← Indice pacchetto onboarding

Risk Register IT — Gonzato Group (board-level)

Pacchetto onboarding IT Gonzato · Fase P1 · Strategic Advisor · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Registro dei rischi IT in linguaggio comprensibile al CdA: impatto espresso in termini di business/€, probabilità, mitigazione e owner. Serve a rendere visibili al board rischi oggi impliciti e a giustificare gli investimenti IT come riduzione di rischio, non come costo. I rischi sono strutturali del contesto (gruppo family-led in split, IT non ancora strutturato) e non riflettono responsabilità individuali.

Scale

Registro rischi

#RischioImpatto (business/€)ProbabilitàMitigazioneOwner
1Key-person / concentrazione conoscenza — sistemi e processi noti principalmente a una persona (il responsabile IT attuale); assenza prolungata o indisponibilità bloccherebbe operativitàCritico — fermo potenziale di sistemi core, [da compilare: € impatto/giorno di fermo]MediaContinuità operativa: documentazione sistemi, ridondanza competenze, runbook (vedi bus-factor-map.md); framing resilienza, non handoverAldo (Resp. IT Gruppo)
2NIS 2 — non conformità — obblighi di sicurezza e notifica incidenti non presidiati; entità potenzialmente in perimetroAlto — sanzioni, responsabilità organi direttivi, blocco commesse clienti regolatiAltaAssessment perimetro NIS 2, gap analysis, piano di adeguamento, misure minime (MFA, backup testati, incident response)Aldo + Dario/CdA
3Split societario — rottura IT — sistemi/tenant/licenze condivisi fra entità che lo split separa; rischio di perdita accessi, dati, continuità emailAlto — interruzione operativa su una o più società, [da compilare: € commesse a rischio]MediaBaseline entità (perimetro-gruppo-it-baseline.md), mappa sistemi condivisi, piano di separazione ordinataAldo + resp. legale/societario
4Shadow IT — strumenti, cloud e dati fuori controllo gestiti dalle singole società/persone senza governance centraleMedio — perdita dati, superficie di attacco, non conformitàAltaCensimento applicazioni/servizi, policy uso strumenti, catalogo approvatoAldo
5Backup non testato — copie esistenti ma senza verifica di ripristino; falso senso di sicurezzaCritico — perdita dati irreversibile in caso di guasto/ransomwareMediaTest di restore periodico, regola 3-2-1, monitoraggio esiti backupAldo + team IT
6[da compilare: cyber/ransomware — protezione endpoint, phishing][da compilare][da compilare][da compilare]Aldo
7[da compilare: dipendenza vendor critico / fine supporto software][da compilare][da compilare][da compilare]Aldo
8[da compilare: controllo di gestione debole — decisioni su dati non affidabili][da compilare][da compilare][da compilare]Aldo + area finance

Note di lettura per il CdA

Prossimi passi