Decode Cyber e Privacy

Transcript

1 Decode Cyber e Privacy Cyber e Privacy: comprendere i rischi e mitigarne le conseguenze Milano, 15 marzo 2018

2

3

4 Attacchi cyber in Italia nel 2017: 16 milioni di cittadini colpiti (37% della popolazione adulta) Perdita economica di 3,5 miliardi di Circa 2 giorni lavorativi spesi in media da ogni vittima per rimediare alle conseguenze del crimine informatico * Fonte Norton Cyber Security Insights Report

5 È importante comprendere il contesto Normativo Attualità Tecnologico Statistico

6 Claims Index Willis Towers Watson Group Il rischio esiste e non è generato solo dalle tecnologie I comportamenti dei dipendenti sono la principale fonte di rischio 237 Milioni di dati personali violati (base annua) 205 violazioni Numero medio di giorni che intercorrono tra le prime prove fino alla scoperta della

7 La risposta integrata People Legal Conformità al Regolamento IT Security

8 La sicurezza dei dati non è un prodotto, è un processo

9 Mancano 70 giorni al GDPR a Euro , o fino al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore. occorre attivarsi! a Euro , o fino al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore.

10 La soluzione proposta: il processo Le principali fasi di applicazione del processo sono: Risk Assessment Mappatura delle risultanze Piano di remediation Identificare i principali impatti tecnici, procedurali e organizzativi attraverso l analisi dei rischi e dell impatto del Regolamento Presentare i risultati degli assessment e le azioni correttive da pianificare per essere conformi al Regolamento Attuare le azioni correttive identificate e concordate attraverso la mappatura delle risultanze per ogni comparto: HR, Legal, IT e Insurance

11 La soluzione proposta: gli attori del processo Alessandro IT Manager Cristina Legal Counsel Marta HR Manager

12 Area LEGAL Tra gli output Cristina Legal Counsel Obiettivo: adozione di tutte le misure necessarie al fine di garantire la sicurezza nel trattamento dei dati e delle informazioni Strumento: implementazione di procedure e soluzioni conformi alle norme in vigore documenti contrattuali di nomina dei responsabili (esterni) del trattamento; documento/i disciplinanti le istruzioni da fornire agli incaricati del trattamento ; redazione di informativa agli interessati e moduli (cartacei o elettronici) per la raccolta del consenso; redazione di procedura per la richiesta e la raccolta del consenso; redazione di procedura per il riscontro alle richieste dell interessato;

13 Area IT Security Tra gli output Obiettivo: garantire la sicurezza informatica attraverso l integrazione degli aspetti tecnologico e umano nella gestione delle procedure Gap Analysis Roadmap Attraverso.. Vulnerability test Penetration test Applicazione sonde Alessandro IT Manager Strumento: analisi del sistema informativo, attivazione remediation e ripetizione ciclica del processo

14 Area Human Element Marta HR Manager Obiettivo: valorizzare il fattore umano quale leva per governare il rischio Strumento: analisi della cultura aziendale attraverso strumenti sofisticati e attivazione di tutti gli strumenti a disposizione di un'organizzazione Output Benchmark: Accesso illimitato a tutte le norme e le domande disponibili Executive-ready reports: Download disponibile in PowerPoint e Excel Action planning integrato: Crea e monitora in modo intuitivo l esecuzione dei piani d azione

15 Mappatura delle risultanze e piano delle attività Risk Profiling Individuazione aree critiche Indicazione remediation

16

17 Trasferimento del rischio Nel contesto privacy, non si può trasferire il rischio giuridico: la responsabilità permane in capo al titolare del trattamento dei dati personali; tuttavia si può trasferire il rischio finanziario, mediante la sottoscrizione di una copertura assicurativa. La copertura cyber deve operare quale strumento a tutela del bilancio aziendale

18 Copertura Cyber Risk: Due approcci assicurativi FIRST PARTY DAMAGES: danni sofferti dall azienda colpita da un evento cyber THIRD PARTY DAMAGES: la responsabilità dell azienda per la violazione dei dati di terzi di cui l azienda sia in possesso.

