Upload
votram
View
230
Download
0
Embed Size (px)
Citation preview
Mediobanca Group
IT Executive Summary
Giugno 2018
Agenda 1. Introduzione
a) Mission
b) Strategia IT
c) Pilastri: semplificare, valorizzare e proteggere
2. IT Gruppo Mediobanca
a) IT di Gruppo a colpo d’occhio
b) Governance
c) Mediobanca Innovation Services
d) IBM – il nuovo partner d’eccellenza
e) Organico IT
3. Continuità operativa (Disaster Recovery Solution)
4. Rischi IT & Cyber Security
5. Nuove tecnologie
3
IT Gruppo Mediobanca – mission
Supporto del
management
Semplificando le decisioni con
tecnologie sofisticate
TECNOLOGIE
COMPORTAMENTO
DEI CLIENTI
PRODOTTI E
SERVIZI
Le nuove tecnologie hanno profondamente modificato il mondo rendendo il business
rapido come mai prima d’ora.
Il comportamento della clientela è stato radicalmente rivoluzionato e per rimanere
competitive le imprese devono essere in grado di soddisfare le nuove esigenze.
Oggi la tecnologia è il nuovo elemento chiave per l’evoluzione di prodotti e servizi
affermandosi come il più significativo elemento distintivo in tutti I settori economici.
La Mission di Mediobanca è di riposizionare e rafforzare il modello di business,
per sviluppare il POTENZIALE DI VALORE NEL LUNGO TERMINE
In tale ambito Mediobanca sta realizzando attivamente tale transizione
sfruttando le nuove tecnologie e guidando l’evoluzione digitale a:
Supporto delle
persone
Aumentando l’automazione di attività ripetitive
liberando potenziale umano
per innovare
Protezione e
soddisfazione
dei clienti
Con prodotti «fair» distribuiti con
canali e piattaforme sicure,
semplici ed intuitive
Vantaggio degli
azionisti
Riducendo i costi (+efficienza)
incrementando la
base ricavi (grazie al cross selling e a
nuovi prodotti)
Con il fine
ultimo di
rafforzare nel
lungo termine
la solidità ed il
valore del
Gruppo
Mediobanca
4
La strategia IT si concentra sia sulle necessità/obiettivi di Gruppo…
Requisiti interni ed esterni Strategia IT di Gruppo Scenario IT di Gruppo
La funzione IT è motore dell’evoluzione tecnologia e digitale a supporto degli obiettivi e delle necessità di business, con focus sulle priorità di medio/lungo termine al fine di promuovere un
processo di sviluppo ordinato e coerente (sistemi, tecnologie e processi) verso un modello di banca
“cognitiva” in grado di fornire a tutti gli utenti, clienti in primis, un’esperienza personalizzata.
Linee strategiche di Gruppo
Trend tecnologici
Compliance
Cyber Security & IT Risk
Strategie IT Iniziative IT
1 2 3
5
… che sulla crescente e complessa regolamentazione
I Regolatori stanno concentrando l’attenzione su alcune aree in rapida evoluzione
profondamente impattate dell’evoluzione tecnologica. Le piattaforme social e di pagamento digitale sono tra le tecnologie in maggiore fermento nell’ambito del perimetro di vigilanza.
La progressiva introduzione di nuove regole sulla protezione dei dati, sull’outsourcing e sulle integrazioni post M&A hanno un impatto significativo sulle strutture IT così come sulla complessità e diversificazione delle strutture di sicurezza.
Soggetti
regolatori
Area di
evoluzione
IT governance Recepimento normativo (novità ed adeguamenti)
Evoluzione e assorbimento di nuovi trend e tecnologie
Raccomandazioni EBA
riguardo l’outsourcing
a fornitori di servizi su
cloud
Bozza per la
consultazione
congiunta sull’uso dei
Big Data da parte di
Istituzioni Finanziarie
PSD2
SWIFT CSP
BANCOMAT Security Verification Framework
MIFID II
IFRS 9
COREP
General Data Protection Regulation
Article 29 Data Protection Working Party
CBS 239
6
Evolvere il modello di gestione delle attività di carattere
tecnologico, procedurale e organizzativo volte alla
protezione del patrimonio informativo del Gruppo (IT Risk
& Cyber Security Framework).
