Cyber: i principali scenari di rischio per le aziende - Verona, 16 febbraio 2017 - Corrado Zana - ASP Energia
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cyber: i principali scenari di rischio per le aziende
Verona, 16 febbraio 2017
Corrado Zana
Business Resilience Regional Leader
Continental Europe
Contesto
Da dove ha origini il fenomeno della Cyber Security?
Una stretta correlazione con l’innovazione tecnologica e la trasformazione digitale
VIRTUAL ERA
INTERNET ERA
PC/CLIENT SERVER 2010s
ERA
1990s
MINI- COMPUTING
1980s
MAINFRAME
1960s
1950s CONNECTIVITY
BUSINESS VALUE
RISK
1
Perché rappresenta una minaccia crescente?
La maggiore complessità ed interoperabilità determina una maggiore esposizione
•• 0
1
• 1
• 0
• 0
• 0
• 1
• 1
1 • 1
1
0 • 0
0
1 • 0
1
1 • 1
0
01 • 1
010010001000110001100010 0
1
1
Queste tecnologie abilitanti per il business sono una importante fonte di rischio d’impresa
Quali i principali scenari di rischio per le aziende?
I rischi legati all’ecosistema digitale
CyberCrime – A crime in which a computer
is the object of the crime (hacking, phishing, Cyber Crime
spamming) or is used as a tool to commit an
offense (child pornography, hate crimes)….
Fonte Technopedia
Sottrarre Informazioni Danneggiare l’azienda Commettere una frode
Motivazioni Motivazioni Motivazioni
• Concorrenza sleale • Concorrenza sleale • Illecito Arricchimento
• Vendita delle • Vandalismo, sabotaggio
informazioni
Conseguenze Conseguenze Conseguenze
• Perdita di opportunità • Interruzione delle attività • Danno patrimoniale
• Violazione di leggi • Perdita reputazione e • Perdita reputazione e
(Privacy) quote di mercato quote di mercato
• Richieste danni, sanzioni • Perdita di dati aziendali • Richieste danni
• Spese legali e extra-costi • Richieste danni e penali
3
Approccio Marsh
Cyber Risk
Una complessa combinazione di impatti economici, operativi e reputazionali
Il Cyber Risk si manifesta come un rischio composito e multi-dimensionale:
External Sources of Cyber Reputational Impact
Risk
Hacktivism Loss of Trust (internal and external)
Hacker / Lone Wolf Brand Damage / Loss of Intangible
Nation State Value
Attacks Time intensive / costly to repair
Insider Data Need to embrace Digital
Leakage
Social Engineering Technology & Operational Impact
Cyber Failure of Infrastructure, Processes, or
Systems
Internal Origins of Cyber
Risk Inability to Operate / Run the Business
Requires Regular Planning and Oversight
Risk
Digital Banking Importance of effective and current controls
Services
Fraud & Financial Crime Impact
Payments
Lost revenue and profit – high cost
Electronic Trading
Third Parties High velocity and high frequency / relentless
7 Need to stay close to regulatory agenda
Technology
Infrastructure Requires both business and technology
Human Factor solutions
MARSH RISK
CONSULTING
Cyber Crime
Rilevazione 1H 2016 – La dimensione del problema
Il cybercrime è una
71% realtà che fa parte
della nostra vita
quotidiana con cui
del Totale incidenti registrati nella
prima metà del 2016 per le occorre fare
aziende italiane, ricade nella necessariamente i
categoria del CYBER conti.
CRIME (frodi, infezioni
malware, etc)
66% Le difese esistenti
continuano ad
delle TECNICHE utilizzate essere
per gli attacchi Cyber
appartengono alla Categoria
generalmente
ELEMENTARY (SQL inadeguate
injection, DDOS; Vulnerabilità
note, Malware)
TARGET delle Infezioni TECNICHE di Infezione
+ 172% L’uomo è l’anello
debole della catena
L’aumento nel primo semestre del 2016
della sicurezza
del fenomeno del RANSOMWARE
(infezione da CryptoLocker)
Fonti:
MARSH RISK CONSULTING 25/10/2016
Clusit Rapporto Clusit settembre-2016, TrendLabsSM 2016 1H Security Roundup, MARSH Continental European Cyber Risk Survey 55
- 2016
Gli attacchi Cyber: anywhere, anytime Update sui recenti attacchi MARSH RISK 25/10/201 CONSULTING 6 4
Come le aziende valutano il Cyber Risk?
