Piano di Progetto - WP3.1 ¶
Analisi trasversale delle tecnologie per garantire cybersecurity by design ¶
Executive Summary ¶
Il Work Package 3.1 del progetto FUTURO si propone di modernizzare e mettere in sicurezza l'infrastruttura IDMS 3.x / NeuRAIL Framework attraverso un approccio security by design e l'aggiornamento completo dello stack tecnologico.
Obiettivi Chiave ¶
- 🔒 Cybersecurity by Design: Implementare controlli di sicurezza conformi a NIS2 e ISO/IEC 27001:2022
- 🚀 Modernizzazione Stack: Migrare da Python 3.7 (EOL) e Debian 2021 a Python 3.13 e Debian 12
- 📊 Performance: Migliorare performance con nuove tecnologie (polars/dask) e stack ottimizzato
- 📋 Compliance: Istituire ISMS ISO 27001 con controlli tracciabili e audit ready
Risultati Attesi ¶
- ✅ Riduzione ≥50% vulnerabilità CVE grazie ad upgrade stack
- ✅ Miglioramento ≥20% performance elaborazione dati
- ✅ 0 credenziali in chiaro, 100% gestite da Secret Manager
- ✅ ISMS attivo con SoA completo e controlli implementati
- ✅ MTTD <15 min, MTTR <4h per incidenti critici
Timeline e Risorse ¶
- Durata: 8 mesi (1 Agosto 2025 - 31 Marzo 2026)
- Sprint: 9 sprint da 3 settimane
- Ore totali: 1.312h
- Finanziamento: Ore uomo da progetto FUTURO
Indice ¶
- Informazioni Generali
- Obiettivi del Progetto
- Ambito e Deliverable
- Organizzazione del Progetto
- Timeline e Milestone
- Risorse e Team
- Architettura e Tecnologie
- Gestione Rischi
- Governance e Comunicazione
- Criteri di Successo
Informazioni Generali ¶
Identificazione Progetto ¶
| Campo | Valore |
|---|---|
| Nome Progetto | WP3.1 - Cybersecurity by Design e Modernizzazione Stack |
| Progetto Padre | FUTURO - WP3 (Infrastruttura informatica) |
| Codice WP | WP3.1 |
| Cliente | Generale Costruzioni Ferroviarie S.p.A. (GCF) |
| Sistema Target | IDMS 3.x / NeuRAIL Framework |
| Versione Piano | 1.0 |
| Data Creazione | 30 Settembre 2025 |
| Data Ultima revisione | 30 Settembre 2025 |
| Owner | Ilario Febi |
Date Chiave ¶
| Evento | Data |
|---|---|
| Inizio Progetto | 1 Agosto 2025 |
| Fine Pianificazione (M0) | 30 Settembre 2025 |
| Inizio Operativo | 1 Ottobre 2025 |
| Pausa Festività | 22 Dicembre 2025 - 7 Gennaio 2026 |
| Chiusura Progetto (M8) | 31 Marzo 2026 |
| Durata Totale | 8 mesi |
Contesto ¶
Il progetto WP3.1 si inserisce nel contesto del finanziamento pubblico FUTURO e si articola in due sotto-progetti:
- WP3.1.1: Tecnologie e soluzioni innovative di Industrial IoT security
- WP3.1.2: Progettazione infrastruttura per gestione e manipolazione dei dati
Il sistema IDMS 3.x (Internal Data Management System) è attualmente basato su tecnologie datate (Python 3.7 EOL, Debian ~2021) con necessità di:
- Aggiornamento per sicurezza e compliance
- Miglioramento performance
- Adeguamento a normative NIS2 e ISO 27001
Obiettivi del Progetto ¶
Obiettivi Principali (O1-O11) ¶
Il progetto persegue 11 obiettivi di alto livello, ciascuno con metriche di successo verificabili:
O-1: Gestione Sicura Credenziali e Autenticazione ¶
- Eliminare credenziali in chiaro (100% in Secret Manager)
- Rotazione automatica con audit trail
- PKI interna per certificati
- MFA su accessi amministrativi
- JWT per API, certificati client per MQTT
KPI: 0 credenziali in chiaro; 100% segreti gestiti; rotazione ≤90gg
O-2: Crittografia End-to-End ¶
- TLS 1.3 forzato su tutti i canali
- TDE (Transparent Data Encryption) su database
- Server-side encryption su storage
- Backup crittografati con chiavi separate
KPI: 100% traffico TLS 1.3; 100% dati a riposo crittografati
O-3: Controllo Accessi (Privilegio Minimo) ¶
- RBAC coerente su tutti componenti
- Row-Level Security (RLS) su database
- Segmentazione rete (VLAN)
- Whitelist IP per admin
KPI: 100% servizi con RBAC; riduzione ≥80% misconfigurazioni
O-4: Monitoraggio, Logging e Incident Response ¶
- SIEM centralizzato con copertura ≥95%
- Alerting e correlazione eventi
- IDS/IPS su segmenti critici
- Playbook incident response testati
KPI: MTTD <15 min; MTTR <4h; copertura log ≥95%
O-5: Sicurezza di Rete e Perimetro ¶
- WAF per applicazioni esposte
- Rate limiting e protezioni DDoS
- Topic ACL MQTT granulari
- Micro-segmentazione VLAN
KPI: Riduzione ≥90% traffico laterale non autorizzato
O-6: Hardening OS, Applicazioni e Container ¶
- SELinux/AppArmor attivi
- Patching automatico con SLA
- Container security (non-root, scanning)
- Secure coding practices
KPI: Riduzione ≥70% CVE; 0 container root
O-7: Compliance, Governance, Documentazione ¶
- Allineamento ISO 27001, NIST CSF, OWASP
- Conformità GDPR
- Documentazione e SOP aggiornate
- Formazione continua team
KPI: 0 non-conformità maggiori; copertura formazione ≥90%
O-8: Priorità e Roadmap Implementazione ¶
- Priorità Alta (immediata): Secret management, TDE, RBAC, SIEM
- Priorità Media (3-6 mesi): MFA, hardening, IR
- Roadmap iterativa con review milestone
O-9: Misurazione e Miglioramento Continuo ¶
- KPI sicurezza tracciati (MTTD, MTTR, coverage, patching)
- Dashboard e review trimestrali
- Post-mortem incidenti con azioni correttive
KPI: Dashboard attive 24/7; ≥4 review/anno
O-10: Allineamento NIS2 e ISO 27001 ¶
- ISMS conforme ISO/IEC 27001:2022
- Statement of Applicability (SoA) completo
- Risk assessment annuale con treatment plan
- Controlli NIS2 (incident reporting, supply chain, BC/DR)
- Penetration test annuale
KPI: ISMS attivo; SoA 100%; incident reporting ≤72h; ≥1 pentest/anno
O-11: Modernizzazione Stack Tecnologico ⭐ ¶
- Migrazione Python 3.7 → 3.13 (con dipendenze aggiornate)
- Upgrade Debian ~2021 → Debian 12 Bookworm
- Aggiornamento PostgreSQL, TimescaleDB, Redis, MQTT
- Valutazione polars/dask per performance
- Test suite completo (coverage ≥85%)
KPI: 100% codice Python 3.13 compatibile; riduzione ≥50% CVE; miglioramento ≥20% performance
Ambito e Deliverable ¶
In Scope ¶
WP3.1.1: Industrial IoT Security ¶
- ✅ Secret management (HashiCorp Vault)
- ✅ PKI interna per certificati IoT
- ✅ Autenticazione MQTT con certificati client
- ✅ Crittografia canali comunicazione (TLS 1.3)
- ✅ Topic ACL MQTT granulari
- ✅ IDS/IPS su segmenti IoT
WP3.1.2: Infrastruttura Gestione Dati ¶
- ✅ Modernizzazione stack Python/OS/database
- ✅ TDE su PostgreSQL/TimescaleDB
- ✅ RBAC e RLS su database
- ✅ SIEM centralizzato per log management
- ✅ Backup crittografati con procedure DR
- ✅ Performance optimization (polars/dask)
Trasversali (Entrambi) ¶
- ✅ ISMS ISO 27001 e compliance NIS2
- ✅ Hardening sistemi operativi
