Angelo Troiani. L'Attuario nella valutazione del Cyber Risk

Documenti analoghi
PERCORSO FORMATIVO CYBER SECURITY. by SIMULWARE & IAMA SP. sales professional

Rischi dell informatica e scelte di trasferimento

PROJECT WORK ABSTRACT

Cyber risk, assicurazioni e PMI

Le analisi per esprimere un giudizio sulla politica di riassicurazione. Giuseppe Gionta Ordine degli Attuari. Milano, 10 Luglio 2018

Osservatorio normativo EY

Cyber risk, assicurazioni e PMI

Coperture Assicurative per i rischi catastrofali nelle Assicurazioni Marine

LA RIASSICURAZIONE COME STRUMENTO DI GESTIONE DEL RISCHIO E DEL CAPITALE IN SOLVENCY II. Renzo G. Avesani (CRO Gruppo Unipol)

Rischio catastrofale e coperture assicurative: le possibili soluzioni per l Italia

Le soluzioni assicurative per tutelare l attività d impresa dal rischio Cyber

Il processo ERM: metodologie, strumenti, strategie di riduzione e controllo dei rischi a cura del Dott.RobertoMuscogiuri 16/06/2016

REALTO intermediazioni assicurative

Assicuriamoci Di essere pronti a gestire il Cyber Risk. 14 Marzo2017

Academic Risk Management Association. Microcalamità: prevenire e risolvere l emergenza SEMPRE!

SOLVENCY II COME CAMBIA LA RICHIESTA DI RIASSICURAZIONE

Aldo Bertelle. Materiale didattico convegno IL SOLE 24 ORE Bonifiche dei siti inquinati, Rimini 7 novembre 2007 Copyright Il Sole 24 ORE

Rapporto sulla situazione finanziaria: modello quantitativo «Solo risultato economico Non Vita»

Come sta reagendo il mondo assicurativo al Rischio Cyber

Edoardo Colnaghi. Milano, 23 Maggio 2012

Industry 4.0, non uno slogan ma una grande opportunità di investimento

SOCIETÀ LEADER NELLE PERIZIE ASSICURATIVE, SPECIALIZZATA NEL PROPERTY DAMAGE

Kick Off Gruppo di Lavoro AIIC. Cyber Insurance

Il Ministro delle politiche agricole alimentari e forestali

Il framework di Operational Risk Management a supporto dell ottimizzazione del Sistema dei Controlli Interni

Company Profile Risorse orse e e Se S rvizi ervi zi per per la l a Pu P bblica Amministrazione

I trend emergenti e lo scenario di riferimento

La governancedi SolvencyII: Risk Management e Funzione Attuariale

Mono e pluri Scelte opposte o modelli complementari?

PROPOSTA METODOLOGICA PER LA STIMA DEI DANNI ATTESI DA EVENTI ALLUVIONALI

Le assicurazioni danni

WEB COMPLIANCE AND RISK ANALYSIS

Rischio Sismico e Idrogeologico Il Trasferimento Assicurativo Nicolas de Molling Risk Consultant, Marsh Risk Consulting. Imola (BO), 05 Marzo 2015

Comprendere, valutare e assicurare il rischio cyber

TRASFERIMENTO DI PORTAFOGLIO ASSICURATIVO DA FINANCIAL INSURANCE COMPANY LIMITED AD AXA FRANCE IARD RIASSUNTO DELLO SCHEMA

GESTIONE DEL RISCHIO E PROCEDURE DI INTERVENTO A SEGUITO DI EVENTI ESTREMI SU SISTEMI IDRICI COMPLESSI: CASI DI STUDIO

Percorso professionalizzante Risk management in banca

Sicuramente

Cyber Risk: Rischi e Tutele per le Imprese

INSURANCE BROKERS. Your Insurance Broker Worldwide

DUAL Cyber. PROPOSTA DI ASSICURAZIONE Contratto di assicurazione a copertura di rischi informatici

