Mediobanca Group IT Executive Summary · Supporto del management Semplificando le decisioni con...

Mediobanca Group

IT Executive Summary

Giugno 2018

Agenda 1. Introduzione

a) Mission

b) Strategia IT

c) Pilastri: semplificare, valorizzare e proteggere

2. IT Gruppo Mediobanca

a) IT di Gruppo a colpo d’occhio

b) Governance

c) Mediobanca Innovation Services

d) IBM – il nuovo partner d’eccellenza

e) Organico IT

3. Continuità operativa (Disaster Recovery Solution)

4. Rischi IT & Cyber Security

5. Nuove tecnologie

3

IT Gruppo Mediobanca – mission

Supporto del

management

Semplificando le decisioni con

tecnologie sofisticate

TECNOLOGIE

COMPORTAMENTO

DEI CLIENTI

PRODOTTI E

SERVIZI

Le nuove tecnologie hanno profondamente modificato il mondo rendendo il business

rapido come mai prima d’ora.

Il comportamento della clientela è stato radicalmente rivoluzionato e per rimanere

competitive le imprese devono essere in grado di soddisfare le nuove esigenze.

Oggi la tecnologia è il nuovo elemento chiave per l’evoluzione di prodotti e servizi

affermandosi come il più significativo elemento distintivo in tutti I settori economici.

La Mission di Mediobanca è di riposizionare e rafforzare il modello di business,

per sviluppare il POTENZIALE DI VALORE NEL LUNGO TERMINE

In tale ambito Mediobanca sta realizzando attivamente tale transizione

sfruttando le nuove tecnologie e guidando l’evoluzione digitale a:

Supporto delle

persone

Aumentando l’automazione di attività ripetitive

liberando potenziale umano

per innovare

Protezione e

soddisfazione

dei clienti

Con prodotti «fair» distribuiti con

canali e piattaforme sicure,

semplici ed intuitive

Vantaggio degli

azionisti

Riducendo i costi (+efficienza)

incrementando la

base ricavi (grazie al cross selling e a

nuovi prodotti)

Con il fine

ultimo di

rafforzare nel

lungo termine

la solidità ed il

valore del

Gruppo

Mediobanca

4

La strategia IT si concentra sia sulle necessità/obiettivi di Gruppo…

Requisiti interni ed esterni Strategia IT di Gruppo Scenario IT di Gruppo

La funzione IT è motore dell’evoluzione tecnologia e digitale a supporto degli obiettivi e delle necessità di business, con focus sulle priorità di medio/lungo termine al fine di promuovere un

processo di sviluppo ordinato e coerente (sistemi, tecnologie e processi) verso un modello di banca

“cognitiva” in grado di fornire a tutti gli utenti, clienti in primis, un’esperienza personalizzata.

Linee strategiche di Gruppo

Trend tecnologici

Compliance

Cyber Security & IT Risk

Strategie IT Iniziative IT

1 2 3

5

… che sulla crescente e complessa regolamentazione

I Regolatori stanno concentrando l’attenzione su alcune aree in rapida evoluzione

profondamente impattate dell’evoluzione tecnologica. Le piattaforme social e di pagamento digitale sono tra le tecnologie in maggiore fermento nell’ambito del perimetro di vigilanza.

La progressiva introduzione di nuove regole sulla protezione dei dati, sull’outsourcing e sulle integrazioni post M&A hanno un impatto significativo sulle strutture IT così come sulla complessità e diversificazione delle strutture di sicurezza.

Soggetti

regolatori

Area di

evoluzione

IT governance Recepimento normativo (novità ed adeguamenti)

Evoluzione e assorbimento di nuovi trend e tecnologie

Raccomandazioni EBA

riguardo l’outsourcing

a fornitori di servizi su

cloud

Bozza per la

consultazione

congiunta sull’uso dei

Big Data da parte di

Istituzioni Finanziarie

PSD2

SWIFT CSP

BANCOMAT Security Verification Framework

MIFID II

IFRS 9

COREP

General Data Protection Regulation

Article 29 Data Protection Working Party

CBS 239

6

Evolvere il modello di gestione delle attività di carattere

tecnologico, procedurale e organizzativo volte alla

protezione del patrimonio informativo del Gruppo (IT Risk

& Cyber Security Framework).

