Presentazioni utilizzate durante l'evento: "Cyber security in azienda, il nuovo approccio per l'imprenditore".
L'ecosistema della cyber security dal punto di vista del risk management, IT, legal ed insurance.
Come deve affrontare oggi un imprenditore l'approccio alla messa in sicurezza della propria azienda per essere in grado di gestire gli attacchi alla sicurezza ed ai propri dati.
1. Cyber security in azienda: il nuovo
approccio per l’imprenditore
L’ecosistema della cyber security:
risk management, IT, legal e Insurance
Bologna 26
ottobre 2023
Relais Bellaria
2. Bologna
26 ottobre 2023
Relais Bellaria
Benvenuti
Davide Segnan
«Benvenuti!
Agenda della
giornata»
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
Davide.segnan@vendomeglio.com
https://www.linkedin.com/in/davidesegnan/
3. Bologna
26 ottobre 2023
Relais Bellaria
Presentazione ospiti
15:05 – 15:20
Massimiliano Corradini
«Il perché della
Cybersecurity
come ecosistema»
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
4. Bologna
26 ottobre 2023
Relais Bellaria
Presentazione ospiti
in ordine di apparizione
15:20 – 16:15
Simone Fratus:
Crisis management, concetti di
business del RaaS, il fattore
tempo e perché oggi le soluzioni
attuali sono inefficienti.
16:15 – 17:15
Mohammed Bellala:
Minacce APT, non puoi difenderti
da qualcosa che non vedi e che
non comprendi demo pratica.
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
5. Bologna
26 ottobre 2023
Relais Bellaria
Pausa 17:15 – 17:45
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
Cyber
caffè
6. Bologna
26 ottobre 2023
Relais Bellaria
Presentazione ospiti
in ordine di apparizione
17:45 – 18:25
Lorenzo Bianchi:
Cyber security e modello
organizzativo aziendale.
18:25 – 19:00
Gianluca Graziani:
Le tutele assicurative legate
ai rischi cyber .
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
7. Bologna
26 ottobre 2023
Relais Bellaria
Aperitivo 19:00
L’ecosistema
della
CYBER
SECURITY
Davide Segnan
Ceo
Vendomeglio.com
8. Bologna
26 ottobre 2023
Relais Bellaria
Benvenuti
Massimiliano Corradini (My Voice -
MSSP)
«Il perché della Cybersecurity come
ecosistema»
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
9. My Voice in breve
• 2010 TLC
• 2014 ICT
• 2017 MSP
• 2022 CYBER SECURITY
• 2023 MSSP
• 2024 CYBER INTEGRATOR
L’ecosistema
della
CYBER
SECURITY
Bologna
26 ottobre 2023
Relais Bellaria
Massimiliano
Corradini Ce
o My Voice
11. Il sistema aziendale
«Il sistema aziendale è un obiettivo privilegiato per gli attacchi
informatici e i danni dovuti a queste aggressioni possono essere
ingenti. Poiché la minaccia cyber è pervasiva, anonima,
polimorfa, asimmetrica e transnazionale richiede risposte di
sistema che coinvolgano, oltre a tecnologie difensive, anche
aspetti organizzativi e comportamentali ».
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
15. Le spese in cyber security per le imprese
0
50
100
150
200
250
300
2022 2023 2027
130
186
287
Miliardi di $
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
16. Prodotti di sicurezza informatica basati su AI
0
20
40
60
80
100
120
140
2022 2026 2030
85
110
134
Miliardi di $
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
17. Mercato zero trust
0
10
20
30
40
50
60
2022 2026
19,6
51,6
Miliardi di $
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
21. L’Italia rappresenta l’8% degli attacchi totali a
livello mondiale.
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
22. L’Italia rappresenta il 2° mercato per vendita di
credenziali, ed il 5° per furto di account email
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
23. Cosa può fare un imprenditore oggi?
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
24. Una nuova figura: il C.IS.O.
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
25. Una nuova figura: il C.I.S.O.
Il ruolo del C.I.S.O.
