Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Frequently Asked Questions sulla Cyber Risk Insurance

149 views

Published on

Webinar 16 Febbraio 2017 - Cesare Burei per The Innovation Group

  • Be the first to comment

Frequently Asked Questions sulla Cyber Risk Insurance

  1. 1. Webinar – The Innovation Group - 16 febbraio 2017 Cyber Risk Exposure & Cyber Risk Insurance Frequently Asked Questions Serve trasferire il rischio alle Assicurazioni? Relatore: Dott. Cesare Burei Docente CINEAS – Cyber Risk Insurance CEO Margas srl – Consulente e broker assicurativo
  2. 2. “Il mondo digitale si divide in due: chi ha perso i dati e chi li perderà” 2Webinar TIG febbraio 2017
  3. 3. Due numeri globali 50.933.536 pagine viste al minuto 26.722.010 hits/sec (fonte rete Akamai – 08.02.2017) 3Webinar TIG febbraio 2017
  4. 4. Due numeri globali 12.114.893 attacchi all’ora Raddoppiati rispetto ad un anno fa (fonte rete Akamai – 08.02.2017) 4Webinar TIG febbraio 2017
  5. 5. Due numeri globali Numero sinistri Cyber ??????? 5Webinar TIG febbraio 2017
  6. 6. Due numeri globali Investimenti previsti per IoT 2016/2020 6Webinar TIG febbraio 2017
  7. 7. Due numeri globali Investimenti previsti per IoT 2016/2020 40/70 Mld USD 7Webinar TIG febbraio 2017
  8. 8. Due numeri globali Investimenti previsti per IoT 2016/2020 40/70 Mld USD All’anno! (fonte CEBIT – Market trends - 2016) 8Webinar TIG febbraio 2017
  9. 9. Gruppo di lavoro del white paper Coordinamento Luca Moroni – Via Virtuosa Gruppo di lavoro Cesare Burei, Debora Casalini – Margas srl Ettore Guarnaccia – CIO - Banca Popolare di Vicenza Marco Cozzi – CIO - Hypo Bank Andrea Cobelli – CIO - Azienda Trasporti Verona 9Webinar TIG febbraio 2017
  10. 10. A chi è indirizzato il white paper Stakeholder aziendali – CIO, CFO Risk Manager Intermediari assicurativi Compagnie assicurative 10Webinar TIG febbraio 2017
  11. 11. Perché Cyber Cybernetic Scienza che studia e realizza macchine ad alto grado di automatismo, atte a sostituire l’uomo nella sua funzione di controllore e di pilota di macchine e di impianti, e dall’altro lato, inversamente, di servirsi delle macchine anzidette per studiare determinate funzioni fisiologiche e dell’intelligenza. (Norbert Wiener – 1947) Da un punto di vista più generale la c. può essere definita come lo studio generale di sistemi complessi altamente organizzati, indipendentemente dalla loro particolare natura. (Enciclopedia Treccani) 11Webinar TIG febbraio 2017
  12. 12. Perché Risk “Se ci sono due o più modi di fare una cosa, e uno di questi modi può condurre a una catastrofe, allora qualcuno la farà in quel modo.” (Ing. Edward Murphy – 1949) “La probabilità che la tua connessione ad Internet non funzioni è direttamente proporzionale alla necessità di usufruirne.” (autore ignoto – corollario a Murphy) 12Webinar TIG febbraio 2017
  13. 13. Perché Loss (fonte – ENISA) (fonte Chubb – Cyber Claim Trends – 2016) 13Webinar TIG febbraio 2017
  14. 14. Caratteristiche del campione Indagine Via Virtuosa Cyber Exposure Anno 2013 – 2016 Coinvolti CIO e Risk Manager 68 aziende – Nord Est Italia 0% 20% 40% 60% <10 10-50 da 50 a 100 da 100 a 500 < 500 0% 20% 40% 60% 80% < 5 Mil. tra 5 e20 Mil. > 20 Mil. 0% 10% 20% 30% 40% 50% Industria Servizi Altro 14Webinar TIG febbraio 2017 Dipendenti Settore di attività Classe di fatturato
  15. 15. Indagine Cyber Exposure 15Webinar TIG febbraio 2017 Risultati dal campione Metodologia ENISA “Determining Your Organization’s Information Risk Assessment and Management”
  16. 16. Indagine Cyber Exposure 16Webinar TIG febbraio 2017 • Elevato rischio Cyber per le aziende e forte esposizione al rischio di business essendo sbilanciate nell’uso della tecnologia. • Consapevolezza del reparto IT, ma mancanza di sensibilità da parte del board aziendale. • Scarsi investimenti in Cyber Security, Management e Awareness. • Mancanza di una misurazione oggettiva del rischio Cyber da parte delle aziende. •Cyber Risk elevato ed identificato da aree di business non IT. • Indicazioni oggettive di esternalizzare il rischio Cyber. Risultati indagine Via Virtuosa
  17. 17. Caratteristiche del campione Indagine Via Virtuosa/Margas Cyber Insurance Anno 2016 9 domande Coinvolti CIO e Risk Manager 63 aziende – Nord Est Italia 0% 20% 40% 60% <10 10-50 da 50 a 100 da 100 a 500 < 500 0% 20% 40% 60% 80% < 5 Mil. tra 5 e20 Mil. > 20 Mil. 0% 10% 20% 30% 40% 50% Industria Servizi Altro 17Webinar TIG febbraio 2017 Dipendenti Settore di attività Classe di fatturato