Garantire il

recepimento delle

nuove Normative a

rilievo IT, ricercando

le sinergie a livello di

Gruppo (es. GDPR,

PSD2). Rafforzare i

presidi tecnici a

supporto della

Business Continuity

Consolidare i sistemi di sintesi supportando le crescenti

richieste di monitoraggio creando al contempo valore

dalle informazioni a livello di Gruppo, a supporto delle

azioni commerciali e delle esigenze regolamentari

Sviluppo di Servizi Digitali da introdurre per massimizzare

l’automazione presidiando le nuove tecnologie emergenti (ie.

Blockchain, Machine Learning, Big Data)

Semplificazione del

portafoglio tecnologico

per aumentare sinergie

flessibilità dell’Enterprise

Architecture (ie. Core

Banking).

Gestione

dell’obsolescenza IT

per ridurre costi/rischi

ed aumentare

l’efficienza

Pilastri dell’IT: semplificare, valorizzare e protggere

Digital and Business automation

IT Simplification & Modernization

Exploiting Data Value

Information Security

IT Compliance & Business Continuity


a) Mission

b) Strategia IT

c) Pilastri: semplificazione, massimizzazione e protezione



b) Governance



e) Organico IT



5. Nuove tecnologie

8

IT Gruppo Mediobanca in sintesi

229 (286 ante trasferimento

infrastruttura in outsourcing a IBM)

• 5% del totale organico di Gruppo

• I dipendenti donne sono 1/5 dell’organico IT

• Distribuzione per età migliore

rispetto alla media del settore

Organico

161 mln Spesa IT nel 2017

Costi IT

>3.200 server principalmente localizzati in un

singolo Data Center

• Asset tecnologici in carico alla società strumentale del gruppo MIS e gestiti in outsourcing da IBM a partire da Gennaio 2018

• In corso il piano di

aggiornamento tecnologico per il mantenimento degli standard di mercato e la sostituzione di alcune tecnologie non più

all’avanguardia (es. Solaris)

Tecnologia

• Differenti approcci di gestione (es. in-house AM full Outsourcing vs BPO)

• Elevata presenza di package

di mercato (superiore alla media del settore)

• Portafogli applicativo altamente specializzato coerentemente con le diverse necessità delle

società del Gruppo

700 applicazioni di business

200 applicazioni IT (IT for IT)

Applicazioni

1. Valore del Segmento di Mercato Bancario analizzato dal CIPA

• Costi IT/costi totali: 12,6% (benchmark 12,3%1)

• Costi IT/totale ricavi: 6% (benchmark 9%1)

• Crescita in linea con la media

delle banche ITA1

• Distribuzione dei costi (in linea con la media delle banche ITA1):

• Software 27% • consulenza 30% • Servizi di outsourcing 11% • Altri costi 32%

9

Modello di Governance di Gruppo O

rgani di gest

ione

CdA

Regolamento (1)

Politiche (2)

Direttive (16)

Procedure (2)

Gestione cambiamenti

Security

Risk

Strategia

e Governance

Gestione incidenti

Privacy

Security

Gestione cambiamenti

Gestione incidenti

Il Gruppo Mediobanca considera la protezione delle informazioni un principio primario per la salvaguardia l’integrità del

business e consente sia il raggiungimento di obiettivi strategici che il rispetto delle norme in vigore.

Il processo di gestione dei rischi IT è fondamentale per guidare il presidio organizzativo, procedurale e tecnologico e per

verificare che le misure adottate siano appropriate all’entità dei rischi

Il regolamento IT di Gruppo descrive:

Il modello di governance IT di Gruppo;

I rispettivi ruoli e responsabilità degli

organi di governo ed unità organizzative

convolte;

Il ciclo di vita delle norme interne relative

all’IT;

Fa riferimento agli standard di mercato e

alle migliori prassi, sia interne che esterne,

su cui la Governance del Sistema

Informativo di Gruppo si basa.

Mediobanca supervisiona il Sistema Informativo

di Gruppo nell’interesse delle consociate, con

l’obiettivo di promuovere l’adeguatezza del

servizio a supporto del business, in ottica di

sinergie e contenimento dei costi.

La gestione dell’infrastruttura tecnologica è

centralizzata in Mediobanca Innovation

Services, mentre la gestione del ciclo di vita

delle singole specifiche applicazioni di business

è affidato alle società de Gruppo.