- ✅ Vulnerability management
- ✅ Incident response playbook
- ✅ Documentazione tecnica e SOP
- ✅ Formazione team operativo
Out of Scope ¶
- ❌ Sviluppo nuove funzionalità applicative
- ❌ Modifiche architetturali maggiori (solo upgrade in-place)
- ❌ Migrazione cloud (rimane on-premise)
- ❌ Integrazione con sistemi esterni non IDMS/NeuRAIL
- ❌ Certificazione ISO 27001 formale (solo preparazione)
Deliverable Principali ¶
| ID | Deliverable | Sprint | Tipo |
|---|---|---|---|
| D1 | Report Security Assessment | S1 | Documento |
| D2 | Ambiente Python 3.13 Certificato | S2 | Software |
| D3 | Sistema Debian 12 Configurato | S2 | Infrastruttura |
| D4 | HashiCorp Vault Operativo | S3 | Software |
| D5 | PKI Interna Attiva | S3 | Infrastruttura |
| D6 | Configurazioni TLS 1.3 | S4 | Configurazione |
| D7 | Policy RBAC Documentate | S4 | Documento |
| D8 | SIEM Operativo (ELK/Wazuh) | S5 | Software |
| D9 | Dashboard Sicurezza | S5 | Software |
| D10 | Playbook Incident Response | S5 | Documento |
| D11 | Configurazioni Hardening OS | S6 | Configurazione |
| D12 | Architettura VLAN | S6 | Infrastruttura |
| D13 | Documentazione ISMS ISO 27001 | S7 | Documento |
| D14 | Statement of Applicability (SoA) | S7 | Documento |
| D15 | Report Penetration Test | S7 | Documento |
| D16 | Piani BC/DR Testati | S7 | Documento |
| D17 | Documentazione Tecnica Completa | S8 | Documento |
| D18 | SOP (Standard Operating Procedures) | S8 | Documento |
| D19 | Materiali Formazione | S8 | Documento |
| D20 | Report Finale Progetto | S8 | Documento |
Organizzazione del Progetto ¶
Struttura in Sprint ¶
Il progetto è organizzato in 9 sprint da 3 settimane ciascuno (con eccezioni):
Sprint 0 (Pianificazione) → Ago-Set 2025 → M0
Sprint 1 (Assessment) → Ott 2025 → M1
Sprint 2 (Modernizzazione) → Ott-Nov 2025 → M2
Sprint 3 (Secret Mgmt) → Nov-Dic 2025 → M3
Sprint 4 (Crittografia) → Dic 2025 → M4 (2.5 sett, pre-festività)
[PAUSA FESTIVITÀ: 22 Dic 2025 - 7 Gen 2026]
Sprint 5 (Monitoring) → Gen 2026 → M5
Sprint 6 (Hardening) → Gen-Feb 2026 → M6
Sprint 7 (ISMS) → Feb-Mar 2026 → M7
Sprint 8 (Chiusura) → Mar 2026 → M8
Metodologia ¶
- Approccio Agile: Sprint iterativi con review e retrospettive
- Owner unico: Ilario Febi come owner e coordinatore
- Team cross-funzionale: Developer, sistemista, documentalista, security consultant
- Milestone-driven: Ogni sprint termina con milestone e riunione allineamento
- Risk-based: Prioritizzazione basata su risk assessment
Fasi di Lavoro ¶
Fase 1: Pianificazione (Sprint 0) ¶
- Durata: 2 mesi (Ago-Set 2025)
- Team: Solo Ilario Febi
- Focus: Analisi, task breakdown, allocazione risorse, documentazione piano
Fase 2: Foundation (Sprint 1-2) ¶
- Durata: 6 settimane (Ott-Nov 2025)
- Team: Full team
- Focus: Assessment sicurezza, modernizzazione stack tecnologico
Fase 3: Security Implementation (Sprint 3-4) ¶
- Durata: 5.5 settimane (Nov-Dic 2025)
- Team: Full team
- Focus: Secret management, PKI, crittografia, RBAC
Fase 4: Monitoring & Hardening (Sprint 5-6) ¶
- Durata: 6 settimane (Gen-Feb 2026)
- Team: Full team + focus sistemista
- Focus: SIEM, IDS/IPS, hardening OS, segmentazione rete
Fase 5: Compliance & Closure (Sprint 7-8) ¶
- Durata: 6 settimane (Feb-Mar 2026)
