Generali Group

GENERALI PORTUGAL
BUSINESS CONTINUITY STRATEGY

For internal purposes only

generali.pt
INDEX

Acrónimos ............................................................................................................................................... 3
1 Introdução ......................................................................................................................................... 4

2 BC Strategy ....................................................................................................................................... 5
2.1 Business Impact Analysis ..............................................................................................................................................5
2.2 Risk Identification and Assessment (RIA) Cenários e BC strategy ................................................................................6
2.3 Cenários fora de âmbito .................................................................................................................................................8

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 2

 Acrónimos
Acrónimo Explicação

AG ASSICURAZIONI GENERALI SPA

BC BUSINESS CONTINUITY

BCM BUSINESS CONTINUITY MANAGEMENT

BCMS BUSINESS CONTINUITY MANAGEMENT SYSTEM

BCP BUSINESS CONTINUITY PLAN

BIA BUSINESS IMPACT ANALYSIS

BOD BOARD OF DIRECTORS

GCEO GROUP CEO

COMPANHIA GENERALI - COMPANHIA DE SEGUROS S.A. / GENERALI VIDA - COMPANHIA DE SEGUROS

S.A.

RIA RISK IDENTIFICATION AND ASSESSMENT

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 3

1 Introdução
O presente Business Continuity Management (BCM) foi realizado com o propósito de avaliar o grau de importância da
continuidade de negócio da Generali - Companhia de Seguros SA e Generali Vida – Companhia de Seguros SA , e avaliar o
impacto de eventos perturbadores sobre os seus objectivos, definindo, consequentemente, as estratégias a serem
implementadas, a fim de os resolver e diminuir o seu impacto.
Para a elaboração deste documento, foram dados os seguintes passos:
1. Business Impact Analysis (BIA), a fim de determinar funções mais críticas e o efeito que uma interrupção dos processos
pode ter sobre estes;
2. Risk Identification and Assessment (RIA), a fim de determinar as ameaças que poderiam causar perda ou interrupção do
negócio, e sua probabilidade de ocorrência;
3. Business Continuity Strategy que, a partir das conclusões retiradas da BIA e RIA, determina as contramedidas e soluções
para garantir as funções de continuidade de negócio da Companhia.

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 4

2 BC Strategy
2.1 BUSINESS IMPACT ANALYSIS
A BIA resulta de um conjunto de entrevistas realizadas durante o mês de Setembro de 2019 com os directores membros da
Comissão Executiva, e com responsabilidades sobre os Recursos Humanos, Sinistros, Compliance e Auditoria Interna com o
intuito de se aferir se havia lugar a alguma alteração ao levantamento de actividades críticas efectuado em 2016.

Não foram registadas quaisquer alterações pelo que a estrutura da BIA, actividades e processos nela identificados mantêm-se
inalterados.

Os resultados destas entrevistas será anexo ao presente documento.

2. BIA 3. Identification
1. Preliminary
information of critical
BIA
gathering resources

1. Preliminary Business Impact Analysis (BIA)

A Preliminary Business Impact Analysis determinou que processos, uma vez sujeitos a uma interrupção prolongada no tempo,
teriam impacto critico na actividade da Companhia.

2. BIA recolha de informação

O Anexo1 lista as actividades críticas da Companhia, e o seu grau de criticidade.

3. Identificação de processos críticos

Da BIA conclui-se que, na sequência de um evento que paralise, total ou parcialmente a Companhia, as prioridades a serem
dadas para a retoma da actividade, são:
1. Recuperação do Sistema Informático Institucional;
2. Recuperação das instalações (se aplicável);
3. Continuidade da Assistência a Clientes e Agentes;
4. Retoma da Actividade Comercial.

BIA outputs

1. Pessoal Crítico: 92
2. Processos Críticos: 60
3. Número de Companhias: 2
4. Número de pessoas que necessitam de local de trabalho alternativo, porque as suas actividades não se podem realizar a
partir de casa: 20
5. Número de aplicações e sistemas de IT que necessitam de restabelecimento imediato ao desastre: 1

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 5

2.2 RISK IDENTIFICATION AND ASSESSMENT (RIA) E BC STRATEGY
O Risk Identification and Assessment (RIA) levou em consideração quatro diferentes cenários que poderão afectar a
continuidade do negócio da Companhia:

A. Inoperacionalidade e inacessibilidade das instalações;

B. Indisponibilidade de pessoal;
C. Inacessibilidade à informação e ao sistema corporativo (Information & communications technology)
D. Indisponibilidade de prestadores de serviço.