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
26. C.I.S.O. per PMI: un matrimonio fattibile?
• Manager dedicato
• Costo
• Ruolo IT
• Postura cyber
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
27. Cyber security come ecosistema
• Postura cyber
• Percorso
• Cosa fare in caso
di attacco
• Trasferimento del
rischio
• Gestione dei dati
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
28. Il livello di postura Cyber: il CyberSynCheck
ed un percorso continuo in logica Kaizen
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
29. Al termine del percorso si diventa
compliant a livello legale ed il rischio
diventa assicurabile
L’ecosistema
della
CYBER
SECURITY
Massimiliano
Corradini
Ceo My Voice
Bologna
26 ottobre 2023
Relais Bellaria
31. Simone Fratus
Territory Account Manager - Large PA & Enterprise - Syneto
Chief Tecnology Officer - Orizon
simone.fratus@syneto.eu
simone.fratus@orizon.one
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
32. La risorsa aziendale più
importante
è in pericolo…
#Pandemic #War #RemoteWorking
#Complexity
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
33. “The Big Game Hunting”
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
34. The Big Game Hunting
Con il concetto di Big Game Hunting nel mondo della Cyber Security si intende la
specializzazione da parte di gruppi hacker nella caccia indiscriminata di
potenziali prede da cacciare al fine di ottenere il pagamento di un riscatto.
#bgh
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
35. Modello di affiliazione
Cosa si intende per modello
di affiliazione:
origini ed evoluzione
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
36. The Big Game Hunting – Modello di Affiliazione
Compromises
networks
Persist on systems.
RDP Access Exploits
Compromised
Credentials
Botnets
Ransomware
builder
Leak
site
Payment
processing
Victim
messaging
Ransomware-as-a-
service affiliate
RaaS Operator
Develops and
maintains tools.
Access Broker
Moves laterally in networ, Persists
on Systems,
Exfiltrates Data, Distributes and
runs ransomware payload.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
37. Initial Access Broker
Una panoramica #IAB:
Cosa fanno, come e con
quale obiettivo.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
38. Initial Access Broker
Una panoramica #IAB:
Come creano punti di
accesso e perché è
fondamentale conoscerli.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
39. Ransomware as a Service
Una panoramica #IAB:
Come creano punti di
accesso e perché è
fondamentale conoscerli.
#raas #ransomware
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
40. Operatore
Chi sono gli operatori e cosa
fanno. Il modello di Business
RaaS.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
41. Ransomware as a service MSP
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
42. Cyber Warfare
Situazione attuale e problemi
emergenti:
il caso Russia-Ucraina
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
44. In essenziale tutto ruota intorno a…
Data Resiliency:
- Fault Tolerance;
- Redundancy;
- Disaster Recovery.
Data Protection:
- Privacy;
- Integrity;
- Availability.
Data Security:
- Monitor access/use;
- Prevent destruction;
- Encryption, detection.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
45. DATA SAFEGUARDING: Le sfide
Data
Immutability
Backup is Not
Cyber Restore
Data
Visibility
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
46. Unità di Crisi
Cosa prevede una unità di crisi:
- unità forense: una unità di persone che è in grado di fare una analisi forense
fornendo informazioni su come sono entrati, cosa hanno compromesso e
per quanto tempo.
- unità di ripristino: questa unità non deve essere solo in grado di far ripartire
l’azienda ma garantire di non essere immediatamente distrutti
definitivamente. Non vedevamo i punti di accesso prima e li abbiamo
ripristinati
- unità di intelligence: questa unità deve capire grazie alla parte di forensic se
siamo stati attaccati da professionisti od improvvisati. I professionisti sono
al tavolo a fare business, gli improvvisati sono pericolosi.
- unità di negoziazione: valutano costantemente il rischio calcolandolo
matematicamente e negoziano con i criminali sulla base delle informazioni
fornite dai tutti i team precedentemente elencati.
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
47. Simone Fratus
Territory Account Manager - Large PA & Enterprise - Syneto
Chief Tecnology Officer - Orizon
simone.fratus@syneto.eu
simone.fratus@orizon.one
Grazie!
L’ecosistema
della
CYBER
SECURITY
Simone
Fratus
Syneto
Bologna
26 ottobre 2023
Relais Bellaria
49. Bologna
26 ottobre 2023
Relais Bellaria
Gli aspetti legali della
Cybersecurity
Lorenzo Bianchi (LexJus Sinacta -
associazione avvocati e commercialisti):
“Cyber security e modello organizzativo
aziendale”.
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
50. • La trasformazione digitale ha rivoluzionato (e sta rivoluzionando) il modo di
fare business delle organizzazioni sotto innumerevoli punti di vista: non
soltanto per ciò che concerne l’evoluzione del rapporto con i clienti, che si
sposta sempre più verso un piano digitale, con il conseguente aumento
dell’offerta dei servizi erogati tramite piattaforme digitali e app, ma anche per
ciò che riguarda la gestione “interna” dei vari processi aziendali, sempre più
interconnessi e automatizzati.
