Stai utilizzando una versione obsoleta di Internet Explorer.
Per una navigazione ottimale del sito ti consigliamo di aggiornare il browser ad una versione più recente: Aggiorna IExplorer

Sicurezza informatica Il Gruppo considera di importanza strategica garantire la protezione del patrimonio informativo dell’Azienda, dei propri clienti e degli altri stakeholder, e assicurare la sicurezza delle transazioni.

In un panorama mondiale in cui la tecnologia assume un ruolo determinante per lo sviluppo e la continuità del business aziendale, Poste Italiane ritiene necessaria l’adozione di sistemi di sicurezza efficaci a protezione del patrimonio informativo aziendale, scongiurando la possibilità che le proprie infrastrutture informatiche possano subire attacchi e conseguenti violazioni di dati. Attraverso i propri sistemi di sicurezza informatica, il Gruppo assicura il corretto funzionamento e l’erogazione dei propri servizi e garantisce la riservatezza dei dati e delle informazioni, impedendo qualunque tipologia di accesso a soggetti non autorizzati. 

In tale ottica, la funzione Corporate Affairs - Sicurezza Informatica effettua mensilmente valutazioni del rischio cyber aziendale, adottando una metodologia che valuta il rischio da un punto di vista puramente tecnologico, basandosi sulle verifiche tecniche di sicurezza svolte sui singoli applicativi o su gruppi di questi. In particolare, Poste Italiane mette in atto tre tipologie di attività di sicurezza preventive:
  • Vulnerability Assessment, è il processo di identificazione, misurazione e prioritizzazione delle vulnerabilità di un sistema. Viene eseguita con appositi tool due volte l’anno per ogni applicativo;
  • Code Review (Statica e Dinamica), rappresenta il processo di controllo del codice sorgente di un'applicazione per verificare che siano presenti i controlli di sicurezza corretti e che funzionino come previsto. Attraverso appositi tool, viene effettuata la verifica sia del codice sorgente (cd. “CR Statica”) che del codice in esecuzione (cd. “CR Dinamica”);
  • Penetration Test, è il processo di valutazione della sicurezza di un sistema o di una rete tramite la simulazione di attacchi (anche hacker) che puntano ad accedere indebitamente al sistema. Essendo un’attività onerosa in termini di tempo, viene eseguita su un perimetro specifico di applicazioni.
Le attività di Vulnerability Assessment e Penetration Test, svolte anche mediante la simulazione di attacchi hacker, vengono altresì condotte nell’ambito delle verifiche svolte ai fini dell’ottenimento / mantenimento della certificazione ISO 27001.
Poste Italiane affianca queste misure precauzionali ad altri due parametri indispensabili al fine di assicurare una efficace ed efficiente gestione dei rischi informatici potenziali in Azienda: patching e hardening; insieme, queste attività sono volte a risolvere vulnerabilità mantenendo il sistema operativo, il firmware e le applicazioni aggiornate, attivando solo le porte e i servizi richiesti e offuscando i componenti del sistema facilmente violabili.

Nel corso del 2022 è stata avviata l’implementazione del nuovo modello BCM (Business Continuity Manangement) nel perimetro finanziario con la definizione del relativo Piano di Continuità Operativa, della Metodologia di Analisi e Valutazione del Rischio per la Continuità Operativa. Sono state testate le soluzioni organizzative e tecnologiche per la continuità e svolti eventi formativi sulla tematica della continuità operativa.
 
 
Il Gruppo ha dato vita a una serie di ulteriori iniziative:
  • ha elaborato un Security Planning, definendo e attuando una metodologia per la pianificazione delle verifiche tecniche di sicurezza (Penetration Test, Code Review Statica e Dinamica) derivanti da requisiti normativi/contrattuali e dal processo di Security By Design;
  • ha esteso il perimetro di analisi del Cyber Risk agli ambiti BancoPosta, PostePay, Poste Vita, Poste Assicura, Poste Welfare Servizi e ad ulteriori perimetri di compliance/sicurezza;
  • ha istituito il Comitato di Sicurezza Informatica – DTO, un tavolo periodico di lavoro tra le funzioni Sicurezza Informatica e Digital, Technology & Operations con l’obiettivo di programmare e indirizzare le attività di sicurezza in maniera congiunta e identificare le aree di miglioramento;
  • per garantire una migliore gestione del tema, la responsabilità della sicurezza informatica di Gruppo è stata affidata a un Chief Information Security Officer (CISO).
 
Al fine di garantire la continuità operativa aziendale per la gestione di situazioni di crisi conseguenti a incidenti di portata settoriale, aziendale o catastrofi estese che colpiscono il Gruppo, Poste Italiane ha definito e implementato un piano di continuità operativa aziendale basato su un’appropriata identificazione dei sistemi maggiormente critici, delle potenziali minacce che possono realizzarsi su di essi e delle contromisure da adottare. Tale piano deve, quindi, descrivere i criteri, le procedure, le misure tecniche e organizzative e gli strumenti adottati per la gestione delle emergenze (Contingency Plan) e per il ripristino delle condizioni operative antecedenti il verificarsi di un evento dannoso (Disaster Recovery) in conformità ai Service Level Agreement (SLA) concordati con il cliente interno. Per garantirne l’efficacia nel tempo, il piano di continuità operativa viene testato e aggiornato con frequenza periodica (almeno semestralmente) ed a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali oppure, più in generale, in tutte quelle situazioni in grado di generare nuovi rischi.