10

Segnalazioni di Vigilanza

Sistemi di Pagamento e Monetica

Finanza

Servizi di Tesoreria

Mediobanca Innovation Services (MIS)

Mediobanca Innovation Services (MIS)

è il centro di servizi ed innovazione tecnologica del Gruppo Mediobanca.

Garantisce l’erogazione dei servizi IT, di amministrazione e facility

supportando l’evoluzione dei sistemi informativi del Gruppo

Outsourced

to IBM (since 1st January 2018)

Storage e Backup

Business Continuity

Disaster Recovery

Service Desk

Gestione Rete (Voce e Dati)

Change Management

Informatica Individuale

Sicurezza Operativa

Servizi Sistemistici

INFRASTRUTTURALI

Gestione Ciclo Attivo

Gestione Ciclo Passivo

Archiviazione Documentale

Gestione Servizi Mobile

Facility Management

Safety and Physical Security

AMMINISTRAZIONE E FACILITY

APPLICATIVI

Gestione della domanda

tecnologica infrastrutturale

Monitoraggio dei servizi erogati

TECHNICAL PARTNER

11 (1) Il Programma è stato denominato GIOVE: Governance IT & Outsourcing Vendor Excellence. Il Contratto di Outsourcing con IBM ha decorrenza dal 1°

Gennaio 2018.

(2) Fonte: Comunicazione del Gruppo Mediobanca su IT Outsourcing a Banca d’Italia.

Con decorrenza 1° Gennaio 2018 il Gruppo Mediobanca ha affidato ad IBM l’outsourcing dell’Infrastruttura IT.La

cessione del ramo di azienda ha comportato il passaggio di 57 risorse da MIS ad IBM e ha fornito l’occasione per

effettuare una forte revisione dei processi di gestione.

Nell’ambito di tale accordo sono previsti sviluppi in ottica Private e Hybrid Cloud con l’obiettivo di raggiungere

efficienza economica e flessibilità operativa. Il Gruppo valuterà opportunisticamente servizi IaaS (Infrastructure as a

Service) in Public Cloud per esigenze specifiche.

IBM – il nuovo partner d’eccellenza a supporto della crescita

Miglior allineamento dell’IT al business - in termini di

miglioramento della pianificazione, del time to market delle

soluzioni e rafforzamento del controllo sugli SLA;

Efficientamento della struttura costi IT - riduzione complessiva del

TCO (Total Cost of Ownership) - senza impatti sul delivery dei

servizi.

Rifocalizzazione dell’IT su attività a più alto valore aggiunto - ad

esempio su progettualità strategiche e iniziative digitali, di

innovazione e di Compliance regolamentare;

Maggiore trasparenza sulla spesa e massimizzazione delle

sinergie - attraverso la centralizzazione del controllo della spesa

IT, con maggiore trasparenza a livello di Gruppo sugli investimenti

IT e possibilità di consolidamento delle iniziative progettuali;

Rafforzamento governo IT e processi - dei meccanismi di governo

IT, rendendo più efficaci i processi di gestione della domanda,

budgeting, gestione dell’enterprise architecture, security e

vendor management.

Operationg Model

12

Il 5% dei dipendenti totali del Gruppo si occupa di IT

… e in calo gli indici sull’incidenza dell’organico IT (ora in linea con la media del mercato ITA)

Organico IT equamente ripartito tra MIS (1/3),

CheBanca! (1/3) e le altre società del Gruppo

(1) Con decorrenza 1° Gennaio 2018 il Gruppo Mediobanca ha affidato ad IBM l’outsourcing dell’Infrastruttura IT. La cessione del ramo di azienda ha incluso

il passaggio di 57 risorse da MIS ad IBM.

(2) CIPA – Convenzione Interbancaria Per l‘Innovazione

Organico IT: 5% del totale dipendenti del Gruppo

(2291)

Diversity: 1/5 dell’organico IT è composto da donne

La maggior parte dell’organico IT è localizzato nei

due principali centri IT/digital: MIS e CheBanca!

Organico IT: in riduzione a 2291unità a valle

dell’accordo di outsourcing con IBM …

266

286 286 229

Giu.16 Giu.17 Dic.17 Dic.17 proforma

(1)

Ripartizione organico di Gruppo: IT vs. altri

Altro IT

4.036

4.798 4.689 4.629

6,9% 6,6% 6,0% 4,9% 4,3%

MB

giu.15

MB

giu.16

MB

giu.17

MB

dic.17

proforma

CIPA (2)

Organico IT/totale (%)

MIS 81

Ex MIS (ora IBM) 57

CheBanca 64

Compass 30

Mediobanca 14

Altre società 40

Organico IT diviso per società Organico IT (giu.17): 286

Organico IT1 (dic.17): 229


a) Mission

b) Strategia IT




b) Governance



e) Organico IT



5. Nuove tecnologie

14

Continuità operativa (Disaster Recovery Solution)

SITO PRIMARIO ( MIS IN VIA SUSI)

Storage e Dati

SITO ALTERNATIVO ( IBM)

Replica asincrona e copia settimanale

L’infrastruttura tecnologia di Gruppo risiede nel sito primario di Via Siusi. Un sito alternativo (attivo parzialmente),

affidato in outsourcing ad IBM e localizzato dall’altra parte di Milano, sincronizza le basi dati più critiche.

Disaster Recovery: in caso di indisponibilità totale del sito primario è prevista l’attivazione dei servizi dormienti nel sito secondario (nel rispetto di modalità e tempistiche regolamentate nel documento di Business Impact Analysis) e

il ripristino dei servizi di tutte le Società in Disaster Recovery.

Dormienti

Sempre attive

Sempre attive

Network e Security

Internet Mercati Finanziari

Storage e Dati

Infrastrutture e Sistemi

Server IBM AS400

Network e Security

Internet Mercati Finanziari

Infrastrutture e Sistemi

Server IBM AS400

Infrastrutture ridondate

Infrastrutture ridondate


a) Mission

b) Strategia IT




b) Governance



e) Organico IT



5. Nuove tecnologie

16

Rischi IT & Cyber Security

Competenze specialistiche nell’ambito della gestione dei rischi IT e nel processo di IT Risk Analysis

Competenze ed esperienze nell’ambito operativo della Sicurezza Informatica

Esperienza in Security Intelligence: rilevazione, analisi e gestione di situazioni di crisi e attacchi informatici

Conoscenza della normativa di settore e capacità di declinazione in misure di sicurezza risk-based

Relazioni con CERT (finanziari) e community di referenti di sicurezza

La funzione IT Risk e Cyber Security, operativa nell’ambito dell’intero gruppo, ha il compito di garantire il presidio sulla sicurezza delle informazioni, la gestione del rischio informatico e la prevenzione e

mitigazione degli incidenti di sicurezza e delle frodi informatiche.

GROUP IT &

GOVERNANCE

STRATEGY,

PLANNING &

ARCHITECTURE

IT REGULATION,

IT COMPLIANCE &

BUSINESS

CONTINUITY

IT Risk

&

Cyber Security

La funzione è parte della Direzione di Group IT & Governance di Mediobanca, con un riporto funzionale alla funzione di Operational Risk Management.

La funzione di IT Risk e Cyber Security raccoglie competenze e responsabilità per la definizione, gestione ed evoluzione della strategia di Cyber Security tramite la definizione di un framework di riferimento per il Gruppo Mediobanca

OPERATIONAL RISK

MANAGEMENT

1

2

3

4

5

17

Ambito di rischio

Rischio di perdite derivanti da inadeguatezza o da disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni RISCHIO OPERATIVO

RISCHIO

INFORMATICO

RISCHIO

CYBER

Il Gruppo Mediobanca, in accordo a quanto definito da Basilea, ha sviluppato un approccio

integrato con il modello di gestione dei rischio operativo per la gestione del Rischio informatico (comprensivo del Cyber Risk).

Rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione (Information and Communication Technology – ICT).

Tipologia di rischio informatico relativa ad aspetti di cyber security e inerente a rischi derivanti da attacchi informatici

Il rischio cyber, oltre a condurre a potenziali impatti di natura economica ha riflessi rilevanti di tipo reputazionale e legale

Non si tratta di un rischio puramente tecnologico; coinvolge presidi di natura organizzativa e procedurale, oltre a misure di sicurezza di natura tecnologica

Le minacce Cyber evolvono tecnologicamente, determinando nuove forme di rischio, diversamente dai rischi più tradizionali

La crescita del Cyber Crime, l’evoluzione degli attacchi e la conseguente esposizione ai rischi, inducono un aumento di attenzione degli Enti Regolatori che promuovono un approccio di tipo risk-based nell’identificazione delle misure di protezione

Al fine di presidiare il cyber risk, il Gruppo Mediobanca ha costituito la funzione di Gruppo ‘IT Risk & Cyber Security’ all’interno di Group IT & Governance con riporto funzionale a Operational Risk Management

18

Cyber Security Strategy driver

La strategia di sicurezza delle informazioni è definita in relazione ad una serie di importanti driver.