• Diretta conseguenza di queste evoluzioni è l’inevitabile creazione,
archiviazione e condivisione di una grande mole di dati (personali e non): se
da un lato tali dati sono estremamente preziosi per le aziende, dall’altro lo
sono anche per chi intende sottrarli, manipolarli e sfruttarli a scopi malevoli,
con conseguenze potenzialmente disastrose per l’intera organizzazione.
• Per questo motivo il Rischio Cyber è diventato negli ultimi anni uno dei
principali dei punti di attenzione e preoccupazione per moltissime aziende,
accompagnato dalla crescente consapevolezza che si tratta di un problema
che coinvolge l’intero business, non più solo l’area IT
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
51. Cybersecurity: non più un problema (solo) dell’IT
Tradizionalmente, l’approccio alla cybersecurity era infatti un approccio di tipo
“bottom-up”, in cui la responsabilità di mettere in sicurezza i sistemi
identificando soluzioni tecniche per proteggere dati, applicazioni e
infrastrutture ricadeva quasi interamente sull’area IT. I limiti di questo
approccio non hanno però tardato a manifestarsi: mettendo al centro la
tecnologia nella progettazione di policy e soluzioni per l’identificazione e la
risposta agli attacchi informatici, restano fuori dall’equazione le necessità del
business, le implicazioni operative e l’impatto che un attacco andato a buon
fine poteva avere sul business in termini economici, legali o reputazionali.
In un contesto in cui il rischio Cyber non riguarda più solo i sistemi informativi
ma anche, e spesso soprattutto, un ecosistema complesso e interconnesso
che include dipendenti, partner, fornitori, clienti e altre terze parti, la sua
gestione deve trascendere i confini delle singole BU e assumere una
dimensione estesa a livello corporate.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
52. Cybersecurity: non più un problema (solo) dell’IT
La gestione della Cybersecurity diviene quindi parte integrante della Governance
aziendale e, in quanto tale, diretta responsabilità, in primo luogo, del Consiglio di
Amministrazione, e poi, a cascata, di tutta l’azienda, in un approccio “top-down”.
Non è un caso che i Board delle grandi imprese si trovino sempre più spesso sotto
i riflettori anche per il loro contributo in materia di sicurezza informatica,
soprattutto a fronte dei costi medi crescenti degli attacchi cyber.
Considerati i potenziali danni finanziari, reputazionali e legali che un attacco può
comportare all’intera organizzazione, risulta necessario che figure di riferimento
della Cybersecurity, come CIO o CISO, siedano nei CDA e abbiano possibilità di far
valere la propria esperienza e le proprie competenze anche quando si tratta di
assumere decisioni strategiche. Per arrivare al coinvolgimento del top
management e per farla diventare “parte integrante della cultura” dell’intera
organizzazione, la Cybersecurity ha bisogno di un chiaro modello di Corporate
Governance.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
53. Il quadro normativo di riferimento
A supporto dell’implementazione di un adeguato progetto di Governance in
materia di Cybersecurity nel panorama normativo troviamo molti riferimenti
alla gestione del rischio (compreso quello Cyber):
1. Applicazione corretta delle regole di “Buona Governance” scritte nel
nostro Codice civile agli artt. 2086 e 2381 cod. civ. dove si stabilisce la
responsabilità dell’imprenditore e degli organi delegati alla
predisposizione e cura di un assetto organizzativo, amministrativo e
contabile adeguato alle dimensione dell’impresa. La norma chiarisce che
gli organi delegati curano l’adeguatezza degli assetti organizzativi e
questo comprende anche gli aspetti di cyber sicurezza.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
54. Il quadro normativo di riferimento
2. Normative di settore (come la Direttiva NIS n. 1148/2016 e NIS 2 n.
2555/2022) o gli ultimi DPCM sul perimetro di sicurezza nazionale
cibernetica che forniscono un catalogo ben preciso di indicazioni alle
imprese circa l’adozione delle misure tecnico/organizzative finalizzate a
prevenire e minimizzare l’impatto di incidenti cyber. È vero che l’applicazione
del decreto NIS non è obbligatoria a tutte le imprese (ma solamente a quelle
che svolgono funzioni essenziali) tuttavia costituisce un punto di riferimento
a cui guardare per curare e valutare l’adeguatezza dell’assetto
organizzativo interno e la sostenibilità delle catene di approvvigionamento
esterne (supply chain)
3. Best practice standard internazionali, tutti convergenti ad
individuare Chi, Cosa e Come deve gestire il rischio cyber (vedi ISO/IEC
27001, NIST, ENISA, Cyber Security Framework nazionale, ISO 22301, ecc).
