Protezione dell'infrastruttura cloud di Microsoft

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Protezione dell'infrastruttura cloud di Microsoft"

Transcript

1 Protezione dell'infrastruttura cloud di Microsoft In questo white paper verranno illustrati responsabilità, compiti e modalità operative del team per la conformità e la sicurezza degli Online Services, parte della divisione Global Foundation Services, incaricata di gestire la protezione dell'infrastruttura cloud di Microsoft. I lettori comprenderanno quale significato abbia oggi il cloud computing per Microsoft e come l'azienda sia in grado di offrire un'infrastruttura di cloud computing completamente affidabile e sicura. Pubblicato: maggio

2 Sommario Riepilogo del progetto... 3 Problemi di sicurezza connessi al cloud computing... 4 In che modo Microsoft gestisce i problemi descritti... 5 Cosa si intende per ambiente cloud computing Microsoft... 6 Team per la conformità e la sicurezza degli Online Services... 6 Iniziativa Trustworthy Computing di Microsoft... 7 Privacy... 8 Sicurezza... 9 Programma di protezione delle informazioni... 9 Processi di gestione dei rischi Gestione della continuità operativa Gestione degli incidenti di sicurezza Conformità alle normative internazionali anticrimine Conformità operativa Approccio Defense-in-Depth Protezione fisica Protezione della rete Protezione dei dati Gestione dell'identità e degli accessi Sicurezza delle applicazioni Controlli e report della sicurezza host Conclusione Altre risorse

3 Riepilogo del progetto Una recente ricerca sulle nuove definizioni di "cloud", "cloud computing" e "ambiente cloud" ha tentato di identificare le aspettative dei clienti nei confronti dei provider di soluzioni cloud e stabilire come classificare le soluzioni che tali provider sostengono di poter offrire. L'idea che l'acquisto di servizi da un ambiente cloud possa consentire ai decisori aziendali (BDM, Business Decision Maker) che operano in ambito tecnologico di risparmiare denaro e alle aziende di concentrarsi sulle attività più importanti è senz'altro allettante nel clima economico attuale. Molti analisti, tuttavia, considerano dannose per le condizioni di mercato correnti le nuove opportunità di definizione dei prezzi e distribuzione di servizi online. Da tali studi di mercato e dal confronto che ne è derivato tra potenziali clienti e provider di servizi sono emerse alcune problematiche che si profilano come possibili ostacoli per una rapida adozione dei servizi cloud. In cima alla lista si collocano le questioni inerenti alla sicurezza, alla privacy, all'affidabilità e al controllo operativo. Microsoft è consapevole dei dubbi che i BDM nutrono in merito a tali problematiche e della loro esigenza di conoscere in che modo queste ultime verranno gestite nell'ambiente cloud computing di Microsoft e quali implicazioni comporteranno per loro sul piano del rischio e delle decisioni operative. In questo white paper verrà spiegato come l'applicazione coordinata e strategica di persone, processi, tecnologie ed esperienza produca l'apporto di continui miglioramenti alla sicurezza dell'ambiente cloud di Microsoft. Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance), che fa parte della divisione Global Foundation Services (GFS), opera sulla base degli stessi principi e processi in materia di sicurezza che Microsoft ha sviluppato nel corso di anni di esperienza nella gestione dei rischi di protezione all'interno di ambienti operativi e di sviluppo tradizionali. 3

4 Problemi di sicurezza connessi al cloud computing Il compito di affrontare le sfide e le difficoltà che si accompagnano alle opportunità offerte dal cloud computing spetta al settore dell'information Technology. Da oltre 15 anni Microsoft si misura con le seguenti problematiche connesse alla distribuzione di servizi online: I nuovi modelli di aziende cloud creano una crescente interdipendenza tra gli enti dei settori pubblico e privato e le persone che si avvalgono dei loro servizi: tali organizzazioni e i relativi clienti diventeranno sempre più dipendenti le une dagli altri in seguito all'utilizzo della cloud. Queste nuove dipendenze producono la comune aspettativa che i servizi di piattaforma e le applicazioni ospitate siano sicuri e disponibili. Microsoft offre un'infrastruttura pienamente affidabile, una solida base su cui gli enti dei settori pubblico e privato e i loro partner possono costruire un'esperienza altrettanto affidabile per i propri utenti. Inoltre collabora attivamente con questi gruppi e con la comunità di sviluppo per incoraggiare l'adozione di processi di gestione dei rischi incentrati sulla sicurezza. L'accelerazione dell'adozione di servizi cloud, unita alla costante evoluzione delle tecnologie e dei modelli aziendali, genera un ambiente di hosting dinamico, che già di per sé rappresenta una sfida sul piano della sicurezza: la capacità di tenersi al passo con il progresso e anticipare le esigenze future è essenziale per un programma di protezione efficace. L'ultima ondata di cambiamenti è già iniziata con il rapido passaggio alla virtualizzazione e la sempre più diffusa adozione della strategia Software Plus Services di Microsoft, che combina la potenza e le capacità di computer, dispositivi mobili, servizi online e software aziendale. L'avvento delle piattaforme cloud consente lo sviluppo di applicazioni personalizzate da parte di terzi e il relativo hosting nella cloud di Microsoft. Grazie al programma di protezione delle informazioni degli Online Services, illustrato in dettaglio più avanti in questo white paper, Microsoft mantiene solide partnership interne tra i team che si occupano dell'erogazione di servizi e prodotti e della sicurezza in modo da offrire un ambiente cloud totalmente affidabile mentre questi cambiamenti sono in corso. I tentativi di infiltrazione o sabotaggio delle offerte di Online Services diventano sempre più numerosi e sofisticati di pari passo con l'aumento del commercio e degli affari nel settore: mentre continuano le solite burle di chi cerca semplicemente attenzione servendosi di un'ampia gamma di tecniche tra cui domain squatting e attacchi man-in-the-middle, tentativi più sofisticati di utenti malintenzionati che mirano a ottenere identità o bloccare l'accesso a dati aziendali sensibili hanno iniziato a farsi strada, insieme a un mercato sotterraneo più organizzato di informazioni sottratte illegalmente. Microsoft lavora a stretto contatto con forze di polizia, gruppi di ricerca, colleghi e partner di settore per comprendere più a fondo il panorama mutevole delle minacce informatiche e mettere a punto contromisure adeguate. Inoltre, il programma Security Development Lifecycle di Microsoft, descritto più avanti in questo documento, gestisce la sicurezza e la privacy nel corso dell'intero processo di sviluppo, sin dalle prime fasi. L'erogazione a livello mondiale di servizi nuovi ed esistenti richiede che vengano soddisfatti complessi requisiti di conformità: è indubbio che la conformità agli standard normativi, legislativi e di settore (denominata semplicemente "conformità normativa" nel seguito di questo documento) sia un'area altamente complessa in quanto ogni paese può emettere, ed emette, leggi proprie per la regolamentazione della distribuzione e dell'utilizzo di ambienti online. Microsoft deve essere in grado di rispettare una miriade di obblighi normativi poiché possiede data center in diversi paesi e offre Online Services a clienti di ogni parte del mondo. Inoltre, molti settori impongono requisiti particolari. Microsoft, pertanto, ha implementato un framework di conformità (descritto più avanti in questo white paper) grazie al quale riesce a gestire in modo efficace gli svariati obblighi di conformità senza che ciò comporti un aumento eccessivo del carico di lavoro aziendale. 4

5 In che modo Microsoft gestisce i problemi descritti A partire dal lancio di MSN nel 1994, Microsoft ha creato e reso operativi numerosi Online Services. La divisione GFS gestisce la piattaforma e l'infrastruttura cloud per i Microsoft Online Services, assicurandone la disponibilità 24 ore su 24, tutti i giorni, per centinaia di milioni di clienti in tutto il mondo. Oltre 200 degli Online Services e dei portali Web dell'azienda sono ospitati su questa infrastruttura cloud, tra cui alcuni tra i più diffusi servizi per il mercato consumer, come Windows Live Hotmail e Live Search, e per il mercato business, come Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite dei Microsoft Online Services. Che le informazioni personali di un cliente siano memorizzate sul suo computer o su un sistema online o che i dati cruciali di un'azienda siano archiviati internamente o su un server in hosting e inviati tramite Internet, Microsoft è consapevole del fatto che tutti questi ambienti devono garantire l'esperienza Trustworthy Computing. Come azienda, Microsoft ricopre una posizione unica in quanto possiede tutti gli strumenti necessari per offrire tanto l'orientamento quanto le soluzioni tecnologiche che occorrono per un'esperienza online più sicura. Per aiutare i clienti a evitare perdite finanziarie e altre conseguenze derivanti da attacchi online pericolosi e mirati, e come parte di un impegno serio e continuo a favore di un'elaborazione affidabile (Trustworthy Computing), Microsoft garantisce che le persone, i processi e le tecnologie impiegati dall'azienda sono in grado di offrire esperienze, prodotti e servizi con un maggiore livello di sicurezza e privacy. Microsoft fornisce una cloud affidabile concentrandosi su tre aree: Utilizzo di un programma di protezione delle informazioni basato sui rischi, che valuta e classifica le minacce operative e relative alla sicurezza cui l'azienda è soggetta Gestione e aggiornamento di una serie diversificata di controlli di sicurezza che riducono i rischi Implementazione di un framework di conformità che assicura che i controlli vengano opportunamente studiati e utilizzati in modo efficace Questo white paper spiega in che modo Microsoft tutela i dati dei clienti e le operazioni aziendali con l'ausilio di un programma completo per la protezione delle informazioni e di una metodologia matura per la gestione delle policy e della conformità, una frequente valutazione interna ed esterna di procedure e capacità e potenti controlli di sicurezza a tutti i livelli di servizio. Tali processi e meccanismi rappresentano il modo in cui Microsoft rispetta gli standard di settore e soddisfa la conformità normativa a tutte le leggi, le direttive, gli statuti e i regolamenti applicabili nell'erogazione online di servizi a una base clienti globale. Sebbene le informative sulla privacy siano menzionate in questo documento, l'intento non è quello di fornire un'analisi approfondita sull'argomento o una guida operativa alla privacy. Informazioni dettagliate su come Microsoft gestisce le esigenze di riservatezza sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 5

