In azienda media: 5-10 manager con responsabilità diverse. Ognuno ha bisogno di dati specifici. Ognuno ha aree dove non dovrebbe guardare. Vediamo come strutturare ruoli granulari per una BI con governance corretta.
Il principio: privilegio minimo
Ogni utente ha solo i permessi strettamente necessari per il suo lavoro.
Non più (rischio sicurezza), non meno (impedisce lavoro).
I ruoli tipici in azienda
Direttore Commerciale
Vede:
- Pipeline commerciale.
- Ordini, fatturato.
- Clienti, prospect.
- Performance squad.
- Marginalità lorda (per decisioni pricing).
NON vede:
- Stipendi dipendenti.
- Costi struttura dettagliati.
- Bilancio completo.
CFO / Controller
Vede:
- Tutti i dati finanziari.
- Bilanci.
- Cash flow.
- Marginalità.
- Costi struttura.
- Stipendi (se necessario per analisi costo).
NON vede (eventualmente):
- Dati HR personali sensibili.
HR Director
Vede:
- Anagrafiche dipendenti.
- Presenze, ferie.
- Stipendi.
- Performance dipendenti.
- Visite mediche, formazione.
NON vede:
- Dati commerciali.
- Dati operativi non-HR.
Direttore Operazioni
Vede:
- Dati produzione.
- Magazzino.
- Logistica.
- Quality control.
- Performance operatori (anonime).
NON vede:
- Stipendi.
- Dati commerciali strategici.
IT/Data Engineer
Vede:
- Configurazione tecnica.
- Database connessi.
- Schema.
- Audit log.
NON vede:
- Dati di business strategici (limitato a ciò che serve per gestione tecnica).
Segregation of Duties (SoD)
Principio enterprise: chi crea i dati non li audita.
Esempi:
- Chi inserisce fatture non le approva.
- Chi crea utenti non li audita.
- Chi modifica configurazione non revisiona log modifiche.
Per BI: ruoli con accesso "scrittura" non hanno accesso "audit log scrittura".
Implementazione in ReportIA
Step 1: matrice permessi
Crea matrice ruoli × permessi:
| Modulo | CEO | CFO | Sales Dir | HR Dir | Ops Mgr | IT |
|---|---|---|---|---|---|---|
| Chat AI | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Dashboard | ✅ | ✅ | Sales only | HR only | Ops only | ✅ |
| Database config | − | − | − | − | − | ✅ |
| Settings AI | View | ✅ | − | − | − | ✅ |
| Operazioni scrittura | ✅ | − | Limited | − | Limited | − |
| Audit log | ✅ | ✅ | − | − | − | − |
Step 2: assegnazione utenti
Assegna ogni utente a un ruolo. Eventuali eccezioni configurabili.
Step 3: assegnazione dashboard
In ReportIA, oltre ai ruoli, puoi assegnare dashboard specifiche agli utenti:
- "Dashboard Commerciale" visibile solo a sales.
- "Dashboard HR" visibile solo a HR.
- "Dashboard Direzione" visibile solo a CEO/CFO.
Casi d'uso particolari
Capo squadra senior
Tra "operaio" e "direttore". Permessi specifici:
- Vede dashboard del proprio reparto.
- Vede performance dei propri sottoposti (anonimizzata o nominale a seconda).
- NO accesso costi.
Auditor esterno
Accesso temporaneo:
- Ruolo "Auditor" con permessi solo lettura.
- Account a scadenza (es. 30 giorni per durata audit).
- Audit log accessi.
Cliente premium
Cliente VIP che vuole accesso a KPI proprio servizio:
- Account dedicato con accesso a una dashboard specifica.
- Solo i suoi dati visibili.
- NO esplorazione altri clienti.
Sicurezza pratica
- Password robuste.
- 2FA per ruoli sensibili (CEO, CFO, IT).
- Sessione timeout: 8 ore.
- Blocco automatico dopo 5 tentativi falliti.
- Reset password con email a scadenza 24h.
- Disabilitazione immediata in caso di uscita dipendente.
I moduli ReportIA correlati
Scopri ReportIA con ruoli granulari.
