Integrated Cybersecurity & Risk Management · Cyber crime ? danni materiali e diretti...
Transcript of Integrated Cybersecurity & Risk Management · Cyber crime ? danni materiali e diretti...
Integrated Cybersecurity & Risk Management
Gianluigi Lucietto, ARM A.D. Corbo Rosso Corporation Vice Presidente A.Ri.M.As. Atahotel Executive Milano - 05 marzo 2015
Eventi
CYBER INSURANCE: COME SCEGLIERE IL PARTNER ASSICURATIVO A CUI TRASFERIRE I DANNI IN CASO DI CYBER EVENT
www.crcorporation.it 2
Chi Come
Cosa Quando Perché Dove
www.crcorporation.it 3
www.crcorporation.it 4
www.crcorporation.it 5
Le piccole e medie aziende Italiane quando navigano in internet visto che hanno un antivirus e un firewall si sentono protette adeguatamente
In realtà il più delle volte sono vulnerabili alle minacce cyber che evolvono e si migliorano continuamente visto il contenutissimo investimento necessario per attaccare efficacemente.
La situazione in Italia
www.crcorporation.it 6
t0 t1
Messa in sicurezza
t2 t3 t4 t5 t6
Step 0 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6
Evento – Cosa succede – raccolta informazioni su quanto accade
Neutralizzazione degli effetti Inizio attività contingenti Aumento
protezioni
Ripresa attività Inizio stima danni
Att
ivit
à P
rod
utt
ivia
in
%
Tempo
Tempo 2h/xh 2h/yh 2h/zh ∫(Tipo Evento; Profondità Evento; Tipo attività Compromessa 2h/xxh n.d.
Evento/Sinistro Crono-operatività per ritorno alla normalità produttiva
t0 t6
Cosa succede quando un evento accade
Fonte: elaborazione propria
www.crcorporation.it 7
Ma tutto questo quanto ci costerà? t0 – t6
Per quantificare correttamente quanto costerà dobbiamo capire quanto vale quello che vogliamo proteggere… non è facile!
1- Pensiamo al peggiore degli eventi – Identificazione
3- Pensiamo alle risorse sia umane che economiche che dobbiamo mettere a disposizione per la difesa - Trattamento
5- Quali informazioni devono essere raccolte e come devono essere poi comunicate
2- Pensiamo a quanto potrebbe durare la minaccia e la conseguente interruzione dell’attività - Misurazione
…
188 $ per record violato in media senza incident plan 42 $ per record risparmiati in media se c’è un incident plan Source INetU post breach survival guide – www.inetu.net
4- Pensiamo all’implementazione delle difese e dei piani di risposta - Implementazione
www.crcorporation.it 8
Ma tutto questo quanto ci costerà?
Chi pensa ai TERZI danneggiati per un evento da noi subito?
Pensiamo al peggiore degli eventi – Identificazione
Pensiamo alle risorse sia umane che economiche che dobbiamo mettere a disposizione per la difesa e il supporto - Trattamento
Quali informazioni devono essere raccolte e come devono essere poi comunicate
Pensiamo quale danno potremmo arrecare ad un terzo (quali effetti economici) - Misurazione
…
Pensiamo all’implementazione delle difese e dei piani di risposta - Implementazione
www.crcorporation.it 9
**ATTENZIONE**
• Leggere bene cosa è INCLUSO e cosa è ESCLUSO, soprattutto cosa
è escluso
• Leggere bene le DEFINIZIONI di polizza e chiedere spiegazione sulla
terminologia utilizzata
Dopo aver compreso bene da cosa e come
vogliamo proteggerci, nella scelta del contratto assicurativo – che non è gratuito –
dobbiamo fare due cose altrettanto bene:
www.crcorporation.it 10
Danni Assicurati - Costi e Spese Danni al sistema informatico dell’/all’assicurato causati da: • Atti dolosi informatici (sabotaggi, craker), • Virus informatico, • Uso non autorizzato delle risorse e/o di rete dell’Assicurato, anche quando tale uso non
autorizzato sia il risultato di furto di una valida e completa credenziale personale di accesso al sistema (es. nome utente e password),
• Denial of service (D.O.S.), • La perdita o il furto di un file del sistema informatico dell’assicurato (contratti progetti ecc…), • Estorsione informatica, • Comunicazioni di crisi e servizi di consulenza, • …
Danni ai terzi • Violazioni della privacy, • Violazione obbligo di riservatezza, • Violazione dei diritti d’autore, • Diffusione dati personali, • …
E il danno da interruzione
delle attività ?
www.crcorporation.it 11
Esempi di criticità
Centro logistico di smistamento prodotti
Le casse elettroniche della grande distribuzione organizzata
Centro di controllo e monitoraggio impianti
Gestionale del Magazzino, Gestionale ordini
…
Controllo impianti di un Ospedale
www.crcorporation.it 12
Danno da incendio causato da sabotaggio Cyber
Manomissione a seguito di intrusione nel sistema di gestione, controllo e monitoraggio degli impianti in una centrale di generazione energia elettrica da cui ne deriva un incendio.
