Protezione dell'infrastruttura cloud di Microsoft

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Protezione dell'infrastruttura cloud di Microsoft"

Transcript

1 Protezione dell'infrastruttura cloud di Microsoft In questo white paper verranno illustrati responsabilità, compiti e modalità operative del team per la conformità e la sicurezza degli Online Services, parte della divisione Global Foundation Services, incaricata di gestire la protezione dell'infrastruttura cloud di Microsoft. I lettori comprenderanno quale significato abbia oggi il cloud computing per Microsoft e come l'azienda sia in grado di offrire un'infrastruttura di cloud computing completamente affidabile e sicura. Pubblicato: maggio

2 Sommario Riepilogo del progetto... 3 Problemi di sicurezza connessi al cloud computing... 4 In che modo Microsoft gestisce i problemi descritti... 5 Cosa si intende per ambiente cloud computing Microsoft... 6 Team per la conformità e la sicurezza degli Online Services... 6 Iniziativa Trustworthy Computing di Microsoft... 7 Privacy... 8 Sicurezza... 9 Programma di protezione delle informazioni... 9 Processi di gestione dei rischi Gestione della continuità operativa Gestione degli incidenti di sicurezza Conformità alle normative internazionali anticrimine Conformità operativa Approccio Defense-in-Depth Protezione fisica Protezione della rete Protezione dei dati Gestione dell'identità e degli accessi Sicurezza delle applicazioni Controlli e report della sicurezza host Conclusione Altre risorse

3 Riepilogo del progetto Una recente ricerca sulle nuove definizioni di "cloud", "cloud computing" e "ambiente cloud" ha tentato di identificare le aspettative dei clienti nei confronti dei provider di soluzioni cloud e stabilire come classificare le soluzioni che tali provider sostengono di poter offrire. L'idea che l'acquisto di servizi da un ambiente cloud possa consentire ai decisori aziendali (BDM, Business Decision Maker) che operano in ambito tecnologico di risparmiare denaro e alle aziende di concentrarsi sulle attività più importanti è senz'altro allettante nel clima economico attuale. Molti analisti, tuttavia, considerano dannose per le condizioni di mercato correnti le nuove opportunità di definizione dei prezzi e distribuzione di servizi online. Da tali studi di mercato e dal confronto che ne è derivato tra potenziali clienti e provider di servizi sono emerse alcune problematiche che si profilano come possibili ostacoli per una rapida adozione dei servizi cloud. In cima alla lista si collocano le questioni inerenti alla sicurezza, alla privacy, all'affidabilità e al controllo operativo. Microsoft è consapevole dei dubbi che i BDM nutrono in merito a tali problematiche e della loro esigenza di conoscere in che modo queste ultime verranno gestite nell'ambiente cloud computing di Microsoft e quali implicazioni comporteranno per loro sul piano del rischio e delle decisioni operative. In questo white paper verrà spiegato come l'applicazione coordinata e strategica di persone, processi, tecnologie ed esperienza produca l'apporto di continui miglioramenti alla sicurezza dell'ambiente cloud di Microsoft. Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance), che fa parte della divisione Global Foundation Services (GFS), opera sulla base degli stessi principi e processi in materia di sicurezza che Microsoft ha sviluppato nel corso di anni di esperienza nella gestione dei rischi di protezione all'interno di ambienti operativi e di sviluppo tradizionali. 3

4 Problemi di sicurezza connessi al cloud computing Il compito di affrontare le sfide e le difficoltà che si accompagnano alle opportunità offerte dal cloud computing spetta al settore dell'information Technology. Da oltre 15 anni Microsoft si misura con le seguenti problematiche connesse alla distribuzione di servizi online: I nuovi modelli di aziende cloud creano una crescente interdipendenza tra gli enti dei settori pubblico e privato e le persone che si avvalgono dei loro servizi: tali organizzazioni e i relativi clienti diventeranno sempre più dipendenti le une dagli altri in seguito all'utilizzo della cloud. Queste nuove dipendenze producono la comune aspettativa che i servizi di piattaforma e le applicazioni ospitate siano sicuri e disponibili. Microsoft offre un'infrastruttura pienamente affidabile, una solida base su cui gli enti dei settori pubblico e privato e i loro partner possono costruire un'esperienza altrettanto affidabile per i propri utenti. Inoltre collabora attivamente con questi gruppi e con la comunità di sviluppo per incoraggiare l'adozione di processi di gestione dei rischi incentrati sulla sicurezza. L'accelerazione dell'adozione di servizi cloud, unita alla costante evoluzione delle tecnologie e dei modelli aziendali, genera un ambiente di hosting dinamico, che già di per sé rappresenta una sfida sul piano della sicurezza: la capacità di tenersi al passo con il progresso e anticipare le esigenze future è essenziale per un programma di protezione efficace. L'ultima ondata di cambiamenti è già iniziata con il rapido passaggio alla virtualizzazione e la sempre più diffusa adozione della strategia Software Plus Services di Microsoft, che combina la potenza e le capacità di computer, dispositivi mobili, servizi online e software aziendale. L'avvento delle piattaforme cloud consente lo sviluppo di applicazioni personalizzate da parte di terzi e il relativo hosting nella cloud di Microsoft. Grazie al programma di protezione delle informazioni degli Online Services, illustrato in dettaglio più avanti in questo white paper, Microsoft mantiene solide partnership interne tra i team che si occupano dell'erogazione di servizi e prodotti e della sicurezza in modo da offrire un ambiente cloud totalmente affidabile mentre questi cambiamenti sono in corso. I tentativi di infiltrazione o sabotaggio delle offerte di Online Services diventano sempre più numerosi e sofisticati di pari passo con l'aumento del commercio e degli affari nel settore: mentre continuano le solite burle di chi cerca semplicemente attenzione servendosi di un'ampia gamma di tecniche tra cui domain squatting e attacchi man-in-the-middle, tentativi più sofisticati di utenti malintenzionati che mirano a ottenere identità o bloccare l'accesso a dati aziendali sensibili hanno iniziato a farsi strada, insieme a un mercato sotterraneo più organizzato di informazioni sottratte illegalmente. Microsoft lavora a stretto contatto con forze di polizia, gruppi di ricerca, colleghi e partner di settore per comprendere più a fondo il panorama mutevole delle minacce informatiche e mettere a punto contromisure adeguate. Inoltre, il programma Security Development Lifecycle di Microsoft, descritto più avanti in questo documento, gestisce la sicurezza e la privacy nel corso dell'intero processo di sviluppo, sin dalle prime fasi. L'erogazione a livello mondiale di servizi nuovi ed esistenti richiede che vengano soddisfatti complessi requisiti di conformità: è indubbio che la conformità agli standard normativi, legislativi e di settore (denominata semplicemente "conformità normativa" nel seguito di questo documento) sia un'area altamente complessa in quanto ogni paese può emettere, ed emette, leggi proprie per la regolamentazione della distribuzione e dell'utilizzo di ambienti online. Microsoft deve essere in grado di rispettare una miriade di obblighi normativi poiché possiede data center in diversi paesi e offre Online Services a clienti di ogni parte del mondo. Inoltre, molti settori impongono requisiti particolari. Microsoft, pertanto, ha implementato un framework di conformità (descritto più avanti in questo white paper) grazie al quale riesce a gestire in modo efficace gli svariati obblighi di conformità senza che ciò comporti un aumento eccessivo del carico di lavoro aziendale. 4

5 In che modo Microsoft gestisce i problemi descritti A partire dal lancio di MSN nel 1994, Microsoft ha creato e reso operativi numerosi Online Services. La divisione GFS gestisce la piattaforma e l'infrastruttura cloud per i Microsoft Online Services, assicurandone la disponibilità 24 ore su 24, tutti i giorni, per centinaia di milioni di clienti in tutto il mondo. Oltre 200 degli Online Services e dei portali Web dell'azienda sono ospitati su questa infrastruttura cloud, tra cui alcuni tra i più diffusi servizi per il mercato consumer, come Windows Live Hotmail e Live Search, e per il mercato business, come Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite dei Microsoft Online Services. Che le informazioni personali di un cliente siano memorizzate sul suo computer o su un sistema online o che i dati cruciali di un'azienda siano archiviati internamente o su un server in hosting e inviati tramite Internet, Microsoft è consapevole del fatto che tutti questi ambienti devono garantire l'esperienza Trustworthy Computing. Come azienda, Microsoft ricopre una posizione unica in quanto possiede tutti gli strumenti necessari per offrire tanto l'orientamento quanto le soluzioni tecnologiche che occorrono per un'esperienza online più sicura. Per aiutare i clienti a evitare perdite finanziarie e altre conseguenze derivanti da attacchi online pericolosi e mirati, e come parte di un impegno serio e continuo a favore di un'elaborazione affidabile (Trustworthy Computing), Microsoft garantisce che le persone, i processi e le tecnologie impiegati dall'azienda sono in grado di offrire esperienze, prodotti e servizi con un maggiore livello di sicurezza e privacy. Microsoft fornisce una cloud affidabile concentrandosi su tre aree: Utilizzo di un programma di protezione delle informazioni basato sui rischi, che valuta e classifica le minacce operative e relative alla sicurezza cui l'azienda è soggetta Gestione e aggiornamento di una serie diversificata di controlli di sicurezza che riducono i rischi Implementazione di un framework di conformità che assicura che i controlli vengano opportunamente studiati e utilizzati in modo efficace Questo white paper spiega in che modo Microsoft tutela i dati dei clienti e le operazioni aziendali con l'ausilio di un programma completo per la protezione delle informazioni e di una metodologia matura per la gestione delle policy e della conformità, una frequente valutazione interna ed esterna di procedure e capacità e potenti controlli di sicurezza a tutti i livelli di servizio. Tali processi e meccanismi rappresentano il modo in cui Microsoft rispetta gli standard di settore e soddisfa la conformità normativa a tutte le leggi, le direttive, gli statuti e i regolamenti applicabili nell'erogazione online di servizi a una base clienti globale. Sebbene le informative sulla privacy siano menzionate in questo documento, l'intento non è quello di fornire un'analisi approfondita sull'argomento o una guida operativa alla privacy. Informazioni dettagliate su come Microsoft gestisce le esigenze di riservatezza sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 5

