www.arimas.it RISK MANAGEMENT CONFERENCE 2014 Governance, Security e Data ProtecOon COMPRENDERE I TERMINI, SCEGLIERE E DEFINIRE CONTRATTI DI CYBER INSURANCE Gianluigi Lucie<o, ARM Vice Presidente lucie<[email protected] -­‐ m. +39 3479718840 Academic Risk Management AssociaOon Cosa succede un evento accade Crono-­‐operaOvità per ritorno alla normalità produbva Evento/Sinistro Step 0 Step 1 Step 2 2h/xh 2h/zh t1 t2 ∫(Tipo Evento; Profondità Evento; Tipo abvità Compromessa t3 Step 4 Step 5 2h/xxh n.d. t4 t5 Step 6 Tempo t6 A:vità Produ:via in % t0 2h/yh Step 3 Tempo Inizio a:vità con=ngen= Neutralizzazione degli effe: Messa in sicurezza Evento – Cosa succede – raccolta informazioni su quanto accade t0 Aumento protezioni Ripresa a:vità Inizio s=ma danni t6 Ma tu<o questo quanto ci costerà? t0 – t6 Per quanOficare corre<amente quanto costerà dobbiamo capire quanto vale quello che vogliamo proteggere… non è facile! Pensiamo al peggiore degli evenO – IdenOficazione Pensiamo a quanto potrebbe durare la minaccia e la conseguente interruzione dell’abvità -­‐ Misurazione Pensiamo alle risorse sia umane che economiche che dobbiamo me<ere a disposizione per la difesa -­‐ Tra<amento Pensiamo all’implementazione delle difese e dei piani di risposta -­‐ Implementazione Quali informazioni devono essere raccolte e come devono essere poi comunicate … 188 $ per record violato in media senza incident plan 42 $ per record risparmiaO in media se c’è un incident plan Source INetU post breach survival guide – www.inetu.net Ma tu<o questo quanto ci costerà? Chi pensa ai TERZI danneggiaO per un evento da noi subito? Pensiamo al peggiore degli evenO – IdenOficazione Pensiamo a quanto potrebbe durare la minaccia e la conseguente interruzione dell’abvità -­‐ Misurazione Pensiamo alle risorse sia umane che economiche che dobbiamo me<ere a disposizione per la difesa -­‐ Tra<amento Pensiamo all’implementazione delle difese e dei piani di risposta -­‐ Implementazione Quali informazioni devono essere raccolte e come devono essere poi comunicate … I cosO possono essere suddivisi in due grandi classi Danno dire<o o proprio AAA CERCASI FONDI Danno a terzi L’assicurazione Oggi ci sono sempre più Assicuratori (sebbene siano comunque sempre pochi) che sono disposO ad assicurare i Cyber Risks o meglio gli effeb degli evenO Cyber Le coperture assicuraOve supportano finanziariamente l’azienda colpita sia per Danno dire<o o proprio Danno a terzi **ATTENZIONE** Dopo aver compreso bene da cosa e come vogliamo proteggerci, nella scelta del contra<o assicuraOvo – che non è gratuito – dobbiamo fare due cose altre<anto bene • Leggere bene cosa è INCLUSO e cosa è ESCLUSO, sopra<u<o cosa è escluso • Leggere bene le DEFINIZIONI di polizza e chiedere spiegazione sulla terminologia uOlizzata Da quali evenO ci assicurano le Compagnie • • • • • • • • Ab dolosi (cybercriminal, cracker, estorsioni, trasmissione virus a terzi) Cyber Sabotage (sabotaggio dei sistemi) Cyber fidelity (infedeltà dei dipendenO su info riservate) Virus … D.O.S (Denial of Service) Errori del personale adde<o al Centro Elaborazione DaO Interruzione dell’energia ele<rica, variazioni di tensione Interferenza ele<romagneOca • … Generalmente il danno da incendio nella Polizza Incendio è assicurato … … se derivante da un e-­‐risk è escluso! E-­‐risk (danno da virus informa=co) Si precisa altresì che non sono compresi tub i danni, anche indireb, -­‐ ivi comprese le perdite di sosware, microchip, circuiO integraO, programmi o altri daO informaOci – causa= o risultan= da: • virus informaOci di qualsiasi Opo; • accesso e uOlizzo dei sistemi informaOci da parte di soggeb, dipendenO o meno dell’Assicurato, non autorizzaO dall’Assicurato stesso; • cancellazione, distruzione, alterazione, riduzione di funzionalità operaOva o disponibilità di sosware, programmi o daO informaOci da qualunque causa derivanO; • anche se causa= da ab dolosi, ab di terrorismo e/o sabotaggio organizzato e anche se dai suddeb evenO derivi un danno che sarebbe, altrimenO, coperto ai sensi di polizza. Sono sempre comunque esclusi: …OMISSIS… • i danni da o riconducibili a smagneOzzazione, errata registrazione o cancellazione di daO; • i danni o le perdite consequenziali dire<amente o indire<amente causaO, cosOtuiO o derivan= da: A) funzionamento o malfunzionamento di Internet o di sistema analogo, o di qualsiasi intranet o rete privata o sistema analogo, B) deterioramento, distruzione, distorsione, cancellazione o altri danni o perdite relaOvamente a daO, sosware o qualsiasi di programmazione o repertorio di istruzioni, C) perdita totale o parziale dell’uso o della funzionalità di daO, codifiche, programmi, sosware, computer o sistema informaOco o altro disposiOvo basato su qualsiasi microchip o logica integrata, e qualsiasi conseguente incapacità o impossibilità dell'Assicurato di volgere l'abvità. La presente clausola non incrementa ne estende la copertura prevista dalla presente polizza. I danni o le perdite consequenziali di cui ai suddeb punO A, B e C sono esclusi dall’indennizzo, a prescindere da ogni altra causa che vi abbia contribuito contemporaneamente o in qualsiasi altra sequenza temporale. In caso di danno a Terzi, alcune Compagnie lo escludono altre non lo escludono Da una Polizza R.C. Terzi presente sul mercato … OMISSIS… … derivan= direWamente o indireWamente, da abvità di InformaOon & CommunicaOon Technology, in tale fabspecie si intende inclusa l’abvità svolta via Internet, nonché l’abvità conseguente alla fornitura di servizi e/o consulenza informaOca; … Il partner assicura=vo – La Compagnia di Assicurazione Come scegliere • Deve essere scelto perché conosce bene i rischi che assicura • È in grado di offrire un supporto all’assicurato nell’idenOficazione e misurazione del rischi • Offre un supporto abvo durante il sinistro • Ha la capacità finanziaria di supportarci • Costa poco … spendi poco, hai poco! www.arimas.it Grazie per l’a<enzione