6 Cosa si intende per ambiente cloud computing Microsoft Quando si parla di ambiente cloud computing Microsoft, si fa riferimento sia all'infrastruttura fisica e logica che alle applicazioni e ai servizi di piattaforma ospitati. La divisione GFS fornisce l'infrastruttura cloud fisica e logica insieme a molti servizi di piattaforma. L'infrastruttura fisica comprende tanto le strutture dei data center vere e proprie quanto l'hardware e i componenti che supportano i servizi e le reti. L'infrastruttura logica è costituita dalle istanze dei sistemi operativi, dalle reti distribuite e dall'archiviazione di dati non strutturati, in esecuzione su oggetti fisici o virtuali. I servizi di piattaforma includono runtime di calcolo (come Internet Information Services,.NET Framework e Microsoft SQL Server ), archivi di identità e directory (come Active Directory e Windows Live ID), servizi di nomi (DNS) e altre funzionalità avanzate utilizzate dagli Online Services. I servizi di piattaforma cloud di Microsoft, come quelli di infrastruttura, possono essere virtualizzati o fisici. Le applicazioni online eseguite nella cloud di Microsoft comprendono prodotti semplici e complessi progettati per un'ampia gamma di clienti. Questi Online Services, e i relativi requisiti in materia di sicurezza e privacy, possono essere suddivisi a grandi linee nei seguenti gruppi: Servizi Consumer e Small Business: ad esempio Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE e Microsoft Office Live. Servizi Enterprise: ad esempio Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite, che comprende Exchange Online, SharePoint Online e Office Live Meeting. Servizi ospitati di terze parti: ad esempio, soluzioni e applicazioni basate sul Web sviluppate e gestite da terzi che utilizzano servizi di piattaforma forniti attraverso l'ambiente cloud computing Microsoft. Team per la conformità e la sicurezza degli Online Services Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance) fa parte della divisione GFS ed è responsabile del programma di protezione delle informazioni per l'infrastruttura cloud di Microsoft, ivi compresi le policy e i programmi utilizzati per gestire i rischi connessi alla sicurezza online. La missione del team è quella di garantire l'affidabilità degli Online Services in modo da produrre un vantaggio competitivo per Microsoft e i suoi clienti. Collocare tale funzione a livello di infrastruttura cloud consente a tutti i servizi cloud Microsoft di trarre vantaggio dalle economie di scala e dalla complessità ridotta attraverso l'utilizzo di soluzioni di sicurezza condivise. Questo approccio standard permette inoltre a ciascun team dei servizi Microsoft di concentrarsi sulle esigenze di protezione specifiche dei propri clienti. Il team OSSC guida gli sforzi diretti a fornire un'esperienza affidabile e sicura nella cloud di Microsoft attraverso il programma di protezione delle informazioni, utilizzando un modello operativo basato sui rischi e un approccio ai 6

7 controlli basato su una strategia di Defense-in-Depth. Ciò implica analisi della gestione dei rischi, sviluppo e manutenzione di un framework di controlli di sicurezza su base regolare e sforzi continui per garantire la conformità in attività che spaziano dallo sviluppo di data center alla risposta alle richieste delle forze dell'ordine di ogni parte del mondo. Il team applica procedure consigliate, tra cui analisi interne ed esterne di vario tipo, in ogni fase del ciclo di vita degli Online Services e in ogni elemento dell'infrastruttura. Una stretta collaborazione con altri team Microsoft garantisce poi un approccio completo alla protezione delle applicazioni nella cloud Microsoft. La gestione di un'infrastruttura cloud globale estesa a numerose aziende si accompagna all'esigenza di rispettare gli obblighi normativi e di superare gli esami di revisori esterni. I requisiti controllabili sono stabiliti da mandati industriali e di enti governativi, politiche interne e procedure consigliate del settore. Il programma OSSC assicura che le aspettative sul piano della conformità siano continuamente valutate e incorporate. Grazie al programma di protezione delle informazioni, Microsoft è in grado di ottenere certificazioni chiave, come le attestazioni International Organization for Standardization/International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) e Statement of Auditing Standard (SAS) 70 Tipo I e Tipo II, e di superare con migliori risultati le revisioni periodiche svolte da terze parti indipendenti. Iniziativa Trustworthy Computing di Microsoft Il fattore cruciale per lo sviluppo di un programma di protezione efficace è la creazione di una cultura che riconosca il valore prioritario della sicurezza. Microsoft è consapevole del fatto che una simile cultura deve essere introdotta e supportata dalla dirigenza aziendale. I dirigenti Microsoft si sono impegnati a lungo per effettuare gli investimenti e fornire gli incentivi appropriati al fine di promuovere un comportamento orientato alla sicurezza. Nel 2002 l'azienda ha avviato l'iniziativa Trustworthy Computing, a favore di un'elaborazione affidabile, con cui Bill Gates ha voluto che Microsoft cambiasse radicalmente la propria mission e la propria strategia in alcune aree cruciali. Oggi Trustworthy Computing è per Microsoft un valore fondamentale, che guida ogni aspetto della vita aziendale. Alla base di questa iniziativa si collocano quattro concetti chiave: privacy, protezione, affidabilità e procedure aziendali. Informazioni dettagliate sul programma sono disponibili sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). Microsoft comprende perfettamente che il successo nel settore in rapida evoluzione degli Online Services dipende da sicurezza e privacy dei dati dei clienti e da disponibilità e flessibilità dei servizi offerti. L'azienda pertanto progetta e testa diligentemente applicazioni e infrastruttura sulla base di standard riconosciuti a livello internazionale per dimostrare di poter offrire tali caratteristiche unitamente alla conformità alle leggi vigenti e alle politiche interne per la sicurezza e la privacy. Come risultato, i clienti di Microsoft beneficiano di test e monitoraggio più accurati, invio automatico delle patch, economie di scala volte alla riduzione dei costi e continui miglioramenti sul piano della protezione. 7

8 Privacy Microsoft si sforza in ogni modo di proteggere la privacy e la sicurezza dei clienti, rispettando tra l'altro tutte le normative applicabili in materia di riservatezza e attenendosi scrupolosamente alle rigorose procedure in materia esposte nelle informative sulla privacy dell'azienda. Per creare un ambiente affidabile per i clienti, Microsoft sviluppa software, servizi e processi tenendo costantemente presente l'importanza della tutela della riservatezza. I team Microsoft verificano continuamente la conformità con le leggi internazionali sulla privacy e le procedure adottate dall'azienda sul piano della riservatezza derivano, in parte, proprio dalle leggi vigenti in materia in tutto il mondo. Seguendo le indicazioni della legislazione sulla privacy, l'azienda ne applica gli standard a livello internazionale. Microsoft si impegna a tutelare la sicurezza delle informazioni personali. I team che si occupano della distribuzione degli Online Services si avvalgono di un'ampia gamma di tecnologie e procedure per la sicurezza al fine di aiutare gli utenti a proteggere le informazioni personali da accesso, utilizzo o divulgazione non autorizzati. I team addetti allo sviluppo di software Microsoft applicano i principi PD3+C, definiti nel programma Security Development Lifecycle (SDL), in tutte le procedure operative e di sviluppo dell'azienda: Privacy integrata nella progettazione (Privacy by Design): Microsoft utilizza questo principio in diversi modi durante lo sviluppo, il rilascio e la gestione delle applicazioni per assicurarsi che i dati raccolti dai clienti siano finalizzati a uno scopo specifico e che i clienti ricevano tutte le informazioni necessarie per poter prendere decisioni consapevoli. Quando i dati da raccogliere sono classificati come altamente sensibili, è possibile che vengano adottate misure di sicurezza supplementari, come la crittografia durante il transito o l'archiviazione delle informazioni oppure in entrambe le fasi. Privacy di default (Privacy by Default): le soluzioni Microsoft prevedono la richiesta di autorizzazione ai clienti prima di raccogliere o trasferire dati sensibili. Una volta che l'autorizzazione è stata concessa, tali dati vengono protetti con l'ausilio di strumenti mirati come gli elenchi di controllo di accesso (ACL, Access Control List) in combinazione con meccanismi per l'autenticazione delle identità. Privacy applicata al deployment (Privacy in Deployment): Microsoft divulga i meccanismi di tutela della privacy ai clienti aziendali nell'intento di consentirgli di definire policy per la protezione e la riservatezza appropriate per i rispettivi utenti. Comunicazioni (Communications): Microsoft si sforza di coinvolgere un pubblico il più vasto possibile attraverso la pubblicazione di informative sulla privacy, white paper e altri documenti inerenti alla riservatezza. Ulteriori informazioni sull'impegno di Microsoft in materia di privacy sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 8

