5 documenti
Concordare col CdA / preparare
Percorso in 4 fasi
5 documenti
Concordare col CdA / preparare
21 documenti
Ascoltare e mappare, read-only
38 documenti
Primi processi e policy
16 documenti
Set completo, dopo la fiducia
I nomi dei file sono cliccabili e aprono il documento renderizzato (mini-sito navigabile, portabile offline). Questo è il file indice: elenca ogni documento/template del pacchetto, la fase in cui usarlo, la priorità e lo stato di preparazione. I singoli documenti si generano man mano (partendo dagli ALTA di P0 e P1). Aggiorna la colonna Stato quando un documento passa da ☐ da creare a ☑ pronto.
Priorità: ALTA MEDIA BASSA · Stato: ☐ da creare · ☑ pronto / esiste
Ogni artefatto va presentato come riduzione del rischio-persona e abilitazione dello split societario / crescita, mai come controllo o sfiducia verso il presidio IT esistente. Coinvolgere chi detiene oggi il know-how come co-autore (RACI, as-is, mappe) lo rende alleato della transizione, non ostacolo. L'audit accessi si inquadra come "dovuto per lo split societario e per NIS 2", non come giudizio sull'operato. La governance è il riflesso della maturità organizzativa: prima si ascolta, poi si struttura.
I documenti da avere pronti (scheletri vuoti) per il giorno 1: le settimane 1-4 servono a riempirli, non a progettarli. Consolidamento dei TOP-3 di ogni lane.
| Documento | Lane | Scopo & quando | Priorità | Stato |
|---|---|---|---|---|
it-governance-charter.md | HoIT | Mandato, scope, autorità decisionale e confini del ruolo. Documento politico #1: concordato col CdA/Dario prima dell'ingresso, dichiara che Aldo porta struttura, non sostituisce competenza tecnica. | ALTA | ☑ generato v1 |
stakeholder-map-proprieta.md | SA | Mappa famiglia/proprietà + potere decisionale reale (Dario sponsor · responsabile IT attuale incumbent · Gonzato silenti) prima di muovere. Evita passi falsi politici. | ALTA | ☑ generato v1 |
piano-30-60-90 | SA | Roadmap ingresso ascolto→quick-win→struttura. Patto col CdA che protegge le prime 3-4 settimane non invasive. | ALTA | ☑ esiste — estendere 30→60/90 |
discovery-interview-guide.md | HoITITM | Griglia interviste as-is strutturata (7 tecnici + key-user business + controllo di gestione). Entra chiedendo come funziona, non dicendo cosa manca. | ALTA | ☑ generato v1 |
| Documento | Lane | Scopo & quando | Priorità | Stato |
|---|---|---|---|---|
it-maturity-assessment.md | SA | Baseline maturità IT/organizzativa su scala semplice (1-5 su 6-8 domini), calibrata "low" non enterprise. Trasforma sensazioni in scoring difendibile; misura il progresso a 12 mesi. | ALTA | ☑ generato v1 |
it-as-is-assessment.md | HoIT | Fotografia dello stato attuale (processi, asset, skill, debito, rischi) — consolidamento della discovery a fine sett. 4. | ALTA | ☑ generato v1 |
perimetro-gruppo-it-baseline.md | SA | Fotografia IT delle ~24 società × 5 continenti durante lo split: "chi ha cosa" prima che diventi irrecuperabile. Prerequisito per lo scoping NIS 2. | ALTA | ☑ generato v1 |
risk-register-it.md | SAHoIT | Registro rischi IT a livello board in linguaggio rischio/€ (key-person, responsabile IT attuale = voce #1, NIS 2, split, shadow IT). Aggiornato trimestrale. | ALTA | ☑ generato v1 |
asset-inventory.md | ITM | Censimento HW (PC, server, NAS, network, mobile) con chiave società+sede. Scheletro pronto in P0, popolato nel walk-around. | ALTA | ☑ generato v1 |
infra-asset-inventory.md | SYS | Censimento fisico/logico: hypervisor, firewall, switch, tenant M365, link WAN. Non puoi mettere in sicurezza ciò che non sai esista. | ALTA | ☑ generato v1 |
