Gonzato Group · Master Documenti — Onboarding IT di Gruppo
Pacchetto documentale a fasi da preparare prima dell'ingresso (start 16/07/2026) · registro unico "quale documento, chi lo possiede, quando usarlo"
Ruolo: Responsabile IT di Gruppo, Processi Informativi & Digital Transformation · riporto Dario Gonzato / CdA
Compilato: 03/07/2026 · Fonte: sintesi 7 prospettive-persona (Strategic Advisor · Head of IT · IT Manager · Sys Admin · Helpdesk · Data Analyst · Vendor & Compliance) · 80 documenti mappati su 4 fasi

Percorso in 4 fasi

P0 Pre-start prima del 16/07

5 documenti

Concordare col CdA / preparare

P1 Discovery / Mapping settimane 1–4

21 documenti

Ascoltare e mappare, read-only

P2 Struttura / Quick-win settimane 4–12

38 documenti

Primi processi e policy

P3 Governance / Maturità mesi 3–12

16 documenti

Set completo, dopo la fiducia

Come leggere questo file

I nomi dei file sono cliccabili e aprono il documento renderizzato (mini-sito navigabile, portabile offline). Questo è il file indice: elenca ogni documento/template del pacchetto, la fase in cui usarlo, la priorità e lo stato di preparazione. I singoli documenti si generano man mano (partendo dagli ALTA di P0 e P1). Aggiorna la colonna Stato quando un documento passa da ☐ da creare a ☑ pronto.

Fasi

Lane (owner-prospettiva)

SA Strategic Advisor HoIT Head of IT ITM IT Manager SYS Sys Admin HD Helpdesk DATA Data Analyst V&C Vendor & Compliance

Priorità: ALTA MEDIA BASSA  ·  Stato: ☐ da creare · ☑ pronto / esiste

Regola d'oro trasversale

Ogni artefatto va presentato come riduzione del rischio-persona e abilitazione dello split societario / crescita, mai come controllo o sfiducia verso il presidio IT esistente. Coinvolgere chi detiene oggi il know-how come co-autore (RACI, as-is, mappe) lo rende alleato della transizione, non ostacolo. L'audit accessi si inquadra come "dovuto per lo split societario e per NIS 2", non come giudizio sull'operato. La governance è il riflesso della maturità organizzativa: prima si ascolta, poi si struttura.

Kit "prime 4 settimane" — mappatura prioritaria (tutto read-only, non invasivo)

I documenti da avere pronti (scheletri vuoti) per il giorno 1: le settimane 1-4 servono a riempirli, non a progettarli. Consolidamento dei TOP-3 di ogni lane.

Governance / Direzione

  • Charter ruolo (concordato in P0)
  • Maturity assessment (baseline)
  • Stakeholder map proprietà
  • Risk register (key-person = voce #1)

Infra & Sicurezza

  • Inventario infra + topologia rete
  • Audit identità/accessi AD·Entra (PowerShell read-only)
  • Backup: test restore reale entro sett. 4

Service & Asset

  • Inventario asset (chiave società+sede)
  • Griglia interviste discovery (team + business)

Vendor & Licenze

  • Registro vendor + contratti (rinnovi taciti)
  • Inventario SaaS/licenze: seat pagati vs usati = risparmio dimostrabile

Dati & BI

  • Inventario sorgenti dati
  • Inventario reportistica esistente
  • Mappa flussi dato + Excel critici