6 Cosa si intende per ambiente cloud computing Microsoft Quando si parla di ambiente cloud computing Microsoft, si fa riferimento sia all'infrastruttura fisica e logica che alle applicazioni e ai servizi di piattaforma ospitati. La divisione GFS fornisce l'infrastruttura cloud fisica e logica insieme a molti servizi di piattaforma. L'infrastruttura fisica comprende tanto le strutture dei data center vere e proprie quanto l'hardware e i componenti che supportano i servizi e le reti. L'infrastruttura logica è costituita dalle istanze dei sistemi operativi, dalle reti distribuite e dall'archiviazione di dati non strutturati, in esecuzione su oggetti fisici o virtuali. I servizi di piattaforma includono runtime di calcolo (come Internet Information Services,.NET Framework e Microsoft SQL Server ), archivi di identità e directory (come Active Directory e Windows Live ID), servizi di nomi (DNS) e altre funzionalità avanzate utilizzate dagli Online Services. I servizi di piattaforma cloud di Microsoft, come quelli di infrastruttura, possono essere virtualizzati o fisici. Le applicazioni online eseguite nella cloud di Microsoft comprendono prodotti semplici e complessi progettati per un'ampia gamma di clienti. Questi Online Services, e i relativi requisiti in materia di sicurezza e privacy, possono essere suddivisi a grandi linee nei seguenti gruppi: Servizi Consumer e Small Business: ad esempio Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE e Microsoft Office Live. Servizi Enterprise: ad esempio Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite, che comprende Exchange Online, SharePoint Online e Office Live Meeting. Servizi ospitati di terze parti: ad esempio, soluzioni e applicazioni basate sul Web sviluppate e gestite da terzi che utilizzano servizi di piattaforma forniti attraverso l'ambiente cloud computing Microsoft. Team per la conformità e la sicurezza degli Online Services Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance) fa parte della divisione GFS ed è responsabile del programma di protezione delle informazioni per l'infrastruttura cloud di Microsoft, ivi compresi le policy e i programmi utilizzati per gestire i rischi connessi alla sicurezza online. La missione del team è quella di garantire l'affidabilità degli Online Services in modo da produrre un vantaggio competitivo per Microsoft e i suoi clienti. Collocare tale funzione a livello di infrastruttura cloud consente a tutti i servizi cloud Microsoft di trarre vantaggio dalle economie di scala e dalla complessità ridotta attraverso l'utilizzo di soluzioni di sicurezza condivise. Questo approccio standard permette inoltre a ciascun team dei servizi Microsoft di concentrarsi sulle esigenze di protezione specifiche dei propri clienti. Il team OSSC guida gli sforzi diretti a fornire un'esperienza affidabile e sicura nella cloud di Microsoft attraverso il programma di protezione delle informazioni, utilizzando un modello operativo basato sui rischi e un approccio ai 6

7 controlli basato su una strategia di Defense-in-Depth. Ciò implica analisi della gestione dei rischi, sviluppo e manutenzione di un framework di controlli di sicurezza su base regolare e sforzi continui per garantire la conformità in attività che spaziano dallo sviluppo di data center alla risposta alle richieste delle forze dell'ordine di ogni parte del mondo. Il team applica procedure consigliate, tra cui analisi interne ed esterne di vario tipo, in ogni fase del ciclo di vita degli Online Services e in ogni elemento dell'infrastruttura. Una stretta collaborazione con altri team Microsoft garantisce poi un approccio completo alla protezione delle applicazioni nella cloud Microsoft. La gestione di un'infrastruttura cloud globale estesa a numerose aziende si accompagna all'esigenza di rispettare gli obblighi normativi e di superare gli esami di revisori esterni. I requisiti controllabili sono stabiliti da mandati industriali e di enti governativi, politiche interne e procedure consigliate del settore. Il programma OSSC assicura che le aspettative sul piano della conformità siano continuamente valutate e incorporate. Grazie al programma di protezione delle informazioni, Microsoft è in grado di ottenere certificazioni chiave, come le attestazioni International Organization for Standardization/International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) e Statement of Auditing Standard (SAS) 70 Tipo I e Tipo II, e di superare con migliori risultati le revisioni periodiche svolte da terze parti indipendenti. Iniziativa Trustworthy Computing di Microsoft Il fattore cruciale per lo sviluppo di un programma di protezione efficace è la creazione di una cultura che riconosca il valore prioritario della sicurezza. Microsoft è consapevole del fatto che una simile cultura deve essere introdotta e supportata dalla dirigenza aziendale. I dirigenti Microsoft si sono impegnati a lungo per effettuare gli investimenti e fornire gli incentivi appropriati al fine di promuovere un comportamento orientato alla sicurezza. Nel 2002 l'azienda ha avviato l'iniziativa Trustworthy Computing, a favore di un'elaborazione affidabile, con cui Bill Gates ha voluto che Microsoft cambiasse radicalmente la propria mission e la propria strategia in alcune aree cruciali. Oggi Trustworthy Computing è per Microsoft un valore fondamentale, che guida ogni aspetto della vita aziendale. Alla base di questa iniziativa si collocano quattro concetti chiave: privacy, protezione, affidabilità e procedure aziendali. Informazioni dettagliate sul programma sono disponibili sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). Microsoft comprende perfettamente che il successo nel settore in rapida evoluzione degli Online Services dipende da sicurezza e privacy dei dati dei clienti e da disponibilità e flessibilità dei servizi offerti. L'azienda pertanto progetta e testa diligentemente applicazioni e infrastruttura sulla base di standard riconosciuti a livello internazionale per dimostrare di poter offrire tali caratteristiche unitamente alla conformità alle leggi vigenti e alle politiche interne per la sicurezza e la privacy. Come risultato, i clienti di Microsoft beneficiano di test e monitoraggio più accurati, invio automatico delle patch, economie di scala volte alla riduzione dei costi e continui miglioramenti sul piano della protezione. 7

8 Privacy Microsoft si sforza in ogni modo di proteggere la privacy e la sicurezza dei clienti, rispettando tra l'altro tutte le normative applicabili in materia di riservatezza e attenendosi scrupolosamente alle rigorose procedure in materia esposte nelle informative sulla privacy dell'azienda. Per creare un ambiente affidabile per i clienti, Microsoft sviluppa software, servizi e processi tenendo costantemente presente l'importanza della tutela della riservatezza. I team Microsoft verificano continuamente la conformità con le leggi internazionali sulla privacy e le procedure adottate dall'azienda sul piano della riservatezza derivano, in parte, proprio dalle leggi vigenti in materia in tutto il mondo. Seguendo le indicazioni della legislazione sulla privacy, l'azienda ne applica gli standard a livello internazionale. Microsoft si impegna a tutelare la sicurezza delle informazioni personali. I team che si occupano della distribuzione degli Online Services si avvalgono di un'ampia gamma di tecnologie e procedure per la sicurezza al fine di aiutare gli utenti a proteggere le informazioni personali da accesso, utilizzo o divulgazione non autorizzati. I team addetti allo sviluppo di software Microsoft applicano i principi PD3+C, definiti nel programma Security Development Lifecycle (SDL), in tutte le procedure operative e di sviluppo dell'azienda: Privacy integrata nella progettazione (Privacy by Design): Microsoft utilizza questo principio in diversi modi durante lo sviluppo, il rilascio e la gestione delle applicazioni per assicurarsi che i dati raccolti dai clienti siano finalizzati a uno scopo specifico e che i clienti ricevano tutte le informazioni necessarie per poter prendere decisioni consapevoli. Quando i dati da raccogliere sono classificati come altamente sensibili, è possibile che vengano adottate misure di sicurezza supplementari, come la crittografia durante il transito o l'archiviazione delle informazioni oppure in entrambe le fasi. Privacy di default (Privacy by Default): le soluzioni Microsoft prevedono la richiesta di autorizzazione ai clienti prima di raccogliere o trasferire dati sensibili. Una volta che l'autorizzazione è stata concessa, tali dati vengono protetti con l'ausilio di strumenti mirati come gli elenchi di controllo di accesso (ACL, Access Control List) in combinazione con meccanismi per l'autenticazione delle identità. Privacy applicata al deployment (Privacy in Deployment): Microsoft divulga i meccanismi di tutela della privacy ai clienti aziendali nell'intento di consentirgli di definire policy per la protezione e la riservatezza appropriate per i rispettivi utenti. Comunicazioni (Communications): Microsoft si sforza di coinvolgere un pubblico il più vasto possibile attraverso la pubblicazione di informative sulla privacy, white paper e altri documenti inerenti alla riservatezza. Ulteriori informazioni sull'impegno di Microsoft in materia di privacy sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 8