4. Compliance in materia di D. lgs. 231/2001 e Regolamento 679/2016
(GDPR), sempre più convergenti in ottica di una “Compliance Integrata”.
Bologna 26
ottobre 2023
Relais Bellaria
55. Strutturare un Cyber Risk Management Model a
supporto del BoD
• L’obiettivo principale di un Modello Organizzativo e di Corporate Governance è
quello di fornire al board e alle figure di supporto una comprensione completa,
chiara e in tempo reale dello stato del rischio e delle misure messe in
opera per proteggere l’organizzazione, nonché di tutte le informazioni utili per
prendere decisioni strategiche atte alla minimizzazione del rischio e al
miglioramento complessivo dell’azienda.
• Il punto di partenza per la costruzione del modello organizzativo non può
quindi che essere l’organizzazione aziendale nel suo insieme: attraverso
una mappatura dei processi, si individuano e analizzano tutti i processi interni,
individuando quelli strategici, quelli di supporto (o strumentali) e
concentrandosi in particolar modo su quelli “core”, o critici, ovvero quelli che
guidano la sopravvivenza operativa dell’organizzazione.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
56. Strutturare un Cyber Risk Management Model a
supporto del BoD
• Individuati i processi, si entra nel dettaglio di quali siano gli asset strategici a
supporto dei suddetti processi; tali asset possono essere individuati tra le
applicazioni, nell’ambito dell’infrastruttura, nei sistemi a supporto/servizio
degli applicativi, o anche tra le risorse.
• Ciascuno degli asset individuati è oggetto di un assessment, volto a
identificare i rischi ad esso correlati e valutarne il livello, sia dal punto di vista
della compliance con i principali standard e normative, sia da quello tecnico,
attraverso specifici controlli delle Vulnerabilità infrastrutturali e applicative.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
57. Strutturare un Cyber Risk Management Model a
supporto del BoD
• L’output di questo assessment sarà un insieme di indicatori e score, la cui sintesi e
correlazione permetteranno da un lato di ottenere un quadro completo del livello di
rischio complessivo dell’azienda, dall’altro di elaborare modelli predittivi e
analitici a supporto di un piano di interventi di miglioramento e monitoraggio della
“Cyber Risk Posture” aziendale.
• Perché sia realmente efficace, un progetto di governance del rischio non può mai
dirsi veramente “concluso”, ma deve seguire piuttosto un approccio metodologico
ciclico PCDA (Plan-Do-Check-Act), in cui i vari passaggi, dall’analisi
dell’organizzazione alle strategie di miglioramento, sono costantemente sottoposti
a monitoraggio e rivalutazione.
• Questo è fondamentale da un lato per applicare e mantenere elevati standard di
igiene dei dati, necessari perché i CdA possano trarre conclusioni e intraprendere
azioni in totale fiducia e sicurezza, dall’altro per l’adozione di un Proactive Cyber
Risk Management, che consenta loro di identificare le iniziative prioritarie per
garantire la protezione delle informazioni e la prevenzione delle minacce.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
58. Il Modello Organizzativo aziendale e la gestione del rischio
Che si parli di Modello Organizzativo di Gestione e Controllo («MOGC») ai sensi del
d.lgs. 231/2001, del Modello Organizzativo Privacy («MOP») ai sensi del Reg. Ue
679/2016 (GDPR) o dei modelli di corporate governance previsti dal codice civile
l’aspetto comune da cui partire per una corretta è la «gestione del rischio».
L’obiettivo della gestione del rischio è quello di identificare e gestire i rischi (rischio
reato, rischio sicurezza delle informazione e dei dati, rischio salute e sicurezza sul
luogo di lavoro, etc..) alla scopo di perseguire gli obiettivi di business
dell’organizzazione applicando opportune metodologie e tecniche di mitigazione.
Il Risk Management è il processo con cui si assicura che gli impatti dovuti a minacce
insistenti su vulnerabilità dei sistemi e dei processi rimangano all’interno di limiti
accettabili e con costi accettabili (tenuto conto delle dimensioni dell’organizzazione
di riferimento), questo lo si ottiene bilanciando l’esposizione al rischio ed i costi di
mitigazione, ed implementando adeguate contromisure e controlli.