Utente / Helpdesk

  • Checklist onboarding + offboarding
  • Matrice accessi per ruolo
P0Pre-startprima del 16/07 · concordare col CdA / preparare scheletri
DocumentoLaneScopo & quandoPrioritàStato
it-governance-charter.mdHoITMandato, scope, autorità decisionale e confini del ruolo. Documento politico #1: concordato col CdA/Dario prima dell'ingresso, dichiara che Aldo porta struttura, non sostituisce competenza tecnica.ALTA☑ generato v1
stakeholder-map-proprieta.mdSAMappa famiglia/proprietà + potere decisionale reale (Dario sponsor · responsabile IT attuale incumbent · Gonzato silenti) prima di muovere. Evita passi falsi politici.ALTA☑ generato v1
piano-30-60-90SARoadmap ingresso ascolto→quick-win→struttura. Patto col CdA che protegge le prime 3-4 settimane non invasive.ALTA☑ esiste — estendere 30→60/90
discovery-interview-guide.mdHoITITMGriglia interviste as-is strutturata (7 tecnici + key-user business + controllo di gestione). Entra chiedendo come funziona, non dicendo cosa manca.ALTA☑ generato v1
P1Discovery / Mappingsettimane 1-4 · solo ascolto e mappatura, read-only
DocumentoLaneScopo & quandoPrioritàStato
it-maturity-assessment.mdSABaseline maturità IT/organizzativa su scala semplice (1-5 su 6-8 domini), calibrata "low" non enterprise. Trasforma sensazioni in scoring difendibile; misura il progresso a 12 mesi.ALTA☑ generato v1
it-as-is-assessment.mdHoITFotografia dello stato attuale (processi, asset, skill, debito, rischi) — consolidamento della discovery a fine sett. 4.ALTA☑ generato v1
perimetro-gruppo-it-baseline.mdSAFotografia IT delle ~24 società × 5 continenti durante lo split: "chi ha cosa" prima che diventi irrecuperabile. Prerequisito per lo scoping NIS 2.ALTA☑ generato v1
risk-register-it.mdSAHoITRegistro rischi IT a livello board in linguaggio rischio/€ (key-person, responsabile IT attuale = voce #1, NIS 2, split, shadow IT). Aggiornato trimestrale.ALTA☑ generato v1
asset-inventory.mdITMCensimento HW (PC, server, NAS, network, mobile) con chiave società+sede. Scheletro pronto in P0, popolato nel walk-around.ALTA☑ generato v1
infra-asset-inventory.mdSYSCensimento fisico/logico: hypervisor, firewall, switch, tenant M365, link WAN. Non puoi mettere in sicurezza ciò che non sai esista.ALTA☑ generato v1
network-topology-as-is.mdSYSDiagramma reti/VLAN/VPN site-to-site, segmentazione o assenza, esposizioni pubbliche. Come sono interconnesse le sedi sui 5 continenti.ALTA☑ generato v1
identity-access-audit.mdSYSExport AD/Entra: utenti, gruppi, membership ricorsiva, admin, MFA status, dormienti/condivisi. Via PowerShell (Get-ADUser / Get-MgUser / Get-MgUserAuthenticationMethod), read-only, zero modifiche.ALTA☑ generato v1
fileserver-acl-report.csvSYSExport ACL share (Get-Acl/icacls): permessi diretti vs gruppo, Everyone/Domain Users su share sensibili, SID orfani (ex-dipendenti mai rimossi).ALTA☑ generato v1
privileged-accounts-register.mdSYSRegistro account privilegiati / di servizio / break-glass / esterni. Con 24 società attesi admin condivisi tra entità → lo split li rende ambigui.ALTA☑ generato v1
backup-dr-assessment.mdSYSStato as-is backup + primo test restore reale entro sett. 4 + RPO/RTO misurati (non dichiarati). Verifica 3-2-1 e copia offline/immutabile (ransomware = target manifatturiero).ALTA☑ generato v1
entra-conditional-access-map.mdSYSMappa policy Conditional Access / MFA / legacy auth M365. Serve prima di riconfigurare (tenant fluidi nello split).MEDIA☑ generato v1
vendor-register.mdV&CITMRegistro fornitori IT: referente, contratto, scadenza, rinnovo, criticità. Segmentato per divisione (hospitality vs ferro/design). Scheletro P0.ALTA☑ generato v1
contract-inventory.mdV&CInventario contratti: durata, tacito rinnovo, disdetta, valore annuo. Isola i rinnovi automatici non controllati → primo taglio spesa.ALTA☑ generato v1