- Team: Full team + consulente security
- Focus: ISMS, compliance NIS2/ISO, penetration test, documentazione, formazione
Timeline e Milestone ¶
Milestone di Progetto ¶
| ID | Milestone | Data | Obiettivi Chiave | Riunione |
|---|---|---|---|---|
| M0 | Pianificazione Completata | 30 Set 2025 | Piano approvato, task definiti, team allocato | 30 Set |
| M1 | Assessment e Baseline | 21 Ott 2025 | Security assessment, CVE analysis, gap NIS2/ISO | 22 Ott |
| M2 | Stack Modernizzato | 11 Nov 2025 | Python 3.13, Debian 12, stack testato | 12 Nov |
| M3 | Gestione Credenziali | 2 Dic 2025 | Vault operativo, PKI attiva, 0 credenziali in chiaro | 3 Dic |
| M4 | Crittografia e RBAC | 21 Dic 2025 | TLS 1.3, TDE, RBAC implementato | 22 Dic |
| - | Pausa Festività | 22 Dic - 7 Gen | - | - |
| M5 | Monitoraggio Attivo | 28 Gen 2026 | SIEM operativo, IDS/IPS, playbook IR | 29 Gen |
| M6 | Sistema Hardened | 18 Feb 2026 | Hardening completo, VLAN, WAF, container security | 19 Feb |
| M7 | ISMS Attivo | 11 Mar 2026 | ISMS documentato, SoA, pentest, BC/DR testato | 12 Mar |
| M8 | Progetto Completato | 31 Mar 2026 | Tutti obiettivi raggiunti, docs, formazione, sign-off | 31 Mar |
Gantt Visuale ¶
Per il diagramma Gantt dettagliato in formato Mermaid, vedere PROJECT_GANTT.md.
Vista Semplificata:
Ago-Set 2025: [==================== S0 Pianificazione ====================] M0
Ottobre 2025: [===== S1 Assessment =====][===== S2 Moderniz =====>
Novembre 2025: <=====][===== S3 Secret Mgmt =====] M3
Dicembre 2025: [== S4 Cripto ==] M4 [FESTIVITÀ]
Gennaio 2026: [===== S5 Monitoring =====] M5
Febbraio 2026: [===== S6 Hardening =====][=== S7 ISMS ===>
Marzo 2026: <======] M7 [===== S8 Chiusura =====] M8
Risorse e Team ¶
Team di Progetto ¶
| Ruolo | Nome | Responsabilità | Ore Totali | Periodo |
|---|---|---|---|---|
| Project Manager & Owner | Ilario Febi | Coordinamento, architettura, owner task | 296h | Ago 2025 - Mar 2026 |
| Senior Developer Python | Kim del Rio | Sviluppo, migrazione Python, testing | 376h | Ott 2025 - Mar 2026 |
| Developer Python | Domenico Pastore | Supporto sviluppo e testing | 44h | Ott 2025 - Mar 2026 |
| Documentalista | Fabio Angelone | Documentazione, SOP, procedure ISMS | 232h | Ott 2025 - Mar 2026 |
| Sistemista Linux | Jeremy Rossi | Infrastruttura, CI/CD, hardening, SIEM | 312h | Ott 2025 - Mar 2026 |
| Security Consultant | SYSUP (esterno) | Assessment, pentest, consulenza compliance | 192h | On-demand |
Totale ore pianificate: 1.452h
Totale ore allocate task: 1.312h
Buffer: 140h (10%) per imprevisti e coordinamento
Dettagli completi team: PROJECT_TEAM.md - Ruoli, responsabilità, competenze, gap analysis
Distribuzione Ore per Sprint ¶
| Sprint | Ilario | Kim | Domenico | Fabio | Jeremy | SYSUP | Totale |
|---|---|---|---|---|---|---|---|
| S0 | 140h | - | - | - | - | - | 140h |
| S1 | 20h | 40h | 12h | 16h | 32h | 32h | 152h |
| S2 | 20h | 88h | 24h | 16h | 44h | - | 192h |
| S3 | 20h | 60h | - | 24h | 40h | 24h | 168h |
| S4 | 14h | 48h | - | 16h | 48h | - | 126h |
| S5 | 20h | 36h | - | 20h | 56h | 36h | 168h |
| S6 | 20h | 52h | - | 32h | 68h | 16h | 188h |
| S7 | 22h | - | - | 56h | 16h | 84h | 178h |
| S8 | 20h | 52h | 8h | 52h | 8h | - | 140h |
