Risk Consulting

La Consulenza Cyber di Aon

0

Il cyber crime è una delle minacce più pericolose, immediate e complesse per le organizzazioni e l’economia globale.

La connettività pervasiva, la digitalizzazione di processi e informazioni e lo sviluppo di sistemi di cryptovalute non tracciabili hanno amplificato enormemente il potenziale offensivo di organizzazioni internazionali specializzate nel crimine informatico, mentre le infrastrutture e le capacità di difesa di aziende ed enti appaiono oggi ancora largamente inadeguate, tutt’al più orientate a una formale compliance GDPR.

Entro il prossimo triennio, il giro di affari legato al crimine cyber raggiungerà globalmente i 6 trilioni di dollari (7% del PIL mondiale), con un’accelerazione vertiginosa del +40% verificatasi nel solo 2019.  Recenti studi indicano che già lo scorso anno oltre il 90% delle imprese italiane aveva subìto danni da attacchi informatici.

Il COVID-19, con l’improvviso e massivo aumento del lavoro da remoto, ha contribuito ad un ulteriore impulso ai volumi, alle occasioni e alle modalità di crimine, portando la minaccia cyber a nuove vette di letalità e diffusione. Quasi ogni giorno assistiamo a ondate di attacchi ransomware, violazioni diinformazioni sensibili e frodi informatiche che paralizzano aziende di ogni settore e dimensione, imponendo riscatti milionari, esponendo a sanzioni, rivalse da terze parti, perdite di valore azionario e di quote di mercato.

Le articolate conseguenze operative, economiche, reputazionali, commerciali e legali derivanti da un attacco informatico, ma anche dalla qualità della reazione di chi ne viene colpito, possono risultare pesanti e di lungo termine, con pregiudizio della stessa continuità aziendale.

Analizzare ed affrontare preventivamente il cyber risk è una scelta ormai imprescindibile: fortunatamente, sono disponibili soluzioni e metodologie per trattare in modo approfondito i vari aspetti del problema ed apportare drastici miglioramenti alla capacità di prevenzione e di risposta.

Individuare e ingegnerizzare il mix di interventi più efficace e mirato per una specifica realtà aziendale è un compito complesso, per il quale è necessaria una solida esperienza trasversale nei settori della cybersecurity, della modellizzazione del rischio e del suo trasferimento al mercato.

Aon è il partner di riferimento sul cyber risk con un team dedicato di oltre 700 specialisti da settori high-tech, militari, finanziari, accademici e dalla integrazione di aziende di eccellenza internazionale come Stroz Friedberg e Gotham.

Aon è l’unico leader globale
presente con competenze specialistiche cyber
su tutte le fasi di gestione del rischio

Analisi e Prevenzione

con più di 600 progetti tecnici di cyber risk analysis e cyber defense,
Aon è da anni tra gli operatori più evoluti ed esperti sul mercato per il disegno di strategie di gestione del rischio cyber, di approfonditi assessment tecnico-economici, di ingegnerizzazione di piani di intervento organizzativo, tecnologico e formativo.

Trasferimento assicurativo

Aon è il player N.1 al mondo nelle soluzioni di copertura assicurativa cyber. Con migliaia di polizze intermediate e un vasto network internazionale di compagnie, Aon ottimizza e personalizza coperture cyber di ogni complessità e dimensione.

Risposta ad incidenti

con più di 1100 claim e incidenti cyber gestiti, i nostri team di Cyber Incident Response sono leader riconosciuti a livello internazionale (Forrester, IDC, Forbes), gestendo le più complesse investigazioni forensi, il ripristino dei sistemi e l’intera pratica di sinistro con l’assicuratore, in modo integrato ed efficace.

Analisi

Conosci e affronta ogni aspetto del tuo rischio: il Cyber Risk Assessment

Per un’analisi esaustiva e risolutiva della esposizione aziendale a crimini informatici e delle relative soluzioni di mitigazione, Aon ha sviluppato metodologie e strumenti proprietari di Cyber Assessment, derivate da anni di esperienza in ambiti di alta tecnologia, militari, industriali e di ricerca.

Il progetto, particolarmente approfondito e completo, realizza:

  • Una mappatura dei possibili scenari di crimine informatico calati sui processi specifici e la realtà di business dell’azienda (es. ricatto, sabotaggio, frodi finanziarie, spionaggio, furto o compromissione massiva di dati sensibili, presa di controllo);
  • L’esposizione dell’azienda ad ogni scenario, attraverso un’analisi della maturità del sistema di governo del cyber risk rispetto ai principali standard internazionali e un diagnostico del livello di resilienza tecnica della infrastruttura informatica, supportato da Vulnerability Assessment sulle componenti IT/OT critiche;
  • La quantificazione economica dei potenziali impatti di ogni scenario rilevante, inclusi quelli non assicurabili, dettagliata per voci di impatto su ricavi e costi;
  • Il disegno di piani di prevenzione e hardening tecnici e procedurali;
  • L’analisi di assicurabilità dei rischi individuati e il progetto di opzioni di trasferimento del rischio residuo.

Le attività, della durata di alcune settimane, vengono svolte in autonomia dal team Aon, con il coinvolgimento strettamente necessario del management IT, Security, Finance, Legale e delle principali business unit dell’azienda.

Il dettagliato report è funzionale alla definizione o integrazione di:

  • Piani di gestione cyber risk dell’azienda
  • Investimenti e compromessi tecnici e organizzativi
  • Soluzioni assicurative ottimizzate in termini di struttura finanziaria di massimali e sottolimiti, termini di polizza del rapporto tra costo ed efficacia della copertura

Fai un’eccellente prima mossa: Cyber Quotient Evaluation (CyQu)

Aon ha sviluppato Cyber Quotient Evaluation (CyQu) per rendere immediato ed accessibile un primo passo essenziale nella individuazione e mitigazione del rischio cyber in tutte le sue dimensioni critiche.

CyQu è un tool on-line dinamico di analisi del rischio cyber basato su un software proprietario Aon, pluripremiato e impiegato a livello mondiale nella rapida valutazione della security posture di ogni organizzazione.

CyQu non si limita all’analisi quantitativa del grado di maturità dell’azienda in merito a 110 domande, 35 aree tecniche su 9 domini (incluso quello attualissimo del lavoro da remoto), ma offre una consulenza attiva di primo livello per fornire strategie di mitigazione chiare e praticabili, con raccomandazioni per migliorare la resilienza e la gestione del rischio.

In meno di 2 ore sarà possibile completare l’analisi e visualizzare il proprio profilo di cyber security posture, confrontandolo con i comparable di settore.

Nel giro di pochi giorni saranno disponibili un report completo ed un piano di mitigazione.

 CyQu si presta a:

  • Verifica della completezza della cyber security su tutte le aree rilevanti e piano interventi quick wins
  • Premessa a un Cyber Assessment, come prima mappatura dello stato di asset, policy e governance
  • Tracking di processo della postura cyber, ripetendolo nel tempo
  • Costruzione di un quadro complessivo di un panel di aziende, con criterio omogeneo
  • Report di cyber risk posture per ottimale presentazione al mercato assicurativo

Misura la reale sicurezza delle infrastrutture: Vulnerability Assessment e Penetration Testing

Gli attacchi informatici fanno leva sulla combinazione di diverse tecniche e strumenti, spesso automatizzati, che vanno a colpire l’elemento umano (phishing, social engineering) e quello tecnologico, ovvero le possibili falle di sicurezza presenti nella infrastruttura IT.

Ogni giorno vengono scoperte nuove vulnerabilità su sistemi commerciali e i professionisti del crimine informatico sono molto efficienti nello sfruttare queste opportunità, in particolare per i servizi esposti sul web e per i sistemi industriali e IoT.

E’ fondamentale avere una piena consapevolezza circa la presenza di vulnerabilità sulle proprie reti, server macchinari e software di business, cosi da pianificare tempestivamente la messa in sicurezza.