9 Sicurezza Microsoft ha cercato di rendere l'infrastruttura cloud aziendale sempre più flessibile in modo che potesse usufruire dei vantaggi offerti da tecnologie emergenti come la virtualizzazione. I miglioramenti apportati hanno prodotto un distacco, e quindi l'indipendenza, delle risorse informatiche dall'infrastruttura fisica comune per molti tipi di oggetti dei clienti. Se si unisce a questo il fatto che il processo di sviluppo software per le applicazioni ospitate online è spesso più agile se i rilasci sono più frequenti, il risultato è che la gestione dei rischi connessi alla protezione delle informazioni ha dovuto adattarsi per poter garantire l'esperienza Trustworthy Computing (elaborazione affidabile). Le sezioni successive di questo white paper descriveranno in che modo il team OSSC di Microsoft applica i principi base della sicurezza e gli sforzi compiuti all'interno dell'azienda per gestire i rischi nell'infrastruttura cloud di Microsoft. Spiegheranno inoltre cosa significa un approccio Defense-in-Depth alla sicurezza degli Online Services e in che modo l'ambiente di cloud computing richiede l'adozione di nuovi approcci alle misure di protezione. Programma di protezione delle informazioni Il programma di protezione delle informazioni online di Microsoft definisce le modalità operative del team OSSC. Il British Standards Institute (BSI) Management Systems America ne ha certificato la conformità agli standard ISO/IEC 27001:2005. Informazioni dettagliate sui certificati ISO/IEC 27001:2005 sono disponibili nella pagina del sito del BSI relativa ai risultati delle ricerche sulla directory certificati/client (in inglese). Il programma di protezione delle informazioni raggruppa i requisiti di sicurezza in tre domini di alto livello: amministrativo, tecnico e fisico. I criteri applicati in questi domini rappresentano le basi per la gestione dei rischi. Partendo dai controlli e dalle misure di sicurezza identificati nei domini e nelle relative sottocategorie, il programma si attiene al modello "Plan, Do, Check, Act" (Pianificare, attuare, verificare, agire) delle norme ISO/IEC27001:

10 Il team OSSC definisce più in dettaglio le quattro fasi della struttura tradizionale Plan, Do, Check, Act di un programma ISO per la protezione dei dati nel modo riportato di seguito: Plan (Pianificare) 10 a. Processi decisionali basati sui rischi: nel gestire l'assegnazione delle priorità delle attività chiave e l'allocazione delle risorse, il team OSSC elabora un piano d'azione per la sicurezza basato sulla valutazione dei rischi. Gli obiettivi aziendali e individuali incorporati in tale piano tengono conto di eventuali aggiornamenti di policy, standard operativi e controlli di sicurezza nella divisione GFS e in molti team di prodotto. b. Requisiti di documentazione: il team OSSC definisce con chiarezza le aspettative per ottenere attestazioni e certificazioni di terze parti attraverso un framework di controlli documentato. Tale framework individua i requisiti da soddisfare in modo chiaro, coerente e conciso. Do (Attuare) a. Implementazione di controlli appropriati: i team operativi e quelli addetti alla distribuzione di servizi e prodotti mettono in atto una serie di controlli basati sul piano di azione per la sicurezza. b. Applicazione dei controlli: il team OSSC implementa e applica direttamente molti controlli, ad esempio quelli utilizzati per garantire la conformità alle normative anticrimine internazionali, gestire le minacce all'infrastruttura e proteggere fisicamente i data center. Altre misure di sicurezza vengono attuate e gestite dai team operativi e da quelli addetti all'erogazione di servizi e prodotti. Check (Verificare) a. Valutazione e miglioramento: il team OSSC valuta costantemente le attività di controllo messe in atto. È possibile che, in seguito a tali verifiche, vengano aggiunti controlli supplementari o modificati quelli esistenti per assicurare che gli obiettivi definiti nelle policy di protezione delle informazioni e nel framework di controlli siano raggiunti. Act (Agire) a. Verifica dell'efficacia del programma: team interni e revisori esterni sottopongono ad analisi periodiche il programma di protezione delle informazioni per verificarne continuamente l'efficacia. b. Conformità ai requisiti: il team OSSC valuta il programma di protezione delle informazioni e il framework di controlli in rapporto agli standard e ai requisiti legislativi, normativi, aziendali e di settore applicabili al fine di identificare le aree passibili di miglioramento e verificare l'aderenza agli obiettivi definiti. I piani aziendali e tecnologici di Microsoft vengono quindi aggiornati in modo da gestire al meglio l'impatto dei cambiamenti operativi. Nessun programma di protezione può considerarsi completo se non tiene conto dell'esigenza di fornire al personale un'adeguata formazione. Microsoft si occupa di produrre ed erogare la formazione sulla sicurezza necessaria per garantire che tutti i gruppi coinvolti nella creazione, deployment, gestione e supporto degli Online Services ospitati nell'infrastruttura cloud comprendano appieno le proprie responsabilità in rapporto alle politiche aziendali di protezione delle informazioni per gli Online Services di Microsoft. Questo programma di formazione insegna i principi di riferimento chiave che vanno applicati quando si esamina ciascun livello dell'approccio Defense-in-Depth adottato da Microsoft per la protezione degli Online Services. I clienti aziendali e gli sviluppatori di software di terze parti vengono inoltre incoraggiati ad applicare gli stessi principi quando sviluppano applicazioni o distribuiscono servizi utilizzando l'infrastruttura cloud di Microsoft.

11 Processi di gestione dei rischi L'analisi e la risoluzione delle vulnerabilità di protezione all'interno di sistemi online interdipendenti sono più complesse rispetto ai sistemi IT tradizionali e possono richiedere una maggiore quantità di tempo. La gestione dei rischi e le revisioni correlate devono essere adattate all'ambiente dinamico di questi sistemi. Microsoft si avvale di procedure consolidate basate su un'esperienza di lungo corso nella distribuzione di servizi sul Web per gestire in modo adeguato questi nuovi rischi. Il personale OSSC collabora con team operativi e titolari d'azienda in molti gruppi addetti alla distribuzione di servizi e prodotti all'interno di Microsoft per debellare questi rischi. Il programma di protezione delle informazioni stabilisce i requisiti di documentazione e le procedure standard per eseguire processi decisionali continui basati sui rischi. Attraverso il programma di gestione dei rischi di protezione (SRMP, Security Risk Management Program), le valutazioni dei rischi si svolgono a vari livelli e influiscono sull'assegnazione delle priorità in aree come la pianificazione dei rilasci dei prodotti, la gestione delle policy e l'allocazione delle risorse. Ogni anno viene eseguita una valutazione completa e accurata delle minacce all'infrastruttura cloud di Microsoft, che conduce a una serie di esami e verifiche supplementari nel corso dei dodici mesi successivi. Questo lavoro costante si concentra sulle minacce potenzialmente più dannose. Procedendo in tal modo, Microsoft definisce le priorità e guida lo sviluppo di controlli di sicurezza e delle attività correlate. La metodologia SRMP valuta l'efficacia dei controlli nella gestione delle minacce con l'ausilio dei seguenti strumenti: Identificazione delle minacce e delle vulnerabilità cui l'ambiente è soggetto Calcolo dei rischi Reporting dei rischi all'interno dell'intero ambiente cloud Microsoft Risoluzione dei rischi sulla base della valutazione dell'impatto e del caso aziendale associato Test dell'efficacia degli interventi di correzione e dei rischi residui Gestione dei rischi su base regolare Gestione della continuità operativa Molte organizzazioni che stanno prendendo in considerazione l'uso di applicazioni cloud vogliono maggiori informazioni sulla disponibilità e la flessibilità dei servizi. L'hosting di applicazioni e l'archiviazione di dati in un ambiente cloud offrono nuove opzioni sul piano della disponibilità e della scalabilità dei servizi, come anche del backup e del ripristino dei dati. Il programma di continuità operativa sviluppato da Microsoft si avvale di procedure consigliate di settore per creare e adattare le funzionalità di quest'area in modo da consentire la gestione di nuove applicazioni man mano che diventano disponibili nell'ambiente cloud di Microsoft. Microsoft utilizza un processo di gestione e governance continue per garantire che venga sempre fatto tutto il necessario per identificare l'impatto di potenziali perdite, elaborare piani e strategie di ripristino di facile attuazione e assicurare la continuità di prodotti e servizi. Individuare tutte le risorse (persone, attrezzature e sistemi) di cui occorre disporre per eseguire un'attività o un processo è essenziale per approntare un piano efficace per i casi di emergenza. L'impossibilità di esaminare, gestire e testare il piano è uno dei principali rischi associati al verificarsi di una perdita dovuta a una situazione di emergenza, pertanto il programma non si limita alla semplice documentazione di procedure di ripristino. Microsoft utilizza il ciclo di vita dello sviluppo del piano di gestione della continuità operativa per creare e gestire piani di ripristino di emergenza attraverso l'implementazione di sei fasi, come mostrato nell'immagine seguente: 11

12 Microsoft affronta il ripristino di dati e servizi dopo aver completato un'analisi delle dipendenze identificando due obiettivi correlati al ripristino delle risorse: Obiettivo in termini di tempo di ripristino (RTO, Recovery Time Objective): definisce il lasso di tempo massimo in cui è possibile tollerare la perdita di un processo, una funzione o una risorsa critici prima che ne derivi un impatto gravemente negativo sull'operatività aziendale. Obiettivo in termini di punto di ripristino (RPO, Recovery Point Objective): definisce la perdita massima di dati sostenibile in caso di guasto ed è in genere concepito in termini di intervallo di tempo massimo che può trascorrere tra l'ultimo backup disponibile e il momento in cui si è verificato il guasto. Dal momento che il processo di identificazione e classificazione delle risorse è continuo, in quanto parte del processo di gestione dei rischi relativi all'infrastruttura cloud computing Microsoft, il piano di ripristino di emergenza implica che questi obiettivi possano essere applicati più tempestivamente per valutare se implementare o meno strategie di ripristino in caso di situazioni di emergenza. Microsoft convalida ulteriormente queste strategie attraverso una serie di esercitazioni che comprendono prove, test, formazione e manutenzione. 12