9 Sicurezza Microsoft ha cercato di rendere l'infrastruttura cloud aziendale sempre più flessibile in modo che potesse usufruire dei vantaggi offerti da tecnologie emergenti come la virtualizzazione. I miglioramenti apportati hanno prodotto un distacco, e quindi l'indipendenza, delle risorse informatiche dall'infrastruttura fisica comune per molti tipi di oggetti dei clienti. Se si unisce a questo il fatto che il processo di sviluppo software per le applicazioni ospitate online è spesso più agile se i rilasci sono più frequenti, il risultato è che la gestione dei rischi connessi alla protezione delle informazioni ha dovuto adattarsi per poter garantire l'esperienza Trustworthy Computing (elaborazione affidabile). Le sezioni successive di questo white paper descriveranno in che modo il team OSSC di Microsoft applica i principi base della sicurezza e gli sforzi compiuti all'interno dell'azienda per gestire i rischi nell'infrastruttura cloud di Microsoft. Spiegheranno inoltre cosa significa un approccio Defense-in-Depth alla sicurezza degli Online Services e in che modo l'ambiente di cloud computing richiede l'adozione di nuovi approcci alle misure di protezione. Programma di protezione delle informazioni Il programma di protezione delle informazioni online di Microsoft definisce le modalità operative del team OSSC. Il British Standards Institute (BSI) Management Systems America ne ha certificato la conformità agli standard ISO/IEC 27001:2005. Informazioni dettagliate sui certificati ISO/IEC 27001:2005 sono disponibili nella pagina del sito del BSI relativa ai risultati delle ricerche sulla directory certificati/client (in inglese). Il programma di protezione delle informazioni raggruppa i requisiti di sicurezza in tre domini di alto livello: amministrativo, tecnico e fisico. I criteri applicati in questi domini rappresentano le basi per la gestione dei rischi. Partendo dai controlli e dalle misure di sicurezza identificati nei domini e nelle relative sottocategorie, il programma si attiene al modello "Plan, Do, Check, Act" (Pianificare, attuare, verificare, agire) delle norme ISO/IEC27001:

10 Il team OSSC definisce più in dettaglio le quattro fasi della struttura tradizionale Plan, Do, Check, Act di un programma ISO per la protezione dei dati nel modo riportato di seguito: Plan (Pianificare) 10 a. Processi decisionali basati sui rischi: nel gestire l'assegnazione delle priorità delle attività chiave e l'allocazione delle risorse, il team OSSC elabora un piano d'azione per la sicurezza basato sulla valutazione dei rischi. Gli obiettivi aziendali e individuali incorporati in tale piano tengono conto di eventuali aggiornamenti di policy, standard operativi e controlli di sicurezza nella divisione GFS e in molti team di prodotto. b. Requisiti di documentazione: il team OSSC definisce con chiarezza le aspettative per ottenere attestazioni e certificazioni di terze parti attraverso un framework di controlli documentato. Tale framework individua i requisiti da soddisfare in modo chiaro, coerente e conciso. Do (Attuare) a. Implementazione di controlli appropriati: i team operativi e quelli addetti alla distribuzione di servizi e prodotti mettono in atto una serie di controlli basati sul piano di azione per la sicurezza. b. Applicazione dei controlli: il team OSSC implementa e applica direttamente molti controlli, ad esempio quelli utilizzati per garantire la conformità alle normative anticrimine internazionali, gestire le minacce all'infrastruttura e proteggere fisicamente i data center. Altre misure di sicurezza vengono attuate e gestite dai team operativi e da quelli addetti all'erogazione di servizi e prodotti. Check (Verificare) a. Valutazione e miglioramento: il team OSSC valuta costantemente le attività di controllo messe in atto. È possibile che, in seguito a tali verifiche, vengano aggiunti controlli supplementari o modificati quelli esistenti per assicurare che gli obiettivi definiti nelle policy di protezione delle informazioni e nel framework di controlli siano raggiunti. Act (Agire) a. Verifica dell'efficacia del programma: team interni e revisori esterni sottopongono ad analisi periodiche il programma di protezione delle informazioni per verificarne continuamente l'efficacia. b. Conformità ai requisiti: il team OSSC valuta il programma di protezione delle informazioni e il framework di controlli in rapporto agli standard e ai requisiti legislativi, normativi, aziendali e di settore applicabili al fine di identificare le aree passibili di miglioramento e verificare l'aderenza agli obiettivi definiti. I piani aziendali e tecnologici di Microsoft vengono quindi aggiornati in modo da gestire al meglio l'impatto dei cambiamenti operativi. Nessun programma di protezione può considerarsi completo se non tiene conto dell'esigenza di fornire al personale un'adeguata formazione. Microsoft si occupa di produrre ed erogare la formazione sulla sicurezza necessaria per garantire che tutti i gruppi coinvolti nella creazione, deployment, gestione e supporto degli Online Services ospitati nell'infrastruttura cloud comprendano appieno le proprie responsabilità in rapporto alle politiche aziendali di protezione delle informazioni per gli Online Services di Microsoft. Questo programma di formazione insegna i principi di riferimento chiave che vanno applicati quando si esamina ciascun livello dell'approccio Defense-in-Depth adottato da Microsoft per la protezione degli Online Services. I clienti aziendali e gli sviluppatori di software di terze parti vengono inoltre incoraggiati ad applicare gli stessi principi quando sviluppano applicazioni o distribuiscono servizi utilizzando l'infrastruttura cloud di Microsoft.

11 Processi di gestione dei rischi L'analisi e la risoluzione delle vulnerabilità di protezione all'interno di sistemi online interdipendenti sono più complesse rispetto ai sistemi IT tradizionali e possono richiedere una maggiore quantità di tempo. La gestione dei rischi e le revisioni correlate devono essere adattate all'ambiente dinamico di questi sistemi. Microsoft si avvale di procedure consolidate basate su un'esperienza di lungo corso nella distribuzione di servizi sul Web per gestire in modo adeguato questi nuovi rischi. Il personale OSSC collabora con team operativi e titolari d'azienda in molti gruppi addetti alla distribuzione di servizi e prodotti all'interno di Microsoft per debellare questi rischi. Il programma di protezione delle informazioni stabilisce i requisiti di documentazione e le procedure standard per eseguire processi decisionali continui basati sui rischi. Attraverso il programma di gestione dei rischi di protezione (SRMP, Security Risk Management Program), le valutazioni dei rischi si svolgono a vari livelli e influiscono sull'assegnazione delle priorità in aree come la pianificazione dei rilasci dei prodotti, la gestione delle policy e l'allocazione delle risorse. Ogni anno viene eseguita una valutazione completa e accurata delle minacce all'infrastruttura cloud di Microsoft, che conduce a una serie di esami e verifiche supplementari nel corso dei dodici mesi successivi. Questo lavoro costante si concentra sulle minacce potenzialmente più dannose. Procedendo in tal modo, Microsoft definisce le priorità e guida lo sviluppo di controlli di sicurezza e delle attività correlate. La metodologia SRMP valuta l'efficacia dei controlli nella gestione delle minacce con l'ausilio dei seguenti strumenti: Identificazione delle minacce e delle vulnerabilità cui l'ambiente è soggetto Calcolo dei rischi Reporting dei rischi all'interno dell'intero ambiente cloud Microsoft Risoluzione dei rischi sulla base della valutazione dell'impatto e del caso aziendale associato Test dell'efficacia degli interventi di correzione e dei rischi residui Gestione dei rischi su base regolare Gestione della continuità operativa Molte organizzazioni che stanno prendendo in considerazione l'uso di applicazioni cloud vogliono maggiori informazioni sulla disponibilità e la flessibilità dei servizi. L'hosting di applicazioni e l'archiviazione di dati in un ambiente cloud offrono nuove opzioni sul piano della disponibilità e della scalabilità dei servizi, come anche del backup e del ripristino dei dati. Il programma di continuità operativa sviluppato da Microsoft si avvale di procedure consigliate di settore per creare e adattare le funzionalità di quest'area in modo da consentire la gestione di nuove applicazioni man mano che diventano disponibili nell'ambiente cloud di Microsoft. Microsoft utilizza un processo di gestione e governance continue per garantire che venga sempre fatto tutto il necessario per identificare l'impatto di potenziali perdite, elaborare piani e strategie di ripristino di facile attuazione e assicurare la continuità di prodotti e servizi. Individuare tutte le risorse (persone, attrezzature e sistemi) di cui occorre disporre per eseguire un'attività o un processo è essenziale per approntare un piano efficace per i casi di emergenza. L'impossibilità di esaminare, gestire e testare il piano è uno dei principali rischi associati al verificarsi di una perdita dovuta a una situazione di emergenza, pertanto il programma non si limita alla semplice documentazione di procedure di ripristino. Microsoft utilizza il ciclo di vita dello sviluppo del piano di gestione della continuità operativa per creare e gestire piani di ripristino di emergenza attraverso l'implementazione di sei fasi, come mostrato nell'immagine seguente: 11

12 Microsoft affronta il ripristino di dati e servizi dopo aver completato un'analisi delle dipendenze identificando due obiettivi correlati al ripristino delle risorse: Obiettivo in termini di tempo di ripristino (RTO, Recovery Time Objective): definisce il lasso di tempo massimo in cui è possibile tollerare la perdita di un processo, una funzione o una risorsa critici prima che ne derivi un impatto gravemente negativo sull'operatività aziendale. Obiettivo in termini di punto di ripristino (RPO, Recovery Point Objective): definisce la perdita massima di dati sostenibile in caso di guasto ed è in genere concepito in termini di intervallo di tempo massimo che può trascorrere tra l'ultimo backup disponibile e il momento in cui si è verificato il guasto. Dal momento che il processo di identificazione e classificazione delle risorse è continuo, in quanto parte del processo di gestione dei rischi relativi all'infrastruttura cloud computing Microsoft, il piano di ripristino di emergenza implica che questi obiettivi possano essere applicati più tempestivamente per valutare se implementare o meno strategie di ripristino in caso di situazioni di emergenza. Microsoft convalida ulteriormente queste strategie attraverso una serie di esercitazioni che comprendono prove, test, formazione e manutenzione. 12

13 Gestione degli incidenti di sicurezza I controlli di sicurezza e i processi di gestione dei rischi che Microsoft ha messo in atto per proteggere la propria infrastruttura cloud riducono senz'altro il rischio di incidenti connessi alla sicurezza, ma sarebbe ingenuo pensare che non si verificheranno più attacchi dannosi in futuro. Il team di gestione degli incidenti di sicurezza (SIM, Security Incident Management), che fa parte dell'ossc, si occupa della risoluzione di questo tipo di problemi ed è attivo 24 ore su 24, tutti i giorni. La sua missione consiste nel valutare in modo rapido e accurato gli incidenti di sicurezza informatica in cui sono coinvolti i Microsoft Online Services e nel ridurne il rischio, comunicando chiaramente tutte le informazioni pertinenti ai dirigenti senior e ad altre parti interessate all'interno di Microsoft. Il processo di risposta agli incidenti del team SIM si articola in sei fasi: Preparazione: il personale SIM si sottopone a una formazione continua in modo da poter reagire prontamente non appena si verifica un incidente di sicurezza. Identificazione: ricercare la causa di un incidente, intenzionale o meno, spesso significa monitorare il problema e ripercorrerne le tracce attraverso più livelli all'interno dell'ambiente cloud computing Microsoft. Il team SIM collabora con membri di altri team interni Microsoft per diagnosticare l'origine di un dato incidente di sicurezza. Contenimento: una volta individuata la causa del problema, il team SIM cerca di limitarne i danni avvalendosi del supporto di tutti gli altri team necessari. Le modalità di contenimento variano in base all'impatto dell'incidente sull'azienda. Prevenzione e attenuazione dei rischi: coordinandosi con i team di distribuzione di servizi e prodotti, il gruppo SIM cerca di ridurre il rischio che l'incidente si ripresenti. Ripristino: continuando a collaborare con altri gruppi in base alle necessità, il team SIM fornisce il proprio supporto nel processo di ripristino dei servizi. Il punto della situazione: dopo la risoluzione dell'incidente di sicurezza, il gruppo SIM convoca una riunione con tutto il personale coinvolto per valutare l'accaduto e fare proprie le lezioni apprese durante il processo di risposta all'evento. Il team SIM è in grado di rilevare tempestivamente i problemi e prevenire l'interruzione dei servizi grazie alla stretta collaborazione con altri gruppi. Ad esempio, è strettamente allineato con i team operativi, compreso il Microsoft Security Response Center. Ulteriori informazioni su quest'ultimo sono disponibili alla pagina Microsoft Security Response Center (in inglese). Queste relazioni gli consentono di acquisire rapidamente una visione operativa olistica di un incidente al suo verificarsi. Il team SIM si consulta inoltre con i proprietari delle risorse per stabilire la gravità dell'incidente sulla base di un'ampia gamma di fattori, tra cui potenziali o ulteriori interruzioni dei servizi e rischi di danni alla reputazione. Conformità alle normative internazionali anticrimine Il programma OSSC di conformità alle normative internazionali anticrimine (GCC, Global Criminal Compliance) partecipa alla definizione di policy e all'erogazione della formazione nell'ambito del processo di risposta di Microsoft. Gestisce inoltre le richieste di informazioni legittime da parte dei tutori della legge. Agenti locali dislocati in diversi paesi provvedono a convalidare e, se necessario, tradurre la richiesta. Una delle ragioni per cui il GCC è considerato un 13

14 "programma di risposta ottimale" da molte autorità internazionali consiste nel fatto che mette a disposizione un portale per le forze dell'ordine che offre supporto in più lingue a membri autenticati delle forze di polizia su come inviare una richiesta legale a Microsoft. Tra gli obiettivi del programma vi è quello di offrire formazione ai professionisti delle forze dell'ordine. Il GCC forma inoltre il personale Microsoft a tutti i livelli sulle responsabilità connesse alla privacy e alla conservazione dei dati. Il lavoro di formazione interna e di definizione di policy continua a evolversi man mano che Microsoft aggiunge nuovi data center in diverse parti del mondo, estendendo quindi la portata dei requisiti normativi internazionali da soddisfare. Il GCC gioca un ruolo cruciale nella comprensione e implementazione dei processi che devono tener conto delle varie leggi internazionali e di come si applicano ai clienti privati o aziendali che si avvalgono dei Microsoft Online Services. Conformità operativa L'ambiente dei Microsoft Online Services deve soddisfare numerosi requisiti di sicurezza specifici per settore e stabiliti dagli enti governativi, oltre naturalmente a quelli definiti da Microsoft sulla base delle esigenze commerciali dell'azienda. Con la progressiva evoluzione delle attività commerciali online di Microsoft e l'introduzione di nuovi Online Services nella cloud dell'azienda, si prevede l'aggiunta di altri requisiti che potrebbero includere standard di protezione dei dati specifici per paese e regione. Il team per la conformità operativa collabora con lo staff operativo, con i team addetti alla distribuzione di prodotti e servizi e con revisori interni ed esterni per garantire la conformità di Microsoft agli obblighi normativi e agli standard pertinenti. Di seguito è riportato l'elenco di alcuni dei controlli e delle valutazioni cui l'ambiente cloud di Microsoft viene sottoposto su base regolare: Payment Card Industry Data Security Standard: richiede una revisione e una convalida annuali dei controlli di sicurezza correlati alle transazioni basate su carta di credito. Media Ratings Council: certifica la correttezza dell'elaborazione e della generazione dei dati dei sistemi di pubblicità. Sarbanes-Oxley: sistemi selezionati vengono sottoposti a controlli annualmente per verificarne la conformità con processi chiave correlati all'integrità del reporting finanziario. Health Insurance Portability and Accountability Act: definisce una serie di linee guida in materia di ripristino di emergenza, sicurezza e privacy per l'archiviazione elettronica delle cartelle cliniche. Valutazioni sulla privacy e controlli interni: si tratta di una serie di verifiche mirate che vengono eseguite nel corso di un intero anno. L'adempimento di tutti questi obblighi di controllo ha iniziato presto a rappresentare per Microsoft una sfida considerevole. In seguito a un attento esame dei requisiti, tuttavia, l'azienda ha rilevato che molte delle verifiche richieste esigevano la valutazione degli stessi processi e controlli operativi. Riconoscendo la significativa opportunità di eliminare sforzi ridondanti, ottimizzare i processi e gestire proattivamente le aspettative di conformità in maniera più esaustiva, il team OSSC ha sviluppato quindi un framework di conformità completo ed efficace. Tale framework e i processi associati si basano su una metodologia in cinque fasi illustrata nell'immagine seguente: 14

15 Identificazione e integrazione dei requisiti: in questa fase vengono definiti i controlli applicabili e l'ambito di applicazione. Nel corso della stessa, inoltre, vengono acquisiti e analizzati i documenti di processo e le procedure operative standard (SOP, Standard Operating Procedure). Valutazione e correzione delle lacune: in questa fase vengono identificate e corrette le lacune presenti nei controlli delle tecnologie o dei processi. Test dell'efficacia e valutazione dei rischi: questa fase prevede la misurazione dell'efficacia dei controlli e il reporting dei risultati ottenuti. Acquisizione di certificazioni e attestati: in questa fase vengono coinvolti revisori e autorità di certificazione di terze parti. Miglioramento e ottimizzazione: se si rilevano non conformità, le cause fondamentali vengono documentate e sottoposte a verifiche più accurate. I problemi individuati vengono inoltre monitorati fino alla completa risoluzione. Questa fase prevede anche ulteriori sforzi per ottimizzare i controlli tra i domini di sicurezza in modo da aumentare il livello di efficienza per superare future verifiche e revisioni per l'acquisizione di certificazioni. Uno dei successi derivati dall'implementazione di questo programma consiste nel fatto che l'infrastruttura cloud di Microsoft ha ottenuto sia gli attestati SAS 70 Tipo I e Tipo II che la certificazione ISO/IEC 27001:2005. Tale risultato è una chiara dimostrazione dell'impegno di Microsoft a fornire un'infrastruttura di cloud computing sicura e affidabile in quanto: 15 Il certificato ISO/IEC 27001:2005 riconosce che Microsoft ha implementato i controlli per la protezione delle informazioni approvati a livello internazionale che sono definiti in questo standard e Gli attestati SAS 70 provano la volontà di Microsoft di acconsentire all'esame dei programmi di sicurezza interni da parte di revisori esterni.

16 Approccio Defense-in-Depth L'adozione di un approccio Defense-in-Depth è fondamentale per Microsoft ai fini di poter offrire un'infrastruttura cloud affidabile. L'applicazione di controlli a più livelli richiede l'impiego di meccanismi di protezione, lo sviluppo di strategie di attenuazione dei rischi e la capacità di rispondere a eventuali attacchi non appena si verificano. L'utilizzo di più misure di sicurezza più o meno rigorose, a seconda della sensibilità della risorsa protetta, produce una maggiore capacità di prevenire possibili violazioni o ridurre l'impatto di un incidente di sicurezza. L'avvento del cloud computing non mette in discussione la validità del principio che la rigorosità dei controlli dipende dalla sensibilità della risorsa, né la sua essenzialità per un'efficace gestione dei rischi connessi alla sicurezza. Il fatto che in un ambiente di cloud computing la maggior parte delle risorse possa essere virtualizzata comporta delle variazioni nell'analisi del rischio e nelle modalità di applicazione dei controlli di sicurezza ai livelli di Defense-in-Depth tradizionali (fisico, rete, dati, accesso alle identità, autorizzazione e autenticazione degli accessi e host). Gli Online Services, compresi i servizi di infrastruttura e di piattaforma forniti dalla divisione GFS, sfruttano le tecnologie di virtualizzazione. Pertanto, i clienti che utilizzano servizi ospitati nella cloud di Microsoft possono disporre di risorse che non è più possibile associare facilmente a una presenza fisica. I dati possono essere archiviati virtualmente e distribuiti a più destinazioni. Ciò significa che l'identificazione dei controlli di sicurezza e la definizione delle modalità di utilizzo di tali controlli per implementare un approccio a più livelli per la protezione delle risorse devono evolversi. Naturalmente, è comunque necessario mettere in atto misure per la sicurezza fisica e di rete. Tuttavia, il punto focale della gestione dei rischi si sposta maggiormente verso il livello degli oggetti, verso gli elementi in uso nell'ambiente cloud, ad esempio i contenitori per l'archiviazione dei dati statici o dinamici, gli oggetti macchina virtuale e gli ambienti di runtime in cui vengono eseguiti i calcoli. I vari controlli in atto utilizzano numerosi dispositivi e metodi di protezione fisica e di rete tradizionali per garantire che l'entità, sia essa una persona che vuole accedere a un data center oppure un processo che richiede l'accesso a dati di clienti archiviati dinamicamente nell'ambiente cloud di Microsoft, sia autentica e autorizzata per l'accesso richiesto. Vengono inoltre implementate alcune misure specifiche per assicurare che i server e le istanze dei sistemi operativi in esecuzione nell'infrastruttura cloud di Microsoft siano protetti da possibili attacchi. Questa sezione offre una panoramica di alcuni dei processi e controlli che Microsoft utilizza per gestire la sicurezza di data center, comunicazioni e hardware di rete e host di servizi. Protezione fisica L'impiego di sistemi tecnici per automatizzare l'autorizzazione per l'accesso e l'autenticazione per alcune misure di sicurezza è uno dei modi in cui la protezione fisica è cambiata in seguito al progresso delle tecnologie di sicurezza. Un altro è il passaggio dall'uso di applicazioni enterprise tradizionali, distribuite su hardware e software fisicamente posizionati all'interno dell'azienda, all'uso di Software as a Service e Software plus Services. A questi cambiamenti è necessario che se ne accompagnino altri nel modo in cui le aziende garantiscono la protezione delle proprie risorse. Il team OSSC gestisce la protezione fisica di tutti i data center di Microsoft, che è essenziale per assicurare l'operatività costante delle strutture e tutelare i dati dei clienti. Per ogni struttura vengono utilizzate procedure consolidate e precise nella progettazione e nelle operazioni relative alla sicurezza. Microsoft garantisce la creazione di perimetri interni ed esterni con crescenti controlli ad ogni livello perimetrale. Il sistema di sicurezza applica l'uso combinato di soluzioni tecnologiche, tra cui fotocamere, dispositivi biometrici, lettori di schede e allarmi, con misure di sicurezza tradizionali quali lucchetti e chiavi. I controlli operativi vengono integrati per 16

17 agevolare il monitoraggio automatizzato e la generazione di notifiche tempestive in caso di violazione o problemi. Inoltre, garantiscono la responsabilità attraverso la distribuzione di documentazione verificabile relativa al programma di sicurezza fisica del data center. L'elenco seguente fornisce ulteriori esempi di come Microsoft applica i controlli sulla sicurezza fisica: Limitazione degli accessi al personale dei data center: Microsoft fornisce i requisiti di sicurezza in base ai quali vengono esaminati gli appaltatori e i dipendenti dei data center. Oltre alle clausole contrattuali relative al personale del sito, un ulteriore livello di sicurezza all'interno del data center viene applicato al personale impegnato nella gestione della struttura. L'accesso viene limitato applicando una politica di privilegi minimi, in modo tale da autorizzare la gestione dei servizi e delle applicazioni dei clienti solo al personale essenziale. Gestione dei requisiti di dati con elevato impatto sulle aziende: Microsoft ha sviluppato requisiti minimi più rigorosi per le risorse classificate come altamente sensibili rispetto a quelle di scarsa o moderata sensibilità all'interno dei data center utilizzati per fornire gli online service. I protocolli di sicurezza standard relativi a identificazione, token di accesso e registrazione e sorveglianza degli ingressi al sito definiscono chiaramente il tipo di autenticazione necessaria. In caso di accesso a risorse altamente sensibili, è richiesta un'autenticazione a più fattori. Centralizzazione della gestione degli accessi alle risorse fisiche: mentre Microsoft continua a espandere il numero dei data center utilizzati per offrire Online Services, è stato sviluppato uno strumento per gestire il controllo degli accessi alle risorse fisiche che fornisce anche record verificabili attraverso la centralizzazione del flusso di lavoro del processo di richiesta, approvazione e accesso ai data center. Questo strumento opera utilizzando il principio in base al quale occorre offrire il livello di accesso più basso possibile e integra il flusso di lavoro per ottenere l'approvazione di più parti di autorizzazione. È configurabile in base alle condizioni del sito e garantisce un accesso più efficace ai dettagli cronologici per la segnalazione e la conformità con i controlli. Protezione della rete Microsoft applica molteplici livelli di protezione, a seconda dei casi, ai dispositivi dei data center e alle connessioni di rete. Ad esempio, i controlli di sicurezza vengono utilizzati sia sui piani di gestione sia sui piani di controllo. L'hardware specializzato, ad esempio servizi di bilanciamento del carico, firewall e dispositivi di prevenzione delle intrusioni, è attualmente in uso per la gestione degli attacchi Denial of Service (DoS) basati sul volume. I team di gestione della rete applicano, a seconda dei casi, elenchi di controllo di accesso a più livelli (ACL) ad applicazioni e reti locali virtuali segmentate (VLAN). Attraverso l'hardware di rete, Microsoft utilizza le funzioni gateway delle applicazioni per effettuare un controllo approfondito dei pacchetti e intraprendere azioni quali l'invio di allarmi basati sul traffico di rete sospetto o in grado di bloccare tale traffico. Un'infrastruttura DNS interna ed esterna globalmente ridondante è attualmente in uso per l'ambiente cloud di Microsoft. La ridondanza prevede la tolleranza di errore ed è ottenuta attraverso il clustering dei server DNS. Ulteriori controlli riducono gli attacchi Denial of Service (DDoS) distribuiti e gli attacchi di inquinamento e poisoning della cache. Ad esempio, gli ACL all'interno dei server e delle aree DNS limitano l'accesso in scrittura ai record DNS al solo personale autorizzato. Le nuove funzionalità di protezione del software DNS sicuro più recente, come la randomizzazione degli identificativi di query, vengono utilizzate su tutti i server DNS. I cluster DNS vengono continuamente monitorati per rilevare i software non autorizzati e le modifiche alla configurazione dell'area DNS, nonché altri eventi di servizio dannosi. L'infrastruttura DNS fa parte della rete Internet collegata a livello globale e per la fornitura di questo servizio è richiesta la partecipazione di numerose organizzazioni. Microsoft prende parte a molte di queste organizzazioni, tra cui il DNS Operations Analysis and Research Consortium (DNS-OARC), che comprende esperti DNS di tutto il mondo. 17