Garantire il
recepimento delle
nuove Normative a
rilievo IT, ricercando
le sinergie a livello di
Gruppo (es. GDPR,
PSD2). Rafforzare i
presidi tecnici a
supporto della
Business Continuity
Consolidare i sistemi di sintesi supportando le crescenti
richieste di monitoraggio creando al contempo valore
dalle informazioni a livello di Gruppo, a supporto delle
azioni commerciali e delle esigenze regolamentari
Sviluppo di Servizi Digitali da introdurre per massimizzare
l’automazione presidiando le nuove tecnologie emergenti (ie.
Blockchain, Machine Learning, Big Data)
Semplificazione del
portafoglio tecnologico
per aumentare sinergie
flessibilità dell’Enterprise
Architecture (ie. Core
Banking).
Gestione
dell’obsolescenza IT
per ridurre costi/rischi
ed aumentare
l’efficienza
Pilastri dell’IT: semplificare, valorizzare e protggere
Digital and Business automation
IT Simplification & Modernization
Exploiting Data Value
Information Security
IT Compliance & Business Continuity
Agenda 1. Introduzione
a) Mission
b) Strategia IT
c) Pilastri: semplificazione, massimizzazione e protezione
2. IT Gruppo Mediobanca
a) IT di Gruppo a colpo d’occhio
b) Governance
c) Mediobanca Innovation Services
d) IBM – il nuovo partner d’eccellenza
e) Organico IT
3. Continuità operativa (Disaster Recovery Solution)
4. Rischi IT & Cyber Security
5. Nuove tecnologie
8
IT Gruppo Mediobanca in sintesi
229 (286 ante trasferimento
infrastruttura in outsourcing a IBM)
• 5% del totale organico di Gruppo
• I dipendenti donne sono 1/5 dell’organico IT
• Distribuzione per età migliore
rispetto alla media del settore
Organico
161 mln Spesa IT nel 2017
Costi IT
>3.200 server principalmente localizzati in un
singolo Data Center
• Asset tecnologici in carico alla società strumentale del gruppo MIS e gestiti in outsourcing da IBM a partire da Gennaio 2018
• In corso il piano di
aggiornamento tecnologico per il mantenimento degli standard di mercato e la sostituzione di alcune tecnologie non più
all’avanguardia (es. Solaris)
Tecnologia
• Differenti approcci di gestione (es. in-house AM full Outsourcing vs BPO)
• Elevata presenza di package
di mercato (superiore alla media del settore)
• Portafogli applicativo altamente specializzato coerentemente con le diverse necessità delle
società del Gruppo
700 applicazioni di business
200 applicazioni IT (IT for IT)
Applicazioni
1. Valore del Segmento di Mercato Bancario analizzato dal CIPA
• Costi IT/costi totali: 12,6% (benchmark 12,3%1)
• Costi IT/totale ricavi: 6% (benchmark 9%1)
• Crescita in linea con la media
delle banche ITA1
• Distribuzione dei costi (in linea con la media delle banche ITA1):
• Software 27% • consulenza 30% • Servizi di outsourcing 11% • Altri costi 32%
9
Modello di Governance di Gruppo O
rgani di gest
ione
CdA
Regolamento (1)
Politiche (2)
Direttive (16)
Procedure (2)
Gestione cambiamenti
Security
Risk
Strategia
e Governance
Gestione incidenti
Privacy
Security
Gestione cambiamenti
Gestione incidenti
Il Gruppo Mediobanca considera la protezione delle informazioni un principio primario per la salvaguardia l’integrità del
business e consente sia il raggiungimento di obiettivi strategici che il rispetto delle norme in vigore.
Il processo di gestione dei rischi IT è fondamentale per guidare il presidio organizzativo, procedurale e tecnologico e per
verificare che le misure adottate siano appropriate all’entità dei rischi
Il regolamento IT di Gruppo descrive:
Il modello di governance IT di Gruppo;
I rispettivi ruoli e responsabilità degli
organi di governo ed unità organizzative
convolte;
Il ciclo di vita delle norme interne relative
all’IT;
Fa riferimento agli standard di mercato e
alle migliori prassi, sia interne che esterne,
su cui la Governance del Sistema
Informativo di Gruppo si basa.
Mediobanca supervisiona il Sistema Informativo
di Gruppo nell’interesse delle consociate, con
l’obiettivo di promuovere l’adeguatezza del
servizio a supporto del business, in ottica di
sinergie e contenimento dei costi.
La gestione dell’infrastruttura tecnologica è
centralizzata in Mediobanca Innovation
Services, mentre la gestione del ciclo di vita
delle singole specifiche applicazioni di business
è affidato alle società de Gruppo.
10
Segnalazioni di Vigilanza
Sistemi di Pagamento e Monetica
Finanza
Servizi di Tesoreria
Mediobanca Innovation Services (MIS)
Mediobanca Innovation Services (MIS)
è il centro di servizi ed innovazione tecnologica del Gruppo Mediobanca.
Garantisce l’erogazione dei servizi IT, di amministrazione e facility
supportando l’evoluzione dei sistemi informativi del Gruppo
Outsourced
to IBM (since 1st January 2018)
Storage e Backup
Business Continuity
Disaster Recovery
Service Desk
Gestione Rete (Voce e Dati)
Change Management
Informatica Individuale
Sicurezza Operativa
Servizi Sistemistici
INFRASTRUTTURALI
Gestione Ciclo Attivo
Gestione Ciclo Passivo
Archiviazione Documentale
Gestione Servizi Mobile
Facility Management
Safety and Physical Security
AMMINISTRAZIONE E FACILITY
APPLICATIVI
Gestione della domanda
tecnologica infrastrutturale
Monitoraggio dei servizi erogati
TECHNICAL PARTNER
11 (1) Il Programma è stato denominato GIOVE: Governance IT & Outsourcing Vendor Excellence. Il Contratto di Outsourcing con IBM ha decorrenza dal 1°
Gennaio 2018.
(2) Fonte: Comunicazione del Gruppo Mediobanca su IT Outsourcing a Banca d’Italia.
Con decorrenza 1° Gennaio 2018 il Gruppo Mediobanca ha affidato ad IBM l’outsourcing dell’Infrastruttura IT.La
cessione del ramo di azienda ha comportato il passaggio di 57 risorse da MIS ad IBM e ha fornito l’occasione per
effettuare una forte revisione dei processi di gestione.
Nell’ambito di tale accordo sono previsti sviluppi in ottica Private e Hybrid Cloud con l’obiettivo di raggiungere
efficienza economica e flessibilità operativa. Il Gruppo valuterà opportunisticamente servizi IaaS (Infrastructure as a
Service) in Public Cloud per esigenze specifiche.
IBM – il nuovo partner d’eccellenza a supporto della crescita
Miglior allineamento dell’IT al business - in termini di
miglioramento della pianificazione, del time to market delle
soluzioni e rafforzamento del controllo sugli SLA;
Efficientamento della struttura costi IT - riduzione complessiva del
TCO (Total Cost of Ownership) - senza impatti sul delivery dei
servizi.
Rifocalizzazione dell’IT su attività a più alto valore aggiunto - ad
esempio su progettualità strategiche e iniziative digitali, di
innovazione e di Compliance regolamentare;
Maggiore trasparenza sulla spesa e massimizzazione delle
sinergie - attraverso la centralizzazione del controllo della spesa
IT, con maggiore trasparenza a livello di Gruppo sugli investimenti
IT e possibilità di consolidamento delle iniziative progettuali;
Rafforzamento governo IT e processi - dei meccanismi di governo
IT, rendendo più efficaci i processi di gestione della domanda,
budgeting, gestione dell’enterprise architecture, security e
vendor management.
Operationg Model
12
Il 5% dei dipendenti totali del Gruppo si occupa di IT
… e in calo gli indici sull’incidenza dell’organico IT (ora in linea con la media del mercato ITA)
Organico IT equamente ripartito tra MIS (1/3),
CheBanca! (1/3) e le altre società del Gruppo
(1) Con decorrenza 1° Gennaio 2018 il Gruppo Mediobanca ha affidato ad IBM l’outsourcing dell’Infrastruttura IT. La cessione del ramo di azienda ha incluso
il passaggio di 57 risorse da MIS ad IBM.
(2) CIPA – Convenzione Interbancaria Per l‘Innovazione
Organico IT: 5% del totale dipendenti del Gruppo
(2291)
Diversity: 1/5 dell’organico IT è composto da donne
La maggior parte dell’organico IT è localizzato nei
due principali centri IT/digital: MIS e CheBanca!
Organico IT: in riduzione a 2291unità a valle
dell’accordo di outsourcing con IBM …
266
286 286 229
Giu.16 Giu.17 Dic.17 Dic.17 proforma
(1)
Ripartizione organico di Gruppo: IT vs. altri
Altro IT
4.036
4.798 4.689 4.629
6,9% 6,6% 6,0% 4,9% 4,3%
MB
giu.15
MB
giu.16
MB
giu.17
MB
dic.17
proforma
CIPA (2)
Organico IT/totale (%)
MIS 81
Ex MIS (ora IBM) 57
CheBanca 64
Compass 30
Mediobanca 14
Altre società 40
Organico IT diviso per società Organico IT (giu.17): 286
Organico IT1 (dic.17): 229
Agenda 1. Introduzione
a) Mission
b) Strategia IT
c) Pilastri: semplificare, valorizzare e proteggere
2. IT Gruppo Mediobanca
a) IT di Gruppo a colpo d’occhio
b) Governance
c) Mediobanca Innovation Services
d) IBM – il nuovo partner d’eccellenza
e) Organico IT
3. Continuità operativa (Disaster Recovery Solution)
4. Rischi IT & Cyber Security
5. Nuove tecnologie
14
Continuità operativa (Disaster Recovery Solution)
SITO PRIMARIO ( MIS IN VIA SUSI)
Storage e Dati
SITO ALTERNATIVO ( IBM)
Replica asincrona e copia settimanale
L’infrastruttura tecnologia di Gruppo risiede nel sito primario di Via Siusi. Un sito alternativo (attivo parzialmente),
affidato in outsourcing ad IBM e localizzato dall’altra parte di Milano, sincronizza le basi dati più critiche.
Disaster Recovery: in caso di indisponibilità totale del sito primario è prevista l’attivazione dei servizi dormienti nel sito secondario (nel rispetto di modalità e tempistiche regolamentate nel documento di Business Impact Analysis) e
il ripristino dei servizi di tutte le Società in Disaster Recovery.
Dormienti
Sempre attive
Sempre attive
Network e Security
Internet Mercati Finanziari
Storage e Dati
Infrastrutture e Sistemi
Server IBM AS400
Network e Security
Internet Mercati Finanziari
Infrastrutture e Sistemi
Server IBM AS400
Infrastrutture ridondate
Infrastrutture ridondate
Agenda 1. Introduzione
a) Mission
b) Strategia IT
c) Pilastri: semplificare, valorizzare e proteggere
2. IT Gruppo Mediobanca
a) IT di Gruppo a colpo d’occhio
b) Governance
c) Mediobanca Innovation Services
d) IBM – il nuovo partner d’eccellenza
e) Organico IT
3. Continuità operativa (Disaster Recovery Solution)
4. Rischi IT & Cyber Security
5. Nuove tecnologie
16
Rischi IT & Cyber Security
Competenze specialistiche nell’ambito della gestione dei rischi IT e nel processo di IT Risk Analysis
Competenze ed esperienze nell’ambito operativo della Sicurezza Informatica
Esperienza in Security Intelligence: rilevazione, analisi e gestione di situazioni di crisi e attacchi informatici
Conoscenza della normativa di settore e capacità di declinazione in misure di sicurezza risk-based
Relazioni con CERT (finanziari) e community di referenti di sicurezza
La funzione IT Risk e Cyber Security, operativa nell’ambito dell’intero gruppo, ha il compito di garantire il presidio sulla sicurezza delle informazioni, la gestione del rischio informatico e la prevenzione e
mitigazione degli incidenti di sicurezza e delle frodi informatiche.
GROUP IT &
GOVERNANCE
STRATEGY,
PLANNING &
ARCHITECTURE
IT REGULATION,
IT COMPLIANCE &
BUSINESS
CONTINUITY
IT Risk
&
Cyber Security
La funzione è parte della Direzione di Group IT & Governance di Mediobanca, con un riporto funzionale alla funzione di Operational Risk Management.
La funzione di IT Risk e Cyber Security raccoglie competenze e responsabilità per la definizione, gestione ed evoluzione della strategia di Cyber Security tramite la definizione di un framework di riferimento per il Gruppo Mediobanca
OPERATIONAL RISK
MANAGEMENT
1
2
3
4
5
17
Ambito di rischio
Rischio di perdite derivanti da inadeguatezza o da disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni RISCHIO OPERATIVO
RISCHIO
INFORMATICO
RISCHIO
CYBER
Il Gruppo Mediobanca, in accordo a quanto definito da Basilea, ha sviluppato un approccio
integrato con il modello di gestione dei rischio operativo per la gestione del Rischio informatico (comprensivo del Cyber Risk).
Rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione (Information and Communication Technology – ICT).
Tipologia di rischio informatico relativa ad aspetti di cyber security e inerente a rischi derivanti da attacchi informatici
Il rischio cyber, oltre a condurre a potenziali impatti di natura economica ha riflessi rilevanti di tipo reputazionale e legale
Non si tratta di un rischio puramente tecnologico; coinvolge presidi di natura organizzativa e procedurale, oltre a misure di sicurezza di natura tecnologica
Le minacce Cyber evolvono tecnologicamente, determinando nuove forme di rischio, diversamente dai rischi più tradizionali
La crescita del Cyber Crime, l’evoluzione degli attacchi e la conseguente esposizione ai rischi, inducono un aumento di attenzione degli Enti Regolatori che promuovono un approccio di tipo risk-based nell’identificazione delle misure di protezione
Al fine di presidiare il cyber risk, il Gruppo Mediobanca ha costituito la funzione di Gruppo ‘IT Risk & Cyber Security’ all’interno di Group IT & Governance con riporto funzionale a Operational Risk Management
18
Cyber Security Strategy driver
La strategia di sicurezza delle informazioni è definita in relazione ad una serie di importanti driver.
Cyber Security Strategy Driver
PIANO INDUSTRIALE DEL GRUPPO
Protezione adeguata del business delle Società acquisite (es. MBPB ex Banca Esperia, RAM)
Misure di sicurezza specifiche per nuove tipologie di Business (es. Wealth Management)
OBIETTIVI DI BUSINESS
Misure di protezione differenziate in relazione allo specifico Business (corporate, retail, ecc)
Garanzia del raggiungimento di un adeguato rapporto sicurezza/operatività
CONFORMITA’ ALLE NORMATIVE
Gestione delle misure di sicurezza previste dalle imminenti normative (GDPR, PSD2, EBA)
GESTIONE DEI RISCHI E DELLE FRODI
Indirizzamento e gestione delle misure di mitigazione dei rischi e dei tentativi di frode
Gestione di nuove minacce e tipologie di attacco informatico
EVOLUZIONE TECNOLOGICA
Adozione di adeguate misure di sicurezza in linea con nuovi trend tecnologici e con l’evoluzione digitale soprattutto in relazione al settore retail banking
GESTIONE DEGLI INCIDENTI
Garanzia della resilienza del Business a fronte del verificarsi di incidenti
Apprendimento dagli incidenti (lesson learned) e definizione delle misure di prevenzione
19
IT Risk & Cyber Security Framework
La strategia di Cyber Security è declinata nell’ambito del ‘IT Risk & Cyber Security Framework’,
ovvero di un modello di gestione di attività di carattere tecnologico, procedurale e organizzativo
volte alla protezione del patrimonio informativo del Gruppo.
PREVENTION
Approccio ‘Proattivo’
DETECTION
Approccio ‘Investigativo’
REACTION
Approccio ‘Reattivo’
FR
AM
EW
OR
K
Prevenzione di attacchi e frodi
informatiche e protezione degli
asset del Gruppo
Identificazione di eventi di rischio
che possono compromettere la
protezione del patrimonio
informativo
Gestione di eventi / incidenti e al
ripristino dell’operatività limitando
gli impatti sul Business
• Information Security management
Caratteristiche del Framework:
Il framework è indipendente dalle tecnologie, si basa su best practice e standard di settore e riflette le Direttive di Gruppo.
Il framework usa un approccio risk based per indirizzare le priorità e qualificare le decisioni che il Gruppo dovrà intraprendere
Il framework garantisce scalabilità e flessibilità, ovvero si pone l’obiettivo di evolvere in accordo con le variazioni dei modelli e canali di business delle Società e con l’evoluzione degli attacchi e dei nuovi trend tecnologici o architetturali.
Il framework promuove un paradigma di Cyber security e IT Risk ‘proattivo’ stressando il concetto di «detection» di attacchi e la gestione ‘by design’ delle debolezze che possono essere sfruttate per perpetrare frodi finanziarie e attacchi informatici.
• Risk and Security awareness
• Standard architetturali di sicurezza
• Definizione controlli e misure di
sicurezza
• IT Risk Analysis
• Definizione scenari di rischio
• Monitoraggio Outsourcing Risk
• Security Testing
• Analisi evoluzione scenari di attacco
• Cyber Security defence plan
• Gestione delle frodi finanziarie
• Gestione relazione con SOC
• Certfin e knowledge sharing
20
PREVENTION - Approccio ‘Proattivo’
Scope Sviluppare un’organizzazione orientata al cyber security risk, capace di sviluppare e supportare adeguate misure di sicurezza per proteggere le proprie infrastrutture critiche, risorse umane, dati critiche per il proprio business
Principali attività del framework
Standard architetturali di Sicurezza
Definizione di servizi tecnologici che prevedono le misure di
sicurezza direttamente nella fase di design ‘Security by Design’
Le soluzioni tecnologiche a supporto delle soluzioni applicative sono
disegnate tramite standard e architetture di Sicurezza pensate e
disegnate secondo criteri e policy che perseguono la compliance
alle norme di settore e rendono sicuro l’utilizzo dei canali di business
da parte dei clienti e il trattamento delle informazioni.
Information Security System
Nell’ambito dell’Information Security management, il framework
documentale (comprensivo di processi, controlli e misure di
sicurezza) garantisce la protezione, in termini di riservatezza,
integrità, disponibilità, verificabilità e accountability del patrimonio
informativo del Gruppo.
Il Framework documentale di Gruppo composto da Politiche,
Direttive e Procedure Operative viene aggiornata in accordo con
l’evoluzione del contesto organizzativo, tecnologico, normativo e di
Business.
Definizione di controlli e misure di Sicurezza
Il disegno dei controlli di sicurezza per i servizi di Business del Gruppo
è un valore differenziante costruito nel tempo sulla base dell’analisi
del contesto di riferimento, dei modelli di Business e dell’esperienza
maturata nella gestione degli eventi.
La definizione di appropriati controlli di sicurezza è svolta per mezzo
di tre importanti elementi che costituiscono l’input per ottenere
misure di protezione adeguate alle peculiarità del contesto di
riferimento: Competenze - Modelli di Business - Modelli operativi
Risk and Security Awareness
Formazione e sensibilizzazione su tematiche di Information Security
per tutto il personale volte ad innalzare il livello di consapevolezza
perseguendo la riduzione dei rischi di sicurezza:
Rendere note sin dalle prime fasi progettuali le minacce
informatiche a cui è sottoposto un nuovo servizio\business
Individuare preventivamente le misure di sicurezza da adottare
per garantire il rispetto della protezione delle informazioni
riducendo i costi correlati all’implementazione a regime
Far comprendere quali potrebbero essere le debolezze in termini
di sicurezza di architetture tecnico\applicative basate su nuovi
paradigmi tecnologici (es: cloud, container, api, ecc)
21
DETECTION - Approccio ‘Investigativo’
Coinvolgimento in tutte le fasi del ciclo di vita di un servizio, garantendo un monitoraggio puntuale del rischio e delle minacce al fine di governare adeguatamente sicurezza delle informazioni e protezione del patrimonio informativo del Gruppo.
ANALISI DEL RISCHIO
ANALISI DI SCENARI
DI RISCHIO
MONITORAGGIO
OUTSOURCING RISK
SECURITY TESTING
EVOLUZIONE SCENARI
DI ATTACCO*
L’analisi del rischio informatico è uno strumento a garanzia dell’efficacia ed efficienza delle
misure di protezione delle risorse ICT, definisce i driver per l’adozione di appropriate misure di
sicurezza, commisurate rispetto ai rischi specifici a cui è soggetto il Business delle Società del
Gruppo.
L’Analisi di Scenario indaga in maniera puntuale e circoscritta le principali tipologie di rischio
operativo (con riferimento ai rischi IT) alle quali è esposto il Gruppo. L‘analisi di scenario si
basa su una quantificazione soggettiva del rischio, supportata da parametri quantitativi
L’utilizzo sempre più spinto di service provider esterni di orientamento tecnologico e l’avvio
del progetto di esternalizzazione di servizi IT determinano la necessità di disegnare e gestire
un modello di monitoraggio e governo dei principali rischi IT derivanti dall’outsourcing.
Le attività di Security Testing hanno lo scopo di verificare il livello di sicurezza dei sistemi
informativi che trattano dati e gestiscono servizi critici per il Business. La verifica permette di
ottenere una valutazione del rischio reale al quale il Gruppo è esposto in relazione all’utilizzo
di sistemi informativi.
Il monitoraggio dell’evoluzione dei cyber crime, l’analisi di nuove metodologie e forme di
attacco, lo studio dei trend nel settore finanziario, sono attività fondamentali per garantire il
mantenimento di adeguati livelli di protezione in risposta al continuo evolversi delle tecniche
adottate dai cyber criminali
IDEN
TIFIC
AR
E R
ISC
HI
E I
NA
CC
E
* Si sono strette collaborazioni con Enti di Sicurezza: ABILAB, CERTFin, Clusit, Polizia Postale, Communication Valley, etc
Scope
22
REACTION – Approccio Reattivo
Sviluppare una risposta ordinata a livello Corporate che guida le azioni da intraprendere in risposta ad un attacco - Cyber Security Defense Plan
Definire i piani di resilienza per limitare gli impatti di un attacco di Sicurezza
Implementare piani operativi per il ripristino dei servizi e l’accesso alle informazioni
Scope
La difesa di un Organizzazione ad un attacco informatico non è più solo la risposta dell’unità di ICT, ma bensì l’orchestrazione di una serie di attività di diverse Unità Organizzative che all’unisono rispondono in maniera compatta alla situazione di crisi
Cyber
Security
Defense Plan
Gestione
delle frodi
Security
Operation
Center
Knowledge
Sharing
Definizione e mantenimento di un piano di risposta agli incidenti di sicurezza efficace ed efficiente volto a
mitigare in maniera significativa un attacco sin dalle prime fasi e minimizzarne i relativi impatti. L’obiettivo è
definire una strategia di difesa proporzionata ai rischi e all’evoluzione del Business delle Società del Gruppo.
Supporto alle società del Gruppo nella rilevazione delle frodi finanziarie tramite la gestione dello strumento di
Enterprise Fraud Management. La definizione di opportune regole sullo strumento consentono l’identificazione di
comportamenti anomali e di tentativi di frode che possono essere preventivamente bloccate evitando potenziali
danni economici.
Gestione delle relazioni e dei servizi erogati dal Security Operation Center al fine di garantire una pronta risposta in
caso si verifichino incidenti di sicurezza. Le attività includono l’indirizzamento e la revisione dei servizi erogati e la
gestione delle segnalazioni a fronte di eventi anomali.
Partecipazione a CERTFin – CERT Finanziario Italiano – ovvero ad un'iniziativa di cooperazione pubblico-privata
finalizzata a innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari attraverso il
supporto operativo e strategico alle attività di prevenzione, preparazione e risposta agli attacchi informatici e agli
incidenti.
Agenda 1. Introduzione
a) Mission
b) Strategia IT
c) Pilastri: semplificare, valorizzare e proteggere
2. IT Gruppo Mediobanca
a) IT di Gruppo a colpo d’occhio
b) Governance
c) Mediobanca Innovation Services
d) IBM – il nuovo partner d’eccellenza
e) Organico IT
3. Continuità operativa (Disaster Recovery Solution)
4. Rischi IT & Cyber Security
5. Nuove tecnologie
24
Nuove tecnologie: cosa e quando
La spinta tecnologica ed innovativa che pervade la vita personale e professionale delle persone ha generato una propensione, quasi imperativa, alla digitalizzazione delle aziende, sia a beneficio di utenti esterni che interni. Il processo comporta ovviamente rischi, opportunità ed impatti sia in ambiti tecnologici che organizzativi e di processo.
Di seguito una rappresentazione dello scenario tecnologico ad oggi sotto osservazione.
AI-3: AI powered full wealth mgmt value chain
Gro
w t
he
BU
sin
ess
Go
ve
rna
nc
e
an
d S
ec
uri
ty
Consolidata In crescita Sperimentale
Mobile
AI-1 Virtual Assistant
and Chatbot Real time analytics
Effic
ien
cy
Digital workplace
Machine learning Automation (RPA)
Open API
BlockChain DLT
Cyber and Fraud Security
Advanced Analytics
Data Discovery
Hybrid Cloud
Digital Signature
Encryption
Corporate Retail Corporate e Retail
M-Payments
Real-time communication
Social Media
Threat Intelligence
AI-2: Customer
Insight/ Predictive
Analytics and Big data
In grassetto le tecnologie in essere o in corso di valutazione all’interno
del Gruppo Mediobanca
Real time e predictive analytics
Smart Working
Il gruppo, nell’ambito della Strategia Digitale, monitora in maniera continuativa le nuove tecnologie per valutare
l’opportunità di una eventuale adozione rispetto al grado di maturità della tecnologia stessa.
25
DIGITAL BUSINESS INNOVATION DIGITAL BUSINESS TRANSFORMATION
Il gruppo Mediobanca presidia sistematicamente i processi di innovazione partecipando ad iniziative di mercato,
collaborazione con Fintech e approccio verticale alla prototipazione (Test & Learn).
Nell’ambito del Gruppo oggi le tematiche legate all’innovazione si basano su due pillar principali: Digital Business
Transformation & Innovation.
Digital is the new black
Automazione dei Processi di Business
Soluzioni di automazione (es. RPA - Robotic Process
Automation) e Digitalizzazione di Processi (es.
Dematerializzazione e Firma Digitale) sono già in essere
nelle società Retail del Gruppo e sono in fase di estensione
ai segmenti non Retail.
Digitalizzazione dei prodotti
Evoluzione dell’attuale RoboAdvisor, già proposto alla
clientela affluent di CheBanca! (ad oggi sottoscritto da più
di 4mila clienti).
Modernizzazione del
Business Esistente
Creazione di un nuovo
Business ‘Digital’
Nuovi prodotti Digitali e Servizi
Nell’ambito del corporate e investment banking
introduzione di tecnologie di tipo ’cognitive learning’ (es
Virtual Assistant, Liquidity Events)
Nuove tecnologie per il business
L’unita organizzativa Group Digital and Innovation Office,
preposta allo studio e alla sperimentazione delle nuove
tecnologie, sta al momento analizzando l’applicazione
dell’AI sui vari segmenti di business.
Il gruppo ha inoltre di recente completato l’acquisizione di
RAM Active Investments società «quant» specializzata in
strategie azionarie.
26
Altri driver evolutivi in fase di valutazione/implementazione
Digital Business Innovation
Creazione di nuovi prodotti
digitali e/o modelli di
business attraverso
tecnologie innovative (es.
Blockchain DLT)
Customer
Cost
Governance and Control
IT Agenda
IT Agenda
IT Agenda
Soddisfare le sempre più elevate aspettative della clientela supportando la crescita di ricavi e
l’erogazione di «nuovi» servizi
Governare l’evoluzione IT, garantendo un consistente controllo dei rischi e indirizzando le
crescenti richieste normative
Evolvere la struttura dei costi IT a protezione dei
ricavi e tutela rispetto alle incognite di mercato
Digital channel
Customer Experience
Rapidità delivery
Evoluzione Payments e opportunità PSD2
Strategic Architecture
Data Governance
Security by design
Risk Awareness
Riduzione costi IT
Dematerializzazione
Semplificazione Portfolio IT
Sourcing selettivo e industrializzazione processi Operation
Digital Business Transformation
Modernizzazione del business
esistente mediante
Automatizzazione (IT
enabled Processes) e
trasformazione di processi e
Prodotti (AI e digital UX)
Capabilities IT Agenda
Industrializzare e automatizzare ove possibile i
processi operativi e decisionali, sviluppare le
opportunità legate all’ecosistema esterno
Automazione
Ecosistemi esterni (es. Fintech, partner, …)
Valorizzazione patrimonio e trasformazione dei dati
Tecnologie
Tecnologie
Tecnologie
Virtual Assistant
Real time e predictive analytics
AI e Machine learning
Mobile
Advanced Analytics
Data discovery
Threat Intelligence
Cyber & Fraud security
Hybrid Cloud
Digital signature
AI (Artificial Intelligence)
Tecnologie
Automation (RPA)
Open API
Blockchain
Big Data
AI (Artificial Intelligence)
Workforce IT Agenda
Evolvere gli strumenti a supporto degli utenti,
sfruttando le nuove opportunità tecnologiche per
semplificare la comunicazione e l’operatività in mobilità
Digital workplace
Smart Working
Tecnologie
Real-time communication
Virtual Assistant
Mobile
27
Nell’ambito del gruppo sono state create unità
organizzative, gruppi di lavoro e partnership volte a
favorire la contaminazione tra le funzioni e valorizzare
al massimo le potenzialità delle nuove tecnologi.
Promuovere la diffusione dell’innovazione (anche dal
punto di vista divulgativo) ci consente di avere una
posizione di rilievo sulla frontiera tecnologica.
Innovazione: dove e con chi
Group Digital and
Innovation Office
Sandbox
(Test & Learn)
Roadshow
Fintech e Cybersecurity. Unità organizzativa
dedicata allo studio e
alla sperimentazione
delle nuove tecnologie
Predisposizione di
ambienti di
sperimentazione
Partnership con la Fintech
R3 (piattaforma Corda) in
collaborazione con ABILAB
Collaborazione con
Ripple in ambito
Blockchain/payments
Incontri con l’innovazione.
Nel Roadshow 2017 –
partecipazione di una
delegazione di startup
Israeliane nel settore
FinTech e CyberSecurity