Concetti di «adeguatezza»
e «idoneità» previsti dalle
normative di riferimento
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
59. Il Modello Organizzativo aziendale e la gestione del rischio
Il rischio è una caratteristica intrinseca del business tanto è vero che si parla
costantemente di «rischio di impresa». Eliminare completamente il rischio non è né
pratico né economico, quindi ciascuna organizzazione è chiamata a stabilire quale
sia il livello di rischio che intende accettare.
Perché effettuare una analisi dei rischi:
- obblighi normativi (231, GDPR, 81/08, NIS etc…)
- processo di certificazione (UNI 27001 etc..)
- preparare un piano di risposta al verificarsi di un evento (incidente di sicurezza,
illecito penale, errato trattamento dei dati personali)
- preparare un piano di business continuity
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
60. Il Modello Organizzativo aziendale e la gestione del rischio
La predisposizione di un Modello Organizzativo aziendale non può prescindere da
una attività coordinata di Risk Management la cui attività può essere così
sintetizzata:
• definire il contesto e dichiarare lo scopo
• identificare e valorizzare gli asset interessati
• classificare gli asset
• individuare le minacce e le vulnerabilità
• determinare i rischi
• valutare gli impatti che i rischi possono avere sugli asset
• trattare i rischi (mitigare, trasferire, accettare)
• educare gli utenti (formazione continua)
• monitoraggio e revisioni constanti (Plan – Do – Check – Act)
• comunicare i risultati dell’attività a tutta l’organizzazione
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
61. Il Modello Organizzativo aziendale e la gestione del rischio
Minaccia
Cosa temo possa
accadere?
Asset
Cosa sto cercando
di proteggere?
Vulnerabilità
Come può realizzarsi la
minaccia?
Mitigazione
Cosa sta riducendo il
rischio?
Impatto
Quali sono le conseguenze sull’organizzazione?
Occorrenza
Quanto è verosimile la minaccia dai i controlli in atto?
Valutazione del rischio
La gestione del rischio (qualunque rischio) avviene tramite la sua quantificazione
che consiste nella relazione tra:
a) La possibilità che un incidente (evento) si concretizzi (occorrenza) e
b) La stima del danno causato da tale incidente (impatto)
RISCHIO = Occorrenza * Impatto
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
62. Il Modello Organizzativo aziendale e la gestione del rischio
OCCORENZA
IMPATTO
Molto
rara
Rara Media Frequente
Molto
Frequente
Molto basso Lieve Lieve Lieve Medio Medio
Basso Lieve Lieve Medio Medio Medio
Medio Lieve Medio Medio Medio Elevato
Alto Medio Medio Medio Elevato Elevato
Molto Alto Medio Medio Elevato Elevato Elevato
Matrice del rischio
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
63. Il Modello Organizzativo aziendale e la gestione del rischio
Per una corretta valutazione dei rischi è poi necessario effettuare una analisi delle
minacce e delle vulnerabilità che insistono sugli asset presenti nel perimetro
considerato.
Sia le minacce che le vulnerabilità vanno:
• Identificate
• Classificate
• Quantificate
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
64. Il Modello Organizzativo aziendale e la gestione del rischio
Anche le vulnerabilità possono essere identificate in svariati modi, in generale con
particolare riferimento all’ambito Cyber possiamo identificare vulnerabilità riferibili:
- alla progettazione
- alla implementazione
- alla configurazione
- alla gestione operativa
di parti o componenti del sistema informativo aziendale che rendono possibile il
concretizzarsi di una o più minacce.
Valutati i processi e gli asset aziendali rispetto ai rischi identificati e quantificati, e
fatte emergere le minacce e vulnerabilità si procede alla Gap Analysis ossia l’analisi
degli scostamenti presenti rispetto al massimo grado di protezione potenziale e si
propone all’organizzazione aziendale un piano di adeguamento (Remediation Plan).
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
65. Il Modello Organizzativo aziendale e la gestione del rischio
Le minacce possono essere identificate secondo diversi sistemi (tassonomie), in
sintesi, rispetto al rischio cyber, possiamo identificare:
Minacce
Ambientali
Eventi naturali
Malfunzionamenti
Accidentali Errori umani
Deliberate
Attacchi passivi
Attacchi attivi
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
66. Il Modello Organizzativo aziendale e la gestione del rischio
TRATTAMENTO DEL RISCHIO
Identificati i rischi e gli impatti sull’organizzazione il management sarà chiamato a
trattare il rischio e nel farlo potrà decidere di:
1. Evitare il rischio eliminando la causa e/o le conseguenze della
minaccia/vulnerabilità (es. eliminando funzioni, parti di sistema, rinunciando a
determinate attività) – Rifiuto
2. Trasferire il rischio a terze parti (es. assicurazioni, outsourcing) – Trasferimento
3. Limitare il rischio implementando controlli aggiuntivi che riducono/eliminano la
minaccia o la vulnerabilità e/o ne limitano l’impatto (es. procedure, policy,
protocolli come previsti dai modelli organizzativi aziendali) - Riduzione
4. Accettare il rischio potenziale (o residuo) e le sue conseguenze - Accettazione
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
67. Il Modello Organizzativo aziendale e la gestione del rischio
Riduzione del rischio:
La riduzione del rischio può essere qualificata come quella attività che
gestisce il rischio nel corso della vita dell’organizzazione tramite l’adozione
di quelle misure tecniche e organizzative adeguate/ideonee rispetto al
contesto esaminato.
