Page 53 - Dichiarazione non finanziaria consolidata
P. 53
Banca Ifis | Dichiarazione non finanziaria consolidata 2021
segnalazioni relative a tentativi di frode inerenti all’ambito bancario. Tali segnalazioni sono state condivise con i colleghi
delle altre strutture della banca interessate.
Sono state adottate, inoltre, stringenti misure di protezione, volte a ridurre ulteriormente il livello di rischio su specifici
ambiti:
• dell’infrastruttura e-mail della banca, attraverso l’introduzione di un sistema anti-phishing per l’individuazione di
email malevole in maniera maggiormente efficace;
• delle password aziendali, attraverso una maggior complessità delle stesse, con la contestuale introduzione
progressiva della Multi Factor Authentication a tutta la popolazione aziendale;
Infine, nel corso dell’anno 2021 è stata effettuata una campagna di simulazione di attacco di phishing volta alla
sensibilizzazione dei dipendenti sul tema della sicurezza informatica.
La campagna rientra nell’ambito di un più ampio più ampio programma di iniziative avviato dalla Banca al fine di
aumentare il livello di compliance normativo e la cyber security posture necessaria al raggiungimento degli obiettivi di
evoluzione digitale prefissati.
Tra le attività di miglioramento del livello di sicurezza delle informazioni si citano:
• l’introduzione di misure di network security ad ulteriore protezione del perimetro tecnologico della banca;
• l’ampliamento del perimetro dei test di sicurezza, attività volta ad individuare eventuali vulnerabilità e porvi
rimedio;
• l’effettuazione di attività di Red Teaming e cioè attività che si caratterizzano per la capacità di simulare un
avversario reale che tenta di violare il perimetro tecnologico dei servizi esposti, delle applicazioni web, ecc. Ciò
permette all’azienda di allenare i team preposti a rispondere agli attacchi informatici, individuando anche gli
eventuali ambiti di miglioramento;
• la simulazione di campagne di ransomware mirate al fine di rafforzare la consapevolezza circa i rischi legati a
questo tipo di minaccia.
Il processo di gestione degli incidenti di sicurezza delle informazioni è volto a garantire che eventuali eventi anomali con
possibili ripercussioni sul livello di sicurezza aziendale (fisica e logica) e sulla disponibilità dei Servizi IT siano
tempestivamente riconosciuti come incidenti di sicurezza informatica e quindi correttamente gestiti dalle strutture
competenti.
Le segnalazioni e gli eventi che possono determinare incidenti di sicurezza possono provenire da diversi canali interni
(altre unità organizzative) ed esterni (clienti, fornitori e canali istituzionali). L’Unità Organizzativa Information Security
Governance gestisce tali segnalazioni in collaborazione con le eventuali altre parti coinvolte ed interessate, secondo
l’entità e la tipologia dell’evento stesso.
Tutela dei dati personali
Il principale documento normativo interno in materia di protezione dei dati personali è rappresentato dal Manuale
regolamentare in materia di privacy approvato dal Consiglio di Amministrazione di Banca Ifis in qualità di Capogruppo e
recepito dalle controllate tramite Direttiva. Questo, insieme alle norme e procedure privacy, costituiscono il modello di
gestione della privacy e l’insieme delle linee guida e delle regole che indicano come i dati personali sono protetti nel
contesto aziendale.
La funzione Privacy & Security, in particolare attraverso l’unità dedicata alla Privacy:
• predispone e aggiorna la documentazione interna prevista dalla normativa in materia di privacy;
• monitora e controlla periodicamente l’osservanza della normativa e l’implementazione delle misure di sicurezza
previste dalla legge;
• analizza le modalità di trattamento dei dati personali adottate dalla Banca e i rischi ad esse associati;
45
