Insurance as a Service Insurance as a... · 2018-03-12 · Compliance Risk Management Governance 9...

Verona - Ottobre 2015

Alessio L.R. Pennasilico - [email protected] Burei - [email protected]

IaaSInsurance as a Serviceil tassello mancante nella gestione della sicurezza

venerdì 2 ottobre 15

mailto:[email protected]




A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015

Committed: AIP Associazione Informatici Professionisti

CLUSIT, Associazione Italiana per la Sicurezza InformaticaIISFA, Italian Linux Society, Metro Olografix

Sikurezza.org, Spippolatori....

$whois -=mayhem=-

Security Evangelist @

2


http://www.aipnet.it/















http://www.clusit.it/














A.L.R. Pennasilico, Cesare Burei - Verona - Ottobre 2015 3

#iosonopreoccupato



Sh*t happens

4



Quel che succede su Internet

influenza la “realtà”

7



Black Swan

8



GRCI Model

IncidentManagement

Compliance

Risk Management

Governance

9



Costi per Cyber Crime/Cyber Loss

Costi consulenza per analisiCosto uomo per disaster recoveryCosto uomo per reinserimento dati

Costi di (tardiva) protezioneCosti per riparazione danni

10



Danni per Cyber Crime/Cyber Loss

Fermo attività Mancate vendite

Perdita quote di mercato Danno all’immagine aziendale

Spese legali di difesa Illecito trasferimento di fondi

Sanzioni

11



“Le imprese (…) ritengono sufficiente per difendersi dal cyber risk stipulare tradizionali polizze assicurative che, in realtà, coprono solo i danni materiali dovuti ad eventi naturali (incendi, terremoti, allagamenti, ecc) ed i conseguenti danni indiretti.Tali polizze non coprono tuttavia i danni immateriali che rappresentano, oggi giorno, la più pericolosa forma di cyber risk e, conseguentemente, le perdite derivanti da eventi quali un virus informatico, un errore umano, un’introduzione nel sistema di informatico che comporta la perdita di dati o la trafugazione degli stessi.Inoltre, le polizze tradizionali si basano su un concetto di territorialità del rischio, mentre la digitalizzazione delle informazioni ha sancito il venir meno di tale concetto.”

Fonte: report IPSOA – settembre 2014

12



Un aiuto “dal Pubblico”



Fra tutte le conquiste tecnologiche conseguite dall'uomo in epocamoderna, il computer sembra l'invenzione più rivoluzionaria, destinata com'è a modificare radicalmente la nostra esistenza.I futuri ladri cercheranno di farla in barba ai computer. Anzi, è quello che già fanno.Rubando i codici o ricorrendo ai più vari imbrogli, di cui lo stupido computer non si accorge,alcuni delinquenti riescono a far finire enormi somme di danaro in mani non autorizzate.Naturalmente, il computer può venire dotato di programmi sempre piùsofisticati con i quali ovviare alle manipolazioni che vengono via via scoperte, ma ogni volta l'uomo si ingegnerà a inventare qualche truccoancora più elaborato.

E, con ogni probabilità, ci riuscirà.

Isaac Asimov - 1983

14



Cesare Burei

15

CEO @



Specialista in rischi industriali e tecnologici da 35 anni sul mercato.

MARGAS è il partner ideale per l’individuazione e la valutazione dei rischi propri delle organizzazioni e quelli derivanti dalle specifiche interazioni di business. Lavorare con MARGAS vuol dire prendere con consapevolezza decisioni e contromisure per ridurre il rischio aziendale e trasferire il residuo in polizze costruite su misura.

Uno studio familiare in cui operano il fondatore Ing. Luigi Burei e i due figli Cesare e Nicola Burei – Risk Manager e Broker Assicurativi anch’essi con una solida preparazione ingegneristica ed economica alle spalle.Uno staff di quattro persone assicura un servizio improntato a cortesia, puntualità ed efficienza.

Associati AIBA, da gennaio 2015 soci CLUSIT – Associazione Italiana per la Sicurezza informatica.In collaborazione con CINEAS – Consorzio Universitario per la diffusione della cultura del rischio – e primarie Assicurazioni impegnati in attività di formazione per agenti ed assuntori.

16



MARGAS è in grado di analizzare, costruire e gestire la completa posizione assicurativa delle imprese e gli eventuali sinistri.

17

SPECIALIZZAZIONI SERVIZI

❖ Cyber Risk Management & Insurance❖ Responsabilità Civile verso terzi❖ Responsabilità Civile Amministratori (D&O)❖ Responsabilità Professionale❖ Danni indiretti da fermo d’attività❖ Infortuni❖ CAR & EAR❖ Responsabilità da prodotto difettoso❖ Incendio ed eventi naturali

❖ Analisi e gestione del Rischio❖ Due diligence assicurativa❖ Razionalizzazione delle coperture assicurative❖ Predisposizione del programma assicurativo

personalizzato❖ Assistenza nella gestione sinistri



The CyR® ProjectInsurance as a Service

18



The CyR® Project

Tavolo di confronto aziendale sul Cyber Risk

Analisi dei rischi

azioni proattive di riduzione

Trasferimento del rischio

19



The CyR® Project

• Tavolo di confronto con: • Responsabile dei sistemi informatici• Responsabile di produzione• Proprietà• Esperto sicurezza IT• Assicuratore

• Prima analisi e verifica dello “status quo”.• Elaborazione di un report di pre-audit.• Azioni proattive di difesa/gestione con consulente ICT

• Selezione soluzione assicurativa (RC, danni logici, danni da interruzione di esercizio, ricostruzione dati, etc.)

• Quotazione • Presentazione all’Azienda e successiva scelta

20



“Diario” di un commesso “Assicuratore”



ASS – I Vostri sistemi antincendio sono efficienti?

CIO – Assolutamente, se ne occupa il responsabile della sicurezza e comunque cosa vuole che bruci nel “mio” datacenter?

22



ASS – Adottate misure antincendio efficaci?

CIO – Il rischio è stato valutato, al di là del rispetto della normativa, per evitare che comportamenti o errate installazioni mettano a rischio i dati

dei nostri utenti/clienti.

24



ASS – Stanno facendo dei lavori vicino a Voi?

CIO – Abbiamo già abbastanza problemi qui dentro. Dobbiamo verificare anche cosa succede all’esterno?

25



ASS – Ci sono attività di terzi nelle vicinanze che possano causarvi problemi?

CIO – Conosciamo le attività delle aziende vicine e siamo tranquilli. Nel caso di apertura di un cantiere, prevediamo di acquisire

preventivamente informazioni sui lavori e relativi rischi correlati da gestire.

27



ASS – Avete gruppi di continuità?

CIO – Certo, due nel datacenter.

28



ASS – Avete gruppi di continuità? Dove si trovano e come sono gestiti?

CIO – Abbiamo un gruppo di continuità in sala separata dalla sala server ed un generatore ausiliario all’esterno. Sono testati con cadenza

settimanale con test di carico/termografie sulle batterie.

30



CIO – Mi hanno comunicato dei lavori nella cabina elettrica. So già che potrebbero esserci problemi.

ASS – Che vuole che sia! Invece pensi che la sua polizza copre il vero rischio: l’incendio!

31



CIO – Mi hanno comunicato dei lavori nella cabina elettrica. Se succedesse qualcosa, come siamo messi?

ASS – In fase di analisi del rischio con il vostro ICT manager, abbiamo previsto una copertura per i danni da interruzione di esercizio anche nel

caso venga interessata anche solo l’integrità dei dati.

33



CIO – Stiamo aprendo una nuova sede produttiva all’estero. Devo trasferire un rack di server già pre-configurati.

ASS - Certo, tanto il vettore è responsabile della merce trasportata.

34



CIO – Stiamo aprendo una nuova sede produttiva all’estero. Devo trasferire un rack di server già pre-configurati. Sono preoccupato per i

tempi di consegna ed eventuali danni.

ASS – Un aspetto da non sottovalutare. Da predisporre coperture assicurative che tengano conto dei costi

sostenuti per la preparazione dei server e dell’eventuale ritardo nell’attivazione della sede produttiva dovuto ad un danno durante il

trasporto.

36



CIO – Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Molto fresco e più sicuro in caso di crollo

dell’edificio.

ASS – Non c’è problema l’azienda è assicurata anche contro il terremoto.

37



CIO – Sono appena arrivato. La proprietà mi ha comunicato che il CED si trova sotterranei. Sono preoccupato.

ASS – Il rischio maggiore è quello da inondazione ed alluvione che è previsto in polizza, ma fortemente limitato nel risarcimento. Quindi da verificare se non convenga trovare una diversa collocazione del CED.

39



ASS – Complimenti, un magazzino completamente informatizzato per il pickup veloce.

CIO – E’ il nostro orgoglio. E’ tutto qui, anche il server che lo gestisce.

40



ASS – Complimenti, un magazzino completamente informatizzato per il pickup veloce. Da dove viene gestito?

CIO – Dal server presente in magazzino per il quale stiamo predisponendo una saletta a parte.

Il personale è stato informato della criticità.

42



Conclusioni



GRCI Model

IncidentManagement

Compliance

Risk Management

Governance

44



#iosonopreoccupato



Strategia, Tecnologia, Comportamento

Se costruisco una casasenza progettare

uscite di sicurezzacostruirle a lavori finiti

sarà disastroso

46



I Rischi

Devo sceglierequali mitigare

quali accettare quali trasferire

per non farmi cogliere impreparato...

47


Verona - Ottobre 2015

Grazie dell’attenzione!Cesare Burei - [email protected]

Alessio L.R. Pennasilico - [email protected]:alessio.pennasilico - twitter:mayhemspp - linkedin:alessio.pennasilico






Insurance as a Service Insurance as a... · 2018-03-12 · Compliance Risk Management Governance 9...

Documents

Transcript of Insurance as a Service Insurance as a... · 2018-03-12 · Compliance Risk Management Governance 9...