utenti degli endpoint (500.000 dollari contro 3 milioni di dollari).

Median amount claimed for on cyber insurance policy due to cyberattacks
Qual è stato il valore approssimativo delle richieste di risarcimento per la cyber-assicurazione (quanto è stato richiesto, non quanto è stato pagato) da parte della sua organizzazione? Sono esclusi i casi anomali e i non so. N=232 organizzazioni, 282 eventi di sinistro. La domanda ha riguardato gli intervistati le cui organizzazioni hanno presentato almeno una richiesta di risarcimento a seguito di un cyberattacco significativo negli ultimi 12 mesi.

RISULTATO #2: gli utenti MDR hanno i sinistri più prevedibili, mentre gli utenti EDR/XDR quelli meno prevedibili.

La prevedibilità dei sinistri è un importante indicatore della coerenza e dell’affidabilità dei controlli informatici nel ridurre l’impatto dei cyberattacchi. Per comprendere meglio la differenza tra i vari tipi di controlli, è stato creato un esempio teorico di sinistro per un’organizzazione con un fatturato annuo di 100 milioni di dollari per ciascuno dei segmenti. Tale modello si basa sui risultati generati da un modello di regressione multivariato utilizzato per l’analisi (per maggiori dettagli, si rimanda all’articolo “Informazioni sull’indagine” alla fine di questo blog).

L’analisi rivela due aspetti importanti:

  • le richieste di risarcimento degli utenti MDR sono le più prevedibili;
  • Le richieste degli utenti EDR/XDR, invece, sono le meno prevedibili.

La prevedibilità delle affermazioni degli utenti MDR riflette la capacità dei fornitori MDR di individuare e neutralizzare rapidamente le minacce. Fornendo monitoraggio, indagini e risposte 24 ore su 24 e 7 giorni su 7 da parte di specialisti delle operazioni di sicurezza, i servizi MDR possono intervenire rapidamente a qualsiasi ora del giorno e della notte.

La copertura continua è particolarmente importante se si considera che molti avversari puntano deliberatamente su “orari non lavorativi” per portare a termine i loro attacchi, nella speranza di ritardare il rilevamento fino a quando non avranno raggiunto i loro obiettivi: l’analisi di Sophos X-Ops rivela che il 91% degli attacchi ransomware inizia al di fuori dell’orario lavorativo standard, dalle 8:00 alle 18:00, dal lunedì al venerdì.

La natura imprevedibile delle richieste di risarcimento da parte degli utenti di questi strumenti dimostra che la loro efficacia nel bloccare gli attacchi informatici prima che vengano causati danni gravi dipende interamente dalle capacità e dalla reattività dell’utente. Alcune organizzazioni utilizzano gli strumenti EDR/XDR con ottimi risultati, riuscendo a bloccare gli attacchi in modo rapido ed efficace. Altre, invece, non sono in grado di garantire operazioni di sicurezza efficaci nonostante abbiano investito in tecnologie EDR/XDR. Secondo un riscontro aneddotico, ciò è spesso dovuto alla mancanza di capacità di fornire una copertura 24 ore su 24, 7 giorni su 7, e/o alla carenza di competenze.

La scoperta che le richieste di risarcimento degli utenti EDR/XDR coprono una fascia più ampia rispetto a quelle degli utenti di endpoint suggerisce ulteriormente che l’uso improprio di questi strumenti può, di fatto, peggiorare la situazione. Ad esempio, le organizzazioni possono ritardare l’intervento di esperti esterni di risposta agli incidenti mentre cercano di risolvere la situazione da soli.

Claim predictability by security control type
Qual è stato il valore approssimativo di ciascuna delle richieste di risarcimento pervenute alla vostra organizzazione nell’ambito della cyberassicurazione (quanto richiesto, non quanto pagato)? [N=232 organizzazioni, 282 eventi di sinistro]. La domanda è rivolta agli intervistati delle organizzazioni che hanno presentato almeno una richiesta di risarcimento assicurativo a seguito di un cyberattacco significativo negli ultimi 12 mesi. L’importo medio richiesto è stato suddiviso per tipo di soluzione di sicurezza, escludendo i valori anomali superiori a 10 milioni di dollari. L’attendibilità del risultato è del 95%. Basato su un modello di regressione multivariato (vedere “Informazioni sul sondaggio” alla fine di questo blog).