19 Cosa fa attivare la copertura? FIRST PARTY DAMAGE: La scoperta del danno all azienda assicurata, sia esso danno materiale, immateriale o patrimoniale. THIRD PARTY DAMAGE: La richiesta di risarcimento danni avanzata da terzi in conseguenza della violazione di dati di terzi detenuti dall assicurato, o di cui l assicurato sia responsabile

20

21 Cosa copre la polizza? 1 Danni propri Data asset loss Costi di decontaminazione Costi di ricostruzione dei dati Computer Forensic Spese di Consulenza 2 Responsabilità civile Risarcimento Spese legali Spese di notifica Spese di consulenza Spese per PR 3 Danni da interruzione attività Perdita di profitto Spese ripristino attività

22 1 - Sezione Danni propri A Gestione degli eventi Ripristino dei dati Spese sostenute per: determinare se i dati possano o meno essere ripristinati o ricreati; ricreare i dati non siano leggibili da computer o siano corrotti; caricare e personalizzare nuovamente il software in licenza. Costi di comunicazione Spese relative all indagine, raccolta di informazioni, preparazione e comunicazione ai Soggetti Interessati e/o a qualsiasi Autorità Amministrativa competente in caso di Data Breach. Istruttoria Privacy Costi di Difesa relativi a Istruttorie di un Autorità Amministrativa.

23 1 - Sezione Danni propri Esperto informatico Dimostra se ha avuto luogo l evento, le modalità e se è ancora in corso; Verifica l entità dei Dati compromessi e cerca di limitare i danni Consulente di crisi Presta servizi di pubbliche relazioni o comunicazione in caso di crisi al fine di mitigare o evitare i potenziali effetti negativi o i danni reputazionali di un Evento Studio legale Segue adempimenti in tema di obbligo di comunicazione con eventuali Autorità; Consulenza sulle comunicazioni ai soggetti («Interessati»)

24 2 - Sezione Responsabilità Civile Copertura per danni a terzi e costi di difesa dell Assicurato in caso di Richieste di Risarcimento da parte di Terzi riconducibili a: Violazioni di dati da parte dell Assicurato Difetti di Sicurezza Omessa comunicazione da parte della Società Assicurata di una Violazione di dati personali in conformità agli obblighi della Legislazione. Responsabilità dell Assicurato che derivino da violazioni di obblighi in qualità di Detentore dei dati relativi al trattamento dei Dati Personali e/o Societari

25 2 - Sezione Responsabilità Civile DANNI COPERTI Decisioni, sentenze emesse contro l Assicurato; somme di denaro che l Assicurato deve pagare in seguito a transazione (autorizzata dalla Compagnia) in relazione ad una Richiesta di Risarcimento. COSTI DI DIFESA gli onorari, i costi e le spese ragionevoli e necessari che l Assicurato sostiene, per le attività di indagine, risposta, difesa, in relazione ad una Richiesta di Risarcimento.

26 3 - Sezione danni da interruzione attività Perdita di profitto durante il periodo di indennizzo esclusivamente e diretta conseguenza di: 1 - Danno la riduzione dei profitti netti che, senza Interruzione, la Società Assicurata avrebbe guadagnato (e che è attribuibile ad una perdita di ricavi). 2 - Spese i costi e le spese sostenute per ridurre la durata dell interruzione dell attività e ripristinare la normale attività.

27 Informazioni necessarie agli Assicuratori Questionario Altra documentazione complementare

28 Osservazioni ricorrenti I nostri tecnici IT ci assicurano che non abbiamo problemi. Questo non è un rischio IT ma può colpire qualsiasi punto dell organizzazione aziendale. E necessario identificare gli stakeholders principali. Diamo in outsourcing la gestione IT ad un provider terzo Si può affidare il lavoro ma non trasferire la responsabilità! I contratti con gli outsource service providers sono normalmente soggetti a limitazioni di responsabilità in linea con il valore del contratto (non con l esposizione). Preferiamo investire in migliorie dei sistemi Il rischio non può essere totalmente eliminato: l assicurazione non sostituisce i sistemi di sicurezza ma serve a gestire i rischi residui.

29 Considerazioni finali Sapreste cosa fare se i dati (di terzi) della vostra azienda fossero cancellati o rubati? Quali sarebbero gli impatti sulle vostre attività, se il controllo dei vostri sistemi non fosse più nelle vostre mani? La vostra azienda ha le competenze tecniche per far fronte all eventuale interruzione delle attività? La vostra azienda ha le risorse economiche necessarie per far fronte ai costi di ripristino, agli eventuali risarcimenti, alla perdita di reputazione?

30 Per approfondimenti Grazie per l attenzione