13 Gestione degli incidenti di sicurezza I controlli di sicurezza e i processi di gestione dei rischi che Microsoft ha messo in atto per proteggere la propria infrastruttura cloud riducono senz'altro il rischio di incidenti connessi alla sicurezza, ma sarebbe ingenuo pensare che non si verificheranno più attacchi dannosi in futuro. Il team di gestione degli incidenti di sicurezza (SIM, Security Incident Management), che fa parte dell'ossc, si occupa della risoluzione di questo tipo di problemi ed è attivo 24 ore su 24, tutti i giorni. La sua missione consiste nel valutare in modo rapido e accurato gli incidenti di sicurezza informatica in cui sono coinvolti i Microsoft Online Services e nel ridurne il rischio, comunicando chiaramente tutte le informazioni pertinenti ai dirigenti senior e ad altre parti interessate all'interno di Microsoft. Il processo di risposta agli incidenti del team SIM si articola in sei fasi: Preparazione: il personale SIM si sottopone a una formazione continua in modo da poter reagire prontamente non appena si verifica un incidente di sicurezza. Identificazione: ricercare la causa di un incidente, intenzionale o meno, spesso significa monitorare il problema e ripercorrerne le tracce attraverso più livelli all'interno dell'ambiente cloud computing Microsoft. Il team SIM collabora con membri di altri team interni Microsoft per diagnosticare l'origine di un dato incidente di sicurezza. Contenimento: una volta individuata la causa del problema, il team SIM cerca di limitarne i danni avvalendosi del supporto di tutti gli altri team necessari. Le modalità di contenimento variano in base all'impatto dell'incidente sull'azienda. Prevenzione e attenuazione dei rischi: coordinandosi con i team di distribuzione di servizi e prodotti, il gruppo SIM cerca di ridurre il rischio che l'incidente si ripresenti. Ripristino: continuando a collaborare con altri gruppi in base alle necessità, il team SIM fornisce il proprio supporto nel processo di ripristino dei servizi. Il punto della situazione: dopo la risoluzione dell'incidente di sicurezza, il gruppo SIM convoca una riunione con tutto il personale coinvolto per valutare l'accaduto e fare proprie le lezioni apprese durante il processo di risposta all'evento. Il team SIM è in grado di rilevare tempestivamente i problemi e prevenire l'interruzione dei servizi grazie alla stretta collaborazione con altri gruppi. Ad esempio, è strettamente allineato con i team operativi, compreso il Microsoft Security Response Center. Ulteriori informazioni su quest'ultimo sono disponibili alla pagina Microsoft Security Response Center (in inglese). Queste relazioni gli consentono di acquisire rapidamente una visione operativa olistica di un incidente al suo verificarsi. Il team SIM si consulta inoltre con i proprietari delle risorse per stabilire la gravità dell'incidente sulla base di un'ampia gamma di fattori, tra cui potenziali o ulteriori interruzioni dei servizi e rischi di danni alla reputazione. Conformità alle normative internazionali anticrimine Il programma OSSC di conformità alle normative internazionali anticrimine (GCC, Global Criminal Compliance) partecipa alla definizione di policy e all'erogazione della formazione nell'ambito del processo di risposta di Microsoft. Gestisce inoltre le richieste di informazioni legittime da parte dei tutori della legge. Agenti locali dislocati in diversi paesi provvedono a convalidare e, se necessario, tradurre la richiesta. Una delle ragioni per cui il GCC è considerato un 13

14 "programma di risposta ottimale" da molte autorità internazionali consiste nel fatto che mette a disposizione un portale per le forze dell'ordine che offre supporto in più lingue a membri autenticati delle forze di polizia su come inviare una richiesta legale a Microsoft. Tra gli obiettivi del programma vi è quello di offrire formazione ai professionisti delle forze dell'ordine. Il GCC forma inoltre il personale Microsoft a tutti i livelli sulle responsabilità connesse alla privacy e alla conservazione dei dati. Il lavoro di formazione interna e di definizione di policy continua a evolversi man mano che Microsoft aggiunge nuovi data center in diverse parti del mondo, estendendo quindi la portata dei requisiti normativi internazionali da soddisfare. Il GCC gioca un ruolo cruciale nella comprensione e implementazione dei processi che devono tener conto delle varie leggi internazionali e di come si applicano ai clienti privati o aziendali che si avvalgono dei Microsoft Online Services. Conformità operativa L'ambiente dei Microsoft Online Services deve soddisfare numerosi requisiti di sicurezza specifici per settore e stabiliti dagli enti governativi, oltre naturalmente a quelli definiti da Microsoft sulla base delle esigenze commerciali dell'azienda. Con la progressiva evoluzione delle attività commerciali online di Microsoft e l'introduzione di nuovi Online Services nella cloud dell'azienda, si prevede l'aggiunta di altri requisiti che potrebbero includere standard di protezione dei dati specifici per paese e regione. Il team per la conformità operativa collabora con lo staff operativo, con i team addetti alla distribuzione di prodotti e servizi e con revisori interni ed esterni per garantire la conformità di Microsoft agli obblighi normativi e agli standard pertinenti. Di seguito è riportato l'elenco di alcuni dei controlli e delle valutazioni cui l'ambiente cloud di Microsoft viene sottoposto su base regolare: Payment Card Industry Data Security Standard: richiede una revisione e una convalida annuali dei controlli di sicurezza correlati alle transazioni basate su carta di credito. Media Ratings Council: certifica la correttezza dell'elaborazione e della generazione dei dati dei sistemi di pubblicità. Sarbanes-Oxley: sistemi selezionati vengono sottoposti a controlli annualmente per verificarne la conformità con processi chiave correlati all'integrità del reporting finanziario. Health Insurance Portability and Accountability Act: definisce una serie di linee guida in materia di ripristino di emergenza, sicurezza e privacy per l'archiviazione elettronica delle cartelle cliniche. Valutazioni sulla privacy e controlli interni: si tratta di una serie di verifiche mirate che vengono eseguite nel corso di un intero anno. L'adempimento di tutti questi obblighi di controllo ha iniziato presto a rappresentare per Microsoft una sfida considerevole. In seguito a un attento esame dei requisiti, tuttavia, l'azienda ha rilevato che molte delle verifiche richieste esigevano la valutazione degli stessi processi e controlli operativi. Riconoscendo la significativa opportunità di eliminare sforzi ridondanti, ottimizzare i processi e gestire proattivamente le aspettative di conformità in maniera più esaustiva, il team OSSC ha sviluppato quindi un framework di conformità completo ed efficace. Tale framework e i processi associati si basano su una metodologia in cinque fasi illustrata nell'immagine seguente: 14

15 Identificazione e integrazione dei requisiti: in questa fase vengono definiti i controlli applicabili e l'ambito di applicazione. Nel corso della stessa, inoltre, vengono acquisiti e analizzati i documenti di processo e le procedure operative standard (SOP, Standard Operating Procedure). Valutazione e correzione delle lacune: in questa fase vengono identificate e corrette le lacune presenti nei controlli delle tecnologie o dei processi. Test dell'efficacia e valutazione dei rischi: questa fase prevede la misurazione dell'efficacia dei controlli e il reporting dei risultati ottenuti. Acquisizione di certificazioni e attestati: in questa fase vengono coinvolti revisori e autorità di certificazione di terze parti. Miglioramento e ottimizzazione: se si rilevano non conformità, le cause fondamentali vengono documentate e sottoposte a verifiche più accurate. I problemi individuati vengono inoltre monitorati fino alla completa risoluzione. Questa fase prevede anche ulteriori sforzi per ottimizzare i controlli tra i domini di sicurezza in modo da aumentare il livello di efficienza per superare future verifiche e revisioni per l'acquisizione di certificazioni. Uno dei successi derivati dall'implementazione di questo programma consiste nel fatto che l'infrastruttura cloud di Microsoft ha ottenuto sia gli attestati SAS 70 Tipo I e Tipo II che la certificazione ISO/IEC 27001:2005. Tale risultato è una chiara dimostrazione dell'impegno di Microsoft a fornire un'infrastruttura di cloud computing sicura e affidabile in quanto: 15 Il certificato ISO/IEC 27001:2005 riconosce che Microsoft ha implementato i controlli per la protezione delle informazioni approvati a livello internazionale che sono definiti in questo standard e Gli attestati SAS 70 provano la volontà di Microsoft di acconsentire all'esame dei programmi di sicurezza interni da parte di revisori esterni.