  18. 18. Indagine Cyber Insurance DOMANDA 1: Come responsabile ICT è mai stato coinvolto in tavoli di gestione della sicurezza generale aziendale? 0% 10% 20% 30% 40% 50% 60% 70% SI NO Altro (Fonte: White Paper Via Virtuosa / Margas) 18Webinar TIG febbraio 2017
  19. 19. DOMANDA 2: Ha mai chiesto di conoscere le esclusioni/coperture delle polizze assicurative esistenti? 0% 10% 20% 30% 40% 50% 60% 70% SI NO Altro 19Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  20. 20. DOMANDA 3: Esistono in azienda queste polizze? 0% 10% 20% 30% 40% 50% 60% D&O (Polizza Responsabilità Dirigenti & Amministratori) CYBER (Polizza Property e Responsabilità Civile Rischio ICT) Elettroniche RC Professionale ICT (Responsabilità Civile Professionale ICT) RCT/RCO (Polizza di Responsabilità Civile Generale) Nessuna Altro/ Non So 20Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  21. 21. DOMANDA 4: Le hanno mai chiesto di evidenziare i costi/danni che presume possano derivare da un sinistro cyber? 0% 10% 20% 30% 40% 50% 60% 70% Errore umano interno/personale esterno Guasto Attacco interno/esterno No Altro/ Non So 21Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  22. 22. DOMANDA 5: Sono formalizzate le politiche/procedure di Sicurezza ICT? 0% 10% 20% 30% 40% 50% 60% 70% Controllo delle vulnerabilità Modellazione delle minacce No Altro/ Non So 22Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  23. 23. DOMANDA 6: Esistono piani di… 0% 10% 20% 30% 40% 50% 60% 70% Business Continuity Disaster Recovery Crisis Communication Nessuno Altro 23Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  24. 24. DOMANDA 7: All'ICT manager sono pervenute richieste in merito alla gestione della sicurezza ICT? 0% 10% 20% 30% 40% 50% 60% 70% 80% Dall'interno Dai fornitori di servizi ICT Dai fornitori non IT Dai clienti AUDITOR ICT / ODV 231 Altro / No 24Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  25. 25. DOMANDA 8: Un fermo di attività ICT su quali aree aziendali può impattare? 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% amministrazione/fatturazione forniture/acquisti produzione logistica/consegne R&S Vendita (e-commerce, conferma ordini,…) Altro 25Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  26. 26. DOMANDA 9: Ci sono stati negli ultimi 5 anni sinistri cyber con impatto ICT? 39,70% 60,30% SI (specificare) NO Nota: la maggior parte dovuti a ransomware 26Webinar TIG febbraio 2017 (Fonte: White Paper Via Virtuosa / Margas) Indagine Cyber Insurance
  27. 27. Modelli organizzativi E’ sufficiente? 27Webinar TIG febbraio 2017 (Fonte: White Paper ViaVirtuosa / Margas)
  28. 28. Modelli organizzativi Attività normale Sinistro Emergenza Crisi Continuità Recovery Attività normale Gestione della Crisi - Quanto deve durare? 28Webinar TIG febbraio 2017
  29. 29. Modelli organizzativi 29Webinar TIG febbraio 2017
  30. 30. Dal Cyber Risk al Cyber Risk Management Tavolo di confronto con:  CIO – CISO  CEO – CFO  Responsabile di produzione  Altri risk owners  Intermediario assicurativo specializzato 30Webinar TIG febbraio 2017
  31. 31. Dal Cyber Risk al Cyber Risk Management - Linguaggio condiviso sul Cyber Risk. - Verifica dello “status quo” - Definizione strategia di gestione - Definizione strategia di trasferimento assicurativo 31Webinar TIG febbraio 2017
  32. 32. Frequently Asked Questions Le domande fatte dai CIO Domande in libertà, risposte puntali. 32Webinar TIG febbraio 2017 Ettore Guarnaccia – CIO - Banca Popolare di Vicenza Marco Cozzi – CIO - Hypo Bank Andrea Cobelli – CIO - Azienda Trasporti Verona
  33. 33. Frequently Asked Questions Qual è il primo passo da compiere per una Azienda che si renda conto di aver bisogno di copertura Cyber? Esistono condizioni vincolanti ai fini della assicurabilità? Il nuovo Regolamento Europeo della Privacy – GDPR è portatore di alcune novità. Una polizza Cyber è in grado di ridurre questo impatto? Quali sono i rischi assicurabili? Quali di questi rischi è possibile coprire subito e quali hanno bisogno di una revisione dei processi aziendali? 33Webinar TIG febbraio 2017 E’ vantaggioso frazionare il rischio su più compagnie e prodotti assicurativi? Posso scegliere liberamente a chi affidare le attività di risposta ad un eventuale sinistro cyber e come devo documentare queste attività/costi? Come è possibile mettere in copertura le nuove minacce che si evolvono quotidianamente e al momento non note? E’ opportuna una revisione periodica oltreché annuale? Nelle revisioni è consigliabile considerare gli incidenti avvenuti ed i "mancati incidenti“? Quali sono gli strumenti per valutare la copertura ed il fornitore?