| TOT | 296h | 376h | 44h | 232h | 312h | 192h | 1.452h |
Competenze Chiave Richieste ¶
| Competenza | Livello | Persone | Gap | Mitigazione |
|---|---|---|---|---|
| Python Development | Alto | Kim, Domenico | - | OK |
| Linux System Admin | Alto | Jeremy | - | OK |
| Security & Compliance | Alto | SYSUP | - | Consulenza esterna |
| PostgreSQL/TimescaleDB | Medio | Kim, Ilario | - | OK |
| MQTT / IoT | Medio | Kim, Ilario | - | OK |
| Documentazione Tecnica | Alto | Fabio | - | OK |
| ISMS ISO 27001 | Alto | SYSUP | Team | Training on-the-job |
| Container Security | Medio | Kim, Jeremy | - | OK |
Architettura e Tecnologie ¶
Stack Tecnologico Attuale (Baseline) ¶
| Componente | Versione Attuale | Versione Target | Note |
|---|---|---|---|
| OS | Debian ~2021 | Debian 12 Bookworm | Upgrade per patch sicurezza |
| Python | 3.7 (EOL 2023) | 3.13 | Upgrade obbligatorio |
| PostgreSQL | ~12 | ≥14 LTS | TDE e performance |
| TimescaleDB | Compatibile PG12 | Compatibile PG14+ | Time-series optimization |
| Redis | ~6.x | ≥7.0 | Performance e sicurezza |
| MQTT Broker | Mosquitto ~1.x | Mosquitto ≥2.0 o EMQX | Client cert auth |
| Pandas | <2.0 | ≥2.0 o polars | Performance migliorata |
| Pydantic | v1.x | v2.x | Type validation |
Nuovi Componenti da Implementare ¶
| Componente | Soluzione Proposta | Scopo | Sprint |
|---|---|---|---|
| Secret Manager | HashiCorp Vault | Gestione credenziali | S3 |
| PKI | PKI interna (Vault PKI o OpenSSL CA) | Certificati IoT e servizi | S3 |
| SIEM | ELK Stack o Wazuh | Centralizzazione log e alerting | S5 |
| IDS/IPS | Suricata o Snort | Network intrusion detection | S5 |
| WAF | ModSecurity o Nginx WAF | Web application firewall | S6 |
| Vulnerability Scanner | OpenVAS o Trivy | Scansione vulnerabilità | S6 |
| Container Scanner | Trivy o Grype | Scansione immagini container | S6 |
Architettura di Sicurezza (Target) ¶
┌─────────────────────────────────────────────────────────────┐
│ PERIMETRO │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ │
│ │ WAF │ │ Firewall │ │ IDS │ │
│ └────┬─────┘ └────┬─────┘ └────┬─────┘ │
└───────┼─────────────┼─────────────┼────────────────────────┘
│ │ │
┌───────┼─────────────┼─────────────┼────────────────────────┐
│ │ VLAN MANAGEMENT │ │
│ ▼ ▼ │
│ ┌─────────┐ ┌──────────────┐ │
│ │ API │◄────JWT──────┤ Vault │ │
│ │ Gateway │ │(Secret Mgmt) │ │
│ └────┬────┘ └──────────────┘ │
│ │ │
├───────┼────────────────────────────────────────────────────┤
│ │ VLAN DATA PLANE │
│ ▼ │
│ ┌─────────┐ ┌──────────┐ ┌──────────┐ │
│ │ Python │ │PostgreSQL│ │ Redis │ │
│ │ App │ │ +TDE │ │ │ │
│ │ (3.13) │ │ +RLS │ │ │ │
│ └────┬────┘ └────┬─────┘ └────┬─────┘ │
│ │ │ │ │
│ └────────────┴─────────────┘ │
│ │ │
├────────────────────┼───────────────────────────────────────┤
│ VLAN IOT │ │
│ ┌────────────▼────────┐ │
│ │ MQTT Broker │ │
│ │ (Client Cert Auth) │ │
│ └─────────────────────┘ │
│ │
└───────────────────────────────────────────────────────────┘
│
┌───────▼────────┐
│ SIEM │
│ (ELK/Wazuh) │
│ ┌──────────┐ │
│ │Dashboard │ │
│ └──────────┘ │
└────────────────┘
Flusso Sicurezza ¶
- Autenticazione: JWT (API) o Client Cert (MQTT) gestiti da Vault
- Crittografia: TLS 1.3 end-to-end
