Information Security

Mai come ora le informazioni sono al centro delle nostre vite, sia in termini di opportunità che di rischi. In Mediobanca, la sicurezza delle informazioni è un impegno chiave nel processo di sviluppo dei nostri servizi

A causa della natura del nostro business, ogni giorno raccogliamo, trattiamo e gestiamo informazioni di varia natura sulla clientela oltre a quelle dei dipendenti, sia in forma cartacea che elettronica.

La salvaguardia delle informazioni è un impegno per noi imprescindibile e irrinunciabile, così come la loro riservatezza, integrità e disponibilità, perché alla base del rapporto di fiducia nonché degli obblighi legislativi che si applicano ai nostri servizi.

Lavoriamo costantemente per il miglioramento del nostro sistema di controllo di gestione del rischio informatico, anche attraverso l’implementazione di soluzioni e servizi sempre più evoluti di Cyber Security.

Siamo costantemente al lavoro per rafforzare la nostra strategia di gestione della sicurezza delle informazioni proteggendo e garantendo la loro riservatezza, integrità,disponibilità e autenticità durante tutto il loro ciclo di vita. 
Negli ultimi anni, il Gruppo ha continuato a rafforzare le misure di sicurezza per la protezione dei dati riservati quali la cifratura di quelli conservati nei database e la mascheratura di quelli presenti negli ambienti di sviluppo e collaudo. Particolare attenzione è posta alla fase di distribuzione nella quale vengono adottati protocolli di comunicazione sicuri e certificati digitali.

Per garantire che non ci siano accessi non autorizzati alle informazioni vengono perseguiti i principi del need to know, least privilege e need to use nella gestione degli accessi logici degli utenti.

Inoltre, il Gruppo Mediobanca svolge continue verifiche di sicurezza e attività di gestione dei rischi atte a garantire adeguati presidi di controllo, organizzativi e tecnologici, su tutto il perimetro del Gruppo, nonché regolari campagne di security awareness per i nostri dipendenti e clienti, volte a rafforzare la consapevolezza aziendale sui temi di protezione delle informazioni.
Il programma di Information Security Awareness è ormai consolidato e viene aggiornato annualmente a seguito dell’evoluzione delle minacce cyber per tutto il Gruppo Mediobanca.
Di seguito vengono riportate le principali politiche e direttive in ambito sicurezza delle informazioni e gestione dei rischi informatici.
 

Politiche e direttive di gruppo sulla gestione dei rischi informatici e information security

descrive gli obiettivi e i principi generali che il Gruppo Mediobanca adotta nel trattamento delle informazioni, al fine di garantirne la sicurezza supportando le esigenze del business e allo stesso tempo assicurando il rispetto della normativa interna ed esterna in materia di sicurezza e gestione del rischio.

In coerenza con quanto definito all’interno del Quadro per la gestione dei rischi informatici del Gruppo Mediobanca, la Politica descrive le regole e i principi che il Gruppo adotta per tutelare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, dei servizi, dei patrimoni informativi e degli asset IT sia del Gruppo che dei clienti, nonché la sicurezza del sistema informatico e di rete utilizzati dal Gruppo Mediobanca, su cui si fonda la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di eventi avversi.
In particolare, la Politica declina tali principi generali con riferimento ai seguenti ambiti:

  • aspetti organizzativi della sicurezza;
  • formazione e sensibilizzazione sulla sicurezza dell’informazione; 
  • sicurezza fisica e ambientale; 
  • gestione del sistema informativo (es. gestione degli accessi logici, delle vulnerabilità, acquisizione, sviluppo e manutenzione dei sistemi informativi);
  • gestione degli incidenti connessi all’IT;
  • aspetti di sicurezza nella gestione della continuità operativa.

I principi generali, definiti dalla presente Politica, sono maggiormente declinati all’interno dei documenti normativi interni predisposti con riferimento ai singoli ambiti (ad esempio, Politiche, Direttive, Procedure operative, Manuali).

definisce il quadro organizzativo e metodologico che il Gruppo Mediobanca adotta nell’ambito della gestione dei rischi informatici, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse ICT e di graduare le misure di mitigazione in funzione dello stato del rischio informatico. 

fornisce i principi per la gestione della Continuità Operativa e ne definisce il modello organizzativo e di governo a livello di Gruppo con particolare riferimento ai seguenti aspetti:

  • Piano di Continuità Operativa IT
  • Piani di risposta e ripristino IT
  • Test di Continuità Operativa IT.

fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione delle attività di cifratura e mascheramento dei dati, in accordo con l’analisi del rischio IT e di Sicurezza, l’analisi di criticità privacy e la classificazione delle informazioni

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management

definisce gli obiettivi e i principi di sicurezza cui le terze parti devono attenersi in accordo con la propensione al rischio definita a livello aziendale e coerentemente con la normativa interna in materia di trattamento di informazioni privilegiate e confidenziali

descrive le azioni da adottare per la gestione degli incidenti relativi ai sistemi informativi e alla sicurezza delle informazioni che generano, o possono generare, disservizi agli utenti, impatti sul business aziendale o rischi per la protezione dei dati personali