Cyber Security Strategy Driver

PIANO INDUSTRIALE DEL GRUPPO

Protezione adeguata del business delle Società acquisite (es. MBPB ex Banca Esperia, RAM)

Misure di sicurezza specifiche per nuove tipologie di Business (es. Wealth Management)

OBIETTIVI DI BUSINESS

Misure di protezione differenziate in relazione allo specifico Business (corporate, retail, ecc)

Garanzia del raggiungimento di un adeguato rapporto sicurezza/operatività

CONFORMITA’ ALLE NORMATIVE

Gestione delle misure di sicurezza previste dalle imminenti normative (GDPR, PSD2, EBA)

GESTIONE DEI RISCHI E DELLE FRODI

Indirizzamento e gestione delle misure di mitigazione dei rischi e dei tentativi di frode

Gestione di nuove minacce e tipologie di attacco informatico

EVOLUZIONE TECNOLOGICA

Adozione di adeguate misure di sicurezza in linea con nuovi trend tecnologici e con l’evoluzione digitale soprattutto in relazione al settore retail banking

GESTIONE DEGLI INCIDENTI

Garanzia della resilienza del Business a fronte del verificarsi di incidenti

Apprendimento dagli incidenti (lesson learned) e definizione delle misure di prevenzione

19

IT Risk & Cyber Security Framework

La strategia di Cyber Security è declinata nell’ambito del ‘IT Risk & Cyber Security Framework’,

ovvero di un modello di gestione di attività di carattere tecnologico, procedurale e organizzativo

volte alla protezione del patrimonio informativo del Gruppo.

PREVENTION

Approccio ‘Proattivo’

DETECTION

Approccio ‘Investigativo’

REACTION

Approccio ‘Reattivo’

FR

AM

EW

OR

K

Prevenzione di attacchi e frodi

informatiche e protezione degli

asset del Gruppo

Identificazione di eventi di rischio

che possono compromettere la

protezione del patrimonio

informativo

Gestione di eventi / incidenti e al

ripristino dell’operatività limitando

gli impatti sul Business

• Information Security management

Caratteristiche del Framework:

Il framework è indipendente dalle tecnologie, si basa su best practice e standard di settore e riflette le Direttive di Gruppo.

Il framework usa un approccio risk based per indirizzare le priorità e qualificare le decisioni che il Gruppo dovrà intraprendere

Il framework garantisce scalabilità e flessibilità, ovvero si pone l’obiettivo di evolvere in accordo con le variazioni dei modelli e canali di business delle Società e con l’evoluzione degli attacchi e dei nuovi trend tecnologici o architetturali.

Il framework promuove un paradigma di Cyber security e IT Risk ‘proattivo’ stressando il concetto di «detection» di attacchi e la gestione ‘by design’ delle debolezze che possono essere sfruttate per perpetrare frodi finanziarie e attacchi informatici.

• Risk and Security awareness

• Standard architetturali di sicurezza

• Definizione controlli e misure di

sicurezza

• IT Risk Analysis

• Definizione scenari di rischio

• Monitoraggio Outsourcing Risk

• Security Testing

• Analisi evoluzione scenari di attacco

• Cyber Security defence plan

• Gestione delle frodi finanziarie

• Gestione relazione con SOC

• Certfin e knowledge sharing

20

PREVENTION - Approccio ‘Proattivo’

Scope Sviluppare un’organizzazione orientata al cyber security risk, capace di sviluppare e supportare adeguate misure di sicurezza per proteggere le proprie infrastrutture critiche, risorse umane, dati critiche per il proprio business

Principali attività del framework

Standard architetturali di Sicurezza

Definizione di servizi tecnologici che prevedono le misure di

sicurezza direttamente nella fase di design ‘Security by Design’

Le soluzioni tecnologiche a supporto delle soluzioni applicative sono

disegnate tramite standard e architetture di Sicurezza pensate e

disegnate secondo criteri e policy che perseguono la compliance

alle norme di settore e rendono sicuro l’utilizzo dei canali di business

da parte dei clienti e il trattamento delle informazioni.

