Stai utilizzando una versione obsoleta di Internet Explorer.
Per una navigazione ottimale del sito ti consigliamo di aggiornare il browser ad una versione più recente: Aggiorna IExplorer

Sicurezza informatica il Gruppo considera di importanza strategica garantire la protezione del patrimonio informativo dell’Azienda, dei propri clienti e degli altri stakeholder, e assicurare la sicurezza delle transazioni.

In un panorama mondiale in cui la tecnologia assume un ruolo determinante per lo sviluppo e la continuità del business aziendale, Poste Italiane ritiene necessaria l’adozione di sistemi di sicurezza efficaci a protezione del patrimonio informativo aziendale, scongiurando la possibilità che le proprie infrastrutture informatiche possano subire attacchi e conseguenti violazioni di dati. Attraverso i propri sistemi di sicurezza informatica, il Gruppo assicura il corretto funzionamento e l’erogazione dei propri servizi e garantisce la riservatezza dei dati e delle informazioni, impedendo qualunque tipologia di accesso a soggetti non autorizzati. 

In tale ottica, la funzione Corporate Affairs - Sicurezza Informatica effettua mensilmente valutazioni del rischio cyber aziendale, adottando una metodologia che valuta il rischio da un punto di vista puramente tecnologico, basandosi sulle verifiche tecniche di sicurezza svolte sui singoli applicativi o su gruppi di questi. In particolare, Poste Italiane mette in atto tre tipologie di attività di sicurezza preventive:
  • Vulnerability Assessment, è il processo di identificazione, misurazione e prioritizzazione delle vulnerabilità di un sistema. Viene eseguita con appositi tool due volte l’anno per ogni applicativo;
  • Code Review (Statica e Dinamica), rappresenta il processo di controllo del codice sorgente di un'applicazione per verificare che siano presenti i controlli di sicurezza corretti e che funzionino come previsto. Attraverso appositi tool, viene effettuata la verifica sia del codice sorgente (cd. “CR Statica”) che del codice in esecuzione (cd. “CR Dinamica”);
  • Penetration Test, è il processo di valutazione della sicurezza di un sistema o di una rete tramite la simulazione di attacchi che puntano ad accedere indebitamente al sistema. Essendo un’attività onerosa in termini di tempo, viene eseguita su un perimetro specifico di applicazioni.
 
Il Gruppo ha dato vita a una serie di ulteriori iniziative:
  • ha elaborato un Security Planning, definendo e attuando una metodologia per la pianificazione delle verifiche tecniche di sicurezza (Penetration Test, Code Review Statica e Dinamica) derivanti da requisiti normativi/contrattuali e dal processo di Security By Design;
  • ha esteso il perimetro di analisi del Cyber Risk agli ambiti BancoPosta, PostePay, Poste Vita, Poste Assicura, Poste Welfare Servizi e ad ulteriori perimetri di compliance/sicurezza;
  • ha istituito il Comitato di Sicurezza Informatica – DTO, un tavolo periodico di lavoro tra le funzioni Sicurezza Informatica e Digital, Technology & Operations con l’obiettivo di programmare e indirizzare le attività di sicurezza in maniera congiunta e identificare le aree di miglioramento. 
 
Le principali aree di intervento di Poste Italiane si riflettono nella Protezione dei dati personali e nel Computer Emergency Response Team (CERT) e gli altri sistemi di controllo dei processi di business.
 

COVID-19: GESTIONE INTEGRATA E CONTINUITÀ OPERATIVA DELLO SMART WORKING

Nell’ambito della gestione degli impatti derivanti dal contesto emergenziale, Poste Italiane ha preso in considerazione, sin dalle prime fasi della pandemia, gli aspetti di sicurezza, a partire dai quali sono stati definiti i driver utilizzati per l’attuazione delle strategie di sicurezza informatica.
 
Sicurezza Informatica smart working
A tal proposito, con riferimento alle attività di monitoraggio e di verifica della sicurezza, Poste Italiane ha posto in essere una serie di interventi e presidi per la gestione in sicurezza dell’emergenza Covid-19, garantendo continuità al proprio modello di smart working. In particolare:
 
  • monitoraggio continuo del numero dei collegamenti VPN, tipologia, finalità e sicurezza degli accessi remoti alla intranet aziendale;
  • monitoraggio del livello di aggiornamento, patching e sicurezza dei sistemi operativi utilizzati, sia per i PC/laptop aziendali che per i dispositivi BYOD (Bring Your Own Device);
  • monitoraggio degli accessi di terze parti e dei relativi aspetti di sicurezza;
  • monitoraggio degli accessi di AdS (Amministratori di Sistema) e dei relativi aspetti di sicurezza;
  • verifica ed eventuale blocco di connessioni remote provenienti da indirizzi IP stranieri e/o non attendibili in termini di sicurezza.