16 Approccio Defense-in-Depth L'adozione di un approccio Defense-in-Depth è fondamentale per Microsoft ai fini di poter offrire un'infrastruttura cloud affidabile. L'applicazione di controlli a più livelli richiede l'impiego di meccanismi di protezione, lo sviluppo di strategie di attenuazione dei rischi e la capacità di rispondere a eventuali attacchi non appena si verificano. L'utilizzo di più misure di sicurezza più o meno rigorose, a seconda della sensibilità della risorsa protetta, produce una maggiore capacità di prevenire possibili violazioni o ridurre l'impatto di un incidente di sicurezza. L'avvento del cloud computing non mette in discussione la validità del principio che la rigorosità dei controlli dipende dalla sensibilità della risorsa, né la sua essenzialità per un'efficace gestione dei rischi connessi alla sicurezza. Il fatto che in un ambiente di cloud computing la maggior parte delle risorse possa essere virtualizzata comporta delle variazioni nell'analisi del rischio e nelle modalità di applicazione dei controlli di sicurezza ai livelli di Defense-in-Depth tradizionali (fisico, rete, dati, accesso alle identità, autorizzazione e autenticazione degli accessi e host). Gli Online Services, compresi i servizi di infrastruttura e di piattaforma forniti dalla divisione GFS, sfruttano le tecnologie di virtualizzazione. Pertanto, i clienti che utilizzano servizi ospitati nella cloud di Microsoft possono disporre di risorse che non è più possibile associare facilmente a una presenza fisica. I dati possono essere archiviati virtualmente e distribuiti a più destinazioni. Ciò significa che l'identificazione dei controlli di sicurezza e la definizione delle modalità di utilizzo di tali controlli per implementare un approccio a più livelli per la protezione delle risorse devono evolversi. Naturalmente, è comunque necessario mettere in atto misure per la sicurezza fisica e di rete. Tuttavia, il punto focale della gestione dei rischi si sposta maggiormente verso il livello degli oggetti, verso gli elementi in uso nell'ambiente cloud, ad esempio i contenitori per l'archiviazione dei dati statici o dinamici, gli oggetti macchina virtuale e gli ambienti di runtime in cui vengono eseguiti i calcoli. I vari controlli in atto utilizzano numerosi dispositivi e metodi di protezione fisica e di rete tradizionali per garantire che l'entità, sia essa una persona che vuole accedere a un data center oppure un processo che richiede l'accesso a dati di clienti archiviati dinamicamente nell'ambiente cloud di Microsoft, sia autentica e autorizzata per l'accesso richiesto. Vengono inoltre implementate alcune misure specifiche per assicurare che i server e le istanze dei sistemi operativi in esecuzione nell'infrastruttura cloud di Microsoft siano protetti da possibili attacchi. Questa sezione offre una panoramica di alcuni dei processi e controlli che Microsoft utilizza per gestire la sicurezza di data center, comunicazioni e hardware di rete e host di servizi. Protezione fisica L'impiego di sistemi tecnici per automatizzare l'autorizzazione per l'accesso e l'autenticazione per alcune misure di sicurezza è uno dei modi in cui la protezione fisica è cambiata in seguito al progresso delle tecnologie di sicurezza. Un altro è il passaggio dall'uso di applicazioni enterprise tradizionali, distribuite su hardware e software fisicamente posizionati all'interno dell'azienda, all'uso di Software as a Service e Software plus Services. A questi cambiamenti è necessario che se ne accompagnino altri nel modo in cui le aziende garantiscono la protezione delle proprie risorse. Il team OSSC gestisce la protezione fisica di tutti i data center di Microsoft, che è essenziale per assicurare l'operatività costante delle strutture e tutelare i dati dei clienti. Per ogni struttura vengono utilizzate procedure consolidate e precise nella progettazione e nelle operazioni relative alla sicurezza. Microsoft garantisce la creazione di perimetri interni ed esterni con crescenti controlli ad ogni livello perimetrale. Il sistema di sicurezza applica l'uso combinato di soluzioni tecnologiche, tra cui fotocamere, dispositivi biometrici, lettori di schede e allarmi, con misure di sicurezza tradizionali quali lucchetti e chiavi. I controlli operativi vengono integrati per 16

17 agevolare il monitoraggio automatizzato e la generazione di notifiche tempestive in caso di violazione o problemi. Inoltre, garantiscono la responsabilità attraverso la distribuzione di documentazione verificabile relativa al programma di sicurezza fisica del data center. L'elenco seguente fornisce ulteriori esempi di come Microsoft applica i controlli sulla sicurezza fisica: Limitazione degli accessi al personale dei data center: Microsoft fornisce i requisiti di sicurezza in base ai quali vengono esaminati gli appaltatori e i dipendenti dei data center. Oltre alle clausole contrattuali relative al personale del sito, un ulteriore livello di sicurezza all'interno del data center viene applicato al personale impegnato nella gestione della struttura. L'accesso viene limitato applicando una politica di privilegi minimi, in modo tale da autorizzare la gestione dei servizi e delle applicazioni dei clienti solo al personale essenziale. Gestione dei requisiti di dati con elevato impatto sulle aziende: Microsoft ha sviluppato requisiti minimi più rigorosi per le risorse classificate come altamente sensibili rispetto a quelle di scarsa o moderata sensibilità all'interno dei data center utilizzati per fornire gli online service. I protocolli di sicurezza standard relativi a identificazione, token di accesso e registrazione e sorveglianza degli ingressi al sito definiscono chiaramente il tipo di autenticazione necessaria. In caso di accesso a risorse altamente sensibili, è richiesta un'autenticazione a più fattori. Centralizzazione della gestione degli accessi alle risorse fisiche: mentre Microsoft continua a espandere il numero dei data center utilizzati per offrire Online Services, è stato sviluppato uno strumento per gestire il controllo degli accessi alle risorse fisiche che fornisce anche record verificabili attraverso la centralizzazione del flusso di lavoro del processo di richiesta, approvazione e accesso ai data center. Questo strumento opera utilizzando il principio in base al quale occorre offrire il livello di accesso più basso possibile e integra il flusso di lavoro per ottenere l'approvazione di più parti di autorizzazione. È configurabile in base alle condizioni del sito e garantisce un accesso più efficace ai dettagli cronologici per la segnalazione e la conformità con i controlli. Protezione della rete Microsoft applica molteplici livelli di protezione, a seconda dei casi, ai dispositivi dei data center e alle connessioni di rete. Ad esempio, i controlli di sicurezza vengono utilizzati sia sui piani di gestione sia sui piani di controllo. L'hardware specializzato, ad esempio servizi di bilanciamento del carico, firewall e dispositivi di prevenzione delle intrusioni, è attualmente in uso per la gestione degli attacchi Denial of Service (DoS) basati sul volume. I team di gestione della rete applicano, a seconda dei casi, elenchi di controllo di accesso a più livelli (ACL) ad applicazioni e reti locali virtuali segmentate (VLAN). Attraverso l'hardware di rete, Microsoft utilizza le funzioni gateway delle applicazioni per effettuare un controllo approfondito dei pacchetti e intraprendere azioni quali l'invio di allarmi basati sul traffico di rete sospetto o in grado di bloccare tale traffico. Un'infrastruttura DNS interna ed esterna globalmente ridondante è attualmente in uso per l'ambiente cloud di Microsoft. La ridondanza prevede la tolleranza di errore ed è ottenuta attraverso il clustering dei server DNS. Ulteriori controlli riducono gli attacchi Denial of Service (DDoS) distribuiti e gli attacchi di inquinamento e poisoning della cache. Ad esempio, gli ACL all'interno dei server e delle aree DNS limitano l'accesso in scrittura ai record DNS al solo personale autorizzato. Le nuove funzionalità di protezione del software DNS sicuro più recente, come la randomizzazione degli identificativi di query, vengono utilizzate su tutti i server DNS. I cluster DNS vengono continuamente monitorati per rilevare i software non autorizzati e le modifiche alla configurazione dell'area DNS, nonché altri eventi di servizio dannosi. L'infrastruttura DNS fa parte della rete Internet collegata a livello globale e per la fornitura di questo servizio è richiesta la partecipazione di numerose organizzazioni. Microsoft prende parte a molte di queste organizzazioni, tra cui il DNS Operations Analysis and Research Consortium (DNS-OARC), che comprende esperti DNS di tutto il mondo. 17

18 Protezione dei dati Microsoft classifica le risorse in modo tale da determinare la portata dei controlli di sicurezza da applicare. Le categorie tengono conto del potenziale relativo ai danni alla reputazione e finanziari, nel caso in cui la risorsa venga coinvolta in un incidente correlato alla sicurezza. Una volta classificata la risorsa, viene adottato un approccio approfondito alla protezione per determinare quali misure sono necessarie. Ad esempio, le risorse dati che rientrano nella categoria degli impatti moderati sono soggette ai requisiti di crittografia quando risiedono su supporti rimovibili o quando sono coinvolte in trasferimenti su reti esterne. Oltre a tali requisiti, i dati a impatto elevato sono soggetti anche ai requisiti di crittografia per l'archiviazione e i trasferimenti su reti e sistemi interni. I prodotti Microsoft devono rispettare le norme di crittografia SDL, che elencano gli algoritmi di crittografia accettabili e non accettabili. Ad esempio, per la crittografia simmetrica sono necessarie chiavi lunghe più di 128 bit. Quando si utilizzano algoritmi asimmetrici, sono necessarie chiavi lunghe almeno bit. Gestione dell'identità e degli accessi Per la gestione degli accessi alle risorse, Microsoft utilizza un modello "need-to-know" basato su una politica di privilegi minimi. Ove possibile, i controlli degli accessi basati sui ruoli vengono utilizzati per allocare l'accesso logico a specifiche funzioni lavorative o aree di responsabilità, piuttosto che a singoli utenti. Tali criteri impongono che l'accesso che non sia stato esplicitamente concesso dal titolare della risorsa sulla base di un requisito aziendale identificato venga negato per impostazione predefinita. Per ottenere l'accesso, i singoli utenti che dispongono dell'autorizzazione ad accedere a qualsiasi risorsa devono utilizzare le misure opportune. Le risorse altamente sensibili richiedono un'autenticazione a più fattori, che includono password, token hardware, smart card e dispositivi biometrici. La riconciliazione degli account utente a fronte delle autorizzazioni all'utilizzo si verifica su base continuativa per garantire che l'utilizzo di una risorsa sia adeguato e necessario per completare una determinata attività. Gli account che non necessitano più di un accesso a una data risorsa vengono disattivati. Sicurezza delle applicazioni La sicurezza delle applicazioni è un elemento chiave nell'approccio di Microsoft alla protezione del suo ambiente cloud computing. Le rigide procedure di sicurezza impiegate dai team di sviluppo Microsoft sono state formalizzate nel 2004 in un processo denominato Security Development Lifecycle (SDL). Il processo SDL è una metodologia di sviluppo agnostica ed è completamente integrato con il ciclo di sviluppo delle applicazioni, dalla progettazione alla risposta, e non sostituisce le metodologie di sviluppo software quali Waterfall o Agile. Varie fasi del processo SDL sottolineano l'istruzione e la formazione e richiedono che a ogni fase dello sviluppo software vengano opportunamente applicati processi e attività specifici. La leadership senior all'interno di Microsoft continua a sostenere il mandato in base al quale il processo SDL debba essere applicato durante il processo di sviluppo dei prodotti Microsoft, inclusa la distribuzione degli Online Services. L'OSSC svolge un ruolo fondamentale nel garantire che il processo SDL venga e continui ad essere applicato alla creazione delle applicazioni da ospitare nell'infrastruttura cloud di Microsoft. 18

