Le PMI Italiane e le Grandi Aziende sono realmente esposte al rischio Cyber? Alessio L.R. Pennasilico

Transcript

1 Le PMI Italiane e le Grandi Aziende sono realmente esposte al rischio Cyber? Alessio L.R. Pennasilico mayhem@obiectivo.it Milano, Marzo 2016

2 $whois -=mayhem=- Security Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori... 2

3 #iosonopreoccupato 3

4 4

5 Evoluzione? La tecnologia si evolve Anche le minacce si evolvono e con essa anche le minacce! 5

6 Analisi del rischio quantitativa Sappiamo quali rischi corriamo con quali conseguenze per quali importi? Abbiamo una strategia di gestione? 6

7 Trasferire il rischio Ho la polizza All Risk, posso dormire tranquillo! Ed i rischi Cyber sono coperti? 7

8 Dimensioni del problema

9 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 9

10 #iosonopreoccupato 10

11 Cosa emerge? Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni 11

12 Tutti vengono colpiti Tipologia e distribuzione delle vittime Gov - Mil - LE - Intelligence Online Services / Cloud 8% 6% 5% 5% Entertainment / News Research - Education Banking / Finance 14% 5% 3% 2% 2% SW / HW Vendor Others Organization - ONG 16% 4% 0% 1% 0% Hospitability Health Critical Infrastructures 19% 4% Telco GDO / Retail 22% Gov. Contractors / Consulting Religion Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia Automotive 12

13 Di cosa ci dobbiamo preoccupare? 13

14 Da chi ci dobbiamo difendere? Skill SPIA Tutti Specifico Cyber Criminale Hacktivist Motivazione Tutti Specifico Script Kiddie 14

15 Il CyberCrime è in costante aumento Distribuzione percentuale degli attaccanti nel periodo % 60% 54% 60% 53% 68% 50% 40% 30% 20% 10% 0% 39% 36% 31% 32% 27% 24% 21% 8% 9% 9% 5% 6% 2% 3% 4% 5% 2% 2% 0% 0% CYBERCRIME HACKTIVISM ESPIONAGE CYBER WAR. UNKNOWN 0% Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia 15

16 Trend? Aumentano i tentativi di intrusione Tra i tentativi aumentano quelli andati a buon fine Ad ogni intrusione perdiamo sempre più denaro 16

17 Aumento dei Black Swan 17

18 Quel che succede su Internet influenza la realtà. 18

19 #iosonopreoccupato 19

20 La reputazione 20

21 Il problema della fiducia 21

22 Chi vuole le informazioni? La criminalità organizzata ha capito da tempo che con quelli dei computer è possibile gestire truffe estremamente redditizie 22

23 Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 23

24 Per tutti i sistemi operativi 24

25 Cryptolocker Mobile? 25

26 Ransomware e siti web 26

27 Tutti vengono colpiti Data Breaches by Company Size (# employees) Unknown More than 100,000 10, ,000 7% 22% 31% 20% 11% 9% ,000 1,001-10,000 At least 51% of data breaches affect organizations with fewer than 10,000 employees Source: Verizon data breach investigations report,

28 28

29 Smart Industry? 29

30 Quel che succede su Internet influenza la realtà. 30

31 L assicurazione mi rimborsa il riscatto? Se non ho il backup verrò indennizzato? 31

32 Conclusioni

33 #iosonopreoccupato 33

34 La soluzione: GRCI Governance Incident Management Risk Management Compliance 34

35 I Rischi Serve una analisi del rischio quantitativa che permetta di stabilire la corretta politica di risk management 35

36 Grazie dell attenzione! Domande? Alessio L.R. Pennasilico twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico