IaaS Insurance as a Service il tassello mancante nella gestione della sicurezza Alessio L.R. Pennasilico - apennasilico@clusit.it Cesare Burei - cesare.burei@margas.it Verona - Ottobre 2015
$whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori... 2
#iosonopreoccupato 3
Sh*t happens 4
5
6
Quel che succede su Internet influenza la realtà 7
Black Swan 8
GRCI Model Governance Incident Management Risk Management Compliance 9
Costi per Cyber Crime/Cyber Loss Costi consulenza per analisi Costo uomo per disaster recovery Costo uomo per reinserimento dati Costi di (tardiva) protezione Costi per riparazione danni 10
Danni per Cyber Crime/Cyber Loss Fermo attività Mancate vendite Perdita quote di mercato Danno all immagine aziendale Spese legali di difesa Illecito trasferimento di fondi Sanzioni 11
Le imprese ( ) ritengono sufficiente per difendersi dal cyber risk stipulare tradizionali polizze assicurative che, in realtà, coprono solo i danni materiali dovuti ad eventi naturali (incendi, terremoti, allagamenti, ecc) ed i conseguenti danni indiretti. Tali polizze non coprono tuttavia i danni immateriali che rappresentano, oggi giorno, la più pericolosa forma di cyber risk e, conseguentemente, le perdite derivanti da eventi quali un virus informatico, un errore umano, un introduzione nel sistema di informatico che comporta la perdita di dati o la trafugazione degli stessi. Inoltre, le polizze tradizionali si basano su un concetto di territorialità del rischio, mentre la digitalizzazione delle informazioni ha sancito il venir meno di tale concetto. Fonte: report IPSOA settembre 2014 12
Un aiuto dal Pubblico
Fra tutte le conquiste tecnologiche conseguite dall'uomo in epoca moderna, il computer sembra l'invenzione più rivoluzionaria, destinata com'è a modificare radicalmente la nostra esistenza. I futuri ladri cercheranno di farla in barba ai computer. Anzi, è quello che già fanno. Rubando i codici o ricorrendo ai più vari imbrogli, di cui lo stupido computer non si accorge, alcuni delinquenti riescono a far finire enormi somme di danaro in mani non autorizzate. Naturalmente, il computer può venire dotato di programmi sempre più sofisticati con i quali ovviare alle manipolazioni che vengono via via scoperte, ma ogni volta l'uomo si ingegnerà a inventare qualche trucco ancora più elaborato. E, con ogni probabilità, ci riuscirà. Isaac Asimov - 1983 14
Cesare Burei CEO @ 15
Specialista in rischi industriali e tecnologici da 35 anni sul mercato. MARGAS è il partner ideale per l individuazione e la valutazione dei rischi propri delle organizzazioni e quelli derivanti dalle specifiche interazioni di business. Lavorare con MARGAS vuol dire prendere con consapevolezza decisioni e contromisure per ridurre il rischio aziendale e trasferire il residuo in polizze costruite su misura. Uno studio familiare in cui operano il fondatore Ing. Luigi Burei e i due figli Cesare e Nicola Burei Risk Manager e Broker Assicurativi anch essi con una solida preparazione ingegneristica ed economica alle spalle. Uno staff di quattro persone assicura un servizio improntato a cortesia, puntualità ed efficienza. Associati AIBA, da gennaio 2015 soci CLUSIT Associazione Italiana per la Sicurezza informatica. In collaborazione con CINEAS Consorzio Universitario per la diffusione della cultura del rischio e primarie Assicurazioni impegnati in attività di formazione per agenti ed assuntori. 16
MARGAS è in grado di analizzare, costruire e gestire la completa posizione assicurativa delle imprese e gli eventuali sinistri. SPECIALIZZAZIONI SERVIZI Cyber Risk Management & Insurance Responsabilità Civile verso terzi Responsabilità Civile Amministratori (D&O) Responsabilità Professionale Danni indiretti da fermo d attività Infortuni CAR & EAR Responsabilità da prodotto difettoso Incendio ed eventi naturali Analisi e gestione del Rischio Due diligence assicurativa Razionalizzazione delle coperture assicurative Predisposizione del programma assicurativo personalizzato Assistenza nella gestione sinistri 17
The CyR Project Insurance as a Service 18
The CyR Project Tavolo di confronto aziendale sul Cyber Risk Analisi dei rischi azioni proattive di riduzione Trasferimento del rischio 19