network-topology-as-is.md | SYS | Diagramma reti/VLAN/VPN site-to-site, segmentazione o assenza, esposizioni pubbliche. Come sono interconnesse le sedi sui 5 continenti. | ALTA | ☑ generato v1 |
identity-access-audit.md | SYS | Export AD/Entra: utenti, gruppi, membership ricorsiva, admin, MFA status, dormienti/condivisi. Via PowerShell (Get-ADUser / Get-MgUser / Get-MgUserAuthenticationMethod), read-only, zero modifiche. | ALTA | ☑ generato v1 |
fileserver-acl-report.csv | SYS | Export ACL share (Get-Acl/icacls): permessi diretti vs gruppo, Everyone/Domain Users su share sensibili, SID orfani (ex-dipendenti mai rimossi). | ALTA | ☑ generato v1 |
privileged-accounts-register.md | SYS | Registro account privilegiati / di servizio / break-glass / esterni. Con 24 società attesi admin condivisi tra entità → lo split li rende ambigui. | ALTA | ☑ generato v1 |
backup-dr-assessment.md | SYS | Stato as-is backup + primo test restore reale entro sett. 4 + RPO/RTO misurati (non dichiarati). Verifica 3-2-1 e copia offline/immutabile (ransomware = target manifatturiero). | ALTA | ☑ generato v1 |
entra-conditional-access-map.md | SYS | Mappa policy Conditional Access / MFA / legacy auth M365. Serve prima di riconfigurare (tenant fluidi nello split). | MEDIA | ☑ generato v1 |
vendor-register.md | V&CITM | Registro fornitori IT: referente, contratto, scadenza, rinnovo, criticità. Segmentato per divisione (hospitality vs ferro/design). Scheletro P0. | ALTA | ☑ generato v1 |
contract-inventory.md | V&C | Inventario contratti: durata, tacito rinnovo, disdetta, valore annuo. Isola i rinnovi automatici non controllati → primo taglio spesa. | ALTA | ☑ generato v1 |
saas-license-inventory.md | V&CITM | Censimento SaaS/licenze: seat assegnati vs usati, costo, scadenza. Over-provisioning e shadow-IT = risparmio immediato dimostrabile. | ALTA | ☑ generato v1 |
data-source-inventory.md | DATA | Censimento sorgenti dati (ERP, gestionale, Excel, applicativi/DB custom sviluppati internamente) per società. Non puoi consolidare ciò che non hai mappato. | ALTA | ☑ generato v1 |
existing-reporting-inventory.md | DATA | Inventario reportistica/BI esistente (report ERP, Excel direzionali, PowerBI sparsi) con owner e frequenza. Quantifica "quanto è manuale". | ALTA | ☑ generato v1 |
data-flow-map.md | DATA | Flussi dato as-is: chi produce/trasforma/consuma, dove nascono gli Excel manuali critici e cosa succede se l'autore è in ferie. Rende tangibile il gap al CdA. | ALTA | ☑ generato v1 |
gdpr-processing-register.md | V&C | Registro trattamenti (art. 30) + flussi cross-border (SCC/adeguatezza extra-UE). Bozza in P1, completo in P3. Gap più esposto col multi-country. | ALTA | ☑ generato v1 |
knowledge-capture-log.md | HoIT | Log della conoscenza operativa raccolta nelle interviste (dove vive, chi la detiene, come si esegue). Framing: documentazione per la continuità operativa — "così non dipende da una persona in ferie". Alimenta as-is e runbook. | ALTA | ☑ generato v1 |
bus-factor-map.md | SA | Mappa "chi è l'unico a sapere cosa" — rende operativo il rischio key-person del risk-register. Framing: resilienza / riduzione del rischio-persona, mai handover. | ALTA | ☑ generato v1 |
| Documento | Lane | Scopo & quando | Priorità | Stato |
|---|---|---|---|---|
it-org-target-raci.md | HoIT | Organigramma IT target + matrice RACI. Strumento di de-personalizzazione: rende il know-how trasferibile (non toglie potere al responsabile IT attuale). Coinvolgerlo come co-autore. | ALTA | ☑ generato v1 |