- Autorizzazione: RBAC + RLS database
- Logging: Tutti eventi → SIEM
- Monitoring: Dashboard real-time + alerting
- Response: Playbook automatici per incident
Gestione Rischi ¶
Matrice Rischi Principali ¶
| ID | Rischio | Prob. | Impatto | Livello | Mitigazione | Owner |
|---|---|---|---|---|---|---|
| R1 | Ritardo migrazione Python per incompatibilità | Media | Alto | 🟨 Alto | Testing incrementale, rollback plan, buffer S2 | Ilario |
| R2 | Vulnerabilità critiche da pentest | Media | Alto | 🟨 Alto | Buffer remediation S8, security review continuo | SYSUP |
| R3 | Indisponibilità consulente SYSUP | Bassa | Medio | 🟩 Basso | Pianificazione anticipata ingaggi, alternatives | Ilario |
| R4 | Performance degradation post-TDE | Media | Medio | 🟨 Medio | Benchmark preventivi, tuning database, rollback | Jeremy |
| R5 | Scope creep documentazione | Media | Basso | 🟩 Basso | Template predefiniti, review iterative | Fabio |
| R6 | Assenza personale chiave | Bassa | Alto | 🟨 Medio | Cross-training, documentazione, backup owner | Ilario |
| R7 | Problemi compatibilità hardware post-upgrade OS | Bassa | Medio | 🟩 Basso | Test su HCL Debian, driver verificati | Jeremy |
| R8 | Falsi positivi eccessivi IDS/WAF | Media | Basso | 🟩 Basso | Tuning rules, whitelist, monitoring alert fatigue | Jeremy |
Legenda:
🔴 Critico | 🟨 Alto | 🟧 Medio | 🟩 Basso
Strategie di Mitigazione ¶
Rischi Tecnici ¶
- Buffer: 10% ore incluso per imprevisti
- Testing rigoroso: Coverage ≥85%, test regressione
- Rollback plans: Procedure documentate per ogni upgrade
- Ambienti separati: Dev/Test/Prod per testing sicuro
Rischi Risorse ¶
- Cross-training: Documentazione dettagliata per continuità
- Backup owner: Ilario può coprire ruoli critici temporaneamente
- Consulenza esterna: SYSUP come backup specialistico
Rischi Timeline ¶
- Sprint flessibile: S8 ha buffer per recupero
- Festività pianificate: S4 ridotto, no sorprese
- Milestone reviews: Adattamento piano ogni 3 settimane
Assunzioni e Dipendenze ¶
Assunzioni ¶
- ✅ Team disponibile secondo pianificazione organico.md
- ✅ Nessuna dipendenza bloccante da altri WP
- ✅ Accessi infrastruttura disponibili per team
- ✅ Risorse hardware/software disponibili da progetto
- ✅ Stakeholder disponibili per approvazioni milestone
Dipendenze Esterne ¶
- SYSUP: Disponibilità per S1, S5, S7 (pentest) → Mitigato con pianificazione anticipata
- Approvazioni: Sign-off stakeholder per milestone critiche → Mitigato con buffer 2gg
Governance e Comunicazione ¶
Struttura Governance ¶
┌─────────────────────────────────────┐
│ STAKEHOLDER / SPONSOR │
│ (Approvazioni e Sign-off) │
└────────────┬────────────────────────┘
│
┌────────────▼────────────────────────┐
│ PROJECT MANAGER / OWNER │
│ (Ilario Febi) │
│ • Coordinamento generale │
│ • Gestione risorse e timeline │
│ • Escalation e decision making │
└────────────┬────────────────────────┘
│
┌─────────┼─────────┬──────────────┐
│ │ │ │
┌──▼──┐ ┌──▼──┐ ┌──▼──┐ ┌────▼────┐
│ Dev │ │Sys │ │ Doc │ │ SYSUP │
│Team │ │Team │ │Team │ │Security │
└─────┘ └─────┘ └─────┘ └─────────┘
Riunioni e Comunicazione ¶
| Tipo Riunione | Frequenza | Partecipanti | Durata | Obiettivo |
|---|---|---|---|---|
| Daily Standup | Giornaliero (opzionale) | Team tecnico | 15 min | Sync status, blockers |