The CyR Project Tavolo di confronto con: Responsabile dei sistemi informatici Responsabile di produzione Proprietà Esperto sicurezza IT Assicuratore Prima analisi e verifica dello status quo. Elaborazione di un report di pre-audit. Azioni proattive di difesa/gestione con consulente ICT Selezione soluzione assicurativa (RC, danni logici, danni da interruzione di esercizio, ricostruzione dati, etc.) Quotazione Presentazione all Azienda e successiva scelta 20
Diario di un commesso Assicuratore
ASS I Vostri sistemi antincendio sono efficienti? CIO Assolutamente, se ne occupa il responsabile della sicurezza e comunque cosa vuole che bruci nel mio datacenter? 22
ASS Adottate misure antincendio efficaci? CIO Il rischio è stato valutato, al di là del rispetto della normativa, per evitare che comportamenti o errate installazioni mettano a rischio i dati dei nostri utenti/clienti. 24
ASS Stanno facendo dei lavori vicino a Voi? CIO Abbiamo già abbastanza problemi qui dentro. Dobbiamo verificare anche cosa succede all esterno? 25
26
ASS Ci sono attività di terzi nelle vicinanze che possano causarvi problemi? CIO Conosciamo le attività delle aziende vicine e siamo tranquilli. Nel caso di apertura di un cantiere, prevediamo di acquisire preventivamente informazioni sui lavori e relativi rischi correlati da gestire. 27
ASS Avete gruppi di continuità? CIO Certo, due nel datacenter. 28
29
ASS Avete gruppi di continuità? Dove si trovano e come sono gestiti? CIO Abbiamo un gruppo di continuità in sala separata dalla sala server ed un generatore ausiliario all esterno. Sono testati con cadenza settimanale con test di carico/termografie sulle batterie. 30
CIO Mi hanno comunicato dei lavori nella cabina elettrica. So già che potrebbero esserci problemi. ASS Che vuole che sia! Invece pensi che la sua polizza copre il vero rischio: l incendio! 31
32
CIO Mi hanno comunicato dei lavori nella cabina elettrica. Se succedesse qualcosa, come siamo messi? ASS In fase di analisi del rischio con il vostro ICT manager, abbiamo previsto una copertura per i danni da interruzione di esercizio anche nel caso venga interessata anche solo l integrità dei dati. 33
CIO Stiamo aprendo una nuova sede produttiva all estero. Devo trasferire un rack di server già pre-configurati. ASS - Certo, tanto il vettore è responsabile della merce trasportata. 34
35
CIO Stiamo aprendo una nuova sede produttiva all estero. Devo trasferire un rack di server già pre-configurati. Sono preoccupato per i tempi di consegna ed eventuali danni. ASS Un aspetto da non sottovalutare. Da predisporre coperture assicurative che tengano conto dei costi sostenuti per la preparazione dei server e dell eventuale ritardo nell attivazione della sede produttiva dovuto ad un danno durante il trasporto. 36
CIO Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Molto fresco e più sicuro in caso di crollo dell edificio. ASS Non c è problema l azienda è assicurata anche contro il terremoto. 37
38
CIO Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Sono preoccupato. ASS Il rischio maggiore è quello da inondazione ed alluvione che è previsto in polizza, ma fortemente limitato nel risarcimento. Quindi da verificare se non convenga trovare una diversa collocazione del CED. 39
ASS Complimenti, un magazzino completamente informatizzato per il pickup veloce. CIO E il nostro orgoglio. E tutto qui, anche il server che lo gestisce. 40
41
ASS Complimenti, un magazzino completamente informatizzato per il pickup veloce. Da dove viene gestito? CIO Dal server presente in magazzino per il quale stiamo predisponendo una saletta a parte. Il personale è stato informato della criticità. 42
Conclusioni
GRCI Model Governance Incident Management Risk Management Compliance 44
#iosonopreoccupato 45
Strategia, Tecnologia, Comportamento Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 46
I Rischi Devo scegliere quali mitigare quali accettare quali trasferire per non farmi cogliere impreparato... 47
Grazie dell attenzione! Cesare Burei - cesare.burei@margas.it Alessio L.R. Pennasilico - apennasilico@clusit.it facebook:alessio.pennasilico - twitter:mayhemspp - linkedin:alessio.pennasilico Verona - Ottobre 2015