SlideShare a Scribd company logo

Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio

Download as PPTX, PDF
M
MarcoViscardi6

Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio

Internet
1 of 19
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio Marco Viscardi 25 Marzo 2022
Cyber Risk Assessment Cos’è ? Il Cyber Risk assessmentè un insiemedi analisi eprocedure utiliper neutralizzare il fenomeno del Cyber Risk. Si trattadi un’analisi delsistemainformativodi un’impresa, mirataa individuaretuttii potenzialipunti deboli che possonomettere a rischiolasicurezza dei dati aziendali.
Cyber Risk Assessment Non dovrebbe essere necessario : • Tutte le Aziende hannoun firewall installato • Tutte hanno un antivirus/antimalware sui PC • Quasi tutte hanno sistemi di filtro e controllo della mail… EPPURE… Perchè effettuarlo?
Cyber Risk Assessment Gli attaccanti sfruttano il fatto che le Aziende blindano i portoni principali, ma dimenticano aperta lafinestrella del bagno… Perchè gli attacchi hannosuccesso? E la rete lo sa…
La Rete conosce delle Aziende molto più di quanto le Aziende conoscono di loro stesse…
Comefunziona un attacco Ransomware…
Consentediottenereunquadrochiaroe completodeirischicyberedelloroimpatto Permettediidentificareleareediinterventoela loropriorità(Pianodimitigazione) 01 02 03 Consentedidestinare budgetdoveèveramente necessarioperlasicurezza aziendale Cyber Risk Assessment Perchè effettuarlo?
Cyber Risk Assessment Processo consigliato da AgID
Rischidell’Azienda SiconcretizzanoperMEZZOdi MINACCE… SfruttandoVULNERABILITA’Aziendali: • Perdita Dati (da risorse interne oppure presso terzi) e dover pagare per recuperarli • Pubblicazione dati Riservati • Blocco Operatività • Perdita di reputazione • Fermo servizi pubblicati (e-commerce, portali B2B) • Sanzioni (non allineamento GDPR) • Rischio di azioni legali • Aumento costi per le assicurazioni da cyber rischio • Ransomware/Malware • Web Application attack (SQL Injection/XSS) • Phishing • Botnet sottrazione credenziali • Social Engineering • Attacchi DDoS • Attacchi IoT • Tecnologiche • Umane • Processi non definiti • Configurazioni errate • No piano Disaster Recovery • Vulnerabilità fornitori/partner • Gestione dei permessi lacunosa Cyber Risk Assessment Definizione di Cyber Risk
Probabilità (quantoèprobabilechesucceda?) • Indica la probabilità che l’evento accada Cyber Risk Assessment Impatto e Probabilità • Perdita economica • Perdita Reputazione • Non conformità Legale/Normativa GDPR Impatto/Conseguenze (Chetipodidanniprovocherebbe?)
Cyber Risk Assessment Flusso delle attività IDENTIFICAZIONE DEFINIZIONE MITIGAZIONE ANALISI End Matrice Rischio Impatto x Probabilità Definizione rischio Piano di Mitigazione Identificazione “Crown Jewels” • Processi Business Critical • Servizi IT che li abilitano • Analisi flusso dei dati • Analisi sui servizi identificati • Analisi sui servizi esposti • CTI • Security Assessment VA/PT Phishing Simulation Gap Analysis • Framework NIST • Framework nazionale Cyber Security • Misure minime AGID Accettabile NON Accettabile Critico • Pianificazione • Priorità • Definizione tecnologie • Definizione Processi di Risposta Retest dopofix vulnerability Tuning CyberRisk Assessment dopo12 mesi Asset Discovery (se necessario)