| Weekly Status | Settimanale | Ilario + Team | 30 min | Avanzamento, issue, planning |
| Milestone Review | Ogni 3 settimane | All hands + Stakeholder | 2 ore | Demo, retrospettiva, planning sprint successivo |
| Risk Review | Mensile | Ilario + Stakeholder | 1 ora | Review rischi, mitigazioni |
| Management Review | Trimestrale | Ilario + Management | 1 ora | Status esecutivo, avanzamento, timeline |
Reporting ¶
| Report | Frequenza | Destinatari | Contenuto |
|---|---|---|---|
| Status Report | Settimanale | Stakeholder | Avanzamento task, ore, issue, next steps |
| Milestone Report | Ogni milestone | Stakeholder + Management | Deliverable, KPI, deviazioni, decisioni |
| Risk Report | Mensile | Stakeholder | Matrice rischi aggiornata, azioni mitigazione |
| Final Report | M8 | Tutti | Risultati finali, lessons learned, raccomandazioni |
Strumenti ¶
| Categoria | Strumento Proposto | Scopo |
|---|---|---|
| Project Management | Jira / Asana / Trello | Tracking task, kanban sprint |
| Time Tracking | Toggl / Clockify | Monitoraggio ore |
| Documentazione | Markdown + Git / Confluence | Docs tecnica e di progetto |
| Comunicazione | Slack / Teams | Chat team, notifiche |
| Repository | Git (GitHub/GitLab) | Codice, config, docs |
| CI/CD | GitLab CI / GitHub Actions | Automation build, test, scan |
Criteri di Successo ¶
Criteri Tecnici ¶
| Area | Criterio | Target | Misurazione |
|---|---|---|---|
| Modernizzazione | Stack aggiornato | Python 3.13, Debian 12 in prod | Versioning check |
| Sicurezza CVE | Riduzione vulnerabilità | ≥50% CVE risolti vs baseline | Scan tool (Trivy) |
| Performance | Miglioramento throughput | ≥20% su use case critici | Benchmark |
| Crittografia | Traffico protetto | 100% TLS 1.3, 100% dati a riposo crittografati | Config audit |
| Credenziali | Gestione sicura | 0 credenziali in chiaro | Repo scan |
| Logging | Copertura SIEM | ≥95% sorgenti log | SIEM dashboard |
| MTTD/MTTR | Detection/Response | MTTD <15min, MTTR <4h | Incident metrics |
| Testing | Qualità codice | Coverage ≥85%, 100% test pass | Coverage report |
Criteri di Compliance ¶
| Area | Criterio | Target | Misurazione |
|---|---|---|---|
| ISMS | ISO 27001 attivo | ISMS documentato, SoA completo | Documentazione |
| Risk Assessment | Annuale | ≥1 risk assessment/anno | Report RA |
| Controlli ISO | Implementazione | 100% controlli applicabili | SoA |
| NIS2 | Incident reporting | Procedure ≤24h/≤72h | Procedure doc |
| Pentest | Annuale | ≥1 pentest/anno, remediation completa | Report pentest |
| BC/DR | Testato | RTO ≤4h, RPO ≤1h, ≥1 test/anno | Test report |
| Supply Chain | Fornitori valutati | 100% fornitori critici | Due diligence |
| Vulnerability Mgmt | SLA | Crit ≤15d, High ≤30d, Med ≤90d | Tracking tool |
Criteri di Progetto ¶
| Area | Criterio | Target | Misurazione |
|---|---|---|---|
| Timeline | Rispetto date | M8 entro 31/03/2026 ±1 sett | Date effettive |
| Ore | Ore consumate | Scostamento ≤10% vs pianificato | Timesheet |
| Qualità Deliverable | Completezza | 100% deliverable consegnati | Checklist |
| Formazione | Team formato | ≥90% team certificato | Attestati |
