Integrated Cybersecurity & Risk Management · Cyber crime ? danni materiali e diretti...

Integrated Cybersecurity & Risk Management

Gianluigi Lucietto, ARM A.D. Corbo Rosso Corporation Vice Presidente A.Ri.M.As. Atahotel Executive Milano - 05 marzo 2015

Eventi

CYBER INSURANCE: COME SCEGLIERE IL PARTNER ASSICURATIVO A CUI TRASFERIRE I DANNI IN CASO DI CYBER EVENT

www.crcorporation.it 2

Chi Come

Cosa Quando Perché Dove


Le piccole e medie aziende Italiane quando navigano in internet visto che hanno un antivirus e un firewall si sentono protette adeguatamente

In realtà il più delle volte sono vulnerabili alle minacce cyber che evolvono e si migliorano continuamente visto il contenutissimo investimento necessario per attaccare efficacemente.

La situazione in Italia


t0 t1

Messa in sicurezza

t2 t3 t4 t5 t6

Step 0 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6

Evento – Cosa succede – raccolta informazioni su quanto accade

Neutralizzazione degli effetti Inizio attività contingenti Aumento

protezioni

Ripresa attività Inizio stima danni

Att

ivit

à P

rod

utt

ivia

in

%

Tempo

Tempo 2h/xh 2h/yh 2h/zh ∫(Tipo Evento; Profondità Evento; Tipo attività Compromessa 2h/xxh n.d.

Evento/Sinistro Crono-operatività per ritorno alla normalità produttiva

t0 t6

Cosa succede quando un evento accade

Fonte: elaborazione propria


Ma tutto questo quanto ci costerà? t0 – t6

Per quantificare correttamente quanto costerà dobbiamo capire quanto vale quello che vogliamo proteggere… non è facile!

1- Pensiamo al peggiore degli eventi – Identificazione

3- Pensiamo alle risorse sia umane che economiche che dobbiamo mettere a disposizione per la difesa - Trattamento

5- Quali informazioni devono essere raccolte e come devono essere poi comunicate

2- Pensiamo a quanto potrebbe durare la minaccia e la conseguente interruzione dell’attività - Misurazione

…

188 $ per record violato in media senza incident plan 42 $ per record risparmiati in media se c’è un incident plan Source INetU post breach survival guide – www.inetu.net

4- Pensiamo all’implementazione delle difese e dei piani di risposta - Implementazione


Ma tutto questo quanto ci costerà?

Chi pensa ai TERZI danneggiati per un evento da noi subito?

Pensiamo al peggiore degli eventi – Identificazione

Pensiamo alle risorse sia umane che economiche che dobbiamo mettere a disposizione per la difesa e il supporto - Trattamento

Quali informazioni devono essere raccolte e come devono essere poi comunicate

Pensiamo quale danno potremmo arrecare ad un terzo (quali effetti economici) - Misurazione

…

Pensiamo all’implementazione delle difese e dei piani di risposta - Implementazione


**ATTENZIONE**

•  Leggere bene cosa è INCLUSO e cosa è ESCLUSO, soprattutto cosa

è escluso

•  Leggere bene le DEFINIZIONI di polizza e chiedere spiegazione sulla

terminologia utilizzata

Dopo aver compreso bene da cosa e come

vogliamo proteggerci, nella scelta del contratto assicurativo – che non è gratuito –

dobbiamo fare due cose altrettanto bene:


Danni Assicurati - Costi e Spese Danni al sistema informatico dell’/all’assicurato causati da: •  Atti dolosi informatici (sabotaggi, craker), •  Virus informatico, •  Uso non autorizzato delle risorse e/o di rete dell’Assicurato, anche quando tale uso non

autorizzato sia il risultato di furto di una valida e completa credenziale personale di accesso al sistema (es. nome utente e password),

•  Denial of service (D.O.S.), •  La perdita o il furto di un file del sistema informatico dell’assicurato (contratti progetti ecc…), •  Estorsione informatica, •  Comunicazioni di crisi e servizi di consulenza, •  …

Danni ai terzi •  Violazioni della privacy, •  Violazione obbligo di riservatezza, •  Violazione dei diritti d’autore, •  Diffusione dati personali, •  …

E il danno da interruzione

delle attività ?