  34. 34. Frequently Asked Questions Ci sono parametri standard che possano aiutare il confronto tra fornitori? Le compagnie assicuratrici, nell’allestimento dell’offerta di coperture del rischio cyber, hanno pensato ad introdurre criteri di flessibilità che consentano loro di adattare le coperture alle specifiche esigenze delle aziende, ovvero ai rischi residui da trasferire da queste identificati, tenendo conto che ciascuna azienda ha proprie peculiarità in termini di cultura, governo e propensione al rischio? Quali criteri sono stati definiti e/o adottati dalle compagnie assicuratrici per una copertura efficace dei danni intangibili, come il danno reputazionale o la perdita di posizione sul mercato, che potrebbero manifestare effetti dilazionati e prolungati nel tempo e, nei casi più gravi, risultare irreparabili? 34Webinar TIG febbraio 2017 Quali ruoli aziendali sono attualmente i principali interlocutori per le società broker e le compagnie assicuratrici in materia di rischio cyber e di copertura assicurativa dei rischi informatici da trasferire? Posso assicurarmi contro la perdita di dati “miei” affidati a un Terzo colpito da data breach o altro problema? Esiste una copertura per la perdita del dato, per il danno economico causato dalla perdita del dato? E il ransomware?
  35. 35. Frequently Asked Questions Quali domande da porre in azienda? • E' prevista la Interruzione di Esercizio (BI) da indisponibilità o malfunzionamento del sistema informatico? Se sì, con che limiti? • E' congruo il massimale previsto per la BI rispetto ai centri di costo/reddito? • Sono indennizzabili i costi di consulenza, intervento, ripristino e difesa (anche legale) conseguenti ad un evento Cyber? • Nella polizza di Responsabilità Civile Generale è corretta la descrizione della attività aziendale? 35Webinar TIG febbraio 2017
  36. 36. Frequently Asked Questions Quali domande da porre in azienda? • Se fornisco servizi informatici, con attività di intervento da remoto o presso terzi (ad es. fornitura/gestione di servizi cloud PaaS, Saas, IaaS) come sono trattati nella assicurazione di RC Generale? • Nella polizza RC Prodotti sono correttamente descritti i prodotti aziendali, specialmente se contengono firmware proprietari e se sono connessi via Internet ad altre entità? • Quali sono le esclusioni della polizza di RC Prodotti, con particolare focus su danni immateriali o finanziari (c.d. patrimoniali puri) ed esclusioni specifiche riguardanti il mondo IT? 36Webinar TIG febbraio 2017
  37. 37. Frequently Asked Questions Quali conseguenze del Cyber Risk è possibile assicurare? - Danni materiali diretti - Costi/Danni immateriali conseguenti - Interruzione d’esercizio - Richieste di risarcimento 37Webinar TIG febbraio 2017
  38. 38. Frequently Asked Questions E’ vantaggioso frazionare il rischio su più prodotti assicurativi? No. Va comunque verificata la posizione assicurativa aziendale. 38Webinar TIG febbraio 2017
  39. 39. Frequently Asked Questions Nuovo regolamento europeo sulla Privacy. L’assicurazione riduce l’impatto? Sì, ma… 39Webinar TIG febbraio 2017
  40. 40. Frequently Asked Questions Il danno reputazionale è assicurabile? Sì, in termini di costi sostenuti per la difesa e ricostruzione della immagine aziendale. 40Webinar TIG febbraio 2017
  41. 41. Frequently Asked Questions L’interruzione di esercizio è assicurabile? Sì, in termini di perdita di profitto lordo e maggiori costi. 41Webinar TIG febbraio 2017
  42. 42. Frequently Asked Questions Esiste una assicurazione che risarcisca il danno economico dovuto alla perdita del dato? Sì, in termini di conseguenze della perdita. No, come risarcimento per la semplice indisponibilità del dato stesso. 42Webinar TIG febbraio 2017
  43. 43. Conclusioni Aspetti critici – Cyber Risk Fermo di attività – Businness Interruption Danno reputazionale – Brand protection Impatto GDPR 2018 – gestione dati sensibili 43Webinar TIG febbraio 2017
  44. 44. Conclusioni Azioni necessarie Apertura del tavolo di confronto aziendale Condivisione di esperienze riguardanti Cyber Eventi Cyber Risk Management 44Webinar TIG febbraio 2017
  45. 45. Grazie 45Webinar TIG febbraio 2017 A volte è una tentazione… ma non fatelo www.margas.it www.margas.it/whitepaper-cyber-risk-insurance VIA VIRTUOSA www.viavirtuosa.com www.viavirtuosa.com/whitepaper

×