| Documentazione | Completezza | Docs tecnica + SOP completi | Review |
| Soddisfazione | Stakeholder | Feedback positivo, sign-off ottenuto | Survey / Sign-off |
Acceptance Criteria Finali (M8) ¶
Per chiudere il progetto con successo, DEVONO essere soddisfatti:
- ✅ Tutti gli obiettivi O1-O11 raggiunti con KPI verificati
- ✅ 100% requisiti priorità Alta implementati e testati
- ✅ ≥80% requisiti priorità Media implementati
- ✅ Tutti i deliverable D1-D20 consegnati e approvati
- ✅ ISMS ISO 27001 attivo con SoA e risk assessment
- ✅ Penetration test eseguito con remediation completata
- ✅ 0 issue critici aperti
- ✅ Documentazione completa: tecnica, SOP, formazione
- ✅ Team formato (≥90% certificato)
- ✅ Sign-off formale stakeholder ricevuto
Prossimi Passi ¶
Azioni Immediate (Post-Approvazione Piano) ¶
- ✅ Approvazione formale piano da stakeholder → 30 Settembre 2025
- ✅ Kickoff meeting con team completo → 1 Ottobre 2025
- ✅ Setup ambienti collaborazione (Jira/Slack/Git) → Week 1 Ottobre
- ✅ Accessi infrastruttura per tutti membri team → Week 1 Ottobre
- ✅ Ingaggio SYSUP per Sprint 1 assessment → Confermare entro 15 Settembre
Calendario Review ¶
| Review | Data | Partecipanti |
|---|---|---|
| Weekly Status | Ogni lunedì 10:00 | Team tecnico |
| Milestone M1 | 22 Ottobre 2025 | All hands + Stakeholder |
| Milestone M2 | 12 Novembre 2025 | All hands + Stakeholder |
| Milestone M3 | 3 Dicembre 2025 | All hands + Stakeholder |
| Milestone M4 | 22 Dicembre 2025 | All hands + Stakeholder |
| Milestone M5 | 29 Gennaio 2026 | All hands + Stakeholder |
| Milestone M6 | 19 Febbraio 2026 | All hands + Stakeholder |
| Milestone M7 | 12 Marzo 2026 | All hands + Stakeholder |
| Milestone M8 | 31 Marzo 2026 | All hands + Stakeholder + Management |
Allegati e Link ¶
Documenti di Progetto ¶
- 📋 Milestone di Progetto - Dettaglio milestone e riunioni
- ✅ Task di Progetto - Elenco completo 78 task
- 📊 Diagramma Gantt - Timeline visuale Mermaid
- 📝 Requisiti - 40 requisiti dettagliati
- 🔤 Acronimi - Glossario 60+ acronimi
- 🏠 README - Panoramica e indice generale
Documenti Complementari ¶
Tutte le informazioni di base sono integrate in questo piano:
- Gli obiettivi di sicurezza sono descritti nella sezione Obiettivi del Progetto
- I requisiti completi sono in PROJECT_REQUIREMENTS.md
- Il team dettagliato è in PROJECT_TEAM.md
- Le best practices sono integrate nei task e deliverable
- La tracciabilità è documentata in PROJECT_REQUIREMENTS.md
Approvazioni ¶
Firma Piano di Progetto ¶
| Ruolo | Nome | Data | Firma |
|---|---|---|---|
| Project Manager | Ilario Febi | 30/09/2025 | ________________ |
| Stakeholder | [Nome] | //2025 | ________________ |
| Sponsor | [Nome] | //2025 | ________________ |
Versioning ¶
| Versione | Data | Autore | Modifiche |
|---|---|---|---|
| 0.1 | 15 Set 2025 | Ilario Febi | Prima bozza |
| 1.0 | 30 Set 2025 | Ilario Febi | Versione approvata |
| - | - | - | - |
WP3.1 - Analisi trasversale delle tecnologie per garantire cybersecurity by design
Progetto FUTURO - Work Package 3: Infrastruttura Informatica
Generale Costruzioni Ferroviarie S.p.A. (GCF)
Documento confidenziale - Distribuzione controllata
Comments
Please login to leave a comment.
No comments yet. Be the first to comment!