A RIA foi revista, alterada e posteriormente aprovada pelo Chief Risk Officer & Internal Control & Compliance, a 19 de
Dezembro de 2019.

Nas secções seguintes, sumariam-se os cenários já analisados na RIA, e as medidas a desenvolver com vista à mitigação dos
riscos associados à actividade comercial da Companhia. No anexo 2 podemos ver os Trigger de activação do BCM consoante
o cenário e as timeline de recuperação dos diferentes cenários apresentados.

A. Inoperacionalidade e inacessibilidade das instalações

1. Evento: Sismo
2. Localizada em lisboa, a Sede da Companhia é o local de trabalho da maioria dos seus colaboradores. A construção deste
edifício respeita as normas de arquitectura e engenharia legalmente exigidas, para suportar o impacto de um sismo.
3. Caso se verifique a necessidade de deslocação de pessoas para outras instalações, será seguido o critério de
proximidade a outras instalações da Companhia.
4. Se necessário, podemos usar as instalações do CSG para garantir a manutenção do negócio. Só necessitamos de
deslocar algumas funções para estas instalações para que sejamos totalmente operacionais e independentes.
5. Se ainda assim, esta solução não for exequível, deverá ser considerado o recurso ao mercado de arrendamento de
imóveis e de aluguer de equipamentos.
6. O Home Office é outra opção a ser considerada. A Companhia já possui a tecnologia e os recursos preparados para o
efeito. Já temos inclusive recursos a trabalhar em casa.
7. Num período de tempo não superior a 4 dias sobre a ocorrência do evento, todos os processos classificados com grau 1
de criticidade, terão que estar perfeitamente operacionais

8. Evento: Incêndio
9. Localizada em lisboa, a Sede da Companhia é o local de trabalho da maioria dos seus colaboradores. A construção deste
edifício respeita as normas de arquitectura e engenharia legalmente exigidas, para minimizar o impacto de incêndio, para
além de deter um plano de evacuação de pessoas e equipamentos de combate a incêndio.
10. Caso se verifique a necessidade de deslocação de pessoas para outras instalações, será seguido o critério de
proximidade a outras instalações da Companhia.
11. Se necessário, podemos usar as instalações do CSG para garantir a manutenção do negócio. Só necessitamos de
deslocar algumas funções para estas instalações para que sejamos totalmente operacionais e independentes.
12. Se ainda assim, esta solução não for exequível, deverá ser considerado o recurso ao mercado de arrendamento de
imóveis e de aluguer de equipamentos.
13. O Home Office é outra opção a ser considerada. A Companhia já possui a tecnologia e os recursos preparados para o
efeito. Já temos inclusive recursos a trabalhar em casa.
14. Num período de tempo não superior a 4 dias sobre a ocorrência do evento, todos os processos classificados com grau 1
de criticidade, terão que estar perfeitamente operacionais

B. Indisponibilidade de pessoal

15. Evento: Sismo

16. Nos últimos 200 anos não se deu em Portugal continental qualquer sismo de intensidade significativa, daí não ser
esperado, caso este venha a ocorrer, um número elevado de perda de vidas.
17. No caso de perda de vidas ou indisponibilidade de pessoal crítico devido a um sismo, a sua substituição será estabelecida
pelo organograma de cada uma das Áreas / Direcções. Ainda assim, o recurso a empresas de trabalho temporário deverá
ser equacionado.
18. Num período de tempo não superior a 4 dias sobre a ocorrência do evento, todos os processos classificados com grau 1
de criticidade, terão que estar perfeitamente operacionais

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 6

19. Evento: Incêndio
20. Atendendo às condições de construção do edifício Sede, equipamentos de segurança e ao Plano de Emergência Interno,
em caso de incêndio, a expectativa de perda de vidas é baixa.
21. No caso de perda de vidas ou indisponibilidade de pessoal crítico devido a incêndio, a sua substituição será estabelecida
pelo organograma de cada uma das Áreas / Direcções. Ainda assim, o recurso a empresas de trabalho temporário deverá
ser equacionado.
22. Num período de tempo não superior a 4 dias sobre a ocorrência do evento, todos os processos classificados com grau 1
de criticidade, terão que estar perfeitamente operacionais

C. Inacessibilidade a Information & communications technology

23. Evento: Locking Malware or Ransomware Attack

24. A Generali pode estar exposta a um ataque de ransomware após uma bem sucedida e mirada campanha de spear-
phishing por hackers. A Generali historicamente apoia-se no sistema Legacy de IT para gerir os dados do portfólio de
clientes, mas iniciará um programa de transformação de IT para migrar os seus sistemas devido a uma fusão importante
entre Companhias.
25. De fato, durante a fase de transformação, pode ser necessário estabelecer acordos de outsourcing com empresas de
serviços de dados para desenvolver, testar, manter e apoiar novas aplicações de tecnologias, durante e após a fase de
transformação.
26. Um grupo de hackers poderia realizar uma série de ataques coordenados contra as companhias de seguros, por meio de
uma campanha sofisticada e personalizada de spear-phishing.
27. Esta permite que eles obtenham logins e senhas de funcionários para sistemas corporativos causando interrupção dos
negócios.
28. Nunca ocorre esse evento, mas o impacto pode ser alto para o risco reputacional..
29. As principais medidas de mitigação incluem segmentação de rede, controles de patches, varreduras de vulnerabilidade,
ou seja, ter processos de detecção apropriados e testes para ajudar a identificar o “Leak” cedo, garantindo que as
situações podem ser combatidas à medida que surgem e reduzindo assim o impacto de qualquer ataque.
30. Além disso, é importante ter um plano de resposta a incidentes e uma estratégia de comunicação.
31. Back-ups dos disjuntores podem ajudar a mitigar impactos.
32. Os funcionários devem receber treino para serem conscientizados sobre ataques de phishing e ajudá-los na identificação e
no enfraquecimento de potenciais ataques.
33. Os sistemas de IT devem verificar a recepção das comunicações para tentar eliminar ou pôr de quarentena potenciais
ataques.

34. Evento: Data Breach and Targeted Information Leak

35. Um funcionário da Generali com uma má relação de trabalho com a chefia pode ter a moral em baixo o que leva à
amargura e, pode levá-lo a tomar uma ação prejudicial contra Generali.
36. Esse funcionário pode publicar on-line os dados de todos os segurados do seguro de automóvel, financeiros e não
financeiros.
37. Persuadindo outros funcionários a dar acesso usando técnicas de engenharia social, o funcionário pode ter acesso a
informação financeira. Se isso não foi escalado adequadamente e demorou muito tempo antes que os principais membros
da equipe estivessem cientes da violação de dados, poderia levar a uma resposta lenta e à falta de comunicação com o
público, e levar à repercussão por parte de segurados que foram os media sociais para expressar seu ressentimento.
38. Controle de acesso: Senha de controles para todos os bancos de dados (apólice, sinistros); Limitar o acesso a todos
(físico ativos digitais); Acesso (dentro do escritório ou remotamente) é gerenciado, monitorado e auditado;
39. Formação dos recursos: Formação relacionada com as leis de protecção de dados e correspondentes sanções por
violações; Formação em segurança cibernética para quem monitorar o uso da rede; Incentivos para relatar problemas,
preocupações e denúncias; Selecção de recursos durante os processos de recrutamento para "ajuste cultural". Violações
de acordos de confidencialidade incluídos nos contractos de pessoal; Plano de resposta a incidentes preparação e
formação (incluindo Conselho).
40. Redes seguras: Existência de processos e procedimentos adequados de protecção de informações; suportes amovíveis
de dados estão protegidos (por exemplo, portas USB não disponíveis para uso); Acesso a e-mails / sites pessoais
restritos; Uso registrado de redes da empresa; Redes monitoradas e com notificações automáticas, em eventos de
potencial uso indevido.
41. Segurança dos dados: Revisões regulares dos controles à volta dos sistemas e acessos.

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 7

2.3 CENÁRIOS FORA DE ÂMBITO
Devido à sua baixa incidência e impacto, e apesar de sujeitos a análise, não são considerados relevantes os seguintes
eventos:

a. Inoperacionalidade e inacessibilidade das instalações, devido a

• Catástrofes naturais: Inundações
• Ameaças externas: Terrorismo, perturbação da ordem pública, sublevações, sabotagem, guerra, bloqueio de acesso às
instalações;
• Danos por água, explosão, incêndio, contaminação, falta de transportes;
• Falha de energia.

b. Indisponibilidade de pessoal, devido a

• Pandemia e outras doenças;
• Catástrofres naturais: Inundações
• Eventos de natureza social e política: Terrorismo, perturbação da ordem pública, sublevações, sabotagem, guerra, greves.

c. Falha de Information & communications technology devido a:

• IT virus;
• Interrupção de interfaces e IT connections;
• Falha / avaria de equipamentos;
• IT systems risk.
• Problemas de operacionalidade / IT.

d. Os prestadores de serviços incapazes de fornecer o seu serviço, devido à interrupção dos negócios e falta de BCPs ou
BCPs inadequados dentro de sua organização.

No entanto, no caso de qualquer um destes acontecimentos ocorrer, deve ser aplicado o mesmo critério aplicado aos eventos
já considerados: Sismo e Incêndio.

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 8

ANEXO 1 – Actividades Criticas da Companhia

LEVEL OF BUSINESS
PROCESS
CRITICALITY FUNCTION
3 Desk review and followup Auditoria Interna
3 ORSA
3 Risk Identificacion and Evaluacion and process analisees Compliance
3 Solvency 2 capital requirement
3 Compart despesas ao segurado/prestadores (Saúde ADV)
3 Emissão de suportes de seguro activo (cartão saúde ADV) Health & Accidents
3 Emissão e cobrança/anulação recibos prémio
3 Processamento Salarial
Human Resources
2 Gestão Pessoas
2 Atendimento a clientes externos e internos
3 Emissão de Contratos
3 Pricing
3 Product Development Insurance
3 Reporting
3 Risk Analysis
2 Subscrição de riscos
3 Tax
2 Investments
Investment
1 Premises and facilities
3 Procurement
2 Resgates
Life
2 Sinistros
2 Actas e Anulações
2 Apoio Cliente
2 Arquivo
2 Atendimento Presencial
Operações / Projectos
1 Atendimento Telefónico
2 Emissão
3 Gestão de Projectos
2 Regularização de Pagamentos
1 Alterações Apólices Portal Agente
1 Assistência Comercial
2 Comunicação Marketing Sales & Distribuicion
1 Subscrição PME e corporate
3 Overcommission
1 Garantir o acesso á aplicação Corporativa
2 Continuidade das Comunicações APS
2 Acesso ao Correio Electrónico
2 Acesso à framework de Desenvolvimento
1 Garantir a capacidade de impressão
IT
1 Acesso ao Módulo de Report (Actuate)
1 Acesso a Portais/Aplicação Entidades Externas
1 Permitir a continuidade do acesso ao Portal dos Mediadores
2 Manter online o siste institucional, extranet e site advogados
2 Recuperar as Telecomunicações
3 Acesso ao Arquivo Fisico
3 Análises Actuariais
3 Análise de Gastos Gerais
2 Análise de produção e sinistros
3 Contabilização Finance
2 Monitorização de Cobranças
2 Monitorização de Saldos Bancários
2 Pagamentos/ recebimentos
2 Partilha de Informação
3 Contencioso e Processos Judiciais
3 Gestão de reclamações Legal
3 Credit Collection
2 Pagamentos e Reembolsos
2 Participação e Gestão de Sinistros Claims
2 Pedidos de Intervenção

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 9

ANEXO 2 – Trigger de Activação do BCM e Timeline de Recuperação

CENÁRIOS

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 10

Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 11
Generali Portugal – Business Continuity Strategy FOR INTERNAL PURPOSES ONLY 12