clicca per vedere o scaricare la presentazione del dott

Cyber: i principali scenari di rischio per le aziende
Verona, 16 febbraio 2017
Corrado Zana
Business Resilience Regional Leader
Continental Europe
Contesto
Da dove ha origini il fenomeno della Cyber Security?
Una stretta correlazione con l’innovazione tecnologica e la trasformazione digitale
VIRTUAL ERA
INTERNET ERA
2010s
PC/CLIENT SERVER
ERA
1990s
MINI- COMPUTING
1980s
MAINFRAME
1960s
1950s
CONNECTIVITY
BUSINESS VALUE
RISK
1
Perché rappresenta una minaccia crescente?
La maggiore complessità ed interoperabilità determina una maggiore esposizione
010010001000110001100010
1
1
0
0
1
1
1
0
01
0
1
1
Queste tecnologie abilitanti per il business sono una importante fonte di rischio d’impresa
••
•
•
•
•
•
•
•
•
•
•
•
0
1
1
0
0
0
1
1
1
0
0
1
1
Quali i principali scenari di rischio per le aziende?
I rischi legati all’ecosistema digitale
CyberCrime – A crime in which a computer
is the object of the crime (hacking, phishing,
spamming) or is used as a tool to commit an
offense (child pornography, hate crimes)….
Fonte Technopedia
Cyber Crime
Sottrarre Informazioni
Danneggiare l’azienda
Commettere una frode
Motivazioni
Motivazioni
Motivazioni
•
•
•
•
• Illecito Arricchimento
Concorrenza sleale
Vendita delle
informazioni
Concorrenza sleale
Vandalismo, sabotaggio
Conseguenze
Conseguenze
Conseguenze
•
•
•
•
•
•
•
•
3
Perdita di opportunità
Violazione di leggi
(Privacy)
Richieste danni, sanzioni
Spese legali e extra-costi
•
•
Interruzione delle attività
Perdita reputazione e
quote di mercato
Perdita di dati aziendali
Richieste danni e penali
•
Danno patrimoniale
Perdita reputazione e
quote di mercato
Richieste danni
Approccio Marsh
Cyber Risk
Una complessa combinazione di impatti economici, operativi e reputazionali
Il Cyber Risk si manifesta come un rischio composito e multi-dimensionale:
Reputational Impact
External Sources of Cyber
Risk
Hacktivism
 Loss of Trust (internal and external)
 Brand Damage / Loss of Intangible
Value
 Time intensive / costly to repair
 Need to embrace Digital
 Hacker / Lone Wolf
 Nation State
Attacks
 Insider Data
Leakage
 Social Engineering
Cyber
Risk
Internal Origins of Cyber
Risk
Digital Banking





Services
Payments
Electronic Trading
Third Parties
Technology
Infrastructure
Human Factor
MARSH RISK
CONSULTING
Technology & Operational Impact
 Failure of Infrastructure, Processes, or
Systems
 Inability to Operate / Run the Business
 Requires Regular Planning and Oversight
 Importance of effective and current controls
Fraud & Financial Crime Impact
7




