clicca per vedere o scaricare la presentazione del dott
Transcript
clicca per vedere o scaricare la presentazione del dott
Cyber: i principali scenari di rischio per le aziende Verona, 16 febbraio 2017 Corrado Zana Business Resilience Regional Leader Continental Europe Contesto Da dove ha origini il fenomeno della Cyber Security? Una stretta correlazione con l’innovazione tecnologica e la trasformazione digitale VIRTUAL ERA INTERNET ERA 2010s PC/CLIENT SERVER ERA 1990s MINI- COMPUTING 1980s MAINFRAME 1960s 1950s CONNECTIVITY BUSINESS VALUE RISK 1 Perché rappresenta una minaccia crescente? La maggiore complessità ed interoperabilità determina una maggiore esposizione 010010001000110001100010 1 1 0 0 1 1 1 0 01 0 1 1 Queste tecnologie abilitanti per il business sono una importante fonte di rischio d’impresa •• • • • • • • • • • • • 0 1 1 0 0 0 1 1 1 0 0 1 1 Quali i principali scenari di rischio per le aziende? I rischi legati all’ecosistema digitale CyberCrime – A crime in which a computer is the object of the crime (hacking, phishing, spamming) or is used as a tool to commit an offense (child pornography, hate crimes)…. Fonte Technopedia Cyber Crime Sottrarre Informazioni Danneggiare l’azienda Commettere una frode Motivazioni Motivazioni Motivazioni • • • • • Illecito Arricchimento Concorrenza sleale Vendita delle informazioni Concorrenza sleale Vandalismo, sabotaggio Conseguenze Conseguenze Conseguenze • • • • • • • • 3 Perdita di opportunità Violazione di leggi (Privacy) Richieste danni, sanzioni Spese legali e extra-costi • • Interruzione delle attività Perdita reputazione e quote di mercato Perdita di dati aziendali Richieste danni e penali • Danno patrimoniale Perdita reputazione e quote di mercato Richieste danni Approccio Marsh Cyber Risk Una complessa combinazione di impatti economici, operativi e reputazionali Il Cyber Risk si manifesta come un rischio composito e multi-dimensionale: Reputational Impact External Sources of Cyber Risk Hacktivism Loss of Trust (internal and external) Brand Damage / Loss of Intangible Value Time intensive / costly to repair Need to embrace Digital Hacker / Lone Wolf Nation State Attacks Insider Data Leakage Social Engineering Cyber Risk Internal Origins of Cyber Risk Digital Banking Services Payments Electronic Trading Third Parties Technology Infrastructure Human Factor MARSH RISK CONSULTING Technology & Operational Impact Failure of Infrastructure, Processes, or Systems Inability to Operate / Run the Business Requires Regular Planning and Oversight Importance of effective and current controls Fraud & Financial Crime Impact 7 Lost revenue and profit – high cost High velocity and high frequency / relentless Need to stay close to regulatory agenda Requires both business and technology solutions Cyber Crime Rilevazione 1H 2016 – La dimensione del problema Il cybercrime è una realtà che fa parte della nostra vita quotidiana con cui occorre fare necessariamente i conti. 71% del Totale incidenti registrati nella prima metà del 2016 per le aziende italiane, ricade nella categoria del CYBER CRIME (frodi, infezioni malware, etc) 66% delle TECNICHE utilizzate per gli attacchi Cyber appartengono alla Categoria ELEMENTARY (SQL injection, DDOS; Vulnerabilità note, Malware) + 172% L’aumento nel primo semestre del 2016 del fenomeno del RANSOMWARE (infezione da CryptoLocker) Le difese esistenti continuano ad essere generalmente inadeguate TARGET delle Infezioni TECNICHE di Infezione L’uomo è l’anello debole della catena della sicurezza Fonti: 25/10/2016 MARSH RISK CONSULTING Clusit Rapporto Clusit settembre-2016, TrendLabsSM 2016 1H Security Roundup, MARSH Continental European Cyber Risk Survey - 2016 55 Gli attacchi Cyber: anywhere, anytime Update sui recenti attacchi MARSH RISK CONSULTING 25/10/201 6 4 Come le aziende valutano Alcune evidenze il Cyber Risk? Comprensione del Fenomeno Il 32% Il Cyber Risk risulta essere largamente sottostimato (il 69% delle aziende dichiara di avere una scarsa comprensione del fenomeno) delle aziende hanno incluso il CYBER RISK tra i TOP 5 del Risk Register* Coinvolgimento del Board 14% Il Permane una diffusa tendenza nel considerare la Cyber Security come un aspetto di natura tecnologica delle aziende ritengono che il Cyber Risk debba far parte dell’Agenda del Board Il 38% delle aziende Risk Analysis non dispone ancora di un Incident Response Plan 40% ed il 60% non ha Il delle aziende hanno svolto un Cyber Risk Analysis per la valutazione degli impatti finanziari dovuti ad un evento di Cyber Crime Fonti: MARSH RISK CONSULTING MARSH Continental European Cyber Risk Survey 2016 identificato le Potential Losses 25/10/2016 66 Our differentiating approach to Cyber Risk Management Marsh Cyber Risk Compass: insurance solutions and advisory services Risk Transfer • • • • • Risk Assessment Insurance Solution Design Global & Industry Benchmark Modeling of Data-Breach cost Cyber Risk Ranking by CYENCE Insurance Gap Assessment • • • • • Cyber Risk Financing Workshop Cyber Impact Analysis Business Interruption Estimate Information Security Risk Assessment Privacy (GDPR) Gap Assessment MARSH CYBER RISK COMPASS Risk Response • • • • • Cyber Crisis Management Planning Cyber Crisis Management Simulation Cyber Incident Response Process Design Claims Advocacy & Litigation Support Forensic Advisory Services Risk Control • • • • • 11 Cyber Risk Awareness Program Cyber Risk Strategy Design ISO27001 Implementation Business Continuity Management Disaster Recovery Planning Marsh Risk Consulting Supporto ai Risk Manager nell’identificazione degli scenari cyber Servizi Consulenziali rivolti alla valutazione del livello di esposizione al Cyber Risk Cyber Risk Workshop Workshop della durata di un giorno con gli stakeholder aziendali, al fine di rilevare l’attuale livello di consapevolezza, tra utenti e manager, sui rischi associati alla Cyber Security e di identificare le aree potenzialmente più critiche/esposte ad eventuali attacchi. Cyber Risk Financing Optimization Intervento consulenziale volto ad identificare gli scenari di rischio, applicabili per il contesto aziendale, vautazione degli impatti finanziari associati, definizione della strategia di trasferimento rischi 10 MRC - Business Resilience Practice Portafoglio Servizi Consulenziali 11 Business Resilience Vendor Risk Management con CYENCE Anonymized Actual Report Bank “K” summary stats – Rev profile, known security incidents, sophistication and motivation score and trend line ATTACK ZONE Rank of Bank “K” in relative to peer group based on sophistication of security controls and motivation of adversaries to attack this entity Detailed risk factors that make up sophistication and motivation ratings SAFE ZONE Sophistication and Motivation trend lines relative to peers Business Resilience Vendor Risk Management con CYENCE Anonymized Actual Report Business Resilience Vendor Risk Management con CYENCE Anonymized Actual Report Assessment tool provides additional granularity into the detailed risk factors that contribute to the rating Risk factors can be benchmarked relative to select peers Business Resilience Vendor Risk Management con CYENCE This chart shows vendor/supply chain cyber risk for a particular company i.e. if networks are integrated with suppliers/vendors, how many vulnerabilities are shared across the supply chain