Politica di onboarding e cessazione del personale

La Politica di onboarding e cessazione del personale (documento P07) fornisce un quadro completo e standardizzato per gestire l’intero ciclo di vita dell’accesso del personale, dall’onboarding e dai trasferimenti interni fino alla cessazione o alla scadenza del contratto. Progettata per tutte le tipologie di utenti, inclusi dipendenti, contraenti, consulenti, fornitori esterni e terze parti, impone provisioning degli accessi e revoca degli accessi tempestivi e sicuri sia per l’accesso fisico sia per l’accesso logico, garantendo che ogni transizione sia gestita con il giusto equilibrio tra riservatezza, responsabilità e controllo degli asset. Questa politica si applica a tutta l’organizzazione e richiede che tutti i dipartimenti, Risorse Umane (HR), IT, Gestione delle strutture e degli asset, Sicurezza, Alta Direzione, Funzione legale e compliance e Conformità svolgano un ruolo definito nei processi di onboarding e procedura di uscita. Prescrive workflow dettagliati: l’onboarding include controlli dei precedenti personali, accordo di riservatezza e presa d’atto della politica, formazione e sensibilizzazione alla sicurezza delle informazioni e assegnazione degli accessi secondo il principio del privilegio minimo, riesaminata dai responsabili competenti; per i trasferimenti interni, attiva revisione degli accessi basata sul rischio e garantisce che tutte le autorizzazioni di sistema precedenti siano chiuse prima che il nuovo accesso sia approvato; e il processo di cessazione richiede che tutti i diritti di accesso siano revocati (utenti privilegiati entro quattro ore), che gli asset siano raccolti e che tutta la documentazione correlata sia mantenuta per l’auditabilità. Gli obiettivi della politica vanno oltre la gestione degli accessi. Mira a preservare riservatezza, integrità e disponibilità degli asset dell’organizzazione durante le transizioni del personale, supportando traccia di audit e difesa in giudizio richiedendo una documentazione completa nel Sistema informativo per le risorse umane (HRIS), nella Gestione delle identità e degli accessi (IAM) e nel registro degli asset. Sono specificate procedure immediate di ripristino e convalida degli asset, inclusi controlli IT per rimuovere dati sensibili residui e controlli delle strutture per badge, dispositivi e chiavi. La gestione delle eccezioni è strettamente controllata: qualsiasi deviazione deve essere sottoposta a valutazione del rischio, documentata e soggetta a riesame periodico da parte dell’Alta Direzione (Responsabile della sicurezza delle informazioni (CISO) o Direttore HR), con rischio residuo documentato e valutato ogni 90 giorni o al variare delle situazioni. Allineata a più framework internazionali, inclusi ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, GDPR UE, NIS2 e DORA, la politica assicura che le pratiche dell’organizzazione soddisfino tutti i principali requisiti normativi. Integra disposizioni di tali standard su competenza, controllo degli accessi, principio del privilegio minimo, screening, registrazione di audit e governance operativa. Sono inclusi requisiti di audit interno e monitoraggio dei processi, con supervisione del Responsabile del SGSI e meccanismi per il Sistema di whistleblowing. Le violazioni attivano conseguenze disciplinari e legali, con escalation alle autorità di regolamentazione quando sono coinvolti dati personali o dati regolamentati. Anche la manutenzione della politica è robusta: impone riesami annuali, aggiornamenti dopo modifiche significative ai sistemi di sicurezza o HR, aggiornamenti guidati dagli incidenti e archiviazione delle versioni obsolete. Le procedure di controllo dei documenti preservano la cronologia delle modifiche e i registri di titolarità. Questo collega la gestione del rischio operativo con conformità e responsabilità, costituendo una parte critica dell’ambiente di controllo integrato dell’organizzazione tramite collegamenti diretti a documenti di policy correlati (sicurezza, controllo degli accessi, account utente, gestione del rischio, Politica di utilizzo accettabile).