19 Il processo SDL è rappresentato nella seguente illustrazione: A partire dalla fase dei requisiti, il processo SDL prevede una serie di attività specifiche quando lo si considera unitamente allo sviluppo delle applicazioni da ospitare nella cloud di Microsoft: Requisiti: l'obiettivo primario in questa fase consiste nell'individuare gli obiettivi di sicurezza principali e massimizzare in altro modo la protezione del software, riducendo al tempo stesso l'interruzione dei programmi, delle pianificazioni e dell'usabilità dei clienti. Quando si ha a che fare con applicazioni in hosting, questa attività potrebbe includere una discussione operativa improntata sulla definizione di come il servizio utilizzerà le connessioni di rete e il trasporto dei messaggi. Progettazione: le misure di sicurezza critiche in questa fase includono la documentazione della superficie potenziale di attacco e la gestione della modellazione delle minacce. Come per la fase dei requisiti, i criteri ambientali potrebbero essere identificati quando si passa attraverso questo processo per un'applicazione in hosting. Implementazione: in questa fase vengono effettuati la codifica e i test. Durante l'implementazione, impedire la creazione di un codice con vulnerabilità di protezione e intraprendere azioni per eliminare tali problemi, se presenti, costituiscono le procedure principali. Verifica: la fase beta ha luogo quando nuove applicazioni sono considerate funzionalmente complete. Durante questa fase, viene rivolta particolare attenzione alla determinazione dei rischi di sicurezza presenti quando l'applicazione viene implementata in uno scenario realistico e di quali misure adottare per eliminare o ridurre tali rischi. Rilascio: la revisione di sicurezza finale (FSR, Final Security Review) viene effettuata durante questa fase. Se necessario, viene effettuata una revisione di sicurezza operativa (OSR, Operational Security Review) anche prima che la nuova applicazione possa essere rilasciata all'interno dell'ambiente cloud di Microsoft. Risposta: per l'ambiente cloud di Microsoft, il team SIM si assume l'incarico di gestire gli incidenti correlati alla sicurezza e collabora a stretto contatto con i team per la distribuzione di servizi e prodotti e i membri del Microsoft Security Response Center per selezionare, ricercare e rimediare agli incidenti segnalati. Per ulteriori informazioni sul processo SDL, consultare la pagina Microsoft Security Development Lifecycle (SDL) (in inglese). L'OSSC gestisce il processo FSR (una revisione SDL obbligatoria) per i Microsoft Online Services per garantire che siano stati soddisfatti i requisiti di sicurezza opportuni prima che le nuove applicazioni vengano implementate 19

20 nell'infrastruttura cloud di Microsoft. Il processo FSR consiste nella revisione della conformità di un team al processo SDL nel corso dello sviluppo. Durante il processo FSR, l'ossc gestisce le seguenti attività: Coordinamento del team di prodotto: il team di sviluppo dei prodotti deve completare questionari e altri documenti. Tali informazioni vengono utilizzate dall'ossc per garantire che il processo SDL sia stato applicato correttamente durante lo sviluppo. Revisione dei modelli di minaccia: Microsoft ritiene che i modelli di minaccia siano essenziali per lo sviluppo di un software sicuro. L'OSSC analizza i modelli di minaccia prodotti dai rispettivi team per verificare che siano completi e aggiornati. Come parte di questa revisione, viene attuata anche la convalida dell'implementazione dei controlli di prevenzione necessari per affrontare tutti i rischi identificati. Revisione dei bug di sicurezza: tutti i bug identificati durante la progettazione, lo sviluppo e i test vengono rivisti per garantire che i bug che avranno un impatto sulla protezione o la riservatezza dei dati dei clienti vengano risolti. Convalida dell'utilizzo degli strumenti: come parte del processo di sviluppo, i team di test e sviluppo Microsoft utilizzano strumenti di sicurezza software e procedure e modelli di codice documentati. In questo modo, attraverso l'eliminazione delle vulnerabilità comuni, è possibile migliorare notevolmente la sicurezza software. L'OSSC garantisce che i team di prodotto abbiano correttamente e adeguatamente fatto uso degli strumenti, le procedure, i modelli e i codici documentati messi a loro disposizione. Oltre a gestire il processo FSR, l'ossc gestisce anche un processo denominato OSR (Operational Security Review, revisione di sicurezza operativa). L'OSR consiste nella revisione delle comunicazioni di rete associate, delle piattaforme, della configurazione del sistema e delle funzionalità di monitoraggio a fronte dei riferimenti e degli standard di sicurezza stabiliti. Il processo OSR garantisce che nell'ambito dei piani operativi vengano integrati i controlli di sicurezza adeguati, prima che venga concessa l'autorizzazione all'implementazione all'interno dell'infrastruttura cloud. Controlli e report della sicurezza host La complessità e le crescenti dimensioni ambientali devono essere correttamente gestite al fine di offrire servizi di patch, affidabili, efficienti e sicuri. La scansione giornaliera delle risorse dell'infrastruttura fornisce il panorama corrente delle vulnerabilità del sistema host e consente all'ossc di lavorare in collaborazione con gruppi di distribuzione di prodotti e servizi per la gestione dei rischi associati senza causare interruzioni eccessive delle operazioni degli Online Services di Microsoft. I test di penetrazione effettuati dalle parti interne ed esterne offrono un quadro importante dell'efficacia dei controlli di sicurezza per l'infrastruttura cloud di Microsoft. L'esito di tali revisioni e valutazioni in itinere dei controlli risultanti viene utilizzato nella successiva operazione di scansione, monitoraggio e impegno di risanamento dei rischi. L'implementazione automatizzata delle immagini dei sistemi operativi standard irrobustiti, unitamente all'utilizzo attivo dei controlli delle policy host, come la funzionalità Group Policy, consente a Microsoft di controllare l'aggiunta dei server alla propria infrastruttura cloud. Una volta implementati, il programma di gestione delle patch e i processi operativi di revisione di Microsoft forniscono una crescente riduzione dei rischi di sicurezza nei sistemi host. 20

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud

Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud Telecom Italia, Gruppo innovatore nell ICT, punta sulla flessibilità adottando un server ottimizzato per il cloud Panoramica Paese: Italia Settore: ICT Profilo del cliente Telecom Italia è uno dei principali

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Panoramica della soluzione: Protezione dei dati

Panoramica della soluzione: Protezione dei dati Archiviazione, backup e recupero per realizzare la promessa della virtualizzazione Gestione unificata delle informazioni per ambienti aziendali Windows L'esplosione delle informazioni non strutturate Si

Dettagli

riduzione del rischio di perdita di dati e inattività dei sistemi

riduzione del rischio di perdita di dati e inattività dei sistemi WHITE PAPER: Semplificazione della protezione dati riduzione del rischio di perdita di dati e inattività dei sistemi NOVEMBRE 2012 Bennett Klein & Jeff Drescher CA Data Management Pagina 2 Sommario Executive

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

CA Access Control for Virtual Environments

CA Access Control for Virtual Environments SCHEDA PRODOTTO: CA Access Control for Virtual Environments CA Access Control for Virtual Environments agility made possible CA Access Control for Virtual Environments (CA Access Control) estende la gestione

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

Data-sheet: Protezione dei dati Symantec Backup Exec 2010 Backup e recupero affidabili progettati per le aziende in crescita

Data-sheet: Protezione dei dati Symantec Backup Exec 2010 Backup e recupero affidabili progettati per le aziende in crescita Backup e recupero affidabili progettati per le aziende in crescita Panoramica offre protezione di backup e recupero leader di mercato per ogni esigenza, dal server al desktop. Protegge facilmente una maggiore

Dettagli

Data-sheet: Protezione dei dati OpsCenter Analytics

Data-sheet: Protezione dei dati OpsCenter Analytics Panoramica Di fronte alla proliferazione dei dati, le operazioni di backup e archiviazione stanno diventando sempre più complesse. In questa situazione, per migliorare la produttività è opportuno attenersi

Dettagli

Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici del 90%

Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici del 90% Ottimizzazione dell'infrastruttura Microsoft Case study sulle soluzioni per i clienti Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici

Dettagli

Servizio di installazione e startup per il software HP StoreOnce Recovery Manager Central

Servizio di installazione e startup per il software HP StoreOnce Recovery Manager Central Caratteristiche tecniche Servizio di installazione e startup per il software HP StoreOnce Recovery Manager Central Servizi HP Vantaggi del Supporta le risorse IT permettendo loro di concentrarsi sulle

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

Specifiche per l'offerta Monitoraggio remoto delle infrastrutture

Specifiche per l'offerta Monitoraggio remoto delle infrastrutture Panoramica sul Servizio Specifiche per l'offerta Monitoraggio remoto delle infrastrutture Questo Servizio fornisce i servizi di monitoraggio remoto delle infrastrutture (RIM, Remote Infrastructure Monitoring)

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy Solution brief Proteggete il parco con una semplice protezione dell'ambiente di stampa basata su policy Fate crescere il vostro business nella massima sicurezza con HP JetAdvantage Security Manager Proteggete

Dettagli

La prossima ondata di innovazione aziendale introdotta da Open Network Environment

La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica della soluzione La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica La crescente importanza dei ruoli assunti da tecnologie come cloud, mobilità, social

