Politica di backup e ripristino

La Politica di backup e ripristino (P15) stabilisce i requisiti obbligatori dell’organizzazione per il backup e il ripristino di dati, sistemi e applicazioni. Il suo scopo principale è salvaguardare la resilienza operativa e l’integrità dei dati dell’organizzazione, supportando la continuità operativa anche durante interruzioni significative come guasti di sistema, attacchi informatici o cancellazioni accidentali. In sostanza, la politica definisce un approccio standardizzato alle operazioni di backup e assicura parametri di ripristino chiari, in particolare definendo le aspettative di RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Questi requisiti sono strettamente allineati con l’implementazione del framework SGSI e con i piani di continuità operativa, garantendo conformità legale, normativa e operativa. L’ambito di applicazione della politica è completo: riguarda tutti i sistemi aziendali critici e operativi coperti dal campo di applicazione del SGSI, inclusi dati strutturati e dati non strutturati quali banche dati, file, e-mail e impostazioni di configurazione dei sistemi. Si estende a tutti i tipi di ambienti operativi (in locale, ibrido, cloud), ai supporti di backup (fisici, virtuali, offsite) e al personale che supervisiona o esegue i processi di backup. In particolare, i sistemi da escludere dalle operazioni di backup devono essere sottoposti a valutazione del rischio, documentati e approvati formalmente, a conferma dell’enfasi della politica su gestione del rischio e responsabilità. Tra i suoi obiettivi, la politica specifica che tutti gli asset critici devono essere sottoposti a backup con adeguata frequenza, ridondanza e cifratura, documentando tutte le procedure, i piani di conservazione e i ruoli designati. I meccanismi di ripristino devono rispettare soglie RTO e RPO predefinite in base all’impatto aziendale. L’integrità e l’efficacia dell’ambiente di backup sono convalidate tramite test regolari di ripristino e mantenimento della traccia di audit. Per l’allineamento normativo, la politica applica direttamente controlli di ISO/IEC 27001:2022 (inclusi continuità operativa e smaltimento sicuro), ISO/IEC 27002:2022 (come integrità e pianificazione del ripristino), nonché requisiti derivati da NIST SP 800-53, GDPR, EU NIS2 e DORA. I contratti con i fornitori terzi di servizi di backup devono riflettere le aspettative dell’organizzazione su cifratura, smaltimento, notifica degli incidenti ed evidenze dell’audit dei test. Ruoli e responsabilità sono descritti esplicitamente, assegnando la supervisione strategica ad Alta Direzione e al Responsabile della sicurezza delle informazioni (CISO), l’esecuzione operativa ai team IT e alle Operazioni, e una governance specializzata al DPO, ai Proprietari delle applicazioni aziendali e ai fornitori pertinenti. La politica richiede un calendario generale dei backup, cicli di riesame regolari, cifratura robusta, ambienti di backup separati e controlli rigorosi di gestione delle modifiche. Una governance rigorosa assicura che i log di audit siano mantenuti, che le eccezioni siano controllate con attenzione e sottoposte a valutazione del rischio, e che le capacità di ripristino siano testate a intervalli stabiliti. Inoltre, la non conformità attiva misure disciplinari per il personale interno e penali o escalation per i fornitori, con la revisione regolare di log, calendari e documentazione correlata come parte dei processi di audit e conformità e di garanzia. Infine, la politica è riesaminata almeno annualmente, assicurando che gli aggiornamenti riflettano cambiamenti strategici, legali o tecnologici, con comunicazione a tutte le parti interessate. In collegamento con una suite di documenti di governance (Gestione del rischio, Gestione degli asset, Classificazione dei dati, Politica di conservazione dei dati, mascheramento dei dati e Risposta agli incidenti), questa politica è integrata nell’approccio complessivo dell’organizzazione alla sicurezza dei dati, alla continuità e alla conformità normativa.