Assicuriamoci Di essere pronti a gestire il Cyber Risk. 14 Marzo2017

Transcript

1 Assicuriamoci Di essere pronti a gestire il Cyber Risk 14 Marzo2017

2 Alessio L.R. Pennasilico, aka mayhem Cyber Security Advisor Membro del Comitato Direttivo e del Comitato Tecnico Scientifico Vice Presidente del Comitato di Salvaguardia per l Imparzialità Presidente dell Associazione Informatici Professionisti (AIP) Membro del Comitato di Schema UNI Informatico Professionista 2

3 Il Cyber Risk è un problema economico, sociale, politico, personale colpisce al cuore della società civile e non risparmia niente e nessuno in primis nelle nostre Aziende centro nevralgico della sussistenza della nostra società 3

4 Cosa preoccupa gli esperti? Fonte: World Economic Forum Risk map,

5 Cosa è il Cyber Risk? Qualsiasi rischio di perdita finanziaria, interruzione del business, danno reputazionale che una azienda subisce a causa di un errore, guasto, disastro o attacco al sistema di gestione delle informazioni 5

6 L informazione è Patrimonio aziendale! 6

7 Quanto costa perdere una informazione? Fonte: 2016 Cost of Data Breach Study: Global Analysis, Ponemon Institute (Dati 2015) 7

8 Quanto incidono le diverse cause? Fonte: 2016 Cost of Data Breach Study: Global Analysis, Ponemon Institute (Dati 2015) 8

9 Cosa è successo nel 2016 e cosa prevediamo per il 2017? 9

10 Il campione di riferimento

11 Il modello di business del CyberCrime Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni 11

12 Conosci il tuo nemico (SunTzu) 12

13 Gli attacchi andati a buon fine sono in costante aumento! 13

14 Subirai un incidente indipendentemente dal tuo settore merceologico

15 Le tecniche utilizzate sono banali!

16 Infettare (prendere il controllo) dei sistemi continua ad essere il metodo più utilizzato 2% 1% Malware DDOS Defacement 97% Rapporto Clusit 2017, Rilevazioni sulla rete Fastweb

17 I CyberCriminali colpiscono dove fa più male: il patrimonio aziendale! 17

18 ed il patrimonio intaccato può portare a 18

19 Cosa fare? Per questa ragione è necessario cambiare approccio 19

20 La gestione del Cyber Risk oggi: 20

21 E un problema organizzativo, prima che tecnico! 21

22 Cyber Risk Management = Tutela del Business 22

23 Tutta l organizzazione è coinvolta! CdA OdV HR IT Audit Legal AFC Operation 23

24 Enterprise Risk Management & Cyber Risk: Approccio olistico ed integrato! 24

25 Adozione di un Framework di Corporate Cyber Risk Governance 25

26 Lo strumento indispensabile: l Analisi Quantitativa del Rischio ID Frequenza stimata Impatto A 20 / anno 10 K B 5 / anno 1 M C 1 / 5 anni 15 M D 1 / 3 anni 100 K 26

27 Cosa contribuisce a determinare l impatto? Danni Diretti Es: Il costo del personale coinvolto nel ripristino, dei professionisti necessari per il ripristino, del materiale hardware, software, Danni Indiretti (Operativi) Es: Il danno derivato dalla mancata produzione o erogazione di servizio, di reputazione, perdite di quote di mercato, Danni da responsabilità Es: Il costo di responsabilità verso terzi, eventuali sanzioni, 27

28 Non è una scienza esatta, ma Business Interruption viene stimata da decenni con precisione Le sanzioni vengono definite in un intervallo specifico I costi di ripristino possono essere stimati con una discreta precisione Danni reputazionali possono essere ridotti ad un intervallo ben definito Il grado di affidabilità dell informazione è paragonabile a quello utilizzato per gli altri rischi 28

29 Cosa è possibile stimare? Blocco temporaneo della produzione a causa di un qualsiasi Cyber Risk a causa della non disponibilità di servizi o informazioni e/o perdita di riservatezza relativamente ad informazioni aziendali e/o perdita di integrità rispetto alle informazioni gestite 29

30 GDPR: non potremo più nascondere la polvere sotto al tappeto!

31 GDPR stabilisce che il titolare del trattamento (da Maggio 2018) notifichi la violazione dei dati personali sia (i) all autorità di controllo competente (art. 33) sia (ii) all interessato, a meno che il titolare abbia adottato misure atte a prevenire la violazione stessa (art. 34). Per le imprese le sanzioni amministrative pecuniarie possono arrivare fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente (art. 83)

32 Conclusioni Il Cyber Risk rischia di compromettere il patrimonio informativo aziendale non può essere percepito come un problema tecnico deve essere parte di una gestione organica che integri persone, organizzazione, processi, strumenti inserito nel framework di Enterprise Risk Management ed all attenzione del Board Aziendale 32

33 Conclusioni Il framework di Cyber Risk Governance deve analizzare le esigenze di business stabilire i processi da tutelare quantificare il valore degli asset-informazioni ratificare il Business Continuity Plan identificare ed adottare le procedure e gli strumenti adatti per rendere il rischio di business coerente ed accettabile rispetto al Risk Appetite aziendale definito

34 Grazie! 14 Marzo2017