IAM Policy (target) — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Definire la policy target di gestione identità e accessi di Gruppo: RBAC, least-privilege, convenzioni di naming e processo Joiner-Mover-Leaver (JML). Da applicare dopo aver fotografato l'as-is (account esistenti, gruppi, permessi diretti). Con ~24 società, 5 continenti e split societario in corso, la governance delle identità è il punto più fragile e il più esposto a account orfani.
Quick-win a basso rischio (fare subito, prima della policy completa)
| Azione | Stato | Note |
|---|---|---|
| Censire account SID-orfani / disabilitati / mai loggati da >90gg | Presente/Parziale/Assente | Nessuno li rivendica: pulizia a rischio politico ~zero |
| Elencare account con privilegi admin e chi li usa | Presente/Parziale/Assente | [da compilare] |
| Individuare account condivisi / generici | Presente/Parziale/Assente | [da compilare] |
1. RBAC — ruoli e accessi
Definire ruoli per funzione, non per persona. Assegnare permessi ai gruppi, mai diretti all'utente.
| Ruolo | Perimetro | Accessi concessi | Approvatore |
|---|---|---|---|
| [da compilare: es. Operatore produzione] | |||
| [da compilare: es. Ufficio acquisti] | |||
| [da compilare: es. IT admin] | |||
| [da compilare: es. Direzione] | |||
| [da compilare: es. Utenza esterna/fornitore] |
2. Least-privilege
- Default deny: si concede solo ciò che serve al ruolo.
- Privilegi admin separati dall'account quotidiano (account admin dedicato + MFA).
- Accessi temporanei con scadenza automatica dove possibile.
- Revisione periodica accessi (access review): cadenza
[da compilare: es. semestrale].
3. Naming convention
| Oggetto | Convenzione target | Esempio |
|---|---|---|
| Utente standard | [da compilare] | nome.cognome@società |
| Account admin | [da compilare] | adm-nome.cognome |
| Account di servizio | [da compilare] | svc-applicazione |
| Gruppo RBAC | [da compilare] | RBAC-Funzione-Perimetro |
| Utenza esterna | [da compilare] | ext-fornitore-nome |
Nota split societario: definire prefisso/suffisso per identificare la società di appartenenza [da compilare].
4. Joiner-Mover-Leaver (JML)
| Fase | Trigger | Azioni IT | Owner | SLA |
|---|---|---|---|---|
| Joiner | Comunicazione HR nuova assunzione | Crea account, assegna ruolo RBAC, MFA, asset | [da compilare] | |
| Mover | Cambio ruolo/società | Rimuovi accessi vecchio ruolo, assegna nuovo (no accumulo) | [da compilare] | |
| Leaver | Comunicazione HR cessazione | Disabilita account (non cancella subito), revoca accessi, recupera asset, gira mail/dati | [da compilare] |
Punto critico: il flusso JML deve partire da HR con notifica formale. Oggi: Presente / Parziale / Assente.
5. Checklist sintesi
- ☐ Account orfani/inattivi censiti e bonificati
- ☐ Privilegi admin mappati e ridotti al minimo
- ☐ Ruoli RBAC definiti e permessi assegnati via gruppi
- ☐ Naming convention adottata (incl. multi-società)
- ☐ Processo JML formalizzato con owner e SLA
- ☐ Access review pianificata
Prossimi passi
[da compilare: allineare JML con HR di Gruppo, collegare a security-baseline-hardening.md per MFA admin e a nis2-technical-gap-checklist.md per access control]