PROTEZIONE DEI DATI PERSONALI

Al fine di garantire la piena compliance alla normativa in materia di protezione dei dati personali e, in particolare, alle disposizioni previste dal General Data Protection Regulation (GDPR), il Gruppo ha potenziato il proprio sistema normativo aziendale il cui punto di riferimento è rappresentato dalla Policy Aziendale in Materia di Protezione Dati Personali e dalle Linee Guida Privacy e Sistema di Gestione della protezione dei dati personali, quest’ultima introdotta con l’obiettivo di garantire una gestione dei dati uniforme a livello di Gruppo. In particolare, la Linea Guida illustra il modello privacy aziendale, i principi di Privacy by Design e Privacy by Default, che stabiliscono la necessità da parte dell’Azienda di assicurare un’adeguata protezione dei dati personali fin dalla progettazione dei prodotti/servizi e dei sistemi informatici e di garantire il rispetto della normativa privacy in via predefinita nei processi di raccolta e trattamento dei dati, nonché i principali processi adottati dal Gruppo Poste Italiane e le relative responsabilità, con l’obiettivo di assicurare una corretta gestione dei rischi in materia di protezione dei dati personali. 
Per ottemperare a tali obblighi e garantire il miglioramento continuo del sistema di gestione, Poste Italiane ha definito un Framework Privacy capace di evidenziare le principali aree di interesse su cui porre l’attenzione, i relativi presidi organizzativi e tecnici sviluppati, e di offrire con continuità il monitoraggio dei progressi raggiunti. 
 
Sicurezza Informatica protezione dati personali

COMPUTER EMERGENCY RESPONSE TEAM (CERT) E ALTRI SISTEMI DI CONTROLLO DEI PROCESSI DI BUSINESS

Al fine di garantire a livello di Gruppo il presidio delle attività di cybersecurity e data protection, e contrastare in maniera attiva la criminalità informatica, nel 2013 Poste Italiane ha istituito una realtà organizzativa ad hoc che prende il nome di CERT (Computer Emergency Response Team). La squadra, al cui interno sono presenti una serie di esperti di sicurezza informatica, esplica le proprie funzioni operando in tempo reale, 24 ore su 24, per la prevenzione dei rischi, la gestione degli incidenti informatici che colpiscono i sistemi aziendali e l’elaborazione di azioni in risposta ad eventi di tipo cibernetico, rafforzando in questo modo la capacità di difesa dell’intero Gruppo.
In aggiunta, allo scopo di creare una cultura diffusa su tutto il tessuto nazionale con riferimento ai temi di sicurezza  informatica, il CERT assume il compito di creare momenti di sensibilizzazione, sia all’interno che all’esterno dell’Azienda. L’organizzazione si pone all’interno di una più ampia rete di strutture similari, di taratura nazionale e internazionale, con cui interagisce costantemente per condividere informazioni, indicatori di compromissione e modelli di attacco in generale. In tale contesto Poste Italiane collabora con la struttura CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale. Il CERT ha strutturato i propri servizi in maniera tale da assicurare la protezione complessiva del business di Poste Italiane, agendo su una serie di livelli:
  • perimetro esterno, che previene attacchi raccogliendo e scambiando informazioni su minacce e vulnerabilità che possono colpire i servizi del Gruppo;
  • perimetro interno, che protegge le infrastrutture aziendali e risponde a potenziali emergenze informatiche. 
 
Sicurezza Informatica
 Information Sharing  Condivisione di informazioni con partner istituzionali su attacchi cibernetici. 
Cyber Threat Raccolta da fonti esterne delle minacce informatiche contro i servizi di Poste Italiane.
Incident Handling Gestione degli incidenti informatici del Gruppo Poste Italiane.
Verifiche Infrastrutturali Monitoraggio dei canali internet dove sono esposti i servizi di Poste Italiane.
Awareness Sensibilizzazione di clienti e dipendenti sui rischi cibernetici.
Early Warning Raccolta da fonti esterne delle vulnerabilità che possono riguardare i servizi di Poste Italiane.
Brand Protection Monitoraggio internet per verificare il corretto utilizzo dei brand di Poste Italiane.

Tra i principali sistemi di controllo dei processi di business, l’Accordo sulla sicurezza con la Polizia Postale e il Business Control Center si ricollegano all’attenzione che Poste riserva alla tutela della sicurezza di tutti i suoi clienti e dipendenti, alla luce del suo ruolo di primo piano per il Paese e in sinergia costante con le istituzioni. La struttura ha tra i principali compiti il controllo in tempo reale, 24 ore su 24, dei servizi erogati da Poste Italiane, la tutela della sicurezza dei clienti all’interno degli Uffici Postali e dei dipendenti in tutte le sedi di lavoro, il contrasto alle frodi e al crimine informatico, la sperimentazione dei servizi offerti dall’Azienda.