it-policy-index.md | HoIT | Indice gerarchico del set di policy (quali, priorità, owner, stato) prima di scriverne una. Charter → infosec-master → policy specifiche. | ALTA | ☑ generato v1 |
infosec-policy-master.md | HoIT | Policy di sicurezza informativa "cappello" (ISO 27001-oriented). Anticipata dallo split (ownership dati per entità). Le policy tecniche discendono da qui. | ALTA | ☑ generato v1 |
it-strategy-2027.md | HoIT | Strategia IT triennale allineata alla strategia di Gruppo (split, multi-country, DX). Dà direzione, giustifica investimenti. | ALTA | ☑ generato v1 |
it-budget-model.md | HoIT | Modello budget/costi IT multi-società dal giorno 1 (capex/opex per entità/BU/servizio), altrimenti lo split lo rende inutilizzabile. | ALTA | ☑ generato v1 |
business-it-alignment-value-case.md | SA | Collega investimenti IT ai driver di business. Leva luxury hospitality (Four Seasons/Fondaco): "l'IT deve reggere questi clienti", non "serve ISO 27001". | MEDIA | ☑ generato v1 |
service-catalog-draft.md | ITM | Elenco servizi IT erogati (cosa fa l'IT, per chi, con che aspettativa). Da qui nascono SLA e ticketing. | ALTA | ☑ generato v1 |
backup-check-runbook.md | ITM | Primo runbook da introdurre: rischio operativo reale, non tocca gli ego, valore concreto sett. 4-6. | ALTA | ☑ generato v1 |
ticket-log-lightweight.md | ITM | Registro richieste/incident minimale (foglio condiviso, non un tool nuovo): documenta il lavoro esistente. Il ticketing vero arriva in P3. | ALTA | ☑ generato v1 |
canale-richieste-it.md | HD | Canale unico richieste (mail/casella condivisa) + SLA indicativi. Chiude il caos voce/WhatsApp; prerequisito di ogni metrica. | ALTA | ☑ generato v1 |
it-operational-calendar.md | ITM | Calendario ricorrenze IT (backup check, patch window, review licenze). Rende visibile e delegabile ciò che oggi è "in testa al responsabile IT attuale". | MEDIA | ☑ generato v1 |
incident-request-process-1pager.md | ITM | Flusso "come entra e si chiude una richiesta" (1 pagina), sul processo reale osservato. | MEDIA | ☑ generato v1 |
change-register.md | ITM | Registro modifiche (cosa/quando/chi/rollback/esito). Parte come log; l'approvazione arriva dopo. | MEDIA | ☑ generato v1 |
runbook-template.md | ITM | Template standard procedura ripetibile, da riempire sulle 5-6 operazioni critiche. | MEDIA | ☑ generato v1 |
runbook-continuita-operativa.md | ITM | Le 5-6 procedure critiche che oggi vivono solo nella testa di una persona, scritte con lei come co-autore. Framing: continuità operativa (ferie/malattia/scalabilità del team), mai "consegne". | ALTA | ☑ generato v1 |
security-baseline-hardening.md | SYS | Baseline hardening. Quick-win a rischio politico ~zero: MFA sugli admin, disable SMBv1/legacy auth, chiusura account SID-orfani. | ALTA | ☑ generato v1 |
iam-policy.md | SYS | Policy IAM target: RBAC, least-privilege, naming, joiner-mover-leaver. Dopo aver mappato l'as-is. | MEDIA | ☑ generato v1 |
service-accounts-inventory.md | SYS | Censimento account di servizio (owner, scopo, rotazione). Il buco cieco tipico dei team ex-programmatori (password mai ruotate, hardcoded). | MEDIA | ☑ generato v1 |
patch-vulnerability-mgmt.md | SYS | Processo patch + registro vulnerabilità + cadenza scansioni. Inventario è prerequisito. | MEDIA | ☑ generato v1 |
firewall-rulebase-review.md | SYS | Review regole firewall/perimetro (any-any, port forward, VPN legacy). Riduzione superficie attacco a basso impatto. | MEDIA | ☑ generato v1 |