Tipo di evento: Atto doloso informatico
www.crcorporation.it 13
E-risk (danno da virus informatico) Si precisa altresì che non sono compresi tutti i danni, anche indiretti, - ivi comprese le perdite di software, microchip, circuiti integrati, programmi o altri dati informatici – causati o risultanti da: • virus informatici di qualsiasi tipo; • accesso e utilizzo dei sistemi informatici da parte di soggetti, dipendenti o meno
dell’Assicurato, non autorizzati dall’Assicurato stesso; • cancellazione, distruzione, alterazione, riduzione di funzionalità operativa o disponibilità di
software, programmi o dati informatici da qualunque causa derivanti; • anche se causati da atti dolosi, atti di terrorismo e/o sabotaggio organizzato e anche se
dai suddetti eventi derivi un danno che sarebbe, altrimenti, coperto ai sensi di polizza.
Generalmente il danno da incendio nella Polizza Incendio è assicurato …
… se derivante da un e-risk è escluso!
www.crcorporation.it 14
…OMISSIS… • i danni da o riconducibili a smagnetizzazione, errata registrazione o cancellazione di
dati; • i danni o le perdite consequenziali direttamente o indirettamente causati, costituiti o
derivanti da: A) funzionamento o malfunzionamento di Internet o di sistema analogo, o di qualsiasi intranet o rete privata o sistema analogo, B) deterioramento, distruzione, distorsione, cancellazione o altri danni o perdite relativamente a dati, software o qualsiasi di programmazione o repertorio di istruzioni, C) perdita totale o parziale dell’uso o della funzionalità di dati, codifiche, programmi, software, computer o sistema informatico o altro dispositivo basato su qualsiasi microchip o logica integrata, e qualsiasi conseguente incapacità o impossibilità dell'Assicurato di volgere l'attività. La presente clausola non incrementa ne estende la copertura prevista dalla presente polizza. I danni o le perdite consequenziali di cui ai suddetti punti A, B e C sono esclusi dall’indennizzo, a prescindere da ogni altra causa che vi abbia contribuito contemporaneamente o in qualsiasi altra sequenza temporale.
Sono sempre comunque esclusi:
www.crcorporation.it 15
Da una Polizza R.C. Terzi presente sul mercato … OMISSIS…
… derivanti direttamente o indirettamente, da attività di
Information & Communication Technology, in tale fattispecie si
intende inclusa l’attività svolta via Internet, nonché l’attività
conseguente alla fornitura di servizi e/o consulenza informatica;
…
In caso di danno a Terzi, alcune Compagnie lo escludono altre non lo escludono
www.crcorporation.it 16
Attenzione a non far confusione con le coperture oggi già da tempo disponibili sul mercato
Polizza All Risks
Cyber crime ?
danni materiali e diretti all’hardware con possibile estensione alla garanzia supporto dati e maggiori costi
danni materiali e diretti, (danni “e-risk” sempre esclusi)
le garanzie delle polizze elettroniche con estensioni relative a virus, spese extra, responsabilità civile generale e contrattuale, frode informatica, fabbricati, arredo, denaro, l’offerta è ridotta ad un gruppo limitato di assicuratori
Polizza elettronica
Polizza Informatica ANIA
www.crcorporation.it 17
Il partner assicurativo – La Compagnia di Assicurazione
• Deve essere scelto perché ha una buona conoscenza dei rischi che
assicura
• È in grado di offrire un supporto all’assicurato nell’identificazione
e misurazione del rischi
• Offre un supporto attivo durante il sinistro
• Ha la capacità finanziaria di supportare i costi derivanti dall’evento
• Costa poco … spendi poco, hai poco!
Come scegliere
www.crcorporation.it 18
Grazie per l’attenzione
Gianluigi Lucietto, ARM A.D. Corbo Rosso Corporation Vice Presidente A.Ri.M.As. E-mail: [email protected] Mobile: +39 3479718840