Information Security System

Nell’ambito dell’Information Security management, il framework

documentale (comprensivo di processi, controlli e misure di

sicurezza) garantisce la protezione, in termini di riservatezza,

integrità, disponibilità, verificabilità e accountability del patrimonio

informativo del Gruppo.

Il Framework documentale di Gruppo composto da Politiche,

Direttive e Procedure Operative viene aggiornata in accordo con

l’evoluzione del contesto organizzativo, tecnologico, normativo e di

Business.

Definizione di controlli e misure di Sicurezza

Il disegno dei controlli di sicurezza per i servizi di Business del Gruppo

è un valore differenziante costruito nel tempo sulla base dell’analisi

del contesto di riferimento, dei modelli di Business e dell’esperienza

maturata nella gestione degli eventi.

La definizione di appropriati controlli di sicurezza è svolta per mezzo

di tre importanti elementi che costituiscono l’input per ottenere

misure di protezione adeguate alle peculiarità del contesto di

riferimento: Competenze - Modelli di Business - Modelli operativi

Risk and Security Awareness

Formazione e sensibilizzazione su tematiche di Information Security

per tutto il personale volte ad innalzare il livello di consapevolezza

perseguendo la riduzione dei rischi di sicurezza:

Rendere note sin dalle prime fasi progettuali le minacce

informatiche a cui è sottoposto un nuovo servizio\business

Individuare preventivamente le misure di sicurezza da adottare

per garantire il rispetto della protezione delle informazioni

riducendo i costi correlati all’implementazione a regime

Far comprendere quali potrebbero essere le debolezze in termini

di sicurezza di architetture tecnico\applicative basate su nuovi

paradigmi tecnologici (es: cloud, container, api, ecc)

21

DETECTION - Approccio ‘Investigativo’

Coinvolgimento in tutte le fasi del ciclo di vita di un servizio, garantendo un monitoraggio puntuale del rischio e delle minacce al fine di governare adeguatamente sicurezza delle informazioni e protezione del patrimonio informativo del Gruppo.

ANALISI DEL RISCHIO

ANALISI DI SCENARI

DI RISCHIO

MONITORAGGIO

OUTSOURCING RISK

SECURITY TESTING

EVOLUZIONE SCENARI

DI ATTACCO*

L’analisi del rischio informatico è uno strumento a garanzia dell’efficacia ed efficienza delle

misure di protezione delle risorse ICT, definisce i driver per l’adozione di appropriate misure di

sicurezza, commisurate rispetto ai rischi specifici a cui è soggetto il Business delle Società del

Gruppo.

L’Analisi di Scenario indaga in maniera puntuale e circoscritta le principali tipologie di rischio

operativo (con riferimento ai rischi IT) alle quali è esposto il Gruppo. L‘analisi di scenario si

basa su una quantificazione soggettiva del rischio, supportata da parametri quantitativi

L’utilizzo sempre più spinto di service provider esterni di orientamento tecnologico e l’avvio

del progetto di esternalizzazione di servizi IT determinano la necessità di disegnare e gestire

un modello di monitoraggio e governo dei principali rischi IT derivanti dall’outsourcing.

Le attività di Security Testing hanno lo scopo di verificare il livello di sicurezza dei sistemi

informativi che trattano dati e gestiscono servizi critici per il Business. La verifica permette di

ottenere una valutazione del rischio reale al quale il Gruppo è esposto in relazione all’utilizzo

di sistemi informativi.