18 Protezione dei dati Microsoft classifica le risorse in modo tale da determinare la portata dei controlli di sicurezza da applicare. Le categorie tengono conto del potenziale relativo ai danni alla reputazione e finanziari, nel caso in cui la risorsa venga coinvolta in un incidente correlato alla sicurezza. Una volta classificata la risorsa, viene adottato un approccio approfondito alla protezione per determinare quali misure sono necessarie. Ad esempio, le risorse dati che rientrano nella categoria degli impatti moderati sono soggette ai requisiti di crittografia quando risiedono su supporti rimovibili o quando sono coinvolte in trasferimenti su reti esterne. Oltre a tali requisiti, i dati a impatto elevato sono soggetti anche ai requisiti di crittografia per l'archiviazione e i trasferimenti su reti e sistemi interni. I prodotti Microsoft devono rispettare le norme di crittografia SDL, che elencano gli algoritmi di crittografia accettabili e non accettabili. Ad esempio, per la crittografia simmetrica sono necessarie chiavi lunghe più di 128 bit. Quando si utilizzano algoritmi asimmetrici, sono necessarie chiavi lunghe almeno bit. Gestione dell'identità e degli accessi Per la gestione degli accessi alle risorse, Microsoft utilizza un modello "need-to-know" basato su una politica di privilegi minimi. Ove possibile, i controlli degli accessi basati sui ruoli vengono utilizzati per allocare l'accesso logico a specifiche funzioni lavorative o aree di responsabilità, piuttosto che a singoli utenti. Tali criteri impongono che l'accesso che non sia stato esplicitamente concesso dal titolare della risorsa sulla base di un requisito aziendale identificato venga negato per impostazione predefinita. Per ottenere l'accesso, i singoli utenti che dispongono dell'autorizzazione ad accedere a qualsiasi risorsa devono utilizzare le misure opportune. Le risorse altamente sensibili richiedono un'autenticazione a più fattori, che includono password, token hardware, smart card e dispositivi biometrici. La riconciliazione degli account utente a fronte delle autorizzazioni all'utilizzo si verifica su base continuativa per garantire che l'utilizzo di una risorsa sia adeguato e necessario per completare una determinata attività. Gli account che non necessitano più di un accesso a una data risorsa vengono disattivati. Sicurezza delle applicazioni La sicurezza delle applicazioni è un elemento chiave nell'approccio di Microsoft alla protezione del suo ambiente cloud computing. Le rigide procedure di sicurezza impiegate dai team di sviluppo Microsoft sono state formalizzate nel 2004 in un processo denominato Security Development Lifecycle (SDL). Il processo SDL è una metodologia di sviluppo agnostica ed è completamente integrato con il ciclo di sviluppo delle applicazioni, dalla progettazione alla risposta, e non sostituisce le metodologie di sviluppo software quali Waterfall o Agile. Varie fasi del processo SDL sottolineano l'istruzione e la formazione e richiedono che a ogni fase dello sviluppo software vengano opportunamente applicati processi e attività specifici. La leadership senior all'interno di Microsoft continua a sostenere il mandato in base al quale il processo SDL debba essere applicato durante il processo di sviluppo dei prodotti Microsoft, inclusa la distribuzione degli Online Services. L'OSSC svolge un ruolo fondamentale nel garantire che il processo SDL venga e continui ad essere applicato alla creazione delle applicazioni da ospitare nell'infrastruttura cloud di Microsoft. 18

19 Il processo SDL è rappresentato nella seguente illustrazione: A partire dalla fase dei requisiti, il processo SDL prevede una serie di attività specifiche quando lo si considera unitamente allo sviluppo delle applicazioni da ospitare nella cloud di Microsoft: Requisiti: l'obiettivo primario in questa fase consiste nell'individuare gli obiettivi di sicurezza principali e massimizzare in altro modo la protezione del software, riducendo al tempo stesso l'interruzione dei programmi, delle pianificazioni e dell'usabilità dei clienti. Quando si ha a che fare con applicazioni in hosting, questa attività potrebbe includere una discussione operativa improntata sulla definizione di come il servizio utilizzerà le connessioni di rete e il trasporto dei messaggi. Progettazione: le misure di sicurezza critiche in questa fase includono la documentazione della superficie potenziale di attacco e la gestione della modellazione delle minacce. Come per la fase dei requisiti, i criteri ambientali potrebbero essere identificati quando si passa attraverso questo processo per un'applicazione in hosting. Implementazione: in questa fase vengono effettuati la codifica e i test. Durante l'implementazione, impedire la creazione di un codice con vulnerabilità di protezione e intraprendere azioni per eliminare tali problemi, se presenti, costituiscono le procedure principali. Verifica: la fase beta ha luogo quando nuove applicazioni sono considerate funzionalmente complete. Durante questa fase, viene rivolta particolare attenzione alla determinazione dei rischi di sicurezza presenti quando l'applicazione viene implementata in uno scenario realistico e di quali misure adottare per eliminare o ridurre tali rischi. Rilascio: la revisione di sicurezza finale (FSR, Final Security Review) viene effettuata durante questa fase. Se necessario, viene effettuata una revisione di sicurezza operativa (OSR, Operational Security Review) anche prima che la nuova applicazione possa essere rilasciata all'interno dell'ambiente cloud di Microsoft. Risposta: per l'ambiente cloud di Microsoft, il team SIM si assume l'incarico di gestire gli incidenti correlati alla sicurezza e collabora a stretto contatto con i team per la distribuzione di servizi e prodotti e i membri del Microsoft Security Response Center per selezionare, ricercare e rimediare agli incidenti segnalati. Per ulteriori informazioni sul processo SDL, consultare la pagina Microsoft Security Development Lifecycle (SDL) (in inglese). L'OSSC gestisce il processo FSR (una revisione SDL obbligatoria) per i Microsoft Online Services per garantire che siano stati soddisfatti i requisiti di sicurezza opportuni prima che le nuove applicazioni vengano implementate 19

20 nell'infrastruttura cloud di Microsoft. Il processo FSR consiste nella revisione della conformità di un team al processo SDL nel corso dello sviluppo. Durante il processo FSR, l'ossc gestisce le seguenti attività: Coordinamento del team di prodotto: il team di sviluppo dei prodotti deve completare questionari e altri documenti. Tali informazioni vengono utilizzate dall'ossc per garantire che il processo SDL sia stato applicato correttamente durante lo sviluppo. Revisione dei modelli di minaccia: Microsoft ritiene che i modelli di minaccia siano essenziali per lo sviluppo di un software sicuro. L'OSSC analizza i modelli di minaccia prodotti dai rispettivi team per verificare che siano completi e aggiornati. Come parte di questa revisione, viene attuata anche la convalida dell'implementazione dei controlli di prevenzione necessari per affrontare tutti i rischi identificati. Revisione dei bug di sicurezza: tutti i bug identificati durante la progettazione, lo sviluppo e i test vengono rivisti per garantire che i bug che avranno un impatto sulla protezione o la riservatezza dei dati dei clienti vengano risolti. Convalida dell'utilizzo degli strumenti: come parte del processo di sviluppo, i team di test e sviluppo Microsoft utilizzano strumenti di sicurezza software e procedure e modelli di codice documentati. In questo modo, attraverso l'eliminazione delle vulnerabilità comuni, è possibile migliorare notevolmente la sicurezza software. L'OSSC garantisce che i team di prodotto abbiano correttamente e adeguatamente fatto uso degli strumenti, le procedure, i modelli e i codici documentati messi a loro disposizione. Oltre a gestire il processo FSR, l'ossc gestisce anche un processo denominato OSR (Operational Security Review, revisione di sicurezza operativa). L'OSR consiste nella revisione delle comunicazioni di rete associate, delle piattaforme, della configurazione del sistema e delle funzionalità di monitoraggio a fronte dei riferimenti e degli standard di sicurezza stabiliti. Il processo OSR garantisce che nell'ambito dei piani operativi vengano integrati i controlli di sicurezza adeguati, prima che venga concessa l'autorizzazione all'implementazione all'interno dell'infrastruttura cloud. Controlli e report della sicurezza host La complessità e le crescenti dimensioni ambientali devono essere correttamente gestite al fine di offrire servizi di patch, affidabili, efficienti e sicuri. La scansione giornaliera delle risorse dell'infrastruttura fornisce il panorama corrente delle vulnerabilità del sistema host e consente all'ossc di lavorare in collaborazione con gruppi di distribuzione di prodotti e servizi per la gestione dei rischi associati senza causare interruzioni eccessive delle operazioni degli Online Services di Microsoft. I test di penetrazione effettuati dalle parti interne ed esterne offrono un quadro importante dell'efficacia dei controlli di sicurezza per l'infrastruttura cloud di Microsoft. L'esito di tali revisioni e valutazioni in itinere dei controlli risultanti viene utilizzato nella successiva operazione di scansione, monitoraggio e impegno di risanamento dei rischi. L'implementazione automatizzata delle immagini dei sistemi operativi standard irrobustiti, unitamente all'utilizzo attivo dei controlli delle policy host, come la funzionalità Group Policy, consente a Microsoft di controllare l'aggiunta dei server alla propria infrastruttura cloud. Una volta implementati, il programma di gestione delle patch e i processi operativi di revisione di Microsoft forniscono una crescente riduzione dei rischi di sicurezza nei sistemi host. 20