Esempi di criticità

Centro logistico di smistamento prodotti

Le casse elettroniche della grande distribuzione organizzata

Centro di controllo e monitoraggio impianti

Gestionale del Magazzino, Gestionale ordini

…

Controllo impianti di un Ospedale


Danno da incendio causato da sabotaggio Cyber

Manomissione a seguito di intrusione nel sistema di gestione, controllo e monitoraggio degli impianti in una centrale di generazione energia elettrica da cui ne deriva un incendio.

Tipo di evento: Atto doloso informatico


E-risk (danno da virus informatico) Si precisa altresì che non sono compresi tutti i danni, anche indiretti, - ivi comprese le perdite di software, microchip, circuiti integrati, programmi o altri dati informatici – causati o risultanti da: •  virus informatici di qualsiasi tipo; •  accesso e utilizzo dei sistemi informatici da parte di soggetti, dipendenti o meno

dell’Assicurato, non autorizzati dall’Assicurato stesso; •  cancellazione, distruzione, alterazione, riduzione di funzionalità operativa o disponibilità di

software, programmi o dati informatici da qualunque causa derivanti; •  anche se causati da atti dolosi, atti di terrorismo e/o sabotaggio organizzato e anche se

dai suddetti eventi derivi un danno che sarebbe, altrimenti, coperto ai sensi di polizza.

Generalmente il danno da incendio nella Polizza Incendio è assicurato …

… se derivante da un e-risk è escluso!


…OMISSIS… •  i danni da o riconducibili a smagnetizzazione, errata registrazione o cancellazione di

dati; •  i danni o le perdite consequenziali direttamente o indirettamente causati, costituiti o

derivanti da: A) funzionamento o malfunzionamento di Internet o di sistema analogo, o di qualsiasi intranet o rete privata o sistema analogo, B) deterioramento, distruzione, distorsione, cancellazione o altri danni o perdite relativamente a dati, software o qualsiasi di programmazione o repertorio di istruzioni, C) perdita totale o parziale dell’uso o della funzionalità di dati, codifiche, programmi, software, computer o sistema informatico o altro dispositivo basato su qualsiasi microchip o logica integrata, e qualsiasi conseguente incapacità o impossibilità dell'Assicurato di volgere l'attività. La presente clausola non incrementa ne estende la copertura prevista dalla presente polizza. I danni o le perdite consequenziali di cui ai suddetti punti A, B e C sono esclusi dall’indennizzo, a prescindere da ogni altra causa che vi abbia contribuito contemporaneamente o in qualsiasi altra sequenza temporale.

Sono sempre comunque esclusi:


Da una Polizza R.C. Terzi presente sul mercato … OMISSIS…

… derivanti direttamente o indirettamente, da attività di

Information & Communication Technology, in tale fattispecie si

intende inclusa l’attività svolta via Internet, nonché l’attività

conseguente alla fornitura di servizi e/o consulenza informatica;

…

In caso di danno a Terzi, alcune Compagnie lo escludono altre non lo escludono


Attenzione a non far confusione con le coperture oggi già da tempo disponibili sul mercato

Polizza All Risks

Cyber crime ?

danni materiali e diretti all’hardware con possibile estensione alla garanzia supporto dati e maggiori costi

danni materiali e diretti, (danni “e-risk” sempre esclusi)

le garanzie delle polizze elettroniche con estensioni relative a virus, spese extra, responsabilità civile generale e contrattuale, frode informatica, fabbricati, arredo, denaro, l’offerta è ridotta ad un gruppo limitato di assicuratori

Polizza elettronica

Polizza Informatica ANIA


Il partner assicurativo – La Compagnia di Assicurazione

•  Deve essere scelto perché ha una buona conoscenza dei rischi che

assicura

•  È in grado di offrire un supporto all’assicurato nell’identificazione

e misurazione del rischi

•  Offre un supporto attivo durante il sinistro

•  Ha la capacità finanziaria di supportare i costi derivanti dall’evento

•  Costa poco … spendi poco, hai poco!

Come scegliere


Grazie per l’attenzione

Gianluigi Lucietto, ARM A.D. Corbo Rosso Corporation Vice Presidente A.Ri.M.As. E-mail: [email protected] Mobile: +39 3479718840

Integrated Cybersecurity & Risk Management · Cyber crime ? danni materiali e diretti...

Documents

Transcript of Integrated Cybersecurity & Risk Management · Cyber crime ? danni materiali e diretti...