Upload
lykhuong
View
218
Download
0
Embed Size (px)
Citation preview
Verona - Ottobre 2015
Alessio L.R. Pennasilico - [email protected] Burei - [email protected]
IaaSInsurance as a Serviceil tassello mancante nella gestione della sicurezza
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Committed: AIP Associazione Informatici Professionisti
CLUSIT, Associazione Italiana per la Sicurezza InformaticaIISFA, Italian Linux Society, Metro Olografix
Sikurezza.org, Spippolatori....
$whois -=mayhem=-
Security Evangelist @
2
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Quel che succede su Internet
influenza la “realtà”
7
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
GRCI Model
IncidentManagement
Compliance
Risk Management
Governance
9
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Costi per Cyber Crime/Cyber Loss
Costi consulenza per analisiCosto uomo per disaster recoveryCosto uomo per reinserimento dati
Costi di (tardiva) protezioneCosti per riparazione danni
10
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Danni per Cyber Crime/Cyber Loss
Fermo attività Mancate vendite
Perdita quote di mercato Danno all’immagine aziendale
Spese legali di difesa Illecito trasferimento di fondi
Sanzioni
11
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
“Le imprese (…) ritengono sufficiente per difendersi dal cyber risk stipulare tradizionali polizze assicurative che, in realtà, coprono solo i danni materiali dovuti ad eventi naturali (incendi, terremoti, allagamenti, ecc) ed i conseguenti danni indiretti.Tali polizze non coprono tuttavia i danni immateriali che rappresentano, oggi giorno, la più pericolosa forma di cyber risk e, conseguentemente, le perdite derivanti da eventi quali un virus informatico, un errore umano, un’introduzione nel sistema di informatico che comporta la perdita di dati o la trafugazione degli stessi.Inoltre, le polizze tradizionali si basano su un concetto di territorialità del rischio, mentre la digitalizzazione delle informazioni ha sancito il venir meno di tale concetto.”
Fonte: report IPSOA – settembre 2014
12
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Un aiuto “dal Pubblico”
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Fra tutte le conquiste tecnologiche conseguite dall'uomo in epocamoderna, il computer sembra l'invenzione più rivoluzionaria, destinata com'è a modificare radicalmente la nostra esistenza.I futuri ladri cercheranno di farla in barba ai computer. Anzi, è quello che già fanno.Rubando i codici o ricorrendo ai più vari imbrogli, di cui lo stupido computer non si accorge,alcuni delinquenti riescono a far finire enormi somme di danaro in mani non autorizzate.Naturalmente, il computer può venire dotato di programmi sempre piùsofisticati con i quali ovviare alle manipolazioni che vengono via via scoperte, ma ogni volta l'uomo si ingegnerà a inventare qualche truccoancora più elaborato.
E, con ogni probabilità, ci riuscirà.
Isaac Asimov - 1983
14
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Specialista in rischi industriali e tecnologici da 35 anni sul mercato.
MARGAS è il partner ideale per l’individuazione e la valutazione dei rischi propri delle organizzazioni e quelli derivanti dalle specifiche interazioni di business. Lavorare con MARGAS vuol dire prendere con consapevolezza decisioni e contromisure per ridurre il rischio aziendale e trasferire il residuo in polizze costruite su misura.
Uno studio familiare in cui operano il fondatore Ing. Luigi Burei e i due figli Cesare e Nicola Burei – Risk Manager e Broker Assicurativi anch’essi con una solida preparazione ingegneristica ed economica alle spalle.Uno staff di quattro persone assicura un servizio improntato a cortesia, puntualità ed efficienza.
Associati AIBA, da gennaio 2015 soci CLUSIT – Associazione Italiana per la Sicurezza informatica.In collaborazione con CINEAS – Consorzio Universitario per la diffusione della cultura del rischio – e primarie Assicurazioni impegnati in attività di formazione per agenti ed assuntori.
16
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
MARGAS è in grado di analizzare, costruire e gestire la completa posizione assicurativa delle imprese e gli eventuali sinistri.
17
SPECIALIZZAZIONI SERVIZI
❖ Cyber Risk Management & Insurance❖ Responsabilità Civile verso terzi❖ Responsabilità Civile Amministratori (D&O)❖ Responsabilità Professionale❖ Danni indiretti da fermo d’attività❖ Infortuni❖ CAR & EAR❖ Responsabilità da prodotto difettoso❖ Incendio ed eventi naturali
❖ Analisi e gestione del Rischio❖ Due diligence assicurativa❖ Razionalizzazione delle coperture assicurative❖ Predisposizione del programma assicurativo
personalizzato❖ Assistenza nella gestione sinistri
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
The CyR® ProjectInsurance as a Service
18
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
The CyR® Project
Tavolo di confronto aziendale sul Cyber Risk
Analisi dei rischi
azioni proattive di riduzione
Trasferimento del rischio
19
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
The CyR® Project
• Tavolo di confronto con: • Responsabile dei sistemi informatici• Responsabile di produzione• Proprietà• Esperto sicurezza IT• Assicuratore
• Prima analisi e verifica dello “status quo”.• Elaborazione di un report di pre-audit.• Azioni proattive di difesa/gestione con consulente ICT
• Selezione soluzione assicurativa (RC, danni logici, danni da interruzione di esercizio, ricostruzione dati, etc.)