saas-license-inventory.mdV&CITMCensimento SaaS/licenze: seat assegnati vs usati, costo, scadenza. Over-provisioning e shadow-IT = risparmio immediato dimostrabile.ALTA☑ generato v1
data-source-inventory.mdDATACensimento sorgenti dati (ERP, gestionale, Excel, applicativi/DB custom sviluppati internamente) per società. Non puoi consolidare ciò che non hai mappato.ALTA☑ generato v1
existing-reporting-inventory.mdDATAInventario reportistica/BI esistente (report ERP, Excel direzionali, PowerBI sparsi) con owner e frequenza. Quantifica "quanto è manuale".ALTA☑ generato v1
data-flow-map.mdDATAFlussi dato as-is: chi produce/trasforma/consuma, dove nascono gli Excel manuali critici e cosa succede se l'autore è in ferie. Rende tangibile il gap al CdA.ALTA☑ generato v1
gdpr-processing-register.mdV&CRegistro trattamenti (art. 30) + flussi cross-border (SCC/adeguatezza extra-UE). Bozza in P1, completo in P3. Gap più esposto col multi-country.ALTA☑ generato v1
knowledge-capture-log.mdHoITLog della conoscenza operativa raccolta nelle interviste (dove vive, chi la detiene, come si esegue). Framing: documentazione per la continuità operativa — "così non dipende da una persona in ferie". Alimenta as-is e runbook.ALTA☑ generato v1
bus-factor-map.mdSAMappa "chi è l'unico a sapere cosa" — rende operativo il rischio key-person del risk-register. Framing: resilienza / riduzione del rischio-persona, mai handover.ALTA☑ generato v1
P2Struttura / Quick-winsettimane 4-12 · primi processi e policy a basso rischio politico
DocumentoLaneScopo & quandoPrioritàStato
it-org-target-raci.mdHoITOrganigramma IT target + matrice RACI. Strumento di de-personalizzazione: rende il know-how trasferibile (non toglie potere al responsabile IT attuale). Coinvolgerlo come co-autore.ALTA☑ generato v1
it-policy-index.mdHoITIndice gerarchico del set di policy (quali, priorità, owner, stato) prima di scriverne una. Charter → infosec-master → policy specifiche.ALTA☑ generato v1
infosec-policy-master.mdHoITPolicy di sicurezza informativa "cappello" (ISO 27001-oriented). Anticipata dallo split (ownership dati per entità). Le policy tecniche discendono da qui.ALTA☑ generato v1
it-strategy-2027.mdHoITStrategia IT triennale allineata alla strategia di Gruppo (split, multi-country, DX). Dà direzione, giustifica investimenti.ALTA☑ generato v1
it-budget-model.mdHoITModello budget/costi IT multi-società dal giorno 1 (capex/opex per entità/BU/servizio), altrimenti lo split lo rende inutilizzabile.ALTA☑ generato v1
business-it-alignment-value-case.mdSACollega investimenti IT ai driver di business. Leva luxury hospitality (Four Seasons/Fondaco): "l'IT deve reggere questi clienti", non "serve ISO 27001".MEDIA☑ generato v1
service-catalog-draft.mdITMElenco servizi IT erogati (cosa fa l'IT, per chi, con che aspettativa). Da qui nascono SLA e ticketing.ALTA☑ generato v1
backup-check-runbook.mdITMPrimo runbook da introdurre: rischio operativo reale, non tocca gli ego, valore concreto sett. 4-6.ALTA☑ generato v1
ticket-log-lightweight.mdITMRegistro richieste/incident minimale (foglio condiviso, non un tool nuovo): documenta il lavoro esistente. Il ticketing vero arriva in P3.ALTA☑ generato v1
canale-richieste-it.mdHDCanale unico richieste (mail/casella condivisa) + SLA indicativi. Chiude il caos voce/WhatsApp; prerequisito di ogni metrica.ALTA☑ generato v1
it-operational-calendar.mdITMCalendario ricorrenze IT (backup check, patch window, review licenze). Rende visibile e delegabile ciò che oggi è "in testa al responsabile IT attuale".MEDIA☑ generato v1
incident-request-process-1pager.mdITMFlusso "come entra e si chiude una richiesta" (1 pagina), sul processo reale osservato.MEDIA☑ generato v1
