Best practice

Dal 2015 il Gruppo Generali fa parte del consorzio ORX (Operational Risk data eXchange association), un'organizzazione nata per condividere “eventi negativi” tra i principali peers internazionali, operanti nel settore assicurativo e bancario. L'obiettivo è utilizzare le informazioni raccolte per migliorare i controlli interni e anticipare i trend emergenti: la funzione Risk Management condivide questi dati anche con il Risk Owner per aumentare la consapevolezza sul fenomeno e migliorare l'efficacia complessiva delle valutazioni a lungo termine. Il Gruppo Generali è inoltre membro del CRO Forum, collaboratore attivo del gruppo di lavoro sul Cyber Risk, il cui obiettivo principale è sviluppare tecniche per la gestione del rischio in materia di guerra e terrorismo informatici e standard di riferimento per la gestione del rischio cyber.

Infine, abbiamo accordi con le autorità nazionali in materia di sicurezza informatica (CSIRT Italia) principalmente incentrati sulla condivisione delle informazioni di intelligence sulle minacce.

Nel 2019, la funzione Group Operational and IT Risk ha collaborato con le funzioni Global Corporate & Commercial e le funzioni CRO di tutte le Legal Entity del Gruppo che ospitano un datacenter, per definire un approccio omogeneo e standardizzato all'analisi del rischio di disastri naturali sui data center.
Quattro pilastri hanno costituito le fondamenta del processo di valutazione del rischio: una tassonomia comune per classificare i rischi e i relativi sistemi di controllo, un inventario condiviso delle misure di mitigazione, un modello di valutazione qualitativa personalizzato e un set di report standard per raccogliere le valutazioni dei rischi residui nei data center.
Con questo obiettivo, per prima cosa abbiamo valutato l'esposizione potenziale dei datacenter ai rischi di disastri naturali, compresi quelli legati ai cambiamenti climatici quali alluvioni, tempeste, grandine, tornado e incendi, prendendo in considerazione l'ubicazione, il tipo di catastrofe e il valore degli asset, tenendo conto anche del giudizio degli esperti. Successivamente, il modello costruito ha permesso di capire se i controlli messi in atto erano appropriati per presidiare i suddetti rischi. Le azioni di mitigazione sono state classificate e mappate sui rischi corrispondenti. È stata così ottenuta una valutazione del rischio residuo per ogni data center, riassunta in un report standardizzato per tutto il Gruppo.
Tutte le sedi hanno ottenuto una valutazione di rischio residuo basso o molto basso, a dimostrazione della resilienza alle catastrofi naturali dei datacenter del Gruppo.
Questa analisi approfondita ha portato alla luce alcuni punti di miglioramento che sono già stati indirizzati.

In Italia il nostro programma di sensibilizzazione sulla sicurezza è stato premiato per la sua innovatività tra 250 candidati con il "Premio Adriano Olivetti". Lo scopo del programma è quello di sensibilizzare tutti i dipendenti del Gruppo Generali sui possibili rischi per la sicurezza e insegnare come affrontarli correttamente, attraverso un innovativo formato di video-fiction: diversi episodi che coinvolgono attori professionisti e sceneggiature coinvolgenti.

Il Cyber Risk Management framework è una metodologia innovativa, con l'obiettivo di gestire, comprendere, misurare e mitigare i rischi informatici. È stato premiato con il "GRC - Governance, Risk and Compliance Excellence Award": tale metodologia, sviluppata da Generali, è stata presentata al Summit RSA EMEA di Londra, in concorrenza con altri partecipanti, a rappresentanza delle principali istituzioni finanziarie internazionali.