Cyber Risk Assessment Identificazione degli asset IDENTIFICAZIONE Identificazione “Crown Jewels” • Asset Business Critical • Servizi IT che li abilitano • Processi che li supportano Partire dagli asset, identificando gli ambiti di maggiore criticità, per adottare le misure necessarie rispetto alle esigenze di business. Ambiti applicativi (critici e non), ambito organizzativo, processi di business e beni strumentali che caratterizzano in modo peculiare l’azienda. Ambito organizzativo, processi, procedure operative, infrastrutture ICT, ambiti applicativi di supporto (email, internet, informatica utente, ...)
Cyber Risk Assessment Analisi del Rischio IDENTIFICAZIONE ANALISI • Analisi sui servizi identificati • Analisi sui servizi esposti Vulnerability Assessment Gap Analysis • Misure minime AGID Per comprendere le vulnerabilità tecnologiche dell’Azienda, viene effettuato un Vulnerability Assessment approfondito con particolare attenzione agli asset ritenuti più critici. Vengono utilizzati sistemi di Cyber Threat Intelligence per capire quali e quante informazioni circa la mia Azienda sono di pubblico dominio. Vengono inoltre testai gli exploit tramite Penetration Test Vengono analizzati i processi aziendali e verificato il gap esistente con le best practices (misure minime AGID). Questo tipo di assessment permette di circostanziare i dati evidenziati dalla attività di VA/PT
Cyber Risk Assessment Matrice del Rischio DEFINIZIONE End Matrice Rischio Impatto x Probabilità Definizione rischio Accettabile NON Accettabile Critico E’ la fase centrale del processo di Cyber Risk Assessment. Con i dati raccolti nella fase di analisi, si definisce la gravità dei rischi identificati, secondo una matrice impatto x probabilità. Si definisce quindi la soglia di rischio che l’Azienda decide di accettare (Risk Appetite), per le risultanze «critico» e «non accettabile» si procede a piano di mitigazione.
1. Blocco attività operative, (gestionale, pianificazione, file office) dovute a ransomware • Policy backup non sufficienti • Vulnerabilità 2. Perdita/pubblicazione di progetti riservati di proprietà dei clienti • Vulnerabilità nei sistemi accesso /VPN 3. Perdita dati su device mobili/Laptop a causa di malware Cyber Risk Assessment Rischio pre mitigazione
Cyber Risk Assessment Piano di Mitigazione MITIGAZIONE Piano di Mitigazione • Pianificazione • Priorità • Definizione tecnologie • Definizione Processi di Risposta Il piano di mitigazione ha lo scopo di abbassare il livello del rischio cyber aziendale secondo un piano di intervento a medio-lungo termine. Si definiscono i primi interventi che possono essere messi in atto che, in modo veloce ed economico, possono già risolvere diversi problemi, (Quick Win). Per il resto si condivide un piano di interventi secondo l’esempio a fianco.
Mitigazione : Fix delle vulnerabilità, MFA sulle VPN, revisione dei processi di accesso Mitigazione : backup su cloud/immutabili, installazione EDR, Fix vulnerabilità Cyber Risk Assessment Rischio post mitigazione
GRAZIE! MarcoViscardi 348-3673703 marco.viscardi@opencloud.cloud www.opencloud.cloud