Il monitoraggio dell’evoluzione dei cyber crime, l’analisi di nuove metodologie e forme di

attacco, lo studio dei trend nel settore finanziario, sono attività fondamentali per garantire il

mantenimento di adeguati livelli di protezione in risposta al continuo evolversi delle tecniche

adottate dai cyber criminali

IDEN

TIFIC

AR

E R

ISC

HI

E I

NA

CC

E

* Si sono strette collaborazioni con Enti di Sicurezza: ABILAB, CERTFin, Clusit, Polizia Postale, Communication Valley, etc

Scope

22

REACTION – Approccio Reattivo

Sviluppare una risposta ordinata a livello Corporate che guida le azioni da intraprendere in risposta ad un attacco - Cyber Security Defense Plan

Definire i piani di resilienza per limitare gli impatti di un attacco di Sicurezza

Implementare piani operativi per il ripristino dei servizi e l’accesso alle informazioni

Scope

La difesa di un Organizzazione ad un attacco informatico non è più solo la risposta dell’unità di ICT, ma bensì l’orchestrazione di una serie di attività di diverse Unità Organizzative che all’unisono rispondono in maniera compatta alla situazione di crisi

Cyber

Security

Defense Plan

Gestione

delle frodi

Security

Operation

Center

Knowledge

Sharing

Definizione e mantenimento di un piano di risposta agli incidenti di sicurezza efficace ed efficiente volto a

mitigare in maniera significativa un attacco sin dalle prime fasi e minimizzarne i relativi impatti. L’obiettivo è

definire una strategia di difesa proporzionata ai rischi e all’evoluzione del Business delle Società del Gruppo.

Supporto alle società del Gruppo nella rilevazione delle frodi finanziarie tramite la gestione dello strumento di

Enterprise Fraud Management. La definizione di opportune regole sullo strumento consentono l’identificazione di

comportamenti anomali e di tentativi di frode che possono essere preventivamente bloccate evitando potenziali

danni economici.

Gestione delle relazioni e dei servizi erogati dal Security Operation Center al fine di garantire una pronta risposta in

caso si verifichino incidenti di sicurezza. Le attività includono l’indirizzamento e la revisione dei servizi erogati e la

gestione delle segnalazioni a fronte di eventi anomali.

Partecipazione a CERTFin – CERT Finanziario Italiano – ovvero ad un'iniziativa di cooperazione pubblico-privata

finalizzata a innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari attraverso il

supporto operativo e strategico alle attività di prevenzione, preparazione e risposta agli attacchi informatici e agli

incidenti.


a) Mission

b) Strategia IT




b) Governance



e) Organico IT



5. Nuove tecnologie

24

Nuove tecnologie: cosa e quando

La spinta tecnologica ed innovativa che pervade la vita personale e professionale delle persone ha generato una propensione, quasi imperativa, alla digitalizzazione delle aziende, sia a beneficio di utenti esterni che interni. Il processo comporta ovviamente rischi, opportunità ed impatti sia in ambiti tecnologici che organizzativi e di processo.

Di seguito una rappresentazione dello scenario tecnologico ad oggi sotto osservazione.

AI-3: AI powered full wealth mgmt value chain

Gro

w t

he

BU

sin

ess

Go

ve

rna

nc

e

an

d S

ec

uri

ty

Consolidata In crescita Sperimentale

Mobile

AI-1 Virtual Assistant

and Chatbot Real time analytics

Effic

ien

cy

Digital workplace

Machine learning Automation (RPA)

Open API

BlockChain DLT

Cyber and Fraud Security

Advanced Analytics

Data Discovery

Hybrid Cloud

Digital Signature

Encryption

Corporate Retail Corporate e Retail

M-Payments

Real-time communication

Social Media

Threat Intelligence

AI-2: Customer

Insight/ Predictive

Analytics and Big data

In grassetto le tecnologie in essere o in corso di valutazione all’interno

del Gruppo Mediobanca

Real time e predictive analytics

Smart Working

Il gruppo, nell’ambito della Strategia Digitale, monitora in maniera continuativa le nuove tecnologie per valutare

l’opportunità di una eventuale adozione rispetto al grado di maturità della tecnologia stessa.

25

DIGITAL BUSINESS INNOVATION DIGITAL BUSINESS TRANSFORMATION

Il gruppo Mediobanca presidia sistematicamente i processi di innovazione partecipando ad iniziative di mercato,

collaborazione con Fintech e approccio verticale alla prototipazione (Test & Learn).

Nell’ambito del Gruppo oggi le tematiche legate all’innovazione si basano su due pillar principali: Digital Business

Transformation & Innovation.

Digital is the new black

Automazione dei Processi di Business

Soluzioni di automazione (es. RPA - Robotic Process

Automation) e Digitalizzazione di Processi (es.

Dematerializzazione e Firma Digitale) sono già in essere

nelle società Retail del Gruppo e sono in fase di estensione

ai segmenti non Retail.