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

RELAZIONE E COMUNICAZIONE. Sviluppare la gestione delle relazioni con i clienti grazie a:

RELAZIONE E COMUNICAZIONE. Sviluppare la gestione delle relazioni con i clienti grazie a: RELAZIONE E COMUNICAZIONE Sviluppare la gestione delle relazioni con i clienti grazie a: Microsoft Office System 2007 Windows Vista Microsoft Exchange Server 2007 è ancora più potente ed efficace, grazie

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

La prossima ondata di innovazione aziendale introdotta da Open Network Environment

La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica della soluzione La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica La crescente importanza dei ruoli assunti da tecnologie come cloud, mobilità, social

Dettagli

Guida pratica per pianificare il disaster recovery in modo economico ed efficace

Guida pratica per pianificare il disaster recovery in modo economico ed efficace White paper www.novell.com Guida pratica per pianificare il disaster recovery in modo economico ed efficace Indice Misurazione del costo totale di gestione...3 Misurazione delle prestazioni...4 Valutazione

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance CUSTOMER SUCCESS STORY Febbraio 2014 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance PROFILO DEL CLIENTE Settore: servizi IT Società: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

SERVER E VIRTUALIZZAZIONE. Windows Server 2012. Guida alle edizioni

SERVER E VIRTUALIZZAZIONE. Windows Server 2012. Guida alle edizioni SERVER E VIRTUALIZZAZIONE Windows Server 2012 Guida alle edizioni 1 1 Informazioni sul copyright 2012 Microsoft Corporation. Tutti i diritti sono riservati. Il presente documento viene fornito così come

Dettagli

Efficienza operativa nel settore pubblico. 10 suggerimenti per ridurre i costi

Efficienza operativa nel settore pubblico. 10 suggerimenti per ridurre i costi Efficienza operativa nel settore pubblico 10 suggerimenti per ridurre i costi 2 di 8 Presentazione La necessità impellente di ridurre i costi e la crescente pressione esercitata dalle normative di conformità,

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Servizio HP Installation e Startup per HP Insight Control

Servizio HP Installation e Startup per HP Insight Control Servizio HP Installation e Startup per HP Insight Control Servizi HP Care Pack Caratteristiche tecniche Il servizio HP Installation e Startup per HP Insight Control offre l'installazione e la configurazione

Dettagli

Professional Services per contact center Mitel

Professional Services per contact center Mitel Professional Services per contact center Mitel Una struttura rigorosa per un offerta flessibile Rilevamento Controllo dello stato Requisiti della soluzione Architettura Roadmap strategica Ottimizzazione

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations CUSTOMER SUCCESS STORY LUGLIO 2015 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations PROFILO DEL CLIENTE Settore: servizi IT Azienda: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT

ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di

Dettagli

Consulenza, servizi su misura e tecnologia a supporto del business.

Consulenza, servizi su misura e tecnologia a supporto del business. Consulenza, servizi su misura e tecnologia a supporto del business. ACCREDITED PARTNER 2014 Consulenza, servizi su misura e tecnologia a supporto del business. Gariboldi Alberto Group Srl è una realtà

Dettagli

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi?

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? SOLUTION BRIEF CA Business Service Insight for Service Level Management come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? agility made possible Automatizzando la gestione dei

Dettagli

Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Fattori di crescita aziendale e impatto sull'it FLESSIBILITÀ EFFICIENZA PRODUTTIVITÀ Operare velocemente, dimostrando agilità e flessibilità

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Gartner Group definisce il Cloud

Gartner Group definisce il Cloud Cloud Computing Gartner Group definisce il Cloud o Cloud Computing is a style of computing in which elastic and scalable information technology - enabled capabilities are delivered as a Service. Gartner

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

BUSINESSOBJECTS EDGE STANDARD

BUSINESSOBJECTS EDGE STANDARD PRODOTTI BUSINESSOBJECTS EDGE STANDARD La business intelligence consente di: Conoscere meglio le attività Scoprire nuove opportunità. Individuare e risolvere tempestivamente problematiche importanti. Avvalersi

Dettagli

Il nostro approccio differenziato al mercato dell'intelligent Workload Management

Il nostro approccio differenziato al mercato dell'intelligent Workload Management Il nostro approccio differenziato al mercato dell'intelligent Workload Management Il mercato 1 Il panorama IT è in costante evoluzione È necessario tenere sotto controllo i rischi e le sfide della gestione

Dettagli

IT Cloud Service. Semplice - accessibile - sicuro - economico

IT Cloud Service. Semplice - accessibile - sicuro - economico IT Cloud Service Semplice - accessibile - sicuro - economico IT Cloud Service - Cos è IT Cloud Service è una soluzione flessibile per la sincronizzazione dei file e la loro condivisione. Sia che si utilizzi

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Le piccole e medie imprese danno la giusta importanza al disaster recovery?

Le piccole e medie imprese danno la giusta importanza al disaster recovery? Studio Technology Adoption Profile personalizzato commissionato da Colt Settembre 2014 Le piccole e medie imprese danno la giusta importanza al disaster recovery? Introduzione Le piccole e medie imprese

Dettagli

Data-sheet: Protezione dei dati Symantec Backup Exec 2010 Backup e recupero affidabili progettati per le aziende in crescita

Data-sheet: Protezione dei dati Symantec Backup Exec 2010 Backup e recupero affidabili progettati per le aziende in crescita Backup e recupero affidabili progettati per le aziende in crescita Panoramica offre protezione di backup e recupero leader di mercato per ogni esigenza, dal server al desktop. Protegge facilmente una maggiore

Dettagli

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009 ZP09-0108, 5 maggio 2009 I prodotti aggiuntivi IBM Tivoli Storage Manager 6.1 offrono una protezione dei dati e una gestione dello spazio migliorate per ambienti Microsoft Windows Indice 1 In sintesi 2

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6 Pag. 1 di 6 L Informedica è una giovane società fondata nel 2004 che opera nel settore dell'information Technology per il settore medicale. Negli ultimi anni attraverso il continuo monitoraggio delle tecnologie

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Protegge il lavoro e i dati

Protegge il lavoro e i dati Funziona come vuoi tu Consente di fare di più Protegge il lavoro e i dati Concetti base Più veloce e affidabile Compatibilità Modalità Windows XP* Rete Homegroup Inserimento in dominio e Criteri di gruppo

Dettagli

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology Virtualization Strutturare per semplificare la gestione Communication Technology Ottimizzare e consolidare Le organizzazioni tipicamente si sviluppano in maniera non strutturata e ciò può comportare la

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio. Scheda informativa

Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio. Scheda informativa Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio Scheda informativa Le informazioni contenute nel presente documento rappresentano le conoscenze di Microsoft Corporation sugli argomenti

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Modulo 1: Configurazione e risoluzione dei problemi di sistema di nome di dominio

Modulo 1: Configurazione e risoluzione dei problemi di sistema di nome di dominio Programma MCSA 411 Struttura del corso Modulo 1: Configurazione e risoluzione dei problemi di sistema di nome di dominio Questo modulo viene descritto come configurare e risolvere i problemi di DNS, compresa

Dettagli

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it Netwrix Auditor Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT netwrix.it 01 Descrizione del prodotto Avevamo bisogno di conformarci alle norme internazionali

Dettagli

Sfrutta appieno le potenzialità del software SAP in modo semplice e rapido

Sfrutta appieno le potenzialità del software SAP in modo semplice e rapido Starter Package è una versione realizzata su misura per le Piccole Imprese, che garantisce una implementazione più rapida ad un prezzo ridotto. E ideale per le aziende che cercano ben più di un semplice

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

Mainframe Host ERP Creazione immagini/archivio Gestione documenti Altre applicazioni di back-office. E-mail. Desktop Call Center CRM.