Vulnerability Assessment

Il Vulnerability Assessment è un processo di analisi effettuato da tecnici specializzati con l’utilizzo di sistemi informatici professionali, dedicati e costantemente aggiornati.

Il VA non prevede attacchi o violazioni di sistema, ma un rilevamento estensivo e dettagliato di vulnerabilità pubblicamente note sui database internazionali, effettuato in base alla mappatura dei prodotti software e dei vari asset presenti sulla infrastruttura.

Penetration Testing / Red Team

Se la necessità è di testare la reale resilienza delle infrastrutture di network, cloud e delle policy aziendali rispetto ad attacchi, mettiamo in campo la nostra esperienza di Penetration Tester.

Pensando come un attaccante, condurremo ricognizioni sulla rete per identificare potenziali vie di accesso ed eseguiremo test senza esclusione di colpi (ma sicuri e controllati) tentando di compromettere un’ampia gamma di sistemi ed utilizzando qualsiasi metodo che un cyber attaccante potrebbe considerare, come il cracking di password, lo sfruttamento di vulnerabilità note o di zero-day.

Il nostro Red Team d’élite, altamente accreditato anche con certificazioni CREST STAR e CBEST, conduce pen-test per grandi clienti ogni giorno e nell’ultimo decennio ha affrontato alcune delle violazioni di più alto livello nel mondo.

Sappiamo bene come attuare un attacco e, di conseguenza, come prevenirlo, rilevarlo e circoscriverlo. Cosi aiuteremo la tua organizzazione a prepararsi per potenziali crisi.

Prevenzione – Costruisci le migliori difese

Ingegnerizzazione della sicurezza

Una volta compreso il proprio profilo di rischio cyber, le aziende devono valutare di intraprendere un percorso di graduale rafforzamento e strutturazione delle proprie difese, sia sul fronte delle soluzioni tecnologiche di cyber security che su quello delle metodologie e pratiche di governo del rischio.

Ciò presenta delle notevoli complessità in relazione a:

  • la necessità di disegnare ed implementare nuove policy e procedure (o talvolta l’intero assetto organizzativo della funzione cybersecurity) e di intervenire sulla cultura complessiva dell’organizzazione per raggiungere una rispondenza ai principali standard di riferimento come ISO27001 o NIST;
  • la necessità di introdurre, sulla infrastruttura IT abilitante il business, un insieme di soluzioni tecnologiche per il presidio e la difesa da minacce cyber, ottimizzando il ritorno sugli investimenti e selezionando i prodotti e le opzioni tra le centinaia presenti sul mercato.

Il team di cybersecurity Aon supporta le fasi di progettazione e può coordinare le attività di implementazione di questo tipo di programmi, anche grazie ad analoghe esperienze su decine di aziende.

Temporary Staff / BPO

In una fase di tumultuosa evoluzione delle organizzazioni sul fronte della sicurezza informatica, il fabbisogno di risorse specialistiche si scontra con un mercato ancora povero di profili professionali adeguati.

Inoltre, la costruzione di infrastrutture tecniche ed organizzative può comportare un investimento concentrato in un periodo iniziale di 1-2 anni, che non corrisponde alle minori esigenze di personale per la loro successiva gestione a regime.

In risposta a queste esigenze, Aon fornisce il supporto di professionisti cyber in diversi ambiti specialistici: project manager, consulenti per la gestione della governance o degli aspetti più tecnici e di cyber defense.

Esperienze pluriennali, certificazioni e conoscenza di settori (industriale, retail, finanziario, sanità, energia) completano i profili dei nostri staff.

Proteggi l’anello debole: Formazione

Il fattore umano è, in vari modi, all’origine del 90% degli attacchi informatici di successo.

Tecniche di phishing, siti web contraffatti, strategie di profilazione e raggiro delle vittime tramite social engineering hanno raggiunto una portata e una qualità tale da spalancare opportunità di infiltrazione, furto di dati, compromissioni di reti e frodi finanziarie anche in organizzazioni ben protette. L’ulteriore accelerazione di attacchi di questo genere a seguito del COVID-19 sta creando un’emergenza da affrontare con la massima priorità.

