Politica di continuità operativa e ripristino in caso di disastro

La Politica di continuità operativa e ripristino in caso di disastro stabilisce i controlli, i processi e le responsabilità obbligatori per sostenere o ripristinare le operazioni aziendali critiche e i servizi ICT dell’organizzazione durante e dopo incidenti dirompenti. Fornisce un quadro strutturato per proteggere la vita, garantire la stabilità operativa, rispettare gli impegni legali e verso i clienti e salvaguardare la reputazione dell’organizzazione, integrando la resilienza tramite pianificazione proattiva e capacità di ripristino convalidate. Questa politica si applica a tutte le unità organizzative, ai sistemi informativi, ai processi commerciali, al personale e ai servizi di terze parti ritenuti critici o essenziali sulla base dei risultati di una Business Impact Analysis (BIA). L’ambito è completo e copre interruzioni naturali e di origine umana, quali attacchi informatici, guasti dell’infrastruttura, interruzioni del data center, pandemie e interruzioni dei servizi dei fornitori. Definisce le aspettative fondamentali per la pianificazione, i test continuativi e il miglioramento continuo dei Business Continuity Plans (BCP) e dei Disaster Recovery Plans (DRP), assicurando il rispetto degli obblighi normativi, contrattuali e delle migliori pratiche del settore. Gli obiettivi chiave della politica includono garantire la continuità delle operazioni aziendali tramite procedure predefinite e testate, ridurre al minimo i potenziali impatti operativi, reputazionali e legali e assicurare un ripristino tempestivo entro obiettivi definiti di Recovery Time e Point (RTO e RPO). Assegna una chiara autorità e responsabilità in tutta l’azienda: la direzione esecutiva, i responsabili della continuità operativa e del ripristino IT, i responsabili di dipartimento, i responsabili della sicurezza delle informazioni e il team di risposta alla crisi hanno ciascuno ruoli definiti per strategia, pianificazione, esecuzione e comunicazione. La politica impone l’istituzione di un Business Continuity Management System (BCMS) unificato in linea con i requisiti ISO 22301 e ISO/IEC 27001. Richiede una BIA annuale per tutte le unità critiche, lo sviluppo e l’approvazione di BCP/DRP e il mantenimento di documentazione accurata, flussi di escalation ed elenchi di contatti. I piani devono includere soluzioni manuali, attivazione di siti alternativi, comunicazione di crisi e strategie di contingenza della catena di fornitura. Test regolari, incluse valutazioni annuali della resilienza, esercitazioni tabletop e failover simulati, sono obbligatori per riesaminare efficacia, dipendenze e postura di rischio. La politica affronta inoltre l’integrazione della pianificazione della continuità con la sicurezza e la risposta agli incidenti, garantendo che durante il ripristino non vi siano compromessi sui controlli di sicurezza delle informazioni. Sono definiti gestione delle eccezioni, valutazione del rischio e protocolli di escalation, mentre il monitoraggio continuo della conformità e le misure disciplinari per la non conformità assicurano l’applicazione e la conformità della politica. Questa politica è strettamente allineata ai principali standard globali e quadri normativi, supportando la due diligence nella resilienza operativa e l’auditabilità per obblighi legali o contrattuali.