Alcune evidenze
Comprensione del Il Cyber Risk risulta
essere largamente
Fenomeno sottostimato (il 69%
delle aziende dichiara di
Il 32% delle aziende hanno incluso
avere una scarsa
comprensione del
il CYBER RISK tra i TOP 5 del Risk fenomeno)
Register*
Coinvolgimento Permane una diffusa
tendenza nel
del Board considerare la Cyber
Security come un
14%
Il delle aziende ritengono che aspetto di natura
tecnologica
il Cyber Risk debba far parte
dell’Agenda del Board
Il 38% delle aziende
Risk Analysis non dispone ancora di un
Incident Response Plan
40%
Il delle aziende hanno ed il 60% non ha
identificato le Potential
svolto un Cyber Risk Analysis per la
valutazione degli impatti finanziari Losses
dovuti ad un evento di Cyber Crime
Fonti:
MARSH RISK CONSULTING 25/10/2016
MARSH Continental European Cyber Risk Survey - 66
2016Our differentiating approach to Cyber Risk Management
Marsh Cyber Risk Compass: insurance solutions and advisory services
Risk Transfer Risk Assessment
• Insurance Solution Design • Cyber Risk Financing Workshop
• Global & Industry Benchmark • Cyber Impact Analysis
• Modeling of Data-Breach cost • Business Interruption Estimate
• Cyber Risk Ranking by CYENCE • Information Security Risk Assessment
• Insurance Gap Assessment • Privacy (GDPR) Gap Assessment
MARSH CYBER
RISK COMPASS
Risk Response Risk Control
• Cyber Crisis Management Planning • Cyber Risk Awareness Program
• Cyber Crisis Management Simulation • Cyber Risk Strategy Design
• Cyber Incident Response Process Design • ISO27001 Implementation
• Claims Advocacy & Litigation Support • Business Continuity
• Forensic Advisory Services Management
• Disaster Recovery Planning
11Marsh Risk Consulting Supporto ai Risk Manager nell’identificazione degli scenari cyber Servizi Consulenziali rivolti alla valutazione del livello di esposizione al Cyber Risk Cyber Risk Workshop Workshop della durata di un giorno con gli stakeholder aziendali, al fine di rilevare l’attuale livello di consapevolezza, tra utenti e manager, sui rischi associati alla Cyber Security e di identificare le aree potenzialmente più critiche/esposte ad eventuali attacchi. Cyber Risk Financing Optimization Intervento consulenziale volto ad identificare gli scenari di rischio, applicabili per il contesto aziendale, vautazione degli impatti finanziari associati, definizione della strategia di trasferimento rischi 10
MRC - Business Resilience Practice
Portafoglio Servizi Consulenziali
11Business Resilience
Vendor Risk Management con CYENCE Anonymized Actual Report
Bank “K” summary stats –
Rev profile, known security
incidents, sophistication and
motivation score and trend line
ATTACK
ZONE
Rank of Bank “K” in relative
to peer group based on
sophistication of security
controls and motivation of
adversaries to attack
this entity SAFE Sophistication and
ZONE Motivation trend lines
Detailed risk factors relative to peers
that make up
sophistication and
motivation ratingsBusiness Resilience Vendor Risk Management con CYENCE Anonymized Actual Report
Business Resilience
Vendor Risk Management con CYENCE
Anonymized Actual Report
Assessment tool provides
additional granularity into the
detailed risk factors that
Risk factors can be
contribute to the rating
benchmarked relative to
select peersBusiness Resilience
Vendor Risk Management con CYENCE
This chart shows vendor/supply chain cyber
risk for a particular company i.e. if networks
are integrated with suppliers/vendors, how
many vulnerabilities are shared across the
supply chainPuoi anche leggere