Da anni, con frequenza, Aon svolge programmi di formazione per i propri clienti, al fine di abilitare una consapevolezza diffusa tra i dipendenti rispetto alla natura e tipologia delle principali minacce informatiche e alle misure di comportamento da adottare a difesa da esse, nonchè sulla gestione di tematiche di Privacy & Data Protection (GDPR).

Ciò avviene con metodologie molto flessibili in base alle esigenze del cliente: dai corsi in aula all’utilizzo di webinar e piattaforme di e-learning, fino all’apprendimento esperienziale con simulazioni di attacchi e role playing.

Con team amministrativi dedicati, Aon assiste totalmente l’azienda nell’accesso a finanziamenti pubblici a copertura parziale o integrale della spesa di formazione cyber.

Risposta

Le statistiche testimoniamo che tutte le aziende vengono nel tempo attaccate e che i criminali dispongono di sistemi sempre più mirati ed insidiosi per raggiungere i loro scopi.

Pur preparandosi al meglio, il rischio zero non esiste e la capacità di rispondere in maniera efficace e tempestiva ad eventuali violazioni di sicurezza è un fattore determinante degli esiti di un incidente.

Trovarsi a improvvisare e non disporre di un chiaro e testato percorso di risposta può imporre un pesantissimo dazio in caso di attacco.

Aon, insieme alle sue branch specialistiche Stroz-Friedberg e Gotham, è tra i principali player al mondo per la qualità dei servizi di Cyber Incident Response, con centinaia di casi gestiti dal proprio Incident Response Team.

Premiato da Forrester 2020, il team compone competenze multidisciplinari: tecniche di cyber security ed analisi forense, economico-finanziarie per l’analisi degli impatti di business, legali ed attuariali nella gestione di sinistri complessi.

Incident Response

Aon coordina l’intera attività di risposta, attivando 5 aree di intervento:

  • Investigazione: in cui viene svolta l’analisi forense e gli approfondimenti tecnici necessari a perimetrare l’attacco ed i suoi obiettivi, le sue origini, dinamiche e conseguenze, nonché a valutare la presenza di eventuali infiltrazioni malevole pregresse o ancora in corso, quali malware, APT.
  • Ripristino: in cui, prima di recuperare i sistemi da backup, vengono messe in atto le necessarie misure per rimuovere i vettori d’attacco identificati (es. malware e backdoor) e contenere l’impatto dell’incidente, bloccando ad es. le connessioni di rete utilizzate, gli account compromessi, terminando l’esecuzione dei processi e rimuovendo i file e i meccanismi di persistenza associati al malware, oltre che effettuando installazione di patch, modifica delle password e rafforzamento della rete sicurezza perimetrale.
  • Gestione del Claim, in cui, laddove ci sia una polizza, Aon prende in carico totalmente la gestione dell’incidente nei rapporti con la compagnia assicuratrice, garantendo la migliore risposta delle coperture in essere.
  • Quantificazione, in cui si supporta l’azienda nella stima degli impatti economico patrimoniali dell’attacco, tenendo conto degli effetti di Business Interruption (mancati ricavi e opportunità commerciali), da degrado di efficienza dei processi di business, da extra lavorazioni IT, sia interne che con supporti esterni, da attività stesse di risposta tecnica, attività legali / privacy, di comunicazione, rivalse da terze parti etc.
  • Comunicazione, in cui si gestiscono le notifiche a terze parti potenzialmente coinvolte, la denuncia alle autorità competenti (incluso il Garante della Privacy), agli azionisti, i fornitori, clienti e dipendenti.

Per maggiori informazioni, scrivi a cyber@aon.it oppure visita la landing page dedicata al Cyber

Aon e Briko®, dal ciclismo su strada alle piste da sci: con Snow Protection un anno di assistenza e copertura rischi senza vincoli

Previous article

Aon partner del progetto CYBERWISER.eu: la piattaforma europea di training online per professionisti della sicurezza informatica

Next article

Comments

Comments are closed.