nis2-technical-gap-checklist.md | SYS | Gap tecnici NIS 2 (art. 21: MFA, backup, incident, access control, crittografia) in stato Presente/Parziale/Assente. Leva budget verso il CdA. | MEDIA | ☑ generato v1 |
checklist-onboarding-utente.md | HD | Attivazione nuovo utente (account, gruppi, dotazione, welcome, firma policy). Quick-win visibile che elimina il "a memoria". | ALTA | ☑ generato v1 |
checklist-offboarding-utente.md | HDSYS | Revoca accessi + rientro asset + blocco "trasferimento tra società". Priorità security: account orfani = buco NIS 2 #1 nello split. | ALTA | ☑ generato v1 |
matrice-accessi-per-ruolo.md | HD | Mappa ruolo → sistemi/gruppi/licenze. Base per standardizzare "chi ha diritto a cosa"; feed di on/offboarding. | ALTA | ☑ generato v1 |
standard-dotazione-hardware-per-ruolo.md | HD | Bundle HW/SW per profilo (front-office hospitality, produzione ferro/design, commerciale trasferta, dirigenza). Un unico standard fallisce. | MEDIA | ☑ generato v1 |
policy-uso-accettabile.md | HD | Regole d'uso device/mail/internet in linguaggio semplice (IT/EN), agganciata all'onboarding come step firmato. Compliance senza burocrazia. | MEDIA | ☑ generato v1 |
kb-faq-utente.md | HD | Indice FAQ self-service (VPN, stampa, password, Wi-Fi, mail mobile). Riduce i ticket ripetitivi. | MEDIA | ☑ generato v1 |
runbook-problemi-comuni.md | HD | Procedure interne per i top-10 problemi ricorrenti. Uniforma le risposte tra i 7 tecnici. | MEDIA | ☑ generato v1 |
welcome-pack-nuovo-utente.md | HD | 1-pager giorno 1 (login, Wi-Fi, stampa, contatti IT). Output visibile e apprezzato dell'onboarding. | MEDIA | ☑ generato v1 |
kpi-catalog.md | DATA | Catalogo KPI con definizioni/formule condivise (per società/BU, con policy cambi e valuta di gruppo). Evita che "margine" significhi 3 cose. Prerequisito alla dashboard. | ALTA | ☑ generato v1 |
mgmt-dashboard-spec.md | DATA | Specifica dashboard controllo di gestione (4-6 KPI blindati, non 30). Il quick-win più forte verso la proprietà — ma specifica prima di costruire, e comunica come "v1 su cui garantisco il dato". | ALTA | ☑ generato v1 |
consolidated-reporting-requirements.md | DATA | Requisiti reporting consolidato multi-società/valuta/country. Il perimetro entità è un parametro versionato, non una costante (rischio tecnico #1 dello split). | ALTA | ☑ generato v1 |
data-quality-assessment.md | DATA | Duplicati, buchi, incongruenze cross-società. Scudo: documentare i limiti dei dati prima di esporli al CdA ("il dato è un problema di sorgente, non di chi lo mostra"). | MEDIA | ☑ generato v1 |
metrics-glossary-onepager.md | DATA | Glossario metriche "vetrina" per la Direzione. Allinea CdA sul vocabolario prima della dashboard. | BASSA | ☑ generato v1 |
it-procurement-policy.md | V&C | Soglie di firma / iter acquisto (es. <€1k team · €1-10k Aldo · >€10k CdA). Ferma gli acquisti "a relazione personale", governance visibile al CdA. | ALTA | ☑ generato v1 |
license-compliance-check.md | V&C | Riconciliazione licenze possedute vs installate/usate. Scudo contro audit vendor (Microsoft/Adobe/Autodesk/SAP) in manifatturiero design-driven. | ALTA | ☑ generato v1 |
contract-realignment-tracker.md | V&C | Riallineamento contratti/licenze per entità post-split ("contratto → entità titolare → entità che usa"). Scopre rischi e spese duplicate. | ALTA | ☑ generato v1 |
vendor-risk-scorecard.md | V&C | Scoring fornitori critici (dipendenza, sostituibilità, sicurezza, NIS 2). Prioritizza chi mettere sotto SLA e valutare per la supply-chain. | MEDIA | ☑ generato v1 |
| Documento | Lane | Scopo & quando | Priorità | Stato |
|---|---|---|---|---|
roadmap-trasformazione-digitale.md | SA | Roadmap 12-18 mesi themed (governance · BI/controllo gestione · sicurezza · perimetro gruppo). Ogni iniziativa legata a un valore business. | MEDIA | ☑ generato v1 |
it-steering-reporting-cda.md | SA | Comitato IT, cadenza, KPI/dashboard per il CdA. Introdotto per ultimo: prima i quick-win, poi la struttura che li istituzionalizza. | MEDIA | ☑ generato v1 |
it-governance-operating-model.md | HoIT | Comitati, cadenze decisionali, flusso richieste/change a livello di board IT. Quando la struttura regge. | MEDIA | ☑ generato v1 |
it-service-kpi-catalog.md | HoIT | 4-6 KPI di servizio + reporting mensile verso Direzione (disponibilità, backlog, spesa vs budget, incidenti). Strumento di credibilità, non controllo. | MEDIA | ☑ generato v1 |
it-policy-lifecycle.md | HoIT | Processo creazione/approvazione/revisione periodica policy. Rende la governance auto-sostenibile, non one-shot. | BASSA | ☑ generato v1 |
sla-ola-baseline.md | ITM | SLA verso il business + OLA interni. Solo dopo che il ticket-log dà numeri reali su cui tararli. | MEDIA | ☑ generato v1 |
dr-plan-runbook.md | SYS | Runbook disaster recovery (scenari, procedure restore, contatti, RTO/RPO). Dopo test backup e inventario consolidati. Documento vivo. | MEDIA | ☑ generato v1 |
access-review-recertification.md | SYS | Revisione periodica accessi (chi ha accesso a cosa, ancora necessario?). Rende l'audit ripetibile — requisito NIS 2. | BASSA | ☑ generato v1 |
data-governance-charter.md | DATA | Ruoli (data owner/steward), ciclo di vita, single source of truth. Formalizza la maturità dopo i quick-win. | MEDIA | ☑ generato v1 |
master-data-mgmt-policy.md | DATA | MDM anagrafiche clienti/fornitori/prodotti duplicate cross-società. Root cause del consolidamento sporco; lavoro di fondo. | MEDIA | ☑ generato v1 |
gdpr-processing-register.md (completo) | V&C | Completamento del registro trattamenti avviato in P1. | MEDIA | ☑ generato v1 |
dpa-register.md + dpa-template.md | V&C | Registro Data Processing Agreement + template per fornitori che trattano dati. Ogni SaaS/cloud senza DPA = gap GDPR. | MEDIA | ☑ generato v1 |
nis2-supplier-assessment.md | V&C | Questionario security supply-chain per fornitori critici (MSP, cloud, connettività, OT). Obbligo NIS 2; parte dal vendor-risk scorecard. | MEDIA | ☑ generato v1 |
sla-review-template.md | V&C | Griglia review SLA/uptime/response per fornitori critici. Da relazione a misurazione performance. | MEDIA | ☑ generato v1 |
guida-phishing-awareness-base.md | HD | 1 pagina "come riconoscere una mail sospetta" + a chi segnalare (IT/EN). Tassello NIS 2 lato utente. | BASSA | ☑ generato v1 |
template-comunicazioni-utenti.md | HD | Format riusabili: manutenzione/fermo, cambio sistema, avviso phishing. Comunicazioni professionali e prevedibili. | BASSA | ☑ generato v1 |
backup-check-runbook e it-operational-calendar: rendono affidabile ciò che già fanno senza giudicare come. Il ticket-log entra come foglio che documenta il lavoro esistente.it-policy-index le ordina.kpi-catalog + data-quality-assessment. Comunicarla come "v1 su 4-6 KPI garantiti", mai come "cruscotto completo".| File | Rilevanza per questo pacchetto |
|---|---|
aldo-piano-30-giorni-anteprima-gonzato-2026-06-26.html | Copre P0 piano-30-60-90 (parte 30 giorni) → estendere a 60/90. |