Group security

Group security

La nostra Mission

“Security’’ per noi significa proteggere i clienti, i dipendenti e i dati dei partner commerciali, garantendo sicurezza nell’ecosistema aziendale e continuità alle attività di business. L'attuale contesto, in cui l'evoluzione tecnologica comporta anche una crescita esponenziale delle minacce informatiche e le regole sempre più stringenti da parte delle authority, pongono sfide rilevanti alle aziende. Ci impegniamo, pertanto, a garantire che il Gruppo sia costantemente dotato di sistemi di sicurezza adeguati diventando sempre più affidabile per i nostri stakeholder.

Per realizzare la nostra mission ed essere in grado di gestire efficacemente la crescente complessità dei rischi legati alla sicurezza, abbiamo adottato un approccio “One-Security”, basato su una forte integrazione tra Information & Cyber e Physical & Corporate Security.

L'adozione di tale approccio olistico per la Sicurezza porta ad una integrazione dei processi e degli strumenti per l'identificazione, valutazione e gestione dei rischi per la sicurezza e ad una crescente resilienza contro gli eventi avversi.

In particolare, ci impegniamo a:

  • proteggere l’ecosistema della compagnia e rafforzare gli standard di sicurezza
  • definire regolamenti interni di sicurezza e monitorare la loro implementazione
  • definire un solido processo di gestione per i rischi legati alla Sicurezza
  • assicurare l'implementazione di misure di sicurezza per la gestione delle minacce legate alla Sicurezza
  • favorire conoscenza e consapevolezza sul tema presso tutti i dipendenti

Il nostro modello di Governance

Il Group Chief Security Officer presidia le tematiche di Sicurezza all'interno del Gruppo, con il compito di identificare e attuare la strategia di Sicurezza di Gruppo e gestire il relativo budget; riferisce regolarmente in materia di sicurezza al Consiglio di Amministrazione. Per rafforzare, in particolare, la gestione dei rischi per la sicurezza informatica, il Group Risk Management ha costituito un'unità dedicata esclusivamente al monitoraggio e alla gestione del rischio informatico. L'unità è denominata "Group IT Risk Framework".

Le tematiche di Sicurezza sono regolamentate da un quadro normativo strutturato di Gruppo, integrato da un modello di gestione delle crisi.

Per proteggerci costantemente dalle nuove minacce, il nostro Programma di Sicurezza a lungo termine viene periodicamente rivisto e integrato: in continuità con il Cyber Security Transformation Program 2, 2020-2022, abbiamo sviluppato il Security Strategic Plan 2022-2024 al fine di garantire un miglioramento continuo dei processi di security di Gruppo e rafforzare la nostra posture di sicurezza. Tutti i progetti definiti e inclusi nel programma vengono regolarmente rivisti, in base a una pianificazione definita, mentre la strategia a lungo termine viene revisionata annualmente. 

Il programma evolutivo di sicurezza è stato concordato dal Senior Management del Gruppo con il Consiglio d’Amministrazione, previa revisione da parte del Comitato Controllo e Rischi.

Il Consiglio di Amministrazione, con il supporto del Comitato Controllo e Rischi, è titolare di tutte le decisioni riguardanti la sicurezza cibernetica e la governance delle tecnologie dell’informazione e della comunicazione e riceve informativa, almeno due volte l’anno, in materia di rischi di sicurezza cibernetica, e sull’implementazione nelle società del Gruppo del Piano Strategico di Sicurezza di Gruppo (nel corso del 2022 il Consiglio di Amministrazione e il Comitato Controllo e Rischi hanno esaminato in più di due occasioni la tematica della sicurezza cibernetica).

La funzione di Group Audit esegue regolarmente attività di revisione interna sulle tematiche di sicurezza cibernetica e sia il Comitato Controllo e Rischi sia Consiglio di Amministrazione sono prontamente informati, almeno una volta l’anno, circa i risultati di tali attività di revisione interna, nonché sugli aggiornamenti in relazione ai rilievi riscontrati.


Il nostro modello operativo

Continuiamo a potenziare la nostra capacità di prevenire, rilevare e rispondere a potenziali cyber attacchi, implementando le più innovative soluzioni di sicurezza e migliorando costantemente i nostri processi di risposta. Tramite il Security Operation Center (SOC) siamo in grado di monitorare 24 ore al giorno tutti gli eventi registrati dalle nostre soluzioni di sicurezza, rilevare potenziali incidenti e intervenire con azioni di contenimento e ripristino. Inoltre, è stato definito un processo dedicato per consentire ai dipendenti di notificare eventuali eventi sospetti in modo che il SOC possa rispondere prontamente. Abbiamo definito un piano di Business Continuity e Disaster Recovery e una procedura di Incident Response per garantire adeguatamente la protezione o, se non possibile, il tempestivo ripristino dei dati, dei servizi e delle attività aziendali critiche in caso di incidente rilevante o crisi. Tale piano viene aggiornato e testato annualmente.

Monitoriamo l'evoluzione e i trend delle minacce attraverso il nostro servizio di intelligence al fine di prevenire proattivamente o essere pronti a reagire prontamente a potenziali minacce.

Svolgiamo annualmente attività di vulnerability assessment sul perimetro interno ed esterno al fine di identificare potenziali vulnerabilità nei nostri sistemi ed in aggiunta testiamo le capacità di risposta del nostro SOC tramite simulazioni di attacchi cyber. Tutte le soluzioni riguardanti i nostri clienti, anche quelle basate su tecnologia IoT, vengono testate accuratamente sotto il profilo della sicurezza. 

Focalizzandoci sulla gestione sicura dell'intera filiera, abbiamo adottato processi e strumenti adeguati per l'identificazione, la valutazione e la gestione del rischio per la sicurezza di Terze Parti, con un forte impegno a garantire la transizione e l'utilizzo dei servizi cloud in sicurezza.

Abbiamo definito e implementato adeguate procedure per garantire la protezione degli edifici aziendali, degli spazi di lavoro interni e dei dipendenti durante i viaggi di lavoro e per gestire tutti gli aspetti legati alla Corporate Security.

Crediamo che il fattore umano sia fondamentale per proteggere le nostre informazioni. Abbiamo infatti definito un programma di sensibilizzazione sulla sicurezza rivolto a tutti i dipendenti che li coinvolge nel corso di tutta la loro permanenza in azienda e che si sviluppa mediante varie iniziative, nel corso dell'anno, quali training dedicati, video e comunicazioni ad hoc, insieme a campagne interne che simulano attacchi di phishing. Sono inoltre stati previsti eventi di sensibilizzazione nelle sedi aziendali e virtuali con l’obiettivo di aumentare il coinvolgimento dei dipendenti promuovendo le buone pratiche di comportamento in ambito di sicurezza informatica. Tutto il materiale è disponibile sul portale di gruppo dedicato ai dipendenti. Alcuni episodi sono legati a specifiche aree di sicurezza, tra cui la sicurezza di device mobili e l’ingegneria sociale.

Abbiamo inoltre adottato una polizza assicurativa di Gruppo per ridurre l'esposizione residua al rischio cyber, considerata nel Modello Interno di Gruppo per il calcolo del capitale per i rischi operativi.

 

Vedi le nostre Certificazioni

Per qualsiasi necessità vogliate segnalarci, relativamente ai temi Security, potete scrivere a Generali Group Security.