IVASS - Questionario Cyber Risk |
|
Al fine di favorire lo sviluppo di un’adeguata cultura del rischio informatico presso gli intermediari - nell’interesse di questi ultimi e dei clienti - trasmettiamo per conto dell'IVASS una indagine conoscitiva sui presidi degli intermediari tradizionali per la gestione delle informazioni e la prevenzione dei rischi informatici.
Il questionario, che vi preghiamo di compilare entro il 30 settembre 2017, è composto da 20 domande e 8 sottodomande, in gran parte a risposta “chiusa”.
|
1) 1. Operate su piattaforme informatiche di gestione dei dati vostre o messe a disposizione dalle imprese assicurative? |
|
|
2) 2. Quali sistemi di protezione dei dati utilizzate? |
|
|
3) 3. I clienti hanno la possibilità di aggiornare autonomamente i loro dati e le loro informazioni memorizzati sulle piattaforme gestionali a vostra disposizione? |
|
|
4) 3.a In caso positivo come? |
|
|
5) 4. Avete effettuato un'analisi dei rischi informatici relativi allo svolgimento della vostra attività? |
|
|
6) 4.a. In caso positivo, da parte di quale funzione/struttura aziendale? |
|
|
7) 4.b. Con quale periodicità viene rivista? |
|
|
8) 5. Disponete di una policy di gestione del rischio informatico formalizzata in un documento scritto? |
|
|
9) 5.a. In caso positivo, da quando? |
|
|
10) 6. I dipendenti e i collaboratori sono stati correttamente informati sulle modalità operative da seguire per prevenire il rischio cyber? |
|
|
11) 6.a. In caso positivo, con quali modalità? |
|
|
12) 7. Avete organizzato specifiche iniziative formative in materia di cyber risk e per promuovere la consapevolezza sui temi connessi alla gestione ed alla protezione dei dati ? |
|
|
13) 8. Evitate di raccogliere, e quindi gestire, dati non necessari al vostro business? |
|
|
14) 9. Avete analizzato l’impatto sulla vostra attività del nuovo Regolamento europeo n. 2016/679 in materia di protezione dei dati personali? |
|
|
15) 10. Pensate di individuare e nominare un Data Privacy Officer (DPO) all’interno dell’azienda o di affidare il ruolo ad un fornitore esterno (in outsourcing)? |
|
|
16) 11. I vostri dipendenti e collaboratori hanno accesso ai soli dati che sono necessari allo svolgimento di mansioni di loro competenza? |
|
|
17) 12. Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri? |
|
|
18) 13. Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. software anti-intrusione, ecc.)? |
|
|
19) 14. Eseguite periodicamente backup dei dati? |
|
|
20) 14.a. In caso positivo, con quale frequenza? |
|
|
21) 15. Avete previsto sistemi di monitoraggio in caso di accesso non autorizzato ai dati da voi gestiti? |
|
|
22) 16. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi? |
|
|
23) 17. Effettuate test cd. antintrusione? |
|
|
24) 17.a. In caso positivo, con quale frequenza? |
|
|
25) 18. Avete stipulato una copertura assicurativa dei rischi informatici cui siete esposti? |
|
|
26) 19. Si sono verificati nella vostra organizzazione, nel corso del 2016-2017, incidenti legati a fenomeni di “cyber attack” che hanno comportato la distruzione, la perdita e/o il danneggiamento dei dati e delle informazioni custodite nei sistemi informatici da voi utilizzati? |
|
|
27) 20. In caso di attacco cyber con sottrazione/criptazione dei dati riuscireste a ripristinare tutti i dati? |
|
|
28) 20.a. In caso positivo, in quanto tempo? |
|
|
|
|