Dettagli

Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Fattori di crescita aziendale e impatto sull'it FLESSIBILITÀ EFFICIENZA PRODUTTIVITÀ Operare velocemente, dimostrando agilità e flessibilità

Dettagli

SOLUTION BRIEF: CA ARCserve R16. Sfruttare il cloud per la business continuity e il disaster recovery

SOLUTION BRIEF: CA ARCserve R16. Sfruttare il cloud per la business continuity e il disaster recovery Sfruttare il cloud per la business continuity e il disaster recovery Ci sono molte ragioni per cui oggi i servizi cloud hanno un valore elevato per le aziende, che si tratti di un cloud privato offerto

Dettagli

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator Documentazione Ottimizzazione della gestione della sicurezza con Efficacia comprovata dalle ricerche I Chief Information Officer (CIO) delle aziende di tutto il mondo devono affrontare una sfida molto

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

CA ARCserve D2D. Backup e disaster recovery ultrarapidi possono letteralmente mettere al sicuro la vostra posizione lavorativa

CA ARCserve D2D. Backup e disaster recovery ultrarapidi possono letteralmente mettere al sicuro la vostra posizione lavorativa CA ARCserve D2D CA ARCserve D2D è un prodotto di ripristino basato su disco pensato per offrire la perfetta combinazione tra protezione e ripristino semplici, rapidi e affidabili di tutte le informazioni

Dettagli

IL PERCORSO INTELLIGENTE PER WINDOWS 7

IL PERCORSO INTELLIGENTE PER WINDOWS 7 IL PERCORSO INTELLIGENTE PER WINDOWS 7 Migrazione senza problemi Sicuri dal primo giorno Backup delle informazioni più importanti Virtualizzazione delle applicazioni per la massima efficienza Le soluzioni

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

Approfondimenti tecnici su framework v6.3

Approfondimenti tecnici su framework v6.3 Sito http://www.icu.fitb.eu/ pagina 1 I.C.U. "I See You" Sito...1 Cosa è...3 Cosa fa...3 Alcune funzionalità Base:...3 Alcune funzionalità Avanzate:...3 Personalizzazioni...3 Elenco Moduli base...4 Elenco

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestione dei dispositivi scalabile, sicura e integrata Data-sheet: Gestione degli endpoint e mobiltà Panoramica La rapida proliferazione dei dispositivi

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

CREARE UN AMBIENTE SMART STORAGE CLOUD CON IBM SMARTCLOUD STORAGE ACCESS

CREARE UN AMBIENTE SMART STORAGE CLOUD CON IBM SMARTCLOUD STORAGE ACCESS CREARE UN AMBIENTE SMART STORAGE CLOUD CON IBM SMARTCLOUD STORAGE ACCESS GENNAIO 2013 Molte organizzazioni ritengono che la propria grande rete di storage funzioni a compartimenti stagni o che sia dedicata

Dettagli

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint?

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? SOLUTION BRIEF La soluzione CA Technologies per la sicurezza di SharePoint come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? agility made possible consente di fornire un

Dettagli

Un operatore di telefonia mobile accelera il time-to-market per una soluzione di social networking innovativa

Un operatore di telefonia mobile accelera il time-to-market per una soluzione di social networking innovativa Piattaforma Windows Azure Case study sulle soluzioni per i clienti Un operatore di telefonia mobile accelera il time-to-market per una soluzione di social networking innovativa Panoramica Paese o regione:

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

TREND MICRO DEEP SECURITY

TREND MICRO DEEP SECURITY TREND MICRO DEEP SECURITY Protezione Server Integrata Semplice Agentless Compatibilità Totale Retroattiva Scopri tutti i nostri servizi su www.clouditalia.com Il nostro obiettivo è la vostra competitività.

Dettagli

Accesso alle applicazioni protetto. Ovunque.

Accesso alle applicazioni protetto. Ovunque. Scheda tecnica Accesso alle applicazioni protetto. Ovunque. Utenti mobili protetti Nelle organizzazioni odierne, ai responsabili IT viene spesso richiesto di fornire a diversi tipi di utente l'accesso

Dettagli

Servizio HP Installation e Startup per HP Insight Control

Servizio HP Installation e Startup per HP Insight Control Servizio HP Installation e Startup per HP Insight Control Servizi HP Care Pack Caratteristiche tecniche Il servizio HP Installation e Startup per HP Insight Control offre l'installazione e la configurazione

Dettagli

Guida pratica per pianificare il disaster recovery in modo economico ed efficace

Guida pratica per pianificare il disaster recovery in modo economico ed efficace White paper www.novell.com Guida pratica per pianificare il disaster recovery in modo economico ed efficace Indice Misurazione del costo totale di gestione...3 Misurazione delle prestazioni...4 Valutazione

Dettagli

PICCOLE E MEDIE IMPRESE, UNA SOLUZIONE AD HOC. Soluzioni per le PMI

PICCOLE E MEDIE IMPRESE, UNA SOLUZIONE AD HOC. Soluzioni per le PMI PICCOLE E MEDIE IMPRESE, UNA SOLUZIONE AD HOC Soluzioni per le PMI Windows Server 2012 e System Center 2012 Informazioni sul copyright 2012 Microsoft Corporation. Tutti i diritti sono riservati. Il presente

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Symantec Backup Exec.cloud

Symantec Backup Exec.cloud Protezione automatica, continua e sicura con il backup dei dati nel cloud o tramite un approccio ibrido che combina il backup on-premise e basato sul cloud. Data-sheet: Symantec.cloud Solo il 21% delle

Dettagli

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009 ZP09-0108, 5 maggio 2009 I prodotti aggiuntivi IBM Tivoli Storage Manager 6.1 offrono una protezione dei dati e una gestione dello spazio migliorate per ambienti Microsoft Windows Indice 1 In sintesi 2

Dettagli

Domande frequenti su licenze e prezzi

Domande frequenti su licenze e prezzi Domande frequenti su licenze e prezzi Sommario EDIZIONI DATACENTER E STANDARD... 4 D1. Quali sono le novità di Windows Server 2012?... 4 D2. Qual è la differenza tra Windows Server 2012 Standard Edition

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

VMware vsphere Data Protection

VMware vsphere Data Protection FAQ VMware Panoramica di Advanced D. Che cos'è VMware? R. VMware vsphere Data Advanced è una soluzione di backup e ripristino con funzionalità integrate di replica dei dati di backup. È progettata per

Dettagli

Gestire il laboratorio in maniera semplice

Gestire il laboratorio in maniera semplice Gestire il laboratorio in maniera semplice Guida al LIMS Software as a Service Eusoft White Paper Introduzione La tecnologia oggi offre alle organizzazioni grandi possibilità di innovazione e trasformazione

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

BUSINESSOBJECTS EDGE STANDARD

BUSINESSOBJECTS EDGE STANDARD PRODOTTI BUSINESSOBJECTS EDGE STANDARD La business intelligence consente di: Conoscere meglio le attività Scoprire nuove opportunità. Individuare e risolvere tempestivamente problematiche importanti. Avvalersi

Dettagli

La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura. agility made possible

La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura. agility made possible La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura agility made possible Una delle applicazioni più ampiamente distribuite attualmente in uso, Microsoft

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Archiviazione di e-mail consolidata e affidabile

Archiviazione di e-mail consolidata e affidabile Archiviazione, gestione e rilevazione delle informazioni aziendali strategiche Archiviazione di e-mail consolidata e affidabile Symantec Enterprise Vault, leader di settore nell'archiviazione di e-mail

Dettagli

Ottimizzare Agile per la. agility made possible. massima innovazione

Ottimizzare Agile per la. agility made possible. massima innovazione Ottimizzare Agile per la agility made possible massima innovazione Agile accelera l'offerta di innovazione Lo scenario aziendale attuale così esigente e in rapida evoluzione ha enormemente amplificato

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Caso di successo del cliente Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Profilo del cliente Settore: servizi IT Società: Scitum Dipendenti: più di 450 IL BUSINESS Scitum

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Alcatel-Lucent OmniVista TM 4760 Sistema di gestione della rete

Alcatel-Lucent OmniVista TM 4760 Sistema di gestione della rete Alcatel-Lucent OmniVista TM 4760 Sistema di gestione della rete Sistemi di gestione della rete I responsabili delle telecomunicazioni richiedono strumenti flessibili di gestione della rete per poter essere

Dettagli

Efficienza operativa nel settore pubblico. 10 suggerimenti per ridurre i costi

Efficienza operativa nel settore pubblico. 10 suggerimenti per ridurre i costi Efficienza operativa nel settore pubblico 10 suggerimenti per ridurre i costi 2 di 8 Presentazione La necessità impellente di ridurre i costi e la crescente pressione esercitata dalle normative di conformità,

Dettagli

Il nostro approccio differenziato al mercato dell'intelligent Workload Management

Il nostro approccio differenziato al mercato dell'intelligent Workload Management Il nostro approccio differenziato al mercato dell'intelligent Workload Management Il mercato 1 Il panorama IT è in costante evoluzione È necessario tenere sotto controllo i rischi e le sfide della gestione

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

CyberEdge: la soluzione AIG

CyberEdge: la soluzione AIG Protezione contro le conseguenze dei cyber-rischi. BUSINESS Insurance CyberEdge: la soluzione AIG I cyber-rischi sono un dato di fatto in un mondo che ruota attorno alle informazioni e ai sistemi informativi

Dettagli

Specialista della rete - Un team di specialisti della rete

Specialista della rete - Un team di specialisti della rete Allied Telesis - creare qualità sociale Allied Telesis è da sempre impegnata nella realizzazione di un azienda prospera, dove le persone possano avere un accesso facile e sicuro alle informazioni, ovunque

Dettagli

Replica indipendente dalla piattaforma per una mobilità dei dati e migrazioni senza interruzioni di livello enterprise

Replica indipendente dalla piattaforma per una mobilità dei dati e migrazioni senza interruzioni di livello enterprise EMC Open Replicator per Symmetrix Replica indipendente dalla piattaforma per una mobilità dei dati e migrazioni senza interruzioni di livello enterprise Panoramica Prestazioni elevate: utilizza il potente

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

OGGETTO: Microsoft Unified Communications

OGGETTO: Microsoft Unified Communications OGGETTO: Microsoft Unified Communications Gentile Cliente, Microsoft Unified Communications è la nuova soluzione di comunicazione integrata che offre alle organizzazioni una piattaforma estendibile di

Dettagli

I N F I N I T Y Z U C C H E T T I ACCESSI WEB

I N F I N I T Y Z U C C H E T T I ACCESSI WEB I N F I N I T Y Z U C C H E T T I ACCESSI WEB ACCESSI WEB Accessi web è la soluzione Zucchetti che unisce le funzionalità del controllo accessi con la praticità e la comodità dei sistemi web. Visualizzabile

Dettagli

Analisi completa delle metodologie di tutela della sicurezza e di protezione contro le vulnerabilità per Google Apps

Analisi completa delle metodologie di tutela della sicurezza e di protezione contro le vulnerabilità per Google Apps Analisi completa delle metodologie di tutela della sicurezza e di protezione contro le vulnerabilità per Google Apps White paper di Google. Febbraio 2007. Sicurezza di Google Apps PER ULTERIORI INFORMAZIONI

Dettagli

Accelerare la transizione verso il cloud

Accelerare la transizione verso il cloud White paper tecnico Accelerare la transizione verso il cloud HP Converged Cloud Architecture Sommario Computing rivoluzionario per l'impresa... 2 Aggiornate la vostra strategia IT per includere i servizi

Dettagli

Data-sheet: Backup e recupero Symantec Backup Exec 12.5 per Windows Server Lo standard nella protezione dei dati in ambiente Windows

Data-sheet: Backup e recupero Symantec Backup Exec 12.5 per Windows Server Lo standard nella protezione dei dati in ambiente Windows Lo standard nella protezione dei dati in ambiente Windows Panoramica Symantec 12.5 offre funzioni di backup e recupero per server e desktop, con una protezione completa dei dati per i più recenti ambienti

Dettagli

Dieci cose smart che dovresti sapere sullo storage

Dieci cose smart che dovresti sapere sullo storage Dieci cose smart che dovresti sapere sullo storage Tendenze, sviluppi e suggerimenti per rendere il tuo ambiente storage più efficiente Le decisioni intelligenti si costruiscono su Lo storage è molto più

Dettagli

Come ridurre la spesa per i backup di Windows Server 2008, senza rinunciare a nulla!

Come ridurre la spesa per i backup di Windows Server 2008, senza rinunciare a nulla! Come ridurre la spesa per i backup di Windows Server 2008, senza rinunciare a nulla! In sintesi Il software di backup viene in genere percepito come costoso, inutilmente complesso, inaffidabile e affamato

Dettagli

I N F I N I T Y P R O J E C T ACCESSI WEB

I N F I N I T Y P R O J E C T ACCESSI WEB I N F I N I T Y P R O J E C T ACCESSI WEB ACCESSI WEB Accessi web è la soluzione Zucchetti che unisce le funzionalità del controllo accessi con la praticità e la comodità dei sistemi web. Visualizzabile

Dettagli

Mainframe Host ERP Creazione immagini/archivio Gestione documenti Altre applicazioni di back-office. E-mail. Desktop Call Center CRM.

Mainframe Host ERP Creazione immagini/archivio Gestione documenti Altre applicazioni di back-office. E-mail. Desktop Call Center CRM. 1 Prodotto Open Text Fax Sostituisce gli apparecchi fax e i processi cartacei inefficaci con la consegna efficace e protetta di documenti elettronici e fax utilizzando il computer Open Text è il fornitore

Dettagli

WYS. WATCH YOUR SYSTEMS in any condition

WYS. WATCH YOUR SYSTEMS in any condition WYS WATCH YOUR SYSTEMS in any condition WYS WATCH YOUR SYSTEMS La soluzione WYS: prodotto esclusivo e team di esperienza. V-ision, il team di Interlinea che cura la parte Information Technology, è dotato

Dettagli

PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE

PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE i clienti possono contare sull'aiuto dei partner di CA Technologies per superare il blocco verso la virtualizzazione e accelerare il passaggio a un livello di

Dettagli

dispositivi con soluzioni per la sicurezza semplici e nel rispetto delle policy

dispositivi con soluzioni per la sicurezza semplici e nel rispetto delle policy Solution brief Proteggete il vostro parco con soluzioni per la sicurezza semplici e nel rispetto delle policy Fate crescere il vostro business nella massima sicurezza con HP JetAdvantage Security Manager

Dettagli

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it Netwrix Auditor Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT netwrix.it 01 Descrizione del prodotto Avevamo bisogno di conformarci alle norme internazionali

Dettagli

RELAZIONE E COMUNICAZIONE. Sviluppare la gestione delle relazioni con i clienti grazie a:

RELAZIONE E COMUNICAZIONE. Sviluppare la gestione delle relazioni con i clienti grazie a: RELAZIONE E COMUNICAZIONE Sviluppare la gestione delle relazioni con i clienti grazie a: Microsoft Office System 2007 Windows Vista Microsoft Exchange Server 2007 è ancora più potente ed efficace, grazie

Dettagli

Nuove prospettive: il cloud privato Microsoft

Nuove prospettive: il cloud privato Microsoft Nuove prospettive: il cloud privato Microsoft Andrea Gavazzi, Microsoft Technology Specialist Settore Pubblico " Utilizzando i servizi cloud Microsoft, possiamo distribuire nel cloud privato una completa

Dettagli

Servizio HP Data Replication Solution per HP 3PAR Virtual Copy

Servizio HP Data Replication Solution per HP 3PAR Virtual Copy Servizio HP Data Replication Solution per HP 3PAR Virtual Copy Servizi HP Care Pack Caratteristiche tecniche Il servizio HP Data Replication Solution per HP 3PAR Virtual Copy prevede l'implementazione

Dettagli

Come Cisco IT virtualizza i propri server applicativi del Centro Raccolta Dati

Come Cisco IT virtualizza i propri server applicativi del Centro Raccolta Dati Come Cisco IT virtualizza i propri server applicativi del Centro Raccolta Dati L'impiego di server virtualizzati produce dei significativi risparmi di costo, riduce la domanda di risorse per il centro

Dettagli

Architettura e valore dell'offerta

Architettura e valore dell'offerta TELECOM ITALIA Architettura e valore dell'offerta Telecom Italia fornisce servizi di sicurezza, perlopiù gestiti, da diversi anni. Recentemente, tra il 2012 e l'inizio del 2013, l'offerta è stata è stata

Dettagli

Guida pratica alle applicazioni Smart Process

Guida pratica alle applicazioni Smart Process Guida pratica alle applicazioni Smart Process Aprile 2014 Kemsley Design Limited www.kemsleydesign.com www.column2.com Panoramica La qualità delle interazioni con clienti e partner è vitale per il successo

Dettagli

Implementazione di soluzioni di ricerca per le aziende

Implementazione di soluzioni di ricerca per le aziende Implementazione di soluzioni di ricerca per le aziende Le soluzioni di ricerca per le aziende permettono agli utenti di sfruttare al massimo le informazioni di cui dispongono al fine di migliorare la loro

Dettagli

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology Virtualization Strutturare per semplificare la gestione Communication Technology Ottimizzare e consolidare Le organizzazioni tipicamente si sviluppano in maniera non strutturata e ciò può comportare la

Dettagli

WEBSENSE. La sicurezza unificata Triton. ICT Security 2013

WEBSENSE. La sicurezza unificata Triton. ICT Security 2013 ICT Security 2013 WEBSENSE La popolarità degli strumenti di collaborazione basati su Web, gli applicativi Internet sempre più complessi, i social network e la presenza di applicazioni software-as-a-service

Dettagli

Supporto delle cartelle gestite di Exchange

Supporto delle cartelle gestite di Exchange Archiviazione, gestione e reperimento delle informazioni aziendali strategiche Archiviazione di e-mail consolidata e affidabile Enterprise Vault, leader del settore per l'archiviazione di e-mail e contenuto,

Dettagli

Programmi di assistenza clienti SureService. Un impulso al vantaggio competitivo e ai risultati della vostra azienda

Programmi di assistenza clienti SureService. Un impulso al vantaggio competitivo e ai risultati della vostra azienda Programmi di assistenza clienti SureService Un impulso al vantaggio competitivo e ai risultati della vostra azienda Un assistenza personalizzata in base alle vostre esigenze Maggiore efficienza, riduzione

Dettagli

Novità di Visual Studio 2008

Novità di Visual Studio 2008 Guida al prodotto Novità di Visual Studio 2008 Introduzione al sistema di sviluppo di Visual Studio Visual Studio Team System 2008 Visual Studio Team System 2008 Team Foundation Server Visual Studio Team

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Come ottenere la flessibilità aziendale con un Agile Data Center

Come ottenere la flessibilità aziendale con un Agile Data Center Come ottenere la flessibilità aziendale con un Agile Data Center Panoramica: implementare un Agile Data Center L obiettivo principale è la flessibilità del business Nello scenario economico attuale i clienti

Dettagli

agility made possible

agility made possible SOLUTION BRIEF Ottimizzazione della pianificazione delle capacità tramite Application Performance Management Come fare a garantire un'esperienza utente eccezionale per applicazioni business critical e

Dettagli