Lost revenue and profit – high cost
High velocity and high frequency / relentless
Need to stay close to regulatory agenda
Requires both business and technology
solutions
Cyber Crime
Rilevazione 1H 2016 – La dimensione del problema
Il cybercrime è una
realtà che fa parte
della nostra vita
quotidiana con cui
occorre fare
necessariamente i
conti.
71%
del Totale incidenti registrati nella
prima metà del 2016 per le
aziende italiane, ricade nella
categoria del CYBER
CRIME
(frodi, infezioni
malware, etc)
66%
delle TECNICHE utilizzate
per gli attacchi Cyber
appartengono alla Categoria
ELEMENTARY (SQL
injection, DDOS; Vulnerabilità
note, Malware)
+ 172%
L’aumento nel primo semestre del 2016
del fenomeno del RANSOMWARE
(infezione da CryptoLocker)
Le difese esistenti
continuano ad
essere
generalmente
inadeguate
TARGET delle Infezioni
TECNICHE di Infezione
L’uomo è l’anello
debole della catena
della sicurezza
Fonti:
25/10/2016
MARSH RISK CONSULTING
Clusit
Rapporto Clusit settembre-2016, TrendLabsSM 2016 1H Security Roundup,
MARSH Continental European Cyber Risk Survey
- 2016
55
Gli attacchi Cyber: anywhere, anytime
Update sui recenti attacchi
MARSH RISK
CONSULTING
25/10/201
6
4
Come le aziende valutano
Alcune evidenze
il Cyber Risk?
Comprensione del
Fenomeno
Il
32%
Il Cyber Risk risulta
essere largamente
sottostimato (il 69%
delle aziende dichiara di
avere una scarsa
comprensione del
fenomeno)
delle aziende hanno incluso
il CYBER RISK tra i TOP 5 del Risk
Register*
Coinvolgimento
del Board
14%
Il
Permane una diffusa
tendenza nel
considerare la Cyber
Security come un
aspetto di natura
tecnologica
delle aziende ritengono che
il Cyber Risk debba far parte
dell’Agenda del Board
Il 38% delle aziende
Risk Analysis
non dispone ancora di un
Incident Response Plan
40%
ed il 60% non ha
Il
delle aziende hanno
svolto un Cyber Risk Analysis per la
valutazione degli impatti finanziari
dovuti ad un evento di Cyber Crime
Fonti:
MARSH RISK CONSULTING
MARSH
Continental European Cyber Risk Survey 2016
identificato le Potential
Losses
25/10/2016
66
Our differentiating approach to Cyber Risk Management
Marsh Cyber Risk Compass: insurance solutions and advisory services
Risk Transfer
•
•
•
•
•
Risk Assessment
Insurance Solution Design
Global & Industry Benchmark
Modeling of Data-Breach cost
Cyber Risk Ranking by CYENCE
Insurance Gap Assessment
•
•
•
•
•
Cyber Risk Financing Workshop
Cyber Impact Analysis
Business Interruption Estimate
Information Security Risk Assessment
Privacy (GDPR) Gap Assessment
MARSH CYBER
RISK COMPASS
Risk Response
•
•
•
•
•
Cyber Crisis Management Planning
Cyber Crisis Management Simulation
Cyber Incident Response Process Design
Claims Advocacy & Litigation Support
Forensic Advisory Services
Risk Control
•
•
•
•
•
11
Cyber Risk Awareness Program
Cyber Risk Strategy Design
ISO27001 Implementation
Business Continuity
Management
Disaster Recovery Planning
Marsh Risk Consulting
Supporto ai Risk Manager nell’identificazione degli scenari cyber
Servizi Consulenziali rivolti alla
valutazione del livello di esposizione al
Cyber Risk
Cyber Risk Workshop Workshop della
durata di un giorno con gli stakeholder
aziendali, al fine di rilevare l’attuale livello di
consapevolezza, tra utenti e manager, sui
rischi associati alla Cyber Security
e di identificare le aree potenzialmente
più critiche/esposte ad eventuali attacchi.
Cyber Risk Financing Optimization
Intervento consulenziale volto ad identificare
gli scenari di rischio, applicabili per il
contesto aziendale, vautazione degli impatti
finanziari associati, definizione della strategia
di
trasferimento rischi
10
MRC - Business Resilience Practice
Portafoglio Servizi Consulenziali
11
Business Resilience
Vendor Risk Management con CYENCE
Anonymized Actual Report
Bank “K” summary stats –
Rev profile, known security
incidents, sophistication and
motivation score and trend line
ATTACK
ZONE
Rank of Bank “K” in relative
to peer group based on
sophistication of security
controls and motivation of
adversaries to attack
this entity
Detailed risk factors
that make up
sophistication and
motivation ratings
SAFE
ZONE
Sophistication and
Motivation trend lines
relative to peers
Business Resilience
Vendor Risk Management con CYENCE
Anonymized Actual Report
Business Resilience
Vendor Risk Management con CYENCE
Anonymized Actual Report
Assessment tool provides
additional granularity into the
detailed risk factors that
contribute to the rating
Risk factors can be
benchmarked relative to
select peers
Business Resilience
Vendor Risk Management con CYENCE
This chart shows vendor/supply chain cyber
risk for a particular company i.e. if networks
are integrated with suppliers/vendors, how
many vulnerabilities are shared across the
supply chain