Mainframe Host ERP Creazione immagini/archivio Gestione documenti Altre applicazioni di back-office. E-mail. Desktop Call Center CRM. 1 Prodotto Open Text Fax Sostituisce gli apparecchi fax e i processi cartacei inefficaci con la consegna efficace e protetta di documenti elettronici e fax utilizzando il computer Open Text è il fornitore

Dettagli

WYS. WATCH YOUR SYSTEMS in any condition

WYS. WATCH YOUR SYSTEMS in any condition WYS WATCH YOUR SYSTEMS in any condition WYS WATCH YOUR SYSTEMS La soluzione WYS: prodotto esclusivo e team di esperienza. V-ision, il team di Interlinea che cura la parte Information Technology, è dotato

Dettagli

Al tuo fianco. nella sfida di ogni giorno. risk management www.cheopeweb.com

Al tuo fianco. nella sfida di ogni giorno. risk management www.cheopeweb.com Al tuo fianco nella sfida di ogni giorno risk management www.cheopeweb.com risk management Servizi e informazioni per il mondo del credito. Dal 1988 assistiamo le imprese nella gestione dei processi di

Dettagli

Visual Studio 2008: rapido, flessibile, efficiente

Visual Studio 2008: rapido, flessibile, efficiente OGGETTO: Visual Studio 2008 Gentile Cliente, Microsoft è lieta di annunciare la disponibilita di Visual Studio 2008. Microsoft Visual Studio è una famiglia di prodotti progettati per consentire agli sviluppatori

Dettagli

Nordea risparmia 3,5 milioni di euro grazie a una migliore gestione del proprio portafoglio applicativo

Nordea risparmia 3,5 milioni di euro grazie a una migliore gestione del proprio portafoglio applicativo CUSTOMER SUCCESS STORY Nordea risparmia 3,5 milioni di euro grazie a una migliore gestione del proprio portafoglio applicativo CUSTOMER PROFILE Settore: servizi finanziari Azienda: Nordea Bank Dipendenti:

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

Specialista della rete - Un team di specialisti della rete

Specialista della rete - Un team di specialisti della rete Allied Telesis - creare qualità sociale Allied Telesis è da sempre impegnata nella realizzazione di un azienda prospera, dove le persone possano avere un accesso facile e sicuro alle informazioni, ovunque

Dettagli

Privacy e cookie policy. Trattamento dei Dati Personali degli Utenti

Privacy e cookie policy. Trattamento dei Dati Personali degli Utenti Privacy e cookie policy Trattamento dei Dati Personali degli Utenti I Dati Personali (che includono i dati identificativi, di recapito, di navigazione e di eventuale scelte effettuate tramite il sito)

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 6

MANUALE DELLA QUALITÀ Pag. 1 di 6 MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro In un mondo in cui sempre più dipendenti usano smartphone e tablet per accedere ai dati aziendali, è fondamentale

Dettagli

Sicurezza per il mondo IT

Sicurezza per il mondo IT Sicurezza per il mondo IT Consulenza cloud computing security Via Oppido Mamertina 61f 00178 Roma Tel. 06 71280301 Fax 06 71287491 www.prsoftware.it Vendita Servizi Formazione Supporto Profilo aziendale

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

catalogo corsi di formazione 2014/2015

catalogo corsi di formazione 2014/2015 L offerta formativa inserita in questo catalogo è stata suddivisa in quattro sezioni tematiche che raggruppano i corsi di formazione sulla base degli argomenti trattati. Organizzazione, progettazione e

Dettagli

IL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI

IL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI IL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI LA CONTINUITÀ OPERATIVA È UN DOVERE La Pubblica Amministrazione è tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

REALIZZARE GLI OBIETTIVI

REALIZZARE GLI OBIETTIVI REALIZZARE GLI OBIETTIVI BENEFICI Aumentare la produttività e ridurre i i tempi ed i costi di apprendimento grazie ad un interfaccia semplice ed intuitiva che permette agli utenti di accedere facilmente

Dettagli

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration COSA FACCIAMO SEMPLIFICHIAMO I PROCESSI DEL TUO BUSINESS CON SOLUZIONI SU MISURA EXTRA supporta lo sviluppo

Dettagli

I Sistemi Gestione Energia e il ruolo dell energy manager

I Sistemi Gestione Energia e il ruolo dell energy manager I Sistemi Gestione Energia e il ruolo dell energy manager Valentina Bini, FIRE 27 marzo, Napoli 1 Cos è la FIRE La Federazione Italiana per l uso Razionale dell Energia è un associazione tecnico-scientifica

Dettagli

GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE

GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE Le seguenti disposizioni compongono la Politica di Tutela dei Dati relativi alle Risorse Umane del Gruppo Dassault

Dettagli

Domande frequenti su Phoenix FailSafe

Domande frequenti su Phoenix FailSafe Domande frequenti su Phoenix FailSafe Phoenix Technologies Ltd, leader riconosciuto per la produzione di piattaforme software, strumenti e applicazioni per sistemi strategici di livello mondiale, introduce

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

SISTEMA DI GESTIONE PER LA QUALITÀ

SISTEMA DI GESTIONE PER LA QUALITÀ Ediz. MQ 00 Pag. 1 di 8 REVISIONI N REV. DATA APPROV DESCRIZIONE RIFERIMENTO PARAGRAFO RIFERIMENTO PAGINA 00 10-01-06 1A EMISSIONE TUTTI TUTTE 01 25-09-09 ADEGUAMENTO ALLA NORMA UN EN ISO 9001:2008 TUTTI

Dettagli

catalogo corsi di formazione 2015/2016

catalogo corsi di formazione 2015/2016 L offerta formativa inserita in questo catalogo è stata suddivisa in quattro sezioni tematiche che raggruppano i corsi di formazione sulla base degli argomenti trattati. Organizzazione, progettazione e

Dettagli

I VANTAGGI. Flessibilità

I VANTAGGI. Flessibilità E-LEARNING E-LEARNING La proposta E-Learning della suite Agorà di Dedagroup A CHI SI RIVOLGE L OFFERTA fornisce al cliente un sistema complementare di formazione a distanza sui prodotti della suite Agorà

Dettagli

Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB

Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB Servizi di connessione Prodotti a supporto del business Per sfruttare al meglio una rete di ricarica per veicoli

Dettagli

Il Sistema dei controlli e la certificazione di qualità dei servizi

Il Sistema dei controlli e la certificazione di qualità dei servizi Il Sistema dei controlli e la certificazione di qualità dei servizi Convegno nazionale: la funzione statistica dei comuni tra riforma e qualità dei servizi Gianni Dugheri Messina, 26-27 settembre 2013

Dettagli

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI. 2.2.1 Inclusività

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI. 2.2.1 Inclusività Pag. 24 / 69 2 2.1 SCOPO Formalizzare e rendere noti a tutte le parti interessate, i valori ed i principi che ispirano il modello EcoFesta Puglia a partire dalla sua ideazione. 2.2 PRINCIPI Il sistema

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF

OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF > keepup EP UP>KEEP UP>KEEP UP>KEEP UP>KEEP UP>KEEP UP Tenere il passo con un mondo globalizzato, attivo 24 ore al giorno e 7 giorni alla settimana per la

Dettagli

Cloud Service Area. www.elogic.it. Ci hanno scelto: elogic s.r.l. - Via Paolo Nanni Costa, 30 40133 Bologna - Tel. 051 3145611 info@elogic.

Cloud Service Area. www.elogic.it. Ci hanno scelto: elogic s.r.l. - Via Paolo Nanni Costa, 30 40133 Bologna - Tel. 051 3145611 info@elogic. Cloud Service Area Private Cloud Managed Private Cloud Cloud File Sharing Back Up Services Disaster Recovery Outsourcing & Consultancy Web Agency Program Ci hanno scelto: elogic s.r.l. - Via Paolo Nanni

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud

Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud Panoramica Paese: Italia Settore: ICT Profilo del cliente Telecom Italia è uno dei principali

Dettagli

EMC Documentum Soluzioni per il settore assicurativo

EMC Documentum Soluzioni per il settore assicurativo Funzionalità EMC Documentum per il settore assicurativo La famiglia di prodotti EMC Documentum consente alle compagnie assicurative di gestire tutti i tipi di contenuto per l intera organizzazione. Un

Dettagli

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Dott. Emanuele Palazzetti Your Name Your Title Your Organization (Line #1) Your Organization (Line #2) Indice degli

Dettagli