Implementare controlli aggiuntivi che riducono/eliminano la minaccia o la
vulnerabilità e/o ne limitano l’impatto (es. procedure, policy, protocolli che
compongono il modello organizzativo aziendale).
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
68. Il Modello Organizzativo aziendale e la gestione del rischio
IL RISCHIO CYBER
Quando si verifica un attacco/incidente cyber, l’impresa deve gestire rilevanti
e delicati aspetti che si aggiungono a quelli prettamente tecnico-informatici
di ripristino dei sistemi.
Parlando di attacchi cyber il focus è quasi sempre posto su profili tecnici ed
informatici (misure tecniche) mentre risulta ancora molto scarsa
l’attenzione agli aspetti giuridici (misure organizzative/di governance) che
invece hanno una rilevanza centrale per l’individuazione e la corretta
gestione dei rischi a cui l’impresa va incontro.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
69. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
IL RISCHIO CYBER
Il massiccio trasferimento della criminalità on-line ha fatto sì che ormai
i digital crimes non costituiscano più solamente una minaccia interna al
perimetro aziendale, ma colpiscano anche – anzi soprattutto – dall’esterno
le società, attraverso attacchi cyber e data breach.
Con il proliferare di episodi di violazione dei sistemi informativi aziendali
perpetrati da parte di hacker anonimi sempre più esperti, i vertici aziendali
hanno dovuto prendere coscienza della necessità di provvedere non solo alla
difesa della rete aziendale interna, ma anche ad un’azione di tutela rivolta
verso l’esterno.
L’occasione privilegiata per attuare questa protezione a doppio raggio
d’azione dell’azienda è proprio la redazione o l’implementazione del Modello
adottato ai sensi del D.Lgs. 231/01 in coordinamento con tutti i sottomodelli
interessati come il MOP in ambito privacy in un quadro di Governance
coordinata.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
70. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
Corporate
Governance
aziendale
Modello di
Organizzazione
gestione e controllo
D.lgs. 231/2001 -
MOG
GDPR (Modello
Organizzativo Privacy
– MOP)
Certificazioni
UNI 27001
Cyber Risk
Governance
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
71. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
ASPETTI LEGALI DEGLI ATTACCHI CYBER:
Oltre alla sempre più frequente gestione dei rapporti con gli aggressori
(riscatto), l’impresa è chiamata a gestire in primo luogo i rapporti con le
autorità (Polizia Postale, Procura della Repubblica, Garante Privacy etc…).
La normativa sul trattamento dei dati personali («GDPR») impone, in caso di
data breach, la notifica della violazione al Garante entro 72 ore se c’è la
probabilità che la violazione riscontrata comporti un rischio per i diritti e le
libertà degli interessati. Nei casi più gravi si aggiunge l’obbligo di
informativa agli interessati.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
72. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
Appare chiaro che trattasi di un passaggio molto delicato dato che nella
notificazione al Garante l’impresa deve descrivere le misure di sicurezza
esistenti, il tipo di incidente, le ragioni del suo successo, le misure
temporanee di mitigazione degli effetti e le misure strutturali di
adeguamento.
Il rischio di sanzioni (anche) a seguito dell’autodenuncia è molto alto,
pertanto l’impresa deve avere, misure di sicurezza adeguate ma anche una
governance della sicurezza informatica e delle eventuali situazioni di crisi.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
73. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
ASPETTI LEGALI DEGLI ATTACCHI CYBER:
Al suo interno l’impresa dovrà definire (preventivamente) come e quando
dare comunicazione alle strutture aziendali interessate riguardo l’attacco
subito.