• Quotazione • Presentazione all’Azienda e successiva scelta
20
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
“Diario” di un commesso “Assicuratore”
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – I Vostri sistemi antincendio sono efficienti?
CIO – Assolutamente, se ne occupa il responsabile della sicurezza e comunque cosa vuole che bruci nel “mio” datacenter?
22
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Adottate misure antincendio efficaci?
CIO – Il rischio è stato valutato, al di là del rispetto della normativa, per evitare che comportamenti o errate installazioni mettano a rischio i dati
dei nostri utenti/clienti.
24
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Stanno facendo dei lavori vicino a Voi?
CIO – Abbiamo già abbastanza problemi qui dentro. Dobbiamo verificare anche cosa succede all’esterno?
25
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Ci sono attività di terzi nelle vicinanze che possano causarvi problemi?
CIO – Conosciamo le attività delle aziende vicine e siamo tranquilli. Nel caso di apertura di un cantiere, prevediamo di acquisire
preventivamente informazioni sui lavori e relativi rischi correlati da gestire.
27
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Avete gruppi di continuità?
CIO – Certo, due nel datacenter.
28
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Avete gruppi di continuità? Dove si trovano e come sono gestiti?
CIO – Abbiamo un gruppo di continuità in sala separata dalla sala server ed un generatore ausiliario all’esterno. Sono testati con cadenza
settimanale con test di carico/termografie sulle batterie.
30
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Mi hanno comunicato dei lavori nella cabina elettrica. So già che potrebbero esserci problemi.
ASS – Che vuole che sia! Invece pensi che la sua polizza copre il vero rischio: l’incendio!
31
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Mi hanno comunicato dei lavori nella cabina elettrica. Se succedesse qualcosa, come siamo messi?
ASS – In fase di analisi del rischio con il vostro ICT manager, abbiamo previsto una copertura per i danni da interruzione di esercizio anche nel
caso venga interessata anche solo l’integrità dei dati.
33
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Stiamo aprendo una nuova sede produttiva all’estero. Devo trasferire un rack di server già pre-configurati.
ASS - Certo, tanto il vettore è responsabile della merce trasportata.
34
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Stiamo aprendo una nuova sede produttiva all’estero. Devo trasferire un rack di server già pre-configurati. Sono preoccupato per i
tempi di consegna ed eventuali danni.
ASS – Un aspetto da non sottovalutare. Da predisporre coperture assicurative che tengano conto dei costi
sostenuti per la preparazione dei server e dell’eventuale ritardo nell’attivazione della sede produttiva dovuto ad un danno durante il
trasporto.
36
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Molto fresco e più sicuro in caso di crollo
dell’edificio.
ASS – Non c’è problema l’azienda è assicurata anche contro il terremoto.
37
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
CIO – Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Sono preoccupato.
ASS – Il rischio maggiore è quello da inondazione ed alluvione che è previsto in polizza, ma fortemente limitato nel risarcimento. Quindi da verificare se non convenga trovare una diversa collocazione del CED.
39
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Complimenti, un magazzino completamente informatizzato per il pickup veloce.
CIO – E’ il nostro orgoglio. E’ tutto qui, anche il server che lo gestisce.
40
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
ASS – Complimenti, un magazzino completamente informatizzato per il pickup veloce. Da dove viene gestito?
CIO – Dal server presente in magazzino per il quale stiamo predisponendo una saletta a parte.
Il personale è stato informato della criticità.
42
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
GRCI Model
IncidentManagement
Compliance
Risk Management
Governance
44
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
Strategia, Tecnologia, Comportamento
Se costruisco una casasenza progettare
uscite di sicurezzacostruirle a lavori finiti
sarà disastroso
46
venerdì 2 ottobre 15
A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015
I Rischi
Devo sceglierequali mitigare
quali accettare quali trasferire
per non farmi cogliere impreparato...
47
venerdì 2 ottobre 15
Verona - Ottobre 2015
Grazie dell’attenzione!Cesare Burei - [email protected]
Alessio L.R. Pennasilico - [email protected]:alessio.pennasilico - twitter:mayhemspp - linkedin:alessio.pennasilico
venerdì 2 ottobre 15