Iccrea Banca ha realizzato il proprio sistema di continuità operativa che, conformemente a quanto stabilito da Banca d'Italia con le disposizioni del 4 novembre 2004 (Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento) e in linea con le politiche definite dal C.d.A., si sviluppa attraverso una sequenza continua e iterativa delle fasi:
Viene analizzato l’impatto (economico, normativo, di immagine) di predefiniti scenari di disastro su tutti i processi aziendali, individuando fra l’altro i requisiti di sicurezza espressi in termini di tempi di ripartenza (cosiddetto RTO) e massimo intervallo temporale di perdita dati (cosiddetto RPO).
Vengono progettate e realizzate le misure tecnologiche ed organizzative idonee a garantire una adeguata capacità di resistenza ai previsti scenari di disastro. Dette misure sono articolate in quattro principali sottosistemi: DRP per le tecnologie informatiche (siti alternativi per l’elaborazione dati); HRRP per le risorse umane (gestione delle risorse chiave); ORP per la logistica (servizi generali e gestione degli spazi di lavoro); EARP per i rapporti con i soggetti esterni (procedure di comunicazione, raccordo e coordinamento). Per i processi vitali e critici sono anche definite misure organizzative più specifiche (cosiddette procedure amministrative di recovery) che comprendono, ove possibile, misure di contingency (procedure da applicare in attesa del recovery).
Sono state dettagliatamente documentate le modalità di rilevazione degli incidenti, di gestione delle fasi di recovery e di ritorno alla normalità per ogni condizione specifica di disastro da gestire.
Sono state definite misure idonee ad assicurare il mantenimento nel tempo delle funzionalità del sistema realizzato tramite una continua opera di revisione critica e adeguamento all’evoluzione delle necessità del business.
Più in dettaglio, Iccrea dispone di due siti, primario e secondario, con diverso profilo di rischio (sismico, idrogeologico …) distanti circa 12 km e interconnessi attraverso sistemi informatici e fibre ottiche ridondate, capaci di garantire l’aggiornamento degli archivi presenti, nei due siti, in modalità sincrona (RPO uguale a zero). I siti sono dotati di infrastrutture di servizio opportunamente ridondate per l’alimentazione elettrica, per il condizionamento, per il controllo accessi e di spazi attrezzati per lo svolgimento di funzioni amministrative.
Dato il particolare ruolo di Istituto Centrale della Categoria delle Banche di Credito Cooperativo, il sistema è sottoposto a un robusto piano di test annuali che coinvolgono tutte le componenti del sistema di continuità (tecnologie, logistica, risorse umane, rapporti con soggetti esterni) oltre che le principali strutture esterne di servizio e raccordo con le Banche di Credito Cooperativo.
Dal punto di vista organizzativo l’Iccrea si è dotata di:
- una struttura che assicura la gestione del BCP e dei relativi sottosistemi (tecnologie, logistica, risorse umane, …), tramite la puntuale assegnazione delle connesse responsabilità di gestione e sviluppo;
- un comitato di indirizzo e controllo per le tematiche “Sicurezza e Continuità Operativa”, presieduto dal VDG vicario e composto dai responsabili delle aree di business oltre che dei responsabili dei sottosistemi del BCP e della revisione interna;
- un comitato preposto alla gestione della crisi.
L’intero sistema è certificato conforme allo standard UNI EN ISO 22301:2014 (certificato n°45390 rilasciato dall’ente certificatore CSQA), oltre ad essere sottoposto ad attività sistematiche di verifica da parte della Funzione di Internal Audit.