Politica di onboarding e cessazione del personale - PMI

La Politica di onboarding e cessazione del personale (P07S) funge da controllo critico per le organizzazioni che intendono gestire l’intero ciclo di vita degli accessi degli utenti in modo sicuro, conforme e verificabile. Questa politica è specificamente adattata alle piccole e medie imprese (PMI), come indicato dalla “S” nel numero del documento e dall’assegnazione delle responsabilità a ruoli quali amministratore delegato e Office Manager/HR, anziché a team specialistici come un Responsabile della sicurezza delle informazioni (CISO) dedicato o un Centro operativo di sicurezza (SOC). Ciononostante, soddisfa i requisiti dei principali framework, inclusa ISO/IEC 27001:2022. Lo scopo della politica è definire, standardizzare e documentare i processi di onboarding di nuovi dipendenti, contraenti e fornitori terzi di servizi, garantendo al contempo controlli robusti per la loro cessazione o trasferimento interno. Applica il principio del privilegio minimo durante il provisioning degli accessi, utilizza liste di controllo per assunzione e cessazione per formalizzare la verifica dell’assegnazione e della restituzione degli asset e impone registri documentati per le modifiche ad account e asset. Le attività di cessazione si concentrano sulla revoca tempestiva degli accessi, sul recupero delle risorse TIC aziendali e sulla chiusura sicura delle identità digitali per controllare il rischio di accesso non autorizzato o esposizione esterna dei dati. Ruoli e responsabilità sono definiti per adattarsi alle strutture tipiche delle PMI. L’amministratore delegato detiene la supervisione del programma e l’approvazione degli accessi ad alto privilegio; l’Office Manager o Risorse Umane (HR) avvia onboarding/procedura di uscita e la manutenzione delle liste di controllo; e le operazioni IT (fornitore interno o esterno) gestiscono account e hardware. I Responsabili di dipartimento assicurano che le notifiche sulle modifiche dei ruoli vengano eseguite, mentre ogni dipendente o contraente è tenuto a rispettare la formazione e sensibilizzazione alla sicurezza e i processi di restituzione degli asset. I requisiti di governance sono robusti e richiedono l’uso di liste di controllo per assunzione e cessazione, la manutenzione di un Access Control Register e di un Inventario degli asset, nonché la gestione immediata delle disattivazioni di emergenza. Le procedure di gestione delle eccezioni e di trattamento del rischio sono chiaramente definite, imponendo documentazione, notifica all’amministratore delegato e controlli compensativi se i passaggi standard vengono saltati per urgenza operativa. La conformità è applicata tramite monitoraggio regolare, riesami a campione e conseguenze chiare per la non conformità, come riaddestramento mirato o escalation. Richiedendo espressamente riesami annuali, aggiornamenti reattivi per cambiamenti di processo o normativi e la comunicazione delle modifiche alle politiche a tutto il personale pertinente, questa politica supporta un processo di miglioramento continuo. È strutturata per aiutare le PMI a soddisfare in modo efficiente le esigenze di conformità, integrità operativa e protezione dei dati, anche in organizzazioni prive di strutture di sicurezza complesse.