change-register.mdITMRegistro modifiche (cosa/quando/chi/rollback/esito). Parte come log; l'approvazione arriva dopo.MEDIA☑ generato v1
runbook-template.mdITMTemplate standard procedura ripetibile, da riempire sulle 5-6 operazioni critiche.MEDIA☑ generato v1
runbook-continuita-operativa.mdITMLe 5-6 procedure critiche che oggi vivono solo nella testa di una persona, scritte con lei come co-autore. Framing: continuità operativa (ferie/malattia/scalabilità del team), mai "consegne".ALTA☑ generato v1
security-baseline-hardening.mdSYSBaseline hardening. Quick-win a rischio politico ~zero: MFA sugli admin, disable SMBv1/legacy auth, chiusura account SID-orfani.ALTA☑ generato v1
iam-policy.mdSYSPolicy IAM target: RBAC, least-privilege, naming, joiner-mover-leaver. Dopo aver mappato l'as-is.MEDIA☑ generato v1
service-accounts-inventory.mdSYSCensimento account di servizio (owner, scopo, rotazione). Il buco cieco tipico dei team ex-programmatori (password mai ruotate, hardcoded).MEDIA☑ generato v1
patch-vulnerability-mgmt.mdSYSProcesso patch + registro vulnerabilità + cadenza scansioni. Inventario è prerequisito.MEDIA☑ generato v1
firewall-rulebase-review.mdSYSReview regole firewall/perimetro (any-any, port forward, VPN legacy). Riduzione superficie attacco a basso impatto.MEDIA☑ generato v1
nis2-technical-gap-checklist.mdSYSGap tecnici NIS 2 (art. 21: MFA, backup, incident, access control, crittografia) in stato Presente/Parziale/Assente. Leva budget verso il CdA.MEDIA☑ generato v1
checklist-onboarding-utente.mdHDAttivazione nuovo utente (account, gruppi, dotazione, welcome, firma policy). Quick-win visibile che elimina il "a memoria".ALTA☑ generato v1
checklist-offboarding-utente.mdHDSYSRevoca accessi + rientro asset + blocco "trasferimento tra società". Priorità security: account orfani = buco NIS 2 #1 nello split.ALTA☑ generato v1
matrice-accessi-per-ruolo.mdHDMappa ruolo → sistemi/gruppi/licenze. Base per standardizzare "chi ha diritto a cosa"; feed di on/offboarding.ALTA☑ generato v1
standard-dotazione-hardware-per-ruolo.mdHDBundle HW/SW per profilo (front-office hospitality, produzione ferro/design, commerciale trasferta, dirigenza). Un unico standard fallisce.MEDIA☑ generato v1
policy-uso-accettabile.mdHDRegole d'uso device/mail/internet in linguaggio semplice (IT/EN), agganciata all'onboarding come step firmato. Compliance senza burocrazia.MEDIA☑ generato v1
kb-faq-utente.mdHDIndice FAQ self-service (VPN, stampa, password, Wi-Fi, mail mobile). Riduce i ticket ripetitivi.MEDIA☑ generato v1
runbook-problemi-comuni.mdHDProcedure interne per i top-10 problemi ricorrenti. Uniforma le risposte tra i 7 tecnici.MEDIA☑ generato v1
welcome-pack-nuovo-utente.mdHD1-pager giorno 1 (login, Wi-Fi, stampa, contatti IT). Output visibile e apprezzato dell'onboarding.MEDIA☑ generato v1
kpi-catalog.mdDATACatalogo KPI con definizioni/formule condivise (per società/BU, con policy cambi e valuta di gruppo). Evita che "margine" significhi 3 cose. Prerequisito alla dashboard.ALTA☑ generato v1
mgmt-dashboard-spec.mdDATASpecifica dashboard controllo di gestione (4-6 KPI blindati, non 30). Il quick-win più forte verso la proprietà — ma specifica prima di costruire, e comunica come "v1 su cui garantisco il dato".ALTA☑ generato v1
consolidated-reporting-requirements.mdDATARequisiti reporting consolidato multi-società/valuta/country. Il perimetro entità è un parametro versionato, non una costante (rischio tecnico #1 dello split).ALTA☑ generato v1
data-quality-assessment.mdDATADuplicati, buchi, incongruenze cross-società. Scudo: documentare i limiti dei dati prima di esporli al CdA ("il dato è un problema di sorgente, non di chi lo mostra").MEDIA☑ generato v1
metrics-glossary-onepager.mdDATAGlossario metriche "vetrina" per la Direzione. Allinea CdA sul vocabolario prima della dashboard.BASSA☑ generato v1
it-procurement-policy.mdV&CSoglie di firma / iter acquisto (es. <€1k team · €1-10k Aldo · >€10k CdA). Ferma gli acquisti "a relazione personale", governance visibile al CdA.ALTA☑ generato v1
license-compliance-check.mdV&CRiconciliazione licenze possedute vs installate/usate. Scudo contro audit vendor (Microsoft/Adobe/Autodesk/SAP) in manifatturiero design-driven.ALTA☑ generato v1
contract-realignment-tracker.mdV&CRiallineamento contratti/licenze per entità post-split ("contratto → entità titolare → entità che usa"). Scopre rischi e spese duplicate.ALTA☑ generato v1
vendor-risk-scorecard.mdV&CScoring fornitori critici (dipendenza, sostituibilità, sicurezza, NIS 2). Prioritizza chi mettere sotto SLA e valutare per la supply-chain.MEDIA☑ generato v1
P3Governance / Maturitàmesi 3-12 · set completo, solo dopo capitale di fiducia
DocumentoLaneScopo & quandoPrioritàStato
roadmap-trasformazione-digitale.mdSARoadmap 12-18 mesi themed (governance · BI/controllo gestione · sicurezza · perimetro gruppo). Ogni iniziativa legata a un valore business.MEDIA☑ generato v1
it-steering-reporting-cda.mdSAComitato IT, cadenza, KPI/dashboard per il CdA. Introdotto per ultimo: prima i quick-win, poi la struttura che li istituzionalizza.MEDIA☑ generato v1
it-governance-operating-model.mdHoITComitati, cadenze decisionali, flusso richieste/change a livello di board IT. Quando la struttura regge.MEDIA☑ generato v1
it-service-kpi-catalog.mdHoIT4-6 KPI di servizio + reporting mensile verso Direzione (disponibilità, backlog, spesa vs budget, incidenti). Strumento di credibilità, non controllo.MEDIA☑ generato v1
it-policy-lifecycle.mdHoITProcesso creazione/approvazione/revisione periodica policy. Rende la governance auto-sostenibile, non one-shot.BASSA☑ generato v1
sla-ola-baseline.mdITMSLA verso il business + OLA interni. Solo dopo che il ticket-log dà numeri reali su cui tararli.MEDIA☑ generato v1
dr-plan-runbook.mdSYSRunbook disaster recovery (scenari, procedure restore, contatti, RTO/RPO). Dopo test backup e inventario consolidati. Documento vivo.MEDIA☑ generato v1
access-review-recertification.mdSYSRevisione periodica accessi (chi ha accesso a cosa, ancora necessario?). Rende l'audit ripetibile — requisito NIS 2.BASSA☑ generato v1
data-governance-charter.mdDATARuoli (data owner/steward), ciclo di vita, single source of truth. Formalizza la maturità dopo i quick-win.MEDIA☑ generato v1
master-data-mgmt-policy.mdDATAMDM anagrafiche clienti/fornitori/prodotti duplicate cross-società. Root cause del consolidamento sporco; lavoro di fondo.MEDIA☑ generato v1
gdpr-processing-register.md (completo)V&CCompletamento del registro trattamenti avviato in P1.MEDIA☑ generato v1
dpa-register.md + dpa-template.mdV&CRegistro Data Processing Agreement + template per fornitori che trattano dati. Ogni SaaS/cloud senza DPA = gap GDPR.MEDIA☑ generato v1
nis2-supplier-assessment.mdV&CQuestionario security supply-chain per fornitori critici (MSP, cloud, connettività, OT). Obbligo NIS 2; parte dal vendor-risk scorecard.MEDIA☑ generato v1
sla-review-template.mdV&CGriglia review SLA/uptime/response per fornitori critici. Da relazione a misurazione performance.MEDIA☑ generato v1
guida-phishing-awareness-base.mdHD1 pagina "come riconoscere una mail sospetta" + a chi segnalare (IT/EN). Tassello NIS 2 lato utente.BASSA☑ generato v1
template-comunicazioni-utenti.mdHDFormat riusabili: manutenzione/fermo, cambio sistema, avviso phishing. Comunicazioni professionali e prevedibili.BASSA☑ generato v1

Principi di sequencing — come introdurre senza "commissariamento"

Documenti Gonzato già esistenti in docs-archivio (da riusare, non duplicare)

FileRilevanza per questo pacchetto
aldo-piano-30-giorni-anteprima-gonzato-2026-06-26.htmlCopre P0 piano-30-60-90 (parte 30 giorni) → estendere a 60/90.