PROTEZIONE DEI DATI PERSONALI

Al fine di garantire la piena compliance alla normativa in materia di protezione dei dati personali e, in particolare, alle disposizioni previste dal General Data Protection Regulation (GDPR), il Gruppo ha potenziato il proprio sistema normativo aziendale il cui punto di riferimento è rappresentato dalla Policy Aziendale in Materia di Protezione Dati Personali e dalle Linee Guida Privacy e Sistema di Gestione della protezione dei dati personali, quest’ultima introdotta con l’obiettivo di garantire una gestione dei dati uniforme a livello di Gruppo. In particolare, la Linea Guida illustra il modello privacy aziendale, i principi di Privacy by Design e Privacy by Default, che stabiliscono la necessità da parte dell’Azienda di assicurare un’adeguata protezione dei dati personali fin dalla progettazione dei prodotti/servizi e dei sistemi informatici e di garantire il rispetto della normativa privacy in via predefinita nei processi di raccolta e trattamento dei dati, nonché i principali processi adottati dal Gruppo Poste Italiane e le relative responsabilità, con l’obiettivo di assicurare una corretta gestione dei rischi in materia di protezione dei dati personali.
Inoltre, per garantire i massimi standard di protezione dei dati personali, il Gruppo effettua annualmente degli audit al fine verificare la conformità della propria policy sulla privacy. Nello specifico, tali audit vengono condotti sia internamente attraverso le funzioni del Gruppo, che esternamente nell'ambito delle verifiche realizzate per l'ottenimento e il mantenimento delle certificazioni ISO 27001 e ISO 20001.

Per ottemperare a tali obblighi e garantire il miglioramento continuo del sistema di gestione, Poste Italiane ha definito un Framework Privacy capace di evidenziare le principali aree di interesse su cui porre l’attenzione, i relativi presidi organizzativi e tecnici sviluppati, e di offrire con continuità il monitoraggio dei progressi raggiunti. 
Poste Italiane individua per tutto il Gruppo la figura del Data Protection Officer, soggetto esperto di privacy che assume la responsabilità di vigilare sull’osservanza della normativa in materia di protezione dei dati personali da parte del titolare del trattamento, così come disposto dal GDPR, e che garantisce anche l’impulso verso un continuous improvement.

Sicurezza Informatica smart working
 

COMPUTER EMERGENCY RESPONSE TEAM (CERT) E ALTRI SISTEMI DI CONTROLLO DEI PROCESSI DI BUSINESS

Per poter garantire a livello di Gruppo il presidio delle attività di cybersecurity e data protection, e contrastare in maniera attiva la criminalità informatica, nel 2013 Poste Italiane ha istituito il CERT (Computer Emergency Response Team). Il team si compone di esperti di sicurezza informatica che esplicano le proprie funzioni operando in tempo reale 24 ore su 24 per prevenire i rischi, gestire gli incidenti informatici che colpiscono i sistemi aziendali e elaborare azioni in risposta ad eventi di tipo cibernetico, rafforzando in questo modo la capacità di difesa dell’intera Azienda. 
In aggiunta, allo scopo di creare una cultura diffusa su tutto il tessuto nazionale con riferimento ai temi di sicurezza  informatica, il CERT assume il compito di creare momenti di sensibilizzazione, sia all’interno che all’esterno dell’Azienda. L’organizzazione si pone all’interno di una più ampia rete di strutture similari, di taratura nazionale e internazionale, con cui interagisce costantemente per condividere informazioni, indicatori di compromissione e modelli di attacco in generale. In tale contesto Poste Italiane collabora con la struttura CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale. Il CERT ha strutturato i propri servizi in maniera tale da assicurare la protezione complessiva del business di Poste Italiane, agendo su una serie di livelli:
  • perimetro esterno, che previene attacchi raccogliendo e scambiando informazioni su minacce e vulnerabilità che possono colpire i servizi del Gruppo;
  • perimetro interno, che protegge le infrastrutture aziendali e risponde a potenziali emergenze informatiche. 
 
Sicurezza Informatica
 Information Sharing  Condivisione di informazioni con partner istituzionali su attacchi cibernetici. 
Cyber Threat Raccolta da fonti esterne delle minacce informatiche contro i servizi di Poste Italiane.
Incident Handling Gestione degli incidenti informatici del Gruppo Poste Italiane.
Verifiche Infrastrutturali Monitoraggio dei canali internet dove sono esposti i servizi di Poste Italiane.
Awareness Sensibilizzazione di clienti e dipendenti sui rischi cibernetici.
Early Warning Raccolta da fonti esterne delle vulnerabilità che possono riguardare i servizi di Poste Italiane.
Brand Protection Monitoraggio internet per verificare il corretto utilizzo dei brand di Poste Italiane.

Tra i principali sistemi di controllo dei processi di business, l’Accordo sulla sicurezza con la Polizia Postale e il Business Control Center si ricollegano all’attenzione che Poste riserva alla tutela della sicurezza di tutti i suoi clienti e dipendenti, alla luce del suo ruolo di primo piano per il Paese e in sinergia costante con le istituzioni. La struttura ha tra i principali compiti il controllo in tempo reale, 24 ore su 24, dei servizi erogati da Poste Italiane, la tutela della sicurezza dei clienti all’interno degli Uffici Postali e dei dipendenti in tutte le sedi di lavoro, il contrasto alle frodi e al crimine informatico, la sperimentazione dei servizi offerti dall’Azienda.