Cartella stampa. 3 luglio 2017

Il pricing alle imprese corporate nella realtà italiana

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

L ASSICURAZIONE COME NECESSARIA INTEGRAZIONE DEI CONTRATTI DI VENDITA E DI TRASPORTO

CONVENZIONE ASSICURATIVA

Possibili soluzioni assicurative in caso di danno. reputazionale

Cybersecurity, come difendersi dal furto dati

CYBER RISK: PREVENZIONE, PROTEZIONE E TRASFERIMENTO DEL RISCHIO. LA VISIONE DI UN BROKER ASSICURATIVO. Virtual is Real 25 maggio 2017

UN MODERNO APPROCCIO ALLA CREAZIONE DEI PRODOTTI NON VITA

CONTROLLO DI GESTIONE. Conosci te stesso Oracolo di Delfi

Integrated Cybersecurity & Risk Management

Piano di Ricerca Individuale a.a

La Via Cattolica Alla ricerca di nuovi modi di creare valore e di nuovo valore da creare

IL GOVERNO DEL RISCHIO: FATTORE DETERMINANTE NEI PROCESSI DI CAMBIAMENTO

come strumento per migliorare premi assicurativi

MINISTERO DELLE POLITICHE AGRICOLE E FORESTALI. Decreto 7 Febbraio Piano riassicurativo agricolo 2003

La soluzione assicurativa. A completamento del processo di gestione dei rischi Privacy

LA VALUTAZIONE DEL RISCHIO

Report globale di Netwrix sui rischi IT del 2018: riepilogo generale

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

AIG Advisors: il Vostro punto di accesso al mondo AIG

Aiutare le Aziende del settore Alimentare a crescere minimizzando il rischio

SISTEMI DI CONTROLLO INTERNO E PRESIDIO DEI RISCHI AZIENDALI. Criticità per il Mercato, USP e Risk Management dei rischi operativi

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

S&B EsseBi Insurance Broker. Sicuri, EsseBi.

Modelli quantitativi e trasferimento

ISO 14001:2015 NUOVI APPROCCI DELL AUDIT DI CERTIFICAZIONE. Stefano Aldini

La qualità al servizio della sicurezza

Università degli Studi di Parma. Prof.ssa Paola Schwizer Anno accademico Definizione

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

Chubb Cyber Enterprise Risk Management. Principali caratteristiche

CONVEGNO ABI BASILEA Sessione Parallela rischi di mercato e IRC. Incremental Risk Charge Scelta dei parametri di input ed applicazione

La funzione di risk management nella banca. Stato dell arte e prospettive

Le Valutazioni Attuariali nel contesto IFRS17: l esperienza dell assessment del Gruppo Generali

AGIRE MONITORARE PREVENIRE

La nostra visione della CYBERSECURITY

Relatori: Maria Carolina Balbusso Renato Vecchio. Property Restoration, valore aggiunto al processo di Risk Management

Product Governance nella distribuzione e nella consulenza alla clientela. 17 Novembre 2017

Percorso professionalizzante Risk management in banca

LA PREVENZIONE COME PRIMO STRUMENTO DI TUTELA

ANALISI E GESTIONE DEL RISCHIO

La riassicurazione: come si assicurano gli assicuratori

REPORTING SOLVENCY II CODICE SCHEDA PILLAR III SOLVENCY AND FINANCIAL CONDITION REPORT REGULAR SUPERVISORY REPORTING

PIANO NAZIONALE DELLA LOGISTICA

FIGURE PROFESSIONALI FILIALE ESTERA HUB

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

La valutazione dei rischi. Corso di risk management Prof. Giuseppe D Onza

Programma assicurativo per la protezione dell Ingegnere

Insurance International Financial Lines. La nostra offerta per l Italia.

Scelte di integrazione e localizzazione degli impianti

Rischio cyber Sicurezza cyber

GDPR General Data Protection Regulation

Focus sulla logistica

Soluzioni riassicurative sulle riserve non vita nel contesto Solvency II 16/06/2016

isaster Recovery: spetti tecnico-organizzativi

IL PROGETTO DERRIS: UN OPPORTUNITÀ PER LE AZIENDE E LE CITTÀ

Enterprise Risk Management

IT governance. La normativa IVASS

MEGA Process Oriented & Risk Driven Solution

Transcript:

Angelo Troiani L'Attuario nella valutazione del Cyber Risk

Introduzione

Cyber risk Situazione nel mercato Corporate Cyber risk non è più un rischio emergente Quantificazione del cyber risk volta alla definizione di strategie di risk mitigation Costi elevati legati al miglioramento dei sistemi di sicurezza (a volte comunque insufficiente) Insurance Primi passi verso la gestione del rischio Cyber Mancanza di dati sulle esposizioni Le Compagnie sono chiamate ad un azione immediata per anticipare potenziali rischi futuri. Affirmative Cyber Risk - Rischio relativo alle polizze che includono esplicitamente la copertura per il cyber risk. Silent Cyber Risk - Rischio relativo alle polizze già emesse (GL, Property, etc.) che non escludono esplicitamente la copertura per il Cyber Risk.

Prudential Regulation Authority - Findings Il Cyber Risk è stato oggetto di studio da parte del PRA, tramite il coinvolgimento di una serie di stakeholders (compagnie di assicurazione e riassicurazione, intermediari, consulenti, enti di vigilanza, fornitori di modelli catastrofali e aziende IT che si occupano di cyber security). Tale lavoro si è focalizzato sui rischi di sottoscrizione derivanti dalle polizze che coprono il Cyber Risk (Affirmative e Silent). Findings Il Silent Cyber Risk è un rischio materiale: molte compagnie non hanno a disposizione metodi adeguati per quantificare e gestire tale rischio Il business Casualty risulta significativamente esposto al Silent Cyber risk: ciò è dovuto sia allo scarso utilizzo delle «esclusioni» in sede di stesura delle polizze sia all impossibilità di escludere ragionevolmente perdite dovute al Cyber Risk. Alcuni esempi: Directors and Officiers (D&O), Financial Institutions (FI), General Liability (GL) e Professional Indennity (PI) Potenziali perdite anche nei settori Marine, Aviation, Transport e Property. Molte aziende non hanno ancora pianificato efficienti strategie di risk appetite per la gestione del Cyber Risk (entrambi Affirmative e Silent) Le coperture per l Affermative Cyber Risk sono ancora poco comprese.

Modellare scenari per il Cyber risk nel proprio portafoglio Il processo per lo sviluppo dei possibili scenari è lo stesso per entrambi Affirmative e Silent Cyber Risk: richiede l identificazione dell esposizione al rischio e conoscenze nel campo della sicurezza informatica. 1. Ipotesi di scenari sistemici plausibili 2. Analisi preliminare degli scenari ipotizzati 3. Selezione dello scenario e costruzione del narrative 4. Logica di calcolo, esposizione e parametri di rischio

1. Ipotesi di scenari sistemici plausibili Lista di scenari plausibili da costituire sulla base di: Eventi realmente accaduti Pubblicazioni accademiche o di industry Scenari specifici per l azienda da definire con gli esperti Cyber Ogni scenario riporta informazioni riguardo: Tipologia di perdita in base al framewrok CAI Timeline dell evento Garanzie e LoB impattate Gli esperti Cyber forniscono i driver per le perdite (legate a: Costi d investigazione, IT recovery, costi BI, responsabilità legale, danni fisici, sanzioni, altre spese). Alcuni scenari sono già disponibili sul mercato Scenari specifici per l azienda Verificare la plausibilità degli scenari e garantire che essi siano rilevanti per la stima delle perdite.

