Politica di backup e ripristino - PMI

La Politica di backup e ripristino (P15S) fornisce un approccio completo per garantire che tutti i dati aziendali essenziali siano protetti dalla perdita e possano essere recuperati rapidamente in caso di interruzione. Sviluppata specificamente per le piccole e medie imprese (PMI), questa politica riconosce le realtà strutturali delle organizzazioni prive di dipartimenti IT complessi, ad esempio l’assenza di team SOC dedicati o di CISO. Di conseguenza, assegna le principali responsabilità di supervisione e decisione al Direttore Generale (DG), risultando pratica e conforme a ISO/IEC 27001:2022. Al suo centro, la politica stabilisce regole applicabili che richiedono backup regolari di tutti i dati critici, inclusi dati finanziari, dei clienti, HR e informazioni dei sistemi aziendali su desktop, server e applicazioni cloud. La politica è precisa sull’ambito di applicazione, richiedendo l’inclusione di supporti di backup come unità USB o soluzioni basate su cloud. Indirizza tutti i dipendenti con responsabilità nel trattamento dei dati, insieme ai fornitori di supporto IT esterno, a seguire rigorosamente i protocolli prescritti per il backup e l’archiviazione sicura. P15S definisce obiettivi chiari: garantire che tutti i dati critici siano sottoposti a backup in modo sicuro a intervalli allineati alla valutazione del rischio, assicurare un ripristino dei dati tempestivo e completo e prevenire accessi non autorizzati o manomissioni tramite cifratura robusta e controllo dell’archiviazione. Ruoli e responsabilità sono chiaramente delineati: il DG è responsabile dell’applicazione della politica, dell’allocazione delle risorse, dei riesami annuali e della supervisione degli incidenti, mentre i fornitori IT gestiscono l’implementazione tecnica e la reportistica. I dipendenti devono salvare il lavoro solo su sistemi approvati, riducendo ulteriormente il rischio. La politica richiede un Piano di backup documentato che specifichi cosa viene sottoposto a backup, la frequenza, le regole di conservazione e le linee guida per la cancellazione sicura basate su politiche correlate. I backup devono essere eseguiti secondo pianificazioni definite, ad esempio giornalmente o settimanalmente per i registri finanziari, mensilmente per le configurazioni di sistema e, ove possibile, in modo incrementale per i file condivisi. Controlli critici richiedono che i dati siano archiviati in almeno due posizioni (ad esempio locale e cloud), cifrati quando offsite e accessibili esclusivamente a personale autorizzato. Log, report e test periodici delle procedure di ripristino sono obbligatori, a supporto sia dell’affidabilità operativa sia dei requisiti di audit per norme quali ISO/IEC 27001 e GDPR. La gestione del rischio e delle eccezioni è integrata: qualsiasi deviazione, lacuna o guasto tecnico deve essere documentato, giustificato e approvato dal DG. Azioni vietate, come archiviare dati critici su dispositivi non approvati o saltare i test di ripristino, sono esplicitamente indicate. Riesami annuali e riesami attivati da incidenti garantiscono l’allineamento continuo con sviluppi legali, normativi e tecnici. Per problemi che impattano backup o ripristino, escalation e documentazione seguono la Politica di risposta agli incidenti (P30S), consolidando una governance integrata nel panorama di gestione delle informazioni della PMI. Questa politica consente quindi alle PMI di soddisfare requisiti di conformità internazionali con una struttura adeguata alle loro realtà operative.