Generali Group

                                 

          Group security

          La nostra Mission

          “Security’’ per noi significa proteggere i clienti, i dipendenti e i dati dei partner commerciali, garantendo sicurezza nell’ecosistema aziendale e continuità alle attività di business. L'attuale contesto, in cui l'evoluzione tecnologica comporta anche una crescita esponenziale delle minacce informatiche e le regole sempre più stringenti da parte delle authority, pongono sfide rilevanti alle aziende. Ci impegniamo, pertanto, a garantire che il Gruppo sia costantemente dotato di sistemi di sicurezza adeguati diventando sempre più affidabile per i nostri stakeholder.

          Per realizzare la nostra mission ed essere in grado di gestire efficacemente la crescente complessità dei rischi legati alla sicurezza, abbiamo adottato un approccio “One-Security”, basato su una forte integrazione tra Information & Cyber e Physical & Corporate Security.

          L'adozione di tale approccio olistico per la Sicurezza porta ad una integrazione dei processi e degli strumenti per l'identificazione, valutazione e gestione dei rischi per la sicurezza e ad una crescente resilienza contro gli eventi avversi.

          In particolare, ci impegniamo a:

          • proteggere l’ecosistema della compagnia e rafforzare gli standard di sicurezza
          • definire regolamenti interni di sicurezza e monitorare la loro implementazione
          • definire un solido processo di gestione per i rischi legati alla Sicurezza
          • assicurare l'implementazione di misure di sicurezza per la gestione delle minacce legate alla Sicurezza
          • favorire conoscenza e consapevolezza sul tema presso tutti i dipendenti

          Il nostro modello di Governance

          Il Group Chief Security Officer presidia le tematiche di Sicurezza all'interno del Gruppo, con il compito di identificare e attuare la strategia di Sicurezza di Gruppo e gestire il relativo budget; riferisce regolarmente in materia di sicurezza al Consiglio di Amministrazione. Per rafforzare, in particolare, la gestione dei rischi per la sicurezza informatica, il Group Risk Management ha costituito un'unità dedicata esclusivamente al monitoraggio e alla gestione del rischio informatico. L'unità è denominata "Group IT Risk Framework".

          Le tematiche di Sicurezza sono regolamentate da un quadro normativo strutturato di Gruppo, recentemente integrato da un modello di gestione delle crisi.

          Per proteggerci costantemente dalle nuove minacce, il nostro Programma di Sicurezza a lungo termine viene periodicamente rivisto e integrato: abbiamo sviluppato una strategia di sicurezza IT aggiornata, denominata Cyber Security Transformation Program 2, 2020-2022, con l'obiettivo di aumentare ulteriormente la nostra posture di sicurezza attraverso l'adozione di soluzioni innovative e avanzate e la progressiva standardizzazione e centralizzazione dei servizi di sicurezza del Gruppo. Tutti i progetti definiti e inclusi nel programma vengono regolarmente rivisti, in base a una pianificazione definita, mentre la strategia a lungo termine viene revisionata annualmente. 

          Il programma evolutivo di sicurezza è stato concordato dal Senior Management del Gruppo con il Consiglio d’Amministrazione, previa revisione da parte del Comitato Controllo e Rischi.

          Il Consiglio di Amministrazione, con il supporto del Comitato Controllo e Rischi, è titolare di tutte le decisioni riguardanti la sicurezza cibernetica e la governance delle tecnologie dell’informazione e della comunicazione e riceve informativa, almeno una volta l’anno, sull’implementazione nelle società del Gruppo del Piano Strategico di Sicurezza di Gruppo (nel corso del 2020 il Consiglio di Amministrazione e il Comitato Controllo e Rischi hanno esaminato più volte la tematica della sicurezza cibernetica).

          La funzione di Group Audit esegue regolarmente attività di revisione interna sulle tematiche di sicurezza cibernetica e sia il Comitato Controllo e Rischi sia Consiglio di Amministrazione sono prontamente informati, almeno una volta l’anno, circa i risultati di tali attività di revisione interna, nonché sugli aggiornamenti in relazione ai rilievi riscontrati.


          Il nostro modello operativo

          Continuiamo a potenziare la nostra capacità di prevenire, rilevare e rispondere a potenziali cyber attacchi, implementando le più innovative soluzioni di sicurezza e migliorando costantemente i nostri processi di risposta. Tramite il Security Operation Center (SOC) siamo in grado di monitorare 24 ore al giorno tutti gli eventi registrati dalle nostre soluzioni di sicurezza, rilevare potenziali incidenti e intervenire con azioni di contenimento e ripristino. Inoltre, è stato definito un processo dedicato per consentire ai dipendenti di notificare eventuali eventi sospetti in modo che il SOC possa rispondere prontamente. Abbiamo definito un piano di Business Continuity e Disaster Recovery e una procedura di Incident Response per garantire adeguatamente la protezione o, se non possibile, il tempestivo ripristino dei dati, dei servizi e delle attività aziendali critiche in caso di incidente rilevante o crisi. Tale piano viene aggiornato e testato annualmente.

          Monitoriamo l'evoluzione e i trend delle minacce attraverso il nostro servizio di intelligence al fine di prevenire proattivamente o essere pronti a reagire prontamente a potenziali minacce.

          Svolgiamo annualmente attività di vulnerability assessment sul perimetro interno ed esterno al fine di identificare potenziali vulnerabilità nei nostri sistemi ed in aggiunta testiamo le capacità di risposta del nostro SOC tramite simulazioni di attacchi cyber. Tutte le soluzioni riguardanti i nostri clienti, anche quelle basate su tecnologia IoT, vengono testate accuratamente sotto il profilo della sicurezza. 

          Focalizzandoci sulla gestione sicura dell'intera filiera, abbiamo adottato processi e strumenti adeguati per l'identificazione, la valutazione e la gestione del rischio per la sicurezza di Terze Parti, con un forte impegno a garantire la transizione e l'utilizzo dei servizi cloud in sicurezza.

          Abbiamo definito e implementato adeguate procedure per garantire la protezione degli edifici aziendali, degli spazi di lavoro interni e dei dipendenti durante i viaggi di lavoro e per gestire tutti gli aspetti legati alla Corporate Security.

          Crediamo che il fattore umano sia fondamentale per proteggere le nostre informazioni. Abbiamo infatti definito un programma di sensibilizzazione sulla sicurezza rivolto a tutti i dipendenti, che si sviluppa mediante varie iniziative quali training dedicati, video e comunicazioni ad hoc, insieme a campagne interne che simulano attacchi di phishing. Sono inoltre stati previsti eventi di sensibilizzazione nelle sedi aziendali e virtuali con l’obiettivo di aumentare il coinvolgimento dei dipendenti promuovendo le buone pratiche di comportamento in ambito di sicurezza informatica. Tutto il materiale è disponibile sul portale di gruppo dedicato ai dipendenti. Alcuni episodi sono legati a specifiche aree di sicurezza delle informazioni, tra cui la classificazione delle informazioni, la sicurezza di smartphone e tablet e l’ingegneria sociale.

          Abbiamo inoltre adottato una polizza assicurativa di Gruppo per ridurre l'esposizione residua al rischio cyber, considerata nel Modello Interno di Gruppo per il calcolo del capitale per i rischi operativi.

           

          Vedi le nostre Certificazioni