Un sistema di fasi continue e iterative a servizio delle BCC

Iccrea Banca ha realizzato il proprio sistema di continuità operativa che, conformemente a quanto stabilito da Banca d'Italia con le disposizioni del 4 novembre 2004 (Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento) e in linea con le politiche definite dal C.d.A., si sviluppa attraverso una sequenza continua e iterativa delle fasi:




 

  • Analisi dei requisiti di continuità: viene analizzato l’impatto (economico, normativo, di immagine) di predefiniti scenari di disastro su tutti i processi aziendali, individuando fra l’altro i requisiti di sicurezza espressi in termini di tempi di ripartenza (cosiddetto RTO) e massimo intervallo temporale di perdita dati (cosiddetto RPO)

  • Definizione e continuo aggiornamento delle strategie per la continuità: vengono progettate e realizzate le misure tecnologiche ed organizzative idonee a garantire una adeguata capacità di resistenza ai previsti scenari di disastro. Dette misure sono articolate in quattro principali sottosistemi: DRP per le tecnologie informatiche (siti alternativi per l’elaborazione dati); HRRP per le risorse umane (gestione delle risorse chiave); ORP per la logistica (servizi generali e gestione degli spazi di lavoro); EARP per i rapporti con i soggetti esterni (procedure di comunicazione, raccordo e coordinamento). Per i processi vitali e critici sono anche definite misure organizzative più specifiche (cosiddette procedure amministrative di recovery) che comprendono, ove possibile, misure di contingency (procedure da applicare in attesa del recovery)

  • Sviluppo e gestione di procedure di risposta agli incidenti: sono state dettagliatamente documentate le modalità di rilevazione degli incidenti, di gestione delle fasi di recovery e di ritorno alla normalità per ogni condizione specifica di disastro da gestire

  • Esercizio e continua revisione del sistema: sono state definite misure idonee ad assicurare il mantenimento nel tempo delle funzionalità del sistema realizzato tramite una continua opera di revisione critica e adeguamento all’evoluzione delle necessità del business

Più in dettaglio, Iccrea dispone di due siti, primario e secondario, con diverso profilo di rischio (sismico, idrogeologico …) distanti circa 12 km e interconnessi attraverso sistemi informatici e fibre ottiche ridondate, capaci di garantire l’aggiornamento degli archivi presenti, nei due siti, in modalità sincrona (RPO uguale a zero). I siti sono dotati di infrastrutture di servizio opportunamente ridondate per l’alimentazione elettrica, per il condizionamento, per il controllo accessi e di spazi attrezzati per lo svolgimento di funzioni amministrative.

Dato il particolare ruolo di Istituto Centrale della Categoria delle Banche di Credito Cooperativo, il sistema è sottoposto a un robusto piano di test annuali che coinvolgono tutte le componenti del sistema di continuità (tecnologie, logistica, risorse umane, rapporti con soggetti esterni) oltre che le principali strutture esterne di servizio e raccordo con le Banche di Credito Cooperativo.

Dal punto di vista organizzativo l’Iccrea si è dotata di:

  • una struttura che assicura la gestione del BCP e dei relativi sottosistemi (tecnologie, logistica, risorse umane, …), tramite la puntuale assegnazione delle connesse responsabilità di gestione e sviluppo
  • un comitato di indirizzo e controllo per le tematiche “Sicurezza e Continuità Operativa”, presieduto dal VDG vicario e composto dai responsabili delle aree di business oltre che dei responsabili dei sottosistemi del BCP e della revisione interna
  • un comitato preposto alla gestione della crisi

L’intero sistema è certificato conforme allo standard UNI EN ISO 22301:2014 (certificato n°45390 rilasciato dall’ente certificatore CSQA), oltre ad essere sottoposto ad attività sistematiche di verifica da parte della Funzione di Internal Audit.