← Indice pacchetto onboarding

IAM Policy (target) — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Definire la policy target di gestione identità e accessi di Gruppo: RBAC, least-privilege, convenzioni di naming e processo Joiner-Mover-Leaver (JML). Da applicare dopo aver fotografato l'as-is (account esistenti, gruppi, permessi diretti). Con ~24 società, 5 continenti e split societario in corso, la governance delle identità è il punto più fragile e il più esposto a account orfani.

Quick-win a basso rischio (fare subito, prima della policy completa)

AzioneStatoNote
Censire account SID-orfani / disabilitati / mai loggati da >90ggPresente/Parziale/AssenteNessuno li rivendica: pulizia a rischio politico ~zero
Elencare account con privilegi admin e chi li usaPresente/Parziale/Assente[da compilare]
Individuare account condivisi / genericiPresente/Parziale/Assente[da compilare]

1. RBAC — ruoli e accessi

Definire ruoli per funzione, non per persona. Assegnare permessi ai gruppi, mai diretti all'utente.

RuoloPerimetroAccessi concessiApprovatore
[da compilare: es. Operatore produzione]
[da compilare: es. Ufficio acquisti]
[da compilare: es. IT admin]
[da compilare: es. Direzione]
[da compilare: es. Utenza esterna/fornitore]

2. Least-privilege

3. Naming convention

OggettoConvenzione targetEsempio
Utente standard[da compilare]nome.cognome@società
Account admin[da compilare]adm-nome.cognome
Account di servizio[da compilare]svc-applicazione
Gruppo RBAC[da compilare]RBAC-Funzione-Perimetro
Utenza esterna[da compilare]ext-fornitore-nome

Nota split societario: definire prefisso/suffisso per identificare la società di appartenenza [da compilare].

4. Joiner-Mover-Leaver (JML)

FaseTriggerAzioni ITOwnerSLA
JoinerComunicazione HR nuova assunzioneCrea account, assegna ruolo RBAC, MFA, asset[da compilare]
MoverCambio ruolo/societàRimuovi accessi vecchio ruolo, assegna nuovo (no accumulo)[da compilare]
LeaverComunicazione HR cessazioneDisabilita account (non cancella subito), revoca accessi, recupera asset, gira mail/dati[da compilare]

Punto critico: il flusso JML deve partire da HR con notifica formale. Oggi: Presente / Parziale / Assente.

5. Checklist sintesi

Prossimi passi

[da compilare: allineare JML con HR di Gruppo, collegare a security-baseline-hardening.md per MFA admin e a nis2-technical-gap-checklist.md per access control]