Digitalizzazione dei prodotti

Evoluzione dell’attuale RoboAdvisor, già proposto alla

clientela affluent di CheBanca! (ad oggi sottoscritto da più

di 4mila clienti).

Modernizzazione del

Business Esistente

Creazione di un nuovo

Business ‘Digital’

Nuovi prodotti Digitali e Servizi

Nell’ambito del corporate e investment banking

introduzione di tecnologie di tipo ’cognitive learning’ (es

Virtual Assistant, Liquidity Events)

Nuove tecnologie per il business

L’unita organizzativa Group Digital and Innovation Office,

preposta allo studio e alla sperimentazione delle nuove

tecnologie, sta al momento analizzando l’applicazione

dell’AI sui vari segmenti di business.

Il gruppo ha inoltre di recente completato l’acquisizione di

RAM Active Investments società «quant» specializzata in

strategie azionarie.

26

Altri driver evolutivi in fase di valutazione/implementazione

Digital Business Innovation

Creazione di nuovi prodotti

digitali e/o modelli di

business attraverso

tecnologie innovative (es.

Blockchain DLT)

Customer

Cost

Governance and Control

IT Agenda

IT Agenda

IT Agenda

Soddisfare le sempre più elevate aspettative della clientela supportando la crescita di ricavi e

l’erogazione di «nuovi» servizi

Governare l’evoluzione IT, garantendo un consistente controllo dei rischi e indirizzando le

crescenti richieste normative

Evolvere la struttura dei costi IT a protezione dei

ricavi e tutela rispetto alle incognite di mercato

Digital channel

Customer Experience

Rapidità delivery

Evoluzione Payments e opportunità PSD2

Strategic Architecture

Data Governance

Security by design

Risk Awareness

Riduzione costi IT

Dematerializzazione

Semplificazione Portfolio IT

Sourcing selettivo e industrializzazione processi Operation

Digital Business Transformation

Modernizzazione del business

esistente mediante

Automatizzazione (IT

enabled Processes) e

trasformazione di processi e

Prodotti (AI e digital UX)

Capabilities IT Agenda

Industrializzare e automatizzare ove possibile i

processi operativi e decisionali, sviluppare le

opportunità legate all’ecosistema esterno

Automazione

Ecosistemi esterni (es. Fintech, partner, …)

Valorizzazione patrimonio e trasformazione dei dati

Tecnologie

Tecnologie

Tecnologie

Virtual Assistant

Real time e predictive analytics

AI e Machine learning

Mobile

Advanced Analytics

Data discovery

Threat Intelligence

Cyber & Fraud security

Hybrid Cloud

Digital signature

AI (Artificial Intelligence)

Tecnologie

Automation (RPA)

Open API

Blockchain

Big Data

AI (Artificial Intelligence)

Workforce IT Agenda

Evolvere gli strumenti a supporto degli utenti,

sfruttando le nuove opportunità tecnologiche per

semplificare la comunicazione e l’operatività in mobilità

Digital workplace

Smart Working

Tecnologie

Real-time communication

Virtual Assistant

Mobile

27

Nell’ambito del gruppo sono state create unità

organizzative, gruppi di lavoro e partnership volte a

favorire la contaminazione tra le funzioni e valorizzare

al massimo le potenzialità delle nuove tecnologi.

Promuovere la diffusione dell’innovazione (anche dal

punto di vista divulgativo) ci consente di avere una

posizione di rilievo sulla frontiera tecnologica.

Innovazione: dove e con chi

Group Digital and

Innovation Office

Sandbox

(Test & Learn)

Roadshow

Fintech e Cybersecurity. Unità organizzativa

dedicata allo studio e

alla sperimentazione

delle nuove tecnologie

Predisposizione di

ambienti di

sperimentazione

Partnership con la Fintech

R3 (piattaforma Corda) in

collaborazione con ABILAB

Collaborazione con

Ripple in ambito

Blockchain/payments

Incontri con l’innovazione.

Nel Roadshow 2017 –

partecipazione di una

delegazione di startup

Israeliane nel settore

FinTech e CyberSecurity

Mediobanca Group IT Executive Summary · Supporto del management Semplificando le decisioni con...

Documents

Transcript of Mediobanca Group IT Executive Summary · Supporto del management Semplificando le decisioni con...