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
 
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
Luigi Perrone
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
 
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
Luigi Perrone
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
Davide Del Vecchio
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
Simone Onofri
 
2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEB2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEBRoberto Baldoni
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
Marco Morana
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014
Roberto Baldoni
 
Cribis Cyber Risk
Cribis Cyber RiskCribis Cyber Risk
Cribis Cyber Risk
Paolo Nobili | Consulenze Aziendali
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
adriana franca
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Code Review di Swascan
Code Review di SwascanCode Review di Swascan
Code Review di Swascan
SWASCAN
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
DFLABS SRL
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
 
Evento abi
Evento abi Evento abi
Evento abi
SWASCAN
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Data Driven Innovation
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
UNI - Ente Italiano di Normazione
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 

More Related Content

What's hot

Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
Davide Del Vecchio
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
Simone Onofri
 
2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEB2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEBRoberto Baldoni
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
Marco Morana
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014
Roberto Baldoni
 

What's hot (8)

Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEB2016FRAMEWORK NAZIONALEBALDONIXWEB
2016FRAMEWORK NAZIONALEBALDONIXWEB
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014
 

Similar to Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio

Cribis Cyber Risk
Cribis Cyber RiskCribis Cyber Risk
Cribis Cyber Risk
Paolo Nobili | Consulenze Aziendali
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
adriana franca
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Code Review di Swascan
Code Review di SwascanCode Review di Swascan
Code Review di Swascan
SWASCAN
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
DFLABS SRL
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
 
Evento abi
Evento abi Evento abi
Evento abi
SWASCAN
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Data Driven Innovation
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
UNI - Ente Italiano di Normazione
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
SWASCAN
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Risk management : Breve analisi del processo di gestione dei progetti software
Risk management : Breve analisi del processo di gestione dei progetti softwareRisk management : Breve analisi del processo di gestione dei progetti software
Risk management : Breve analisi del processo di gestione dei progetti software
Donato Bellino
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
 
Kubika Rev 2
Kubika Rev 2Kubika Rev 2
Kubika Rev 2
kubika s.r.l.
 

Similar to Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio (20)

Cribis Cyber Risk
Cribis Cyber RiskCribis Cyber Risk
Cribis Cyber Risk
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Code Review di Swascan
Code Review di SwascanCode Review di Swascan
Code Review di Swascan
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
Evento abi
Evento abi Evento abi
Evento abi
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Risk management : Breve analisi del processo di gestione dei progetti software
Risk management : Breve analisi del processo di gestione dei progetti softwareRisk management : Breve analisi del processo di gestione dei progetti software
Risk management : Breve analisi del processo di gestione dei progetti software
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
Kubika Rev 2
Kubika Rev 2Kubika Rev 2
Kubika Rev 2
 

Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio

  • 1. Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio Marco Viscardi 25 Marzo 2022
  • 2. Cyber Risk Assessment Cos’è ? Il Cyber Risk assessmentè un insiemedi analisi eprocedure utiliper neutralizzare il fenomeno del Cyber Risk. Si trattadi un’analisi delsistemainformativodi un’impresa, mirataa individuaretuttii potenzialipunti deboli che possonomettere a rischiolasicurezza dei dati aziendali.
  • 3. Cyber Risk Assessment Non dovrebbe essere necessario : • Tutte le Aziende hannoun firewall installato • Tutte hanno un antivirus/antimalware sui PC • Quasi tutte hanno sistemi di filtro e controllo della mail… EPPURE… Perchè effettuarlo?
  • 4.
  • 5. Cyber Risk Assessment Gli attaccanti sfruttano il fatto che le Aziende blindano i portoni principali, ma dimenticano aperta lafinestrella del bagno… Perchè gli attacchi hannosuccesso? E la rete lo sa…
  • 6. La Rete conosce delle Aziende molto più di quanto le Aziende conoscono di loro stesse…
  • 7. Comefunziona un attacco Ransomware…
  • 9. Cyber Risk Assessment Processo consigliato da AgID
  • 10. Rischidell’Azienda SiconcretizzanoperMEZZOdi MINACCE… SfruttandoVULNERABILITA’Aziendali: • Perdita Dati (da risorse interne oppure presso terzi) e dover pagare per recuperarli • Pubblicazione dati Riservati • Blocco Operatività • Perdita di reputazione • Fermo servizi pubblicati (e-commerce, portali B2B) • Sanzioni (non allineamento GDPR) • Rischio di azioni legali • Aumento costi per le assicurazioni da cyber rischio • Ransomware/Malware • Web Application attack (SQL Injection/XSS) • Phishing • Botnet sottrazione credenziali • Social Engineering • Attacchi DDoS • Attacchi IoT • Tecnologiche • Umane • Processi non definiti • Configurazioni errate • No piano Disaster Recovery • Vulnerabilità fornitori/partner • Gestione dei permessi lacunosa Cyber Risk Assessment Definizione di Cyber Risk
  • 11. Probabilità (quantoèprobabilechesucceda?) • Indica la probabilità che l’evento accada Cyber Risk Assessment Impatto e Probabilità • Perdita economica • Perdita Reputazione • Non conformità Legale/Normativa GDPR Impatto/Conseguenze (Chetipodidanniprovocherebbe?)
  • 12. Cyber Risk Assessment Flusso delle attività IDENTIFICAZIONE DEFINIZIONE MITIGAZIONE ANALISI End Matrice Rischio Impatto x Probabilità Definizione rischio Piano di Mitigazione Identificazione “Crown Jewels” • Processi Business Critical • Servizi IT che li abilitano • Analisi flusso dei dati • Analisi sui servizi identificati • Analisi sui servizi esposti • CTI • Security Assessment VA/PT Phishing Simulation Gap Analysis • Framework NIST • Framework nazionale Cyber Security • Misure minime AGID Accettabile NON Accettabile Critico • Pianificazione • Priorità • Definizione tecnologie • Definizione Processi di Risposta Retest dopofix vulnerability Tuning CyberRisk Assessment dopo12 mesi Asset Discovery (se necessario)
  • 13. Cyber Risk Assessment Identificazione degli asset IDENTIFICAZIONE Identificazione “Crown Jewels” • Asset Business Critical • Servizi IT che li abilitano • Processi che li supportano Partire dagli asset, identificando gli ambiti di maggiore criticità, per adottare le misure necessarie rispetto alle esigenze di business. Ambiti applicativi (critici e non), ambito organizzativo, processi di business e beni strumentali che caratterizzano in modo peculiare l’azienda. Ambito organizzativo, processi, procedure operative, infrastrutture ICT, ambiti applicativi di supporto (email, internet, informatica utente, ...)
  • 14. Cyber Risk Assessment Analisi del Rischio IDENTIFICAZIONE ANALISI • Analisi sui servizi identificati • Analisi sui servizi esposti Vulnerability Assessment Gap Analysis • Misure minime AGID Per comprendere le vulnerabilità tecnologiche dell’Azienda, viene effettuato un Vulnerability Assessment approfondito con particolare attenzione agli asset ritenuti più critici. Vengono utilizzati sistemi di Cyber Threat Intelligence per capire quali e quante informazioni circa la mia Azienda sono di pubblico dominio. Vengono inoltre testai gli exploit tramite Penetration Test Vengono analizzati i processi aziendali e verificato il gap esistente con le best practices (misure minime AGID). Questo tipo di assessment permette di circostanziare i dati evidenziati dalla attività di VA/PT
  • 15. Cyber Risk Assessment Matrice del Rischio DEFINIZIONE End Matrice Rischio Impatto x Probabilità Definizione rischio Accettabile NON Accettabile Critico E’ la fase centrale del processo di Cyber Risk Assessment. Con i dati raccolti nella fase di analisi, si definisce la gravità dei rischi identificati, secondo una matrice impatto x probabilità. Si definisce quindi la soglia di rischio che l’Azienda decide di accettare (Risk Appetite), per le risultanze «critico» e «non accettabile» si procede a piano di mitigazione.
  • 16. 1. Blocco attività operative, (gestionale, pianificazione, file office) dovute a ransomware • Policy backup non sufficienti • Vulnerabilità 2. Perdita/pubblicazione di progetti riservati di proprietà dei clienti • Vulnerabilità nei sistemi accesso /VPN 3. Perdita dati su device mobili/Laptop a causa di malware Cyber Risk Assessment Rischio pre mitigazione
  • 17. Cyber Risk Assessment Piano di Mitigazione MITIGAZIONE Piano di Mitigazione • Pianificazione • Priorità • Definizione tecnologie • Definizione Processi di Risposta Il piano di mitigazione ha lo scopo di abbassare il livello del rischio cyber aziendale secondo un piano di intervento a medio-lungo termine. Si definiscono i primi interventi che possono essere messi in atto che, in modo veloce ed economico, possono già risolvere diversi problemi, (Quick Win). Per il resto si condivide un piano di interventi secondo l’esempio a fianco.
  • 18. Mitigazione : Fix delle vulnerabilità, MFA sulle VPN, revisione dei processi di accesso Mitigazione : backup su cloud/immutabili, installazione EDR, Fix vulnerabilità Cyber Risk Assessment Rischio post mitigazione

Editor's Notes

  1. i.