Cyber Risk Management A new normal requiring new capabilities - Deloitte
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cyber Risk Management A new normal requiring new capabilities Novembre 2019
Agenda
Contesto rischio Cyber Modello FAIR
Posizionamento nel panorama dei Misurare il rischio cyber
rischi globali
Processo di quantificazione del
Modello delle minacce rischio cyber
Panorama delle nuove capabilities Migliorare il processo decisionale
© Deloitte 2019 2
Contesto rischio cyber: posizionamento nel panorama dei rischi globali
L’indagine (14°edizione), viene condotta annualmente dal World Economic Forum e dispone dei punti di vista di quasi 750
esperti sull’impatto e sulla probabilità di accadimento dei 30 maggiori rischi globali
WEF Global Risk Landscape 2019
Il WEF considera i Cyber Attacchi quale uno
dei principali rischi per l’umanità da
fronteggiare nel corso dei prossimi 10 anni
© Deloitte 2019 3
Contesto rischio cyber: modello delle minacce Suspicious/malicious network traffic observed by host address – Financial Services Industry Threat landscape graph *Source: global threat assessment by Deloitte Cyber threat Intelligence Issue date: May 2019 © Deloitte 2019 4
Contesto rischio cyber: panorama delle nuove capabilities
Strategy Secure Vigilant Resilient
Establishing effective controls around Integrate threat data, IT data and Combine proven proactive and
Develop a cyber risk program in business data to equip security teams reactive incident management
line with the strategic objectives the organization’s most sensitive assets
and balancing the need to reduce risk, with context-rich intelligence to processes and technologies to rapidly
and risk appetite of the proactively detect and manage cyber adapt and respond to cyber
organization. while enabling productivity, business
growth and cost optimization objectives. threats and respond more effectively to disruptions whether from internal or
cyber incidents. external forces.
Advanced Threat Readiness
Cyber Strategy, Transform. Infrastructure Protection Cyber Incident Response
and Preparation
and Assessments
Vulnerability Management Cyber Risk Analytics
Cyber Risk Management Cyber Wargaming
and Compliance
Application Protection
Security Operations Center Business Continuity
Cyber Training, Education Management
and Awareness Identity and Access
Management
Threat Intelligence and Analysis
Privacy compliance program Information Privacy and
Protection
© Deloitte 2019 5
Modello FAIR: misurare il rischio cyber
Factor Analysis of Information Risk (FAIR) è un modello di rischio standard internazionale aperto, sviluppato
specificamente per consentire una misurazione dei rischi efficace e per rispondere alle domande di livello executive.
FAIR Factor Analysis
of Information Risk
RISK
La nuova Direttiva SEC* per Requisiti per la
le quotate americane richiede misurazione del
Loss Event Loss
la quantificazione del rischio Frequency Magnitude Rischio
Cyber in termini economici
Threat
Vulnerability Primary Secondary
Event Level Loss Loss
Frequency
Accredited as an Supported by a Fast
Enables Quantification
Industry Standard by Growing Community
*SEC Commission Statement and Guidance on Public
Company Cybersecurity Disclosures – Feb. 26, 2018
© Deloitte 2019 6
Modello FAIR: processo di quantificazione del rischio cyber
1 2 3 4
Definizione Acqusizione Esecuzione
Reporting
dello scenario dei dati del modello
QUANTO RISCHIO ABBIAMO ?
Dati già
Minacce Run
disponibili
Assets Fair Model
Risk Factors
(Montecarlo) CHE TIPOLOGIA DI PERDITE ASPETTARSI ?
Controlli
Stime/Range/
Impatti Run
Benchmark
© Deloitte 2019 7
Modello FAIR: definizione dello scenario
L’Enterprise Datawarehouse System è accessibile dagli utenti interni solo con i privilegi appropriati (marketing e
altre funzioni specifiche della BI). Pochi utenti privilegiati hanno pieno accesso ai dati dei clienti.
Contact: gli utenti Method: attraverso Impact: in tale scenario il
privilegiati hanno lo spear-phishing da data breach conduce
pieno accesso ai cyber criminals principalmente a perdite
dati. altamente motivati secondarie (multe, cause
legali e controversie,
reputazione).
Dati personali dei
client (>10M)
Cyber Criminals Utenti Privilegiati Enterprise
DataWarehouse
© Deloitte 2019 8
Modello FAIR: reporting
Aggregate view of forecasted probability and magnitude
6 % probability of a ≥ € 300M loss
Per event simulation metrics
Primary Loss (Direct Impact): € 0,3M - € 2,5M
# €
Estimated loss events per year
Min 0,01 (1 in 100 years)
Max 0,15 (1 in 6.7 years) Secondary Loss (Indirect Impact) : € 51,2M - € 735,2M
© Deloitte 2019 9Modello FAIR: migliorare il processo decisionale
COST-BENEFITS ANALYSIS FOR RISK
OTHER BENEFITS FROM CYBER RISK QUANTIFICATION
REDUCTION
PRIORITIZE INVESTMENT
€32M Migliorare il processo decisionale
concentrandosi sulla massima
Financial BUSINESS ALIGNMENT riduzione del rischio
Impact Allinea le decisioni di
sicurezza al business
RISK TRANSFER
Ottimizza la copertura
assicurativa Cyber
€31M
RISK REDUCTION
VS
RISK CULTURE
€1M
€2M
€2M
INVESTMENT
Promuovere un ambiente
orientato al rischio sul
cyber-rischio
RISK APPETITE
Definire e monitorare i
REGULATORY & limiti del rischio
STANDARDS informatico
Current IT Security Reduced
Risk Risk Soddisfare le esigenze
Investment
normative e di
conformità sui rischi
informatici
© Deloitte 2019 10Il nome Deloitte si riferisce a una o più delle seguenti entità: Deloitte Touche Tohmatsu Limited, una società inglese a responsabilità limitata (“DTTL”), le member firm aderenti al suo network e le entità a esse correlate. DTTL e ciascuna delle sue member firm sono entità giuridicamente separate e indipendenti tra loro. DTTL (denominata anche “Deloitte Global”) non fornisce servizi ai clienti. Si invita a leggere l’informativa completa relativa alla descrizione della struttura legale di Deloitte Touche Tohmatsu Limited e delle sue member firm all’indirizzo www.deloitte.com/about. © 2019. For information, contact Deloitte Touche Tohmatsu Limited.
Puoi anche leggere