L’organo preposto a prendere le decisioni più delicate (autodenuncia e/o
notifica agli interessati, denuncia polizia postale, alla Procura etc..) è il
Consiglio di Amministrazione (o l’Amministratore Unico) il quale è chiamato
a stabilire correttamente (e preventivamente) chi deve fare cosa facendo
riferimento al sistema di policy e procedure formalizzate all’interno del
Modello Organizzativo aziendale.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
74. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
Oltre agli aspetti «privacy», un attacco cyber, in particolare se veicolato
tramite ransomware, presenta aspetti di possibile responsabilità penale
molto importanti e come tali afferenti ai sistemi di gestione e controllo ex.
D.lgs. 231/2001 (normativa sulla responsabilità amministrativa degli enti).
È nota la prassi di richiedere il pagamento di un riscatto per la «liberazione»
dei dati compromessi. In questi casi l’organizzazione aziendale anche se
fortemente tentata di procedere con il pagamento (spesso con valuta
elettronica) al fine di ripristinare i sistemi e consentire la prosecuzione o
addirittura la ripresa dell’attività, dovrà fare molta attenzione.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
75. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
ASPETTI LEGALI DEGLI ATTACCHI CYBER:
Pagando il riscatto in risposta all’estorsione subita l’azienda rischia oltre al
danno la beffa di vedersi accusata del compimento di uno dei reati
presupposto previsti dal catalogo di cui al d.lgs 231/2001.
In particolare potrebbero concretizzarsi le ipotesi di false comunicazioni
sociali (nel caso in cui il pagamento non dovesse trovare una corretta
rappresentazione contabile e bilancistica), ostacolo all’esercizio delle
funzioni dell’autorità di vigilanza, autoriciclaggio e perfino finanziamento
della criminalità organizzata.
In questi casi sarà quindi assolutamente necessaria l’attivazione di una o più
procedure (previste all’interno del Modello Organizzativo) volte alla gestione
dell’incidente e al coinvolgimento di tutte le funzioni aziendali interessate a
partire dall’organo amministrativo, l’OdV e il DPO.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
76. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
ASPETTI LEGALI DEGLI ATTACCHI CYBER:
Pagando il riscatto in risposta all’estorsione subita l’azienda rischia oltre al
danno la beffa di vedersi accusata del compimento di uno dei reati
presupposto previsti dal catalogo di cui al d.lgs 231/2001.
In particolare potrebbero concretizzarsi le ipotesi di false comunicazioni
sociali (nel caso in cui il pagamento non dovesse trovare una corretta
rappresentazione contabile e bilancistica), ostacolo all’esercizio delle
funzioni dell’autorità di vigilanza, autoriciclaggio e perfino finanziamento
della criminalità organizzata e terrorismo.
In questi casi sarà quindi assolutamente necessaria l’attivazione di una o più
procedure (previste all’interno del Modello Organizzativo) volte alla gestione
dell’incidente e al coinvolgimento di tutte le funzioni aziendali interessate a
partire dall’organo amministrativo, l’OdV e il DPO.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
77. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
In un’ottica di Compliance integrata i modelli organizzativi collaborano e si
uniscono in un unico grande modello aziendale che condivide processi e
procedure su più livelli per la gestione di rischi differenti con riferimento ai
medesimi asset.
L’indisponibilità di dati e informazioni a causa di un attacco Cyber può
incidere su diversi processi aziendali come: approvvigionamento, spedizioni,
amministrazione, pagamenti. Questo può, a cascata, provocare numerosi
problemi (anche nel breve termine) di carattere legale da cui possono
derivare responsabilità anche di carattere personale.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
78. Il Modello Organizzativo aziendale e la gestione del rischio CYBER
Si pensi all’ipotesi di un blocco della produzione o dell’erogazione di servizi
che comporti inadempimenti contrattuali, oppure l’indisponibilità o la perdita
di dati personali (con le relative conseguenze risarcitorie e amministrative).
La stessa problematica può però interessare anche la sicurezza dei
lavoratori, ovvero la riservatezza delle informazioni acquisite da committenti
ai quali l’azienda è legata con accordi di riservatezza e non divulgazione.
La gestione del rischio e del rischio cyber in particolare è in grado di incidere
in modo diretto su tutti gli aspetti della vita aziendale ed è per questo che è
necessario un cambiamento culturale importante da parte delle
organizzazione aziendali.
Bologna
26 ottobre 2023
Relais Bellaria
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
79. Bologna
26 ottobre 2023
Relais Bellaria
Grazie.
Lorenzo Bianchi (LexJus Sinacta -
associazione avvocati e commercialisti):
“Cyber security e modello organizzativo
aziendale”.
