A causa della natura del nostro business, ogni giorno raccogliamo, trattiamo e gestiamo informazioni di varia natura sulla clientela, sia in forma cartacea che elettronica.

La salvaguardia delle informazioni è un impegno per noi imprescindibile e irrinunciabile, così come la loro riservatezza, integrità e disponibilità, perché alla base del rapporto di fiducia nonché degli obblighi legislativi che si applicano ai nostri servizi.

Lavoriamo costantemente per il miglioramento del nostro sistema di controllo di gestione del rischio IT e di sicurezza, anche attraverso l’implementazione di soluzioni e servizi di Cyber Security quali ad esempio la Cyber Intelligence.

Siamo costantemente al lavoro per rafforzare la nostra strategia di gestione della sicurezza delle informazioni proteggendo e garantendo la loro riservatezza, integrità e disponibilità durante tutto il loro ciclo di vita. Particolare attenzione è posta alla fase di distribuzione nella quale vengono adottati protocolli di comunicazione sicuri e certificati digitali.

Relativamente alla gestione degli accessi logici degli utenti alle informazioni vengono perseguiti i principi del need to know e del least privilege.

Negli ultimi anni, il Gruppo ha continuato a rafforzare le misure di sicurezza per la protezione dei dati riservati quali la cifratura di quelli conservati nei database e la mascheratura di quelli presenti negli ambienti di sviluppo e collaudo.

Inoltre, il Gruppo Mediobanca svolge continue verifiche di sicurezza e attività di gestione dei rischi atte a garantire adeguati presidi di controllo, organizzativi e tecnologici, su tutto il perimetro del Gruppo, nonché regolari campagne di security awareness per i nostri dipendenti e clienti, volte a rafforzare la consapevolezza aziendale sui temi di protezione delle informazioni.

Il programma di Information Security Awareness è ormai consolidato e viene aggiornato annualmente a seguito dell’evoluzione delle minacce cyber per tutto il Gruppo Mediobanca.

Politiche e direttive di gruppo sulla gestione dei rischi di information security

descrive gli obiettivi e i principi generali che il Gruppo Mediobanca adotta nel trattamento delle informazioni, al fine di garantirne la sicurezza supportando le esigenze del business e allo stesso tempo assicurando il rispetto della normativa interna ed esterna in materia di sicurezza e gestione del rischio

definisce il quadro organizzativo e metodologico che il Gruppo Mediobanca adotta nell’ambito della gestione del rischio IT e di sicurezza, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse IT e di graduare le misure di mitigazione in funzione dello stato del rischio IT e di sicurezza

fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione delle attività di cifratura e mascheramento dei dati, in accordo con l’analisi del rischio IT e di Sicurezza, l’analisi di criticità privacy e la classificazione delle informazioni

fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management

definisce gli obiettivi e i principi di sicurezza cui le terze parti devono attenersi in accordo con la propensione al rischio definita a livello aziendale e coerentemente con la normativa interna in materia di trattamento di informazioni privilegiate e confidenziali

descrive le azioni da adottare per la gestione degli incidenti relativi ai sistemi informativi e alla sicurezza delle informazioni che generano, o possono generare, disservizi agli utenti, impatti sul business aziendale o rischi per la protezione dei dati personali