Marzo 2026. È la fase di pianificazione del Q2: chi prende decisioni ha bisogno di priorità tecniche chiare (MFA, backup, logging) e tempi realistici.
Policy e ruoli sono utili solo se sono applicabili e tracciabili. In caso contrario, diventano documenti formali che, invece di aiutare, rischiano di creare problemi durante verifiche, audit o incidenti.
Se stai lavorando su compliance e resilienza operativa, l’obiettivo non è “fare molte cose”, ma fare poche cose corrette, testarle e produrre evidenze verificabili.
Di seguito trovi un approccio pratico, pensato per aziende in Lombardia.
Contesto operativo del mese
In questo periodo si prendono decisioni che influenzano l’intero trimestre: priorità operative, allocazione del budget, tempi di risposta agli incidenti e capacità di dimostrare i controlli implementati.
Se si interviene solo quando emerge un’urgenza — audit, richiesta di un cliente o incidente — il lavoro diventa meno efficace e le evidenze risultano spesso meno solide e più difficili da difendere.
Criteri di qualità: cosa dovrebbe essere vero al termine
Al termine di questa attività, dovrebbero essere soddisfatte alcune condizioni fondamentali:
- policy coerenti con la realtà operativa, non modelli generici copiati e adattati superficialmente
- ruoli e responsabilità (RACI) definiti e approvati
- presenza di versioning e repository documentale strutturato
- collegamento chiaro tra policy e relative evidenze operative (audit trail)
Passaggi operativi
1. Definisci un set minimo di documenti
Identifica almeno cinque documenti fondamentali:
- Security Policy
- Access Control Policy
- Backup e Business Continuity
- Incident Response
- Supplier / Security dei fornitori
2. Definisci il modello RACI
Stabilisci chiaramente:
- chi approva i documenti
- chi li mantiene aggiornati
- chi li applica operativamente
- chi conserva e gestisce le evidenze
3. Crea un repository documentale unico
Organizza un archivio strutturato che includa:
- cartelle organizzate per area
- naming coerente dei documenti
- versioning
- storico delle approvazioni
- calendario di revisione periodica
4. Allinea documenti e operatività
Se una procedura non è realmente eseguibile dal team, non deve essere ignorata: deve essere aggiornata.
La documentazione deve riflettere come l’organizzazione opera realmente, non come dovrebbe operare in teoria.
Errori comuni da evitare
- documenti formalmente ben scritti ma impossibili da applicare
- assenza di responsabili chiari per le policy
- mancanza di versioning e approvazioni documentate
- policy non collegate ai controlli tecnici effettivi
Checklist finale
Prima di considerare completa questa attività, verifica che:
- esistano almeno cinque policy fondamentali, ognuna con un responsabile
- sia presente un repository documentale con versioni e approvazioni
- le procedure siano effettivamente applicabili dal team operativo
- ogni policy abbia evidenze operative collegate