L’ecosistema
della
CYBER
SECURITY
Lorenzo Bianchi
LexJus Sinacta
80. Mediass Spa
Broker assicurativo specializzato nella tutela dei rischi aziendali
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
81. Il rischio informatico e come viene percepito
Nella classifica dei rischi percepiti dalle aziende a livello mondiale la Cyber Secuirty
ricopre nel 2022 il primo posto seguito dalla Business Interruption, argomenti che
hanno sorpassato di gran lunga le preoccupazioni per il Climate Change e la Pandemia.
Il crescente utilizzo della rete internet rende evidente che ogni azienda deve
intraprendere un percorso necessario per garantire la sicurezza dei dati sensibili
Quanto alla percezione, il problema è l’immaterialità dell’evento.
(Report: Allianz Risk Barometer 2022)
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
82. I settori più colpiti dal Cybercrime
Secondo il Rapporto Clusit 2023, elaborato dall’Associazione Italiana per la Sicurezza
Informatica, si è verificato un aumento esponenziale degli attacchi informatici durante
il 2022 rispetto all’anno precedente, con 2489 incidenti che hanno portato a gravi
conseguenze, il 21% in più rispetto al 2021
I settori maggiormente sotto pressione dagli
attacchi informatici sono stati le realtà
industriali, i servizi professionali e il comparto
tecnico-scientifico in generale.
In realtà siamo tutti esposti alle minacce di cyber-crime nella misura in cui utilizziamo le
risorse che sono bersaglio dei cyber-criminali (computer, tablet, smartphone, social
media, carte di credito, etc).
E se questo è vero sul piano personale, lo è ancora di più a livello aziendale, dove
l’Information Technology ha guadagnato una funzione fondamentale per il supporto e lo
sviluppo del business, a prescindere dal settore in cui opera l’azienda.
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
83. Insurance Cyber Risk
Come funziona un’assicurazione per i rischi informatici?
La materia assicurativa nel settore cyber è relativamente recente (10 anni circa).
L’industria assicurativa deve misurarsi con un rischio nuovo che dispone anche di poche
serie storiche a supporto degli attuari.
Gli eventi principali di una polizza cyber sono 3:
Protezione dati e Responsabilità
a. Violazione obblighi di riservatezza
b. Violazione della proprietà intellettuale
c. Ripristino reputazione
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
84. Danni da interruzione del business (oltre che le spese per cyber – estorsione o le
spese di notifica del Data Breach come da GDPR) :
a. Riduzione del margine di profitto in considerazione dell’impossibilità
nell’operare
b. Interruzione dei servizi di rete interna ed esterna
c. Danni e spese per Cyber – Estorsione
Assistenza, gestione dell’evento
Assistenza in caso di necessità, da parte della Compagnia per intervenire
immediatamente, soprattutto al fine di limitare i danni.
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
85. L’attacco informatico comporta sempre un danno indiretto di interruzione,
seppur temporanea, dell’attività aziendale.
Il lasso temporale di intervallo tecnico, con il ripristino delle funzionalità, ha
risvolti diretti sulla capacità di generare fatturato.
Apposite coperture assicurative di business interruption possono sopperire tali
importanti ricavi
DANNI DA INTERRUZIONE DI ATTIVITA’
PROTEZIONE DATI E RESPONSABILITA’ VERSO TERZI
Tutelare l’azienda dà richieste di risarcimento di terze parti, derivanti da falle
nella sicurezza della propria rete, comportanti la divulgazione di dati sensibili
dei propri clienti
Le tutele assicurative offerte da Mediass legate ai rischi Cyber
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
86. COMPUTER CRIME
Il trasferimento fraudolento di fondi rappresenta una forma di computer crime
utilizzata dalle organizzazioni criminali.
Coperture assicurative opportunamente studiate, consentono un indennizzo
per il cliente a seguito di violazione della sicurezza informatica.
INCIDENTI AI DATI ELETTRONICI
Un incidente di cyber sicurezza non è l’unico motivo per il quale i dati possono
andare perduti o corrotti.
Le fonti energetiche, i disastri naturali, surriscaldamento e atti vandalici (fisici),
possono portare all’inaccessibilità dei dati.
Tutele assicurative ad hoc da estendere sulla copertura dei cyber rischi.
L’ecosistema
della
CYBER
SECURITY
Gianluca
Graziani
Ceo Mediass
Bologna
26 ottobre 2023
Relais Bellaria
87. Cyber security in azienda: il nuovo
approccio per l’imprenditore
Domande e risposte
Bologna 26
ottobre 2023
Relais Bellaria