RISULTATO #4: gli utenti MDR hanno tempi di recupero più prevedibili in seguito a incidenti ransomware; gli utenti EDR/XDR hanno tempi di recupero meno prevedibili.

La simulazione dei tempi di recupero basata su un esempio teorico di un’organizzazione che subisce un attacco ransomware significativo rivela una notevole variazione in base al sistema di controllo della sicurezza utilizzato. In questa analisi abbiamo simulato sia la finestra di recupero (l’intervallo di tempo tra il recupero più rapido e quello più lento possibile) sia il tempo di recupero previsto in base alla media riportata.

  • Gli utenti Endpoint si collocano a metà classifica, con una finestra di recupero di 40 giorni e un tempo di recupero previsto di 40 giorni.
  • Gli utenti EDR/XDR sono i più lenti a riprendersi, con la finestra di recupero più ampia (66 giorni) e il tempo di recupero previsto più lungo (55 giorni).
  • Gli utenti MDR si riprendono più rapidamente, con una finestra di recupero di cinque giorni e un tempo di recupero previsto di soli tre giorni.

Questi risultati dimostrano ulteriormente che l’adozione di un servizio MDR riduce concretamente l’impatto degli attacchi informatici sulle organizzazioni. Inoltre, dimostrano l’estrema imprevedibilità del recupero degli utenti EDR/XDR. È importante ricordare che le soluzioni EDR/XDR sono strumenti e che la loro efficacia e il loro impatto dipendono dall’uso che se ne fa.

time taken to fully recover from a claim-resulting ransomware attack
Quanto tempo ha impiegato la vostra organizzazione per riprendersi completamente dal cyberattacco/da ciascuno dei cyberattacchi che hanno portato alla richiesta di risarcimento? I numeri base sono riportati nel grafico. Domanda rivolta agli intervistati delle organizzazioni che hanno presentato almeno una richiesta di risarcimento assicurativo a seguito di un attacco ransomware significativo negli ultimi 12 mesi, basata sulla media escludendo gli outlier e senza indicare tutte le risposte.

Conclusione

La ricerca conferma l’intuizione di molti: il tipo di protezione informatica utilizzato ha un impatto significativo sui sinistri nel settore informatico.  Gli utenti MDR hanno sia il valore di sinistro più basso che il più prevedibile.  Gli utenti di endpoint hanno il valore medio di sinistro più alto, mentre gli utenti di EDR/XDR hanno il valore di sinistro meno prevedibile.

I cyberattacchi sono inevitabili. Il modo in cui le organizzazioni si difendono da essi, invece, lo è. Questi risultati sono uno strumento utile per le organizzazioni che vogliono ottimizzare le proprie difese informatiche e il ritorno sugli investimenti in cybersicurezza, e per gli assicuratori che vogliono ridurre l’esposizione e proporre ai clienti polizze adeguate.

Informazioni sul sondaggio

La ricerca è stata condotta da Vanson Bourne per Sophos nella seconda metà del 2024 e ha riguardato le richieste di risarcimento derivanti da attacchi informatici avvenuti nei 12 mesi precedenti. Tutti i risultati sono stati sottoposti a una rigorosa e approfondita convalida statistica, utilizzando modelli di regressione multivariata.

Questi modelli prendono in considerazione la variabile primaria (in questo caso, la soluzione di sicurezza utilizzata) e ne confrontano l’impatto su altre variabili chiave, come l’importo del sinistro e i tempi di recupero. Nei modelli sono state inserite anche variabili di controllo, come il settore di attività dell’organizzazione, le sue dimensioni, il tipo di assicurazione informatica, il livello di sicurezza al momento dell’attacco e lo stato del sinistro. I risultati esposti in questo rapporto sono le conclusioni di tali analisi.

L’autore

As Senior Director, Solution Marketing, Sally is responsible for many of Sophos’ external research-based reports and educational resources. With over 15 years’ experience in cybersecurity, Sally combines deep knowledge of both adversary trends and Sophos technologies to help organizations optimize their protection.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *