cliccando qui
Transcript
cliccando qui
Allianz Global Corporate & Specialty Allianz Cyber Protect Assicurazione per la Protezione dei dati ed il Digital Business Cyber Protect Sicurezza informatica: siete preparati? La quantità di dati generati, trasmessi, consultati e conservati sta crescendo ad un ritmo esponenziale. La maggior parte delle organizzazioni non potrebbe funzionare senza questi dati, né senza i programmi, l’hardware e i sistemi di comunicazione che ne semplificano l’uso. Inoltre, la natura “critica” e la complessità dei sistemi che ne supportano la trasmissione e l’utilizzo, unite alla possibilità di un accesso remoto e anonimo, hanno creato condizioni ideali per possibili attacchi informatici. Al fine di minimizzare i rischi e di gestire le minacce sono possibili vari interventi. Un approccio ben strutturato e completo all’intero ciclo di vita dei dati di un’azienda, è fondamentale per proteggere le informazioni sensibili e tutelare i sistemi in maniera idonea. In base alle previsioni, il traffico mondiale in Internet triplicherà nei prossimi cinque anni (nei cinque anni precedenti era quadruplicato). Cisco ipotizza che nel 2015 il traffico globale IP raggiungerà 1.0 zettabyte all’anno, spinto da una crescita a livello mondiale. Cisco Visual Networking Index: Forecast and Methodology, 2012–2017 Nel 2012 il Direttore di GCHQ ha dichiarato: “GCHQ sta assistendo a minacce reali e credibili alla sicurezza informatica, minacce che sono di dimensioni, varietà e complessità mai viste prima… La riduzione di questi rischi e la gestione di queste minacce – in altre parole, la sicurezza informatica – sono una delle sfide principali davanti alle quali ci troviamo oggi. La responsabilità di gestire i rischi informatici della propria azienda inizia e finisce a livello manageriale. In gioco ci sono i valori, gli utili e la credibilità”. Da dove provengono le violazioni dei dati? 56% Pirateria o virus informatico 30% Dispositivi mobili 6% Insider 4% Divulgazione non intenzionale di informazioni 1% Dispositivi fissi 1% Frodi su carte di credito 1% Perdite fisiche 1% Ignoto o altro Fonte: Privacy Rights Clearinghouse, 18/10/2012 Cyber Protect Quali sono le minacce? Il 2012 ha assistito ad un aumento del 42% nel numero di attacchi mirati alle aziende*. Al momento vi sono, in media, 116 attacchi al giorno. Il 55% degli attacchi è rivolto ad imprese manifatturiere, istituti finanziari ed enti governativi. Quando si verifica una violazione, il numero medio di individui esposti è superiore a 600.000. Questi dati sono impressionanti, e lo sono ancora di più se si pensa agli attacchi non mirati, che sono milioni al giorno. Le grandi organizzazioni sono colpite per la metà delle volte, ma la tendenza ad attaccare aziende piccole (meno di 250 dipendenti) è salita addirittura al 31% del totale. I pirati informatici puntano a queste aziende che possono avere politiche e procedure di sicurezza dei dati meno sofisticate, e questo non solo per colpire loro, ma per utilizzarne i sistemi come porte di ingresso ai sistemi più sicuri delle grandi aziende con le quali sono in rapporto di affari. * F onte: Symantec Internet Security Threat Report 2013 ** Fonte: Ponemon Institute “2012 Costs of Cyber Crime Study” Ottobre 2012 I costi associati alla violazione dei dati sono significativi; secondo un recente rapporto del Ponemon Institute**, il costo medio della violazione dei dati per un’azienda nel Regno Unito ammonta a più di 3 milioni di dollari e negli USA a circa 9 milioni di dollari. Come ridurre i rischi? Per aiutare le aziende a ridurre al massimo i rischi di questo tipo, esistono risorse efficaci. Tuttavia, una cosa è evidente: una buona gestione del rischio informatico deve essere pienamente supportata a livello manageriale. Inoltre, una buona pianificazione in termini di risk management fa la differenza tra le aziende che gestiscono bene i propri rischi e quelle che non lo fanno. Tutti i diversi aspetti della politica di sicurezza dei dati devono essere curati, controllati, testati e, se necessario modificati, al fine di creare un solido contesto di sicurezza e ridurre la possibilità di perdita dei dati dovuta alla pirateria informatica. Tuttavia, il numero crescente e sempre più sofisticato delle minacce informatiche fa sì che sia impossibile per qualsiasi organizzazione garantire una protezione completa dal rischio di attacco informatico. In tali circostanze, un efficace trasferimento del rischio è un’arma importante per ogni risk manager. “La gestione a livello basilare dei rischi informatici può fermare fino all’80% degli odierni cyber attacchi” 10 Steps to cyber Security– Executive Companion 2012 Cyber Protect I “10 passi verso la sicurezza informatica” per tutte le aziende Nel 2012, il 93% delle grandi organizzazioni è stata colpita dalla violazione dei propri dati (Department of Business Innovation & Skills – 2013 Information Security breaches survey) 1.Creare un’efficace struttura di governance, mantenere l’impegno della Direzione e mettere in atto adeguate politiche di sicurezza dei dati che dovrebbero almeno includere: 2. Formazione e consapevolezza da parte degli utenti 3.Presenza di politiche e procedure di controllo per tutte le reti e sistemi 4.Presenza di procedure di gestione degli incident, inclusi il ripristino di emergenza (disaster recovery) 5. Creazione di politiche e procedure di sicurezza di rete 6. Personalizzazioni degli utenti ben gestite e controllate 7. Una guida sicura alla configurazione 8. Attivazione di procedure di protezione dai virus 9.Controllo dell’utilizzo di supporti rimovibili 10.Controllo delle procedure mobili e di home working Quali sono gli obblighi legali? La legge sulla privacy esiste da molto tempo nella maggior parte delle giurisdizioni, e adesso viene aggiunta una legislazione specifica sulla protezione dei dati. Nella maggior parte degli Stati Uniti, qualora vengano perduti dati identificativi personali, la legge richiede che i soggetti interessati vengano avvisati e che siano intraprese tutte le azioni atte a ridurre qualsiasi potenziale danno (ad es. controllo del credito e variazione delle coordinate bancarie). I relativi costi, assieme agli altri eventuali costi associati, tendono a moltiplicarsi rapidamente. Oltre alla legge statale, esiste la legge federale che consente di mettere in atto delle class action a seguito di violazioni della privacy. Fuori dagli Stati Uniti, le leggi sulla privacy e sulla protezione dei dati non sono sempre così coerenti, ma molte giurisdizioni si stanno rapidamente adeguando. L’UE sta lavorando su una Legislazione per la protezione dei dati che sostituirà l’attuale Direttiva, in modo da ampliarne la portata. Molte delle disposizioni proposte assegnano un notevole carico economico alle aziende, sia in termini di conformità che di rimedi; ad esempio, una delle disposizioni proposte prevede che un individuo abbia il diritto di richiedere la rimozione dei propri dati personali da tutti i database. Il costo per l’eliminazione di questo tipo di dati dagli archivi può diventare proibitivo. Un’altra disposizione prevede una multa - che può arrivare fino al 2% del fatturato di un’azienda – che le autorità possono imporre ad organizzazioni “colpevoli”, e naturalmente esistono disposizioni che impongono la notifica a tutti i soggetti in caso di violazione dei loro dati. L’obiettivo finale e i tempi di questa legislazione sono incerti, ma una cosa è sicura: prossimamente gli obblighi legali imposti alle organizzazioni che gestiscono i dati aumenteranno significativamente e la violazione di tali obblighi darà luogo a notevoli costi. Cyber Protect La copertura Cyber Protect fornisce una serie completa di coperture per assicurare la protezione delle aziende in caso di perdita dei dati o di attacco alla sicurezza informatica. Cyber Protect è una gamma di prodotti che comprende Cyber Protect, Cyber Protect Premium e Cyber Protect Premium Plus; ciascuna di queste soluzioni fornisce una copertura diversa e che può essere interamente personalizzata sulla base delle esigenze della vostra azienda. Cyber Protect Copertura Dettagli Violazione dei dati e della privacy Costi di difesa e danni ai quali è soggetto l’Assicurato o il Fornitore di servizi di outsourcing, derivanti da una perdita di dati Sicurezza della rete Costi di difesa e danni ai quali è soggetto l’Assicurato, derivanti da un attacco informatico mirato Costi di difesa e danni ai quali è soggetto l’Assicurato, derivanti da un attacco informatico mirato Costi di difesa e danni ai quali è soggetto l’Assicurato, derivanti dalla pubblicazione o trasmissione di contenuti di comunicazione digitale Spese legali Costi di difesa davanti ad un’autorità giudiziaria derivanti dalla perdita di dati Costi di notifica In conformità con i requisiti normativi e legali in seguito alla perdita di dati Costi di risposta Onorari e spese per: • Indagini forensi a seguito di perdita di dati • Identificazione e protezione dei dati perduti • Consulenza sugli obblighi legali e normativi • Determinazione dell’entità degli obblighi di indennizzo nei contratti con fornitori di servizi terzi • Servizi di controllo del credito e altre azioni di recupero previste dopo la perdita di dati Furto da parte di hacker Indennizzo per fondi rubati a causa di attività fraudolente da parte di terzi Business interruption e recupero dei costi Mancato fatturato dovuto ad interruzione delle attività (e costi di recupero) causati da un attacco mirato al sistema informatico dell’azienda. Pagamenti elettronici Costi per la difesa, i danni e le sanzioni contrattuali relativi alla violazione degli Standard di sicurezza dei dati nel settore delle carte di credito. Comunicazione di crisi Spese sostenute per la consulenza di esperti in comunicazione di crisi che permettano di contenere eventuali danni di immagine derivanti da un evento coperto Servizi di consulenza Spese sostenute per una consulenza in IT che determini l’ammontare e la dimensione di una perdita coperta dalla presente polizza. Allianz si impegna ad una copertura fino a €50m milioni di massimale. Cyber Protect Premium Copertura più ampia che fornisce maggiore protezione, come maggiori garanzie offerte in caso di interruzione delle attività. Cyber Protect Premium Plus Copertura strutturata sulla base di Allianz Cyber Protect ma su misura in base alle richieste specifiche del cliente. Il nostro team di informatici realizzerà una valutazione completa dei vostri sistemi. Un processo di analisi dei gap identificherà le eventuali carenze di copertura. Collaboreremo così con voi per creare un prodotto su misura al servizio delle vostre attività. Cyber Protect Il processo di indennizzo ed il nostro panel di esperti Nel caso di problematiche relative alla sicurezza informatica o di perdita di dati, è necessaria una reazione rapida al fine di gestire al meglio l’emergenza. Ad Allianz si affianca un panel di esperti dalle diverse competenze, che vi aiuterà ad affrontare la situazione grazie ad un’ampia gamma di servizi offerti come, ad esempio, servizi di IT forense (tra cui servizi di notifica, servizi di controllo del credito ed altro), servizi di gestione della crisi e servizi di legali esperti. Una volta identificato un potenziale evento dannoso, dovrete informarci immediatamente tramite il vostro broker; provvederemo così a consigliarvi gli esperti che potranno lavorare al vostro fianco (nell’ambito del vostro programma di gestione della crisi) con l’obiettivo di raggiungere una soluzione rapida del problema. Se necessario, i nostri esperti forniranno un training “pre sinistro” oltre a servizi volti a supportare le vostre politiche di sicurezza dei dati. Potrete anche contare sull’esperienza dei nostri ingegneri di Allianz Risk Consulting che vi aiuteranno ad analizzare la portata dell’esposizione a cui siete soggetti. Forensic IT Thales www.thalesgroup.com Esperti legali Disponiamo di legali esperti in diverse giurisdizioni tra cui: Clyde & Co www.clydeco.com DAC Beechcroft www.dacbeachcroft.com RPC www.rpc.co.uk Consulenza di crisi Brunswick www.brunswickgroup.com Hill + Knowlton www.hillandknowlton.co.uk Il nostro team assicurativo Il nostro team assicurativo è disponibile per rispondere alle vostre domande. Contattare: Market Management [email protected] Unità Financial Lines [email protected] Disclaimer Quanto contenuto nel presente documento ha l’obiettivo di fornire informazioni di carattere generale e non costituisce la base per contratti o polizze. Allianz Global Corporate & Specialty controlla che le informazioni fornite in questo documento siano accurate; tuttavia non si assume alcuna responsabilità per eventuali errori od omissioni. Per i dettagli completi del prodotto, fare riferimento ai moduli di polizza. Copyright © 2013 Allianz Global Corporate & Specialty SE. All rights reserved. The material contained in this publication is designed to provide general information only. Whilst every effort has been made to ensure that the information provided is accurate, this information is provided without any representation or warranty of any kind about its accuracy and Allianz Global Corporate & Specialty SE cannot be held responsible for any mistakes or omissions. All descriptions of coverage are subject to the terms, conditions and exclusions of the individual policy. Allianz Global Corporate & Specialty SE Fritz-Schaeffer-Strasse 9, 81737 Munich, Germany Commercial Register: Munich, HRB 208312 www.agcs.allianz.com AGCS/2410