Politica di gestione dei cambiamenti

La Politica di gestione dei cambiamenti stabilisce un quadro formale e strutturato per controllare e monitorare tutte le modifiche ai sistemi informativi, all’infrastruttura, alle applicazioni e ai processi correlati di un’organizzazione. Il suo scopo principale è garantire che qualsiasi modifica sia pianificata, documentata e approvata tramite un’adeguata governance, il Comitato consultivo per le modifiche e ruoli designati, in modo che il rischio sia sempre ridotto al minimo e la stabilità dei sistemi preservata. La politica è completa nella sua portata e si applica a tutte le modifiche che incidono su sistemi, dati e ambienti nel campo di applicazione del SGSI (Sistema di gestione della sicurezza delle informazioni). Ciò include adeguamenti tecnici all’infrastruttura informatica (in locale, cloud o ibrido), agli ambienti di produzione o all’ambiente di ripristino in caso di disastro, e si estende anche a rilasci software, modifiche di configurazione, correzioni d’emergenza e attività di migrazione. Garantisce inclusività imponendo non solo al personale IT interno, ma anche a sviluppatori, gruppi di progetto e fornitori terzi, fornitori di servizi gestiti (MSP) e contraenti, di seguire gli stessi robusti protocolli di gestione delle modifiche. Un beneficio chiave della politica è la rigorosa classificazione e documentazione richiesta per ogni modifica. Ogni richiesta di modifica deve dettagliare ambito, obiettivi, impatto, dipendenze, piani di test e piani di rollback, ed è soggetta a flussi di approvazione standard, normali o di emergenza. Il Comitato consultivo per le modifiche, composto da parti interessate di sicurezza, operazioni IT, referenti di business e conformità, riesamina le modifiche principali e standard, assicurando che le decisioni siano sempre basate sul rischio e tracciabili. Ciò mantiene la disponibilità dei sistemi e l’integrità dei dati, supportando la preparazione all'audit tramite registrazioni documentate e riesami post-implementazione (PIR). Inoltre, applica la separazione dei compiti, imponendo revisione tra pari ed evitando conflitti di interessi per ridurre la probabilità di modifiche non autorizzate/non pianificate. Le prove e la convalida sono centrali e richiedono che le modifiche siano sottoposte a test e valutazione del rischio in ambiente di pre-produzione prima del deployment in produzione, salvo classificazione come emergenze. La pianificazione del rollback è obbligatoria per ogni modifica, garantendo che siano disponibili passaggi di ripristino qualora qualcosa vada storto. Il sistema si integra anche con pipeline CI/CD e sistemi di controllo delle versioni per l’automazione, ma include sempre supervisione manuale per approvazione e documentazione. La politica evidenzia la gestione del rischio, stabilendo che ogni modifica sia valutata non solo per l’impatto tecnico ma anche per riservatezza, integrità, disponibilità (CIA), nonché per gli obblighi normativi quali GDPR, NIS2, DORA e norme ISO/IEC. Il rischio residuo può essere accettato solo dopo adeguata documentazione e approvazione esecutiva. Le eccezioni al processo standard sono strettamente controllate e richiedono doppia approvazione con giustificazioni chiare e controlli compensativi. Qualsiasi violazione, sia da parte di team interni sia di fornitori terzi di servizi, comporta provvedimenti disciplinari e deve essere documentata nel registro delle violazioni delle politiche. In sintesi, questa politica fornisce una struttura trasparente, verificabile e difendibile per la gestione delle modifiche, fondamentale per qualsiasi organizzazione che dia priorità alla conformità e alla resilienza operativa.