Politica di gestione dei cambiamenti - PMI

La P05S Politica di gestione dei cambiamenti è attentamente adattata alle piccole e medie imprese (PMI), con un focus sull’esigenza di gestire le modifiche ai sistemi IT e ai sistemi aziendali in modo snello ma conforme. Lo scopo dichiarato della politica è garantire che tutte le modifiche, sia ai sistemi informativi, alle impostazioni di configurazione, alle applicazioni aziendali o ai servizi cloud, siano pianificate, sottoposte a valutazione del rischio, testate e formalmente approvate prima di entrare in vigore. Ciò contribuisce a ridurre al minimo le interruzioni operative, diminuire la probabilità di incidenti di sicurezza e prevenire interruzioni indesiderate dei servizi. Progettata pensando alle PMI, la politica semplifica esplicitamente ruoli e responsabilità, rendendo la gestione delle modifiche accessibile alle aziende senza dipartimenti IT a tempo pieno o un Centro operativo di sicurezza (SOC) dedicato. Ad esempio, l’amministratore delegato è reso in ultima istanza responsabile delle modifiche significative o sensibili, incarnando un modello di governance che funziona in ambienti con risorse limitate. Le modifiche IT possono essere proposte da dipendenti o responsabili di dipartimento, ma tutte le azioni significative sono soggette o all’approvazione di un fornitore IT oppure, per le modifiche principali, alla firma dell’amministratore delegato. Questo allinea il processo di modifica alle strutture di gestione tipiche delle PMI. In modo completo, la politica copre sia le modifiche pianificate sia le modifiche di emergenza su software, hardware, impostazioni di configurazione di rete, servizi cloud e processi commerciali critici che coinvolgono i sistemi informativi. Prescrive procedure semplici per presentazione, documentazione, valutazione del rischio e dell’impatto, approvazione, test e rollback. In particolare, deve essere mantenuto un Change Log, tramite foglio di calcolo, sistema di helpdesk o qualsiasi sistema di tracciamento digitale con cronologia delle versioni, per garantire che tutte le modifiche siano tracciabili, supportino gli audit e forniscano evidenze dell’audit dell’aderenza al processo. La politica è costruita per soddisfare i requisiti di certificazione ISO/IEC 27001:2022, formalizzando in particolare la pianificazione e la gestione operativa delle modifiche. Il processo decisionale basato sul rischio è parte integrante: ogni richiesta di modifica viene valutata per i potenziali impatti su disponibilità dei sistemi, riservatezza dei dati e continuità operativa, e viene assegnato un livello di rischio. Le modifiche di emergenza, pur consentite per minacce urgenti o interruzioni, devono essere riesaminate retrospettivamente e registrate per garantire trasparenza e consentire l’apprendimento dagli incidenti. Le sezioni di applicazione chiariscono le conseguenze delle modifiche non autorizzate/non pianificate o non documentate, enfatizzando azioni correttive e il miglioramento futuro del processo. Documentazione e comunicazione sono obbligatorie lungo tutto il ciclo di vita della politica. Sono richiesti riesami annuali e riesami dopo incidenti di sicurezza o introduzioni di sistemi, e gli aggiornamenti devono essere formalmente approvati e comunicati in tutta l’organizzazione. L’efficacia organizzativa è ulteriormente supportata dal collegamento ad altre politiche PMI correlate, incluse quelle su controllo degli accessi, Politica di onboarding e cessazione del personale, risposta agli incidenti e backup/ripristino, garantendo coerenza nel quadro di conformità. Questa politica è quindi non solo pratica e attuabile per le PMI, ma anche direttamente allineata a norme e regolamenti internazionali, come ISO/IEC 27001:2022, NIS2 e DORA dell’UE.