2. Analisi preliminare degli scenari ipotizzati Analisi preliminare volta all identificazione degli scenari cui l azienda è maggiormente esposta Focus sulle industry che hanno maggiore dipendenza dalle tecnologie informatiche (Banche, Assicurazioni, Telecomunicazioni, etc.) e sulle aree geografiche maggiormente esposte L analisi degli scenari effettuata con esperti del settore informatico consente una mappatura plausibile dell impatto sui costi e della perdita dei ricavi Prioritizzazione delle classi di business impattate dallo scenario per favorire: Gli underwriters nella identificazione delle polizze esposte I risk manager per definire il modello di valutazione Driver di scelta possono essere la concentrazione geografica o le industry colpite dall attacco

3. Selezione dello scenario e costruzione del narrative Gli scenari considerati più rischiosi vengono selezionati. La produzione di un narrative dettagliato dello Scenario consente di procedere allo sviluppo del un modello di valutazione

4. Logica di calcolo, esposizione e parametri di rischio Scenario Parameters Database di scenari che possono impattare sulla Compagnia. Per ogni scenario vengono definite le variabili di calcolo che contribuiscono alla perdita. Attraverso l analisi dei dati e/o il ricorso all expert judgement, derivare i parametri che definiscono la dinamica del modello I modelli possono essere deterministici stocastici. Company & Industry Data Definizione delle specifiche aziendali da modellare. Utilizzo di specifici parametri aziendali e di parametri di severity rilevanti per lo scenario e per la Compagnia. Results Module Parametri di severity combinati con parametri di calcolo per stimare la perdita relativa a ciascuna categoria. La storicità dei dati fornisce informazioni riguardo gli intervalli di confidenza espresso attraverso distribuzioni

Black-out scenario - Narrative example (1 di 3) Evento Interruzione della linea elettrica regionale di uno Stato Europeo causata da un malware inserito nei generatori di elettricità. Altri stati europei potrebbero essere indirettamente influenzati a causa della dipendenza energetica dal primo paese. Plausibilità scenario Si ritiene che lo scenario sia plausibile in relazione a diversi fattori: Esistono situazioni precedenti di black-out dovute a cyber attack (ad es. il black-out del sistema elettrico ucraino del 2016) Si tratta di uno scenario ampiamente discusso in letteratura (ad es.lloyds e University of Cambridge), in quanto ritenuto fondamentale per modellare l impatto sistemico di un cyber attack. Tale attacco provoca infatti perdite derivanti da un ampia gamma di sinistri, trasversalmente a diverse linee di busienss. Ci sono precedenti di black-out avvenuti in uno stato che hanno avuto ripercussioni su altri a causa della dipendenza energetica tra i paesi (ad es. il black-out Italiano del 2003 fu causato da un problema tecnico della rete elettrica Svizzera)

Scenario narrative example (2 di 3) L impatto è sistemico in quanto provoca l estensione del blackout negli altri paesi, attivando una grande quantità di polizze a causa dei numerosi sinistri che ne scaturiscono. Le potenziali perdite possono essere suddivise in due categorie: - Systemic losses - Individual accident losses Individual accident losses Compagnie che producono e distribuiscono energia subiscono danni Liability per aziende che hanno fornito i generatori e i software di sicurezza Sovraffolamento strutture ospedaliere Systemic Losses Business interruption Beni deperibili Effetti indiretti su aziende fuori dall area del blackout Household danni alla proprietà

Scenario narrative example (3 di 3) Modello moltiplicativo - Esempio Loss = i I i G i S i E i I Industry factor G Geographical factor S Size factor (SME or Large corporation) E Exposure Modello simulativo Ipotesi probabilistiche sulle distribuzioni dei driver della perdita (ad es. durata del blackout, severity del danno) Definizione dei parametri (Expert judgement) Metodi Monte Carlo di simulazione Ottimizzazione di strategie (ri)assicurative

Grazie per l attenzione! Angelo Troiani

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back