Information Security

Mai come ora le informazioni sono al centro delle nostre vite, sia in termini di opportunità che di rischi. In Mediobanca, la sicurezza delle informazioni è un impegno chiave nel processo di sviluppo dei nostri servizi

A causa della natura del nostro business, ogni giorno raccogliamo, trattiamo e gestiamo informazioni di varia natura sulla clientela oltre a quelle dei dipendenti, sia in forma cartacea che elettronica.

La salvaguardia delle informazioni è un impegno per noi imprescindibile e irrinunciabile, così come la loro riservatezza, integrità, disponibilità e autenticità, perché alla base del rapporto di fiducia nonché degli obblighi normativi che si applicano ai nostri servizi.

Lavoriamo costantemente per il miglioramento del nostro sistema di controllo di gestione del rischio informatico, anche attraverso l’implementazione di soluzioni e servizi sempre più evoluti di Cyber Security.

Siamo costantemente al lavoro per rafforzare la nostra strategia di gestione della sicurezza delle informazioni proteggendo e garantendo la loro riservatezza, integrità,disponibilità e autenticità durante tutto il loro ciclo di vita. 
Negli ultimi anni, abbiamo continuato a rafforzare le misure di sicurezza per la protezione dei dati riservati, quali la cifratura dei dati conservati nei database e la mascheratura di quelli presenti negli ambienti di sviluppo e collaudo. Particolare attenzione è posta alla fase di distribuzione nella quale vengono adottati protocolli di comunicazione sicuri e certificati digitali e soluzioni di Data Loss Prevention.

Per garantire che non ci siano accessi non autorizzati alle informazioni vengono perseguiti i principi del need to know, least privilege e need to use nella gestione degli accessi logici degli utenti.

Inoltre, vengono svolte continue verifiche di sicurezza e attività di gestione dei rischi atte a garantire adeguati presidi di controllo, organizzativi e tecnologici, su tutto il perimetro Mediobanca e sue controllate, nonché regolari campagne di security awareness per i nostri dipendenti e clienti, volte a rafforzare la consapevolezza aziendale sui temi di protezione delle informazioni.
Il programma di Information Security Awareness è ormai consolidato e viene aggiornato annualmente a seguito dell’evoluzione delle minacce cyber.
Di seguito vengono riportate le principali politiche e direttive in ambito sicurezza delle informazioni e gestione dei rischi informatici.
 

Politiche e direttive di gruppo sulla gestione dei rischi informatici e information security

descrive gli obiettivi e i principi generali che Mediobanca e le sue controllate adottano per tutelare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, dei servizi, dei patrimoni informativi e degli asset IT sia propri che dei clienti, nonché la sicurezza dei sistemi informatici e di rete utilizzati, su cui si fonda la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di eventi avversi

definisce il quadro organizzativo e metodologico che Mediobanca e le sue controllate adottano nell’ambito della gestione dei rischi informatici, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse ICT e di graduare le misure di mitigazione in funzione dello stato del rischio informatico

fornisce i principi per la gestione della Continuità Operativa e ne definisce il modello organizzativo e di governo a livello di Mediobanca e sue controllate. In particolare, disciplina le specificità della Continuità Operativa per l'ambito IT, al fine di garantire una risposta rapida ed efficace agli incidenti che potrebbero impattare le risorse IT, con particolare riferimento ai seguenti aspetti:

  • Piano di Continuità Operativa IT
  • Piani di risposta e ripristino IT
  • Test di Continuità Operativa IT

descrive gli obiettivi e i principi generali che il Gruppo Mediobanca e le sue controllate adottano nella gestione e nel monitoraggio delle risorse (asset) IT, al fine di supportare le esigenze del business e preservare la riservatezza, integrità, disponibilità e autenticità delle informazioni

fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione delle attività di cifratura e mascheramento dei dati, in accordo con la metodologia di classificazione delle informazioni e gestione del rischio informatico e in considerazione delle implicazioni in materia di privacy sui dati personali

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management

descrive le azioni da adottare al fine di individuare, gestire e notificare gli incidenti relativi ai sistemi informativi e alla sicurezza delle informazioni che potrebbero danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione delle identità che garantiscono l’identificazione e l’autenticazione univoca degli utenti e dei sistemi che accedono alle informazioni di Mediobanca e le sue controllate, al fine di consentire una corretta assegnazione dei diritti di accesso

fornisce le regole per l’adozione e la gestione di una soluzione di Data Loss Prevention (DLP) al fine di preservare la disponibilità, l’autenticità, l’integrità e la riservatezza delle informazioni gestite dalla Banca e garantire un corretto bilanciamento tra il rischio relativo all’interruzione dell’operatività di business e quello relativo alla perdita di confidenzialità delle informazioni

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione sicura delle reti di telecomunicazione, in accordo con la normativa esterna e interna in materia di sicurezza delle informazioni

fornisce i criteri e le regole per la gestione sicura dei servizi di pagamento a cui attenersi per supportare le esigenze del business e degli utenti, tutelando la sicurezza delle informazioni archiviate e trasmesse e garantendo il rispetto della normativa vigente e un’adeguata gestione dei rischi

fornisce i criteri e le regole di carattere generale da assicurare, in fase di esercizio, per il raggiungimento di un elevato livello di sicurezza dei sistemi informativi aziendali, in modo da proteggere in maniera adeguata le informazioni trattate tramite gli stessi

fornisce i criteri e le regole di carattere generale per l’acquisizione, lo sviluppo e la manutenzione di sistemi informativi allo scopo di preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati