Protezione dell'infrastruttura cloud di Microsoft

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Protezione dell'infrastruttura cloud di Microsoft"

Transcript

1 Protezione dell'infrastruttura cloud di Microsoft In questo white paper verranno illustrati responsabilità, compiti e modalità operative del team per la conformità e la sicurezza degli Online Services, parte della divisione Global Foundation Services, incaricata di gestire la protezione dell'infrastruttura cloud di Microsoft. I lettori comprenderanno quale significato abbia oggi il cloud computing per Microsoft e come l'azienda sia in grado di offrire un'infrastruttura di cloud computing completamente affidabile e sicura. Pubblicato: maggio

2 Sommario Riepilogo del progetto... 3 Problemi di sicurezza connessi al cloud computing... 4 In che modo Microsoft gestisce i problemi descritti... 5 Cosa si intende per ambiente cloud computing Microsoft... 6 Team per la conformità e la sicurezza degli Online Services... 6 Iniziativa Trustworthy Computing di Microsoft... 7 Privacy... 8 Sicurezza... 9 Programma di protezione delle informazioni... 9 Processi di gestione dei rischi Gestione della continuità operativa Gestione degli incidenti di sicurezza Conformità alle normative internazionali anticrimine Conformità operativa Approccio Defense-in-Depth Protezione fisica Protezione della rete Protezione dei dati Gestione dell'identità e degli accessi Sicurezza delle applicazioni Controlli e report della sicurezza host Conclusione Altre risorse

3 Riepilogo del progetto Una recente ricerca sulle nuove definizioni di "cloud", "cloud computing" e "ambiente cloud" ha tentato di identificare le aspettative dei clienti nei confronti dei provider di soluzioni cloud e stabilire come classificare le soluzioni che tali provider sostengono di poter offrire. L'idea che l'acquisto di servizi da un ambiente cloud possa consentire ai decisori aziendali (BDM, Business Decision Maker) che operano in ambito tecnologico di risparmiare denaro e alle aziende di concentrarsi sulle attività più importanti è senz'altro allettante nel clima economico attuale. Molti analisti, tuttavia, considerano dannose per le condizioni di mercato correnti le nuove opportunità di definizione dei prezzi e distribuzione di servizi online. Da tali studi di mercato e dal confronto che ne è derivato tra potenziali clienti e provider di servizi sono emerse alcune problematiche che si profilano come possibili ostacoli per una rapida adozione dei servizi cloud. In cima alla lista si collocano le questioni inerenti alla sicurezza, alla privacy, all'affidabilità e al controllo operativo. Microsoft è consapevole dei dubbi che i BDM nutrono in merito a tali problematiche e della loro esigenza di conoscere in che modo queste ultime verranno gestite nell'ambiente cloud computing di Microsoft e quali implicazioni comporteranno per loro sul piano del rischio e delle decisioni operative. In questo white paper verrà spiegato come l'applicazione coordinata e strategica di persone, processi, tecnologie ed esperienza produca l'apporto di continui miglioramenti alla sicurezza dell'ambiente cloud di Microsoft. Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance), che fa parte della divisione Global Foundation Services (GFS), opera sulla base degli stessi principi e processi in materia di sicurezza che Microsoft ha sviluppato nel corso di anni di esperienza nella gestione dei rischi di protezione all'interno di ambienti operativi e di sviluppo tradizionali. 3

4 Problemi di sicurezza connessi al cloud computing Il compito di affrontare le sfide e le difficoltà che si accompagnano alle opportunità offerte dal cloud computing spetta al settore dell'information Technology. Da oltre 15 anni Microsoft si misura con le seguenti problematiche connesse alla distribuzione di servizi online: I nuovi modelli di aziende cloud creano una crescente interdipendenza tra gli enti dei settori pubblico e privato e le persone che si avvalgono dei loro servizi: tali organizzazioni e i relativi clienti diventeranno sempre più dipendenti le une dagli altri in seguito all'utilizzo della cloud. Queste nuove dipendenze producono la comune aspettativa che i servizi di piattaforma e le applicazioni ospitate siano sicuri e disponibili. Microsoft offre un'infrastruttura pienamente affidabile, una solida base su cui gli enti dei settori pubblico e privato e i loro partner possono costruire un'esperienza altrettanto affidabile per i propri utenti. Inoltre collabora attivamente con questi gruppi e con la comunità di sviluppo per incoraggiare l'adozione di processi di gestione dei rischi incentrati sulla sicurezza. L'accelerazione dell'adozione di servizi cloud, unita alla costante evoluzione delle tecnologie e dei modelli aziendali, genera un ambiente di hosting dinamico, che già di per sé rappresenta una sfida sul piano della sicurezza: la capacità di tenersi al passo con il progresso e anticipare le esigenze future è essenziale per un programma di protezione efficace. L'ultima ondata di cambiamenti è già iniziata con il rapido passaggio alla virtualizzazione e la sempre più diffusa adozione della strategia Software Plus Services di Microsoft, che combina la potenza e le capacità di computer, dispositivi mobili, servizi online e software aziendale. L'avvento delle piattaforme cloud consente lo sviluppo di applicazioni personalizzate da parte di terzi e il relativo hosting nella cloud di Microsoft. Grazie al programma di protezione delle informazioni degli Online Services, illustrato in dettaglio più avanti in questo white paper, Microsoft mantiene solide partnership interne tra i team che si occupano dell'erogazione di servizi e prodotti e della sicurezza in modo da offrire un ambiente cloud totalmente affidabile mentre questi cambiamenti sono in corso. I tentativi di infiltrazione o sabotaggio delle offerte di Online Services diventano sempre più numerosi e sofisticati di pari passo con l'aumento del commercio e degli affari nel settore: mentre continuano le solite burle di chi cerca semplicemente attenzione servendosi di un'ampia gamma di tecniche tra cui domain squatting e attacchi man-in-the-middle, tentativi più sofisticati di utenti malintenzionati che mirano a ottenere identità o bloccare l'accesso a dati aziendali sensibili hanno iniziato a farsi strada, insieme a un mercato sotterraneo più organizzato di informazioni sottratte illegalmente. Microsoft lavora a stretto contatto con forze di polizia, gruppi di ricerca, colleghi e partner di settore per comprendere più a fondo il panorama mutevole delle minacce informatiche e mettere a punto contromisure adeguate. Inoltre, il programma Security Development Lifecycle di Microsoft, descritto più avanti in questo documento, gestisce la sicurezza e la privacy nel corso dell'intero processo di sviluppo, sin dalle prime fasi. L'erogazione a livello mondiale di servizi nuovi ed esistenti richiede che vengano soddisfatti complessi requisiti di conformità: è indubbio che la conformità agli standard normativi, legislativi e di settore (denominata semplicemente "conformità normativa" nel seguito di questo documento) sia un'area altamente complessa in quanto ogni paese può emettere, ed emette, leggi proprie per la regolamentazione della distribuzione e dell'utilizzo di ambienti online. Microsoft deve essere in grado di rispettare una miriade di obblighi normativi poiché possiede data center in diversi paesi e offre Online Services a clienti di ogni parte del mondo. Inoltre, molti settori impongono requisiti particolari. Microsoft, pertanto, ha implementato un framework di conformità (descritto più avanti in questo white paper) grazie al quale riesce a gestire in modo efficace gli svariati obblighi di conformità senza che ciò comporti un aumento eccessivo del carico di lavoro aziendale. 4

5 In che modo Microsoft gestisce i problemi descritti A partire dal lancio di MSN nel 1994, Microsoft ha creato e reso operativi numerosi Online Services. La divisione GFS gestisce la piattaforma e l'infrastruttura cloud per i Microsoft Online Services, assicurandone la disponibilità 24 ore su 24, tutti i giorni, per centinaia di milioni di clienti in tutto il mondo. Oltre 200 degli Online Services e dei portali Web dell'azienda sono ospitati su questa infrastruttura cloud, tra cui alcuni tra i più diffusi servizi per il mercato consumer, come Windows Live Hotmail e Live Search, e per il mercato business, come Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite dei Microsoft Online Services. Che le informazioni personali di un cliente siano memorizzate sul suo computer o su un sistema online o che i dati cruciali di un'azienda siano archiviati internamente o su un server in hosting e inviati tramite Internet, Microsoft è consapevole del fatto che tutti questi ambienti devono garantire l'esperienza Trustworthy Computing. Come azienda, Microsoft ricopre una posizione unica in quanto possiede tutti gli strumenti necessari per offrire tanto l'orientamento quanto le soluzioni tecnologiche che occorrono per un'esperienza online più sicura. Per aiutare i clienti a evitare perdite finanziarie e altre conseguenze derivanti da attacchi online pericolosi e mirati, e come parte di un impegno serio e continuo a favore di un'elaborazione affidabile (Trustworthy Computing), Microsoft garantisce che le persone, i processi e le tecnologie impiegati dall'azienda sono in grado di offrire esperienze, prodotti e servizi con un maggiore livello di sicurezza e privacy. Microsoft fornisce una cloud affidabile concentrandosi su tre aree: Utilizzo di un programma di protezione delle informazioni basato sui rischi, che valuta e classifica le minacce operative e relative alla sicurezza cui l'azienda è soggetta Gestione e aggiornamento di una serie diversificata di controlli di sicurezza che riducono i rischi Implementazione di un framework di conformità che assicura che i controlli vengano opportunamente studiati e utilizzati in modo efficace Questo white paper spiega in che modo Microsoft tutela i dati dei clienti e le operazioni aziendali con l'ausilio di un programma completo per la protezione delle informazioni e di una metodologia matura per la gestione delle policy e della conformità, una frequente valutazione interna ed esterna di procedure e capacità e potenti controlli di sicurezza a tutti i livelli di servizio. Tali processi e meccanismi rappresentano il modo in cui Microsoft rispetta gli standard di settore e soddisfa la conformità normativa a tutte le leggi, le direttive, gli statuti e i regolamenti applicabili nell'erogazione online di servizi a una base clienti globale. Sebbene le informative sulla privacy siano menzionate in questo documento, l'intento non è quello di fornire un'analisi approfondita sull'argomento o una guida operativa alla privacy. Informazioni dettagliate su come Microsoft gestisce le esigenze di riservatezza sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 5

6 Cosa si intende per ambiente cloud computing Microsoft Quando si parla di ambiente cloud computing Microsoft, si fa riferimento sia all'infrastruttura fisica e logica che alle applicazioni e ai servizi di piattaforma ospitati. La divisione GFS fornisce l'infrastruttura cloud fisica e logica insieme a molti servizi di piattaforma. L'infrastruttura fisica comprende tanto le strutture dei data center vere e proprie quanto l'hardware e i componenti che supportano i servizi e le reti. L'infrastruttura logica è costituita dalle istanze dei sistemi operativi, dalle reti distribuite e dall'archiviazione di dati non strutturati, in esecuzione su oggetti fisici o virtuali. I servizi di piattaforma includono runtime di calcolo (come Internet Information Services,.NET Framework e Microsoft SQL Server ), archivi di identità e directory (come Active Directory e Windows Live ID), servizi di nomi (DNS) e altre funzionalità avanzate utilizzate dagli Online Services. I servizi di piattaforma cloud di Microsoft, come quelli di infrastruttura, possono essere virtualizzati o fisici. Le applicazioni online eseguite nella cloud di Microsoft comprendono prodotti semplici e complessi progettati per un'ampia gamma di clienti. Questi Online Services, e i relativi requisiti in materia di sicurezza e privacy, possono essere suddivisi a grandi linee nei seguenti gruppi: Servizi Consumer e Small Business: ad esempio Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE e Microsoft Office Live. Servizi Enterprise: ad esempio Microsoft Dynamics CRM Online e Microsoft Business Productivity Online Standard Suite, che comprende Exchange Online, SharePoint Online e Office Live Meeting. Servizi ospitati di terze parti: ad esempio, soluzioni e applicazioni basate sul Web sviluppate e gestite da terzi che utilizzano servizi di piattaforma forniti attraverso l'ambiente cloud computing Microsoft. Team per la conformità e la sicurezza degli Online Services Il team per la conformità e la sicurezza degli Online Services (OSSC, Online Services Security and Compliance) fa parte della divisione GFS ed è responsabile del programma di protezione delle informazioni per l'infrastruttura cloud di Microsoft, ivi compresi le policy e i programmi utilizzati per gestire i rischi connessi alla sicurezza online. La missione del team è quella di garantire l'affidabilità degli Online Services in modo da produrre un vantaggio competitivo per Microsoft e i suoi clienti. Collocare tale funzione a livello di infrastruttura cloud consente a tutti i servizi cloud Microsoft di trarre vantaggio dalle economie di scala e dalla complessità ridotta attraverso l'utilizzo di soluzioni di sicurezza condivise. Questo approccio standard permette inoltre a ciascun team dei servizi Microsoft di concentrarsi sulle esigenze di protezione specifiche dei propri clienti. Il team OSSC guida gli sforzi diretti a fornire un'esperienza affidabile e sicura nella cloud di Microsoft attraverso il programma di protezione delle informazioni, utilizzando un modello operativo basato sui rischi e un approccio ai 6

7 controlli basato su una strategia di Defense-in-Depth. Ciò implica analisi della gestione dei rischi, sviluppo e manutenzione di un framework di controlli di sicurezza su base regolare e sforzi continui per garantire la conformità in attività che spaziano dallo sviluppo di data center alla risposta alle richieste delle forze dell'ordine di ogni parte del mondo. Il team applica procedure consigliate, tra cui analisi interne ed esterne di vario tipo, in ogni fase del ciclo di vita degli Online Services e in ogni elemento dell'infrastruttura. Una stretta collaborazione con altri team Microsoft garantisce poi un approccio completo alla protezione delle applicazioni nella cloud Microsoft. La gestione di un'infrastruttura cloud globale estesa a numerose aziende si accompagna all'esigenza di rispettare gli obblighi normativi e di superare gli esami di revisori esterni. I requisiti controllabili sono stabiliti da mandati industriali e di enti governativi, politiche interne e procedure consigliate del settore. Il programma OSSC assicura che le aspettative sul piano della conformità siano continuamente valutate e incorporate. Grazie al programma di protezione delle informazioni, Microsoft è in grado di ottenere certificazioni chiave, come le attestazioni International Organization for Standardization/International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) e Statement of Auditing Standard (SAS) 70 Tipo I e Tipo II, e di superare con migliori risultati le revisioni periodiche svolte da terze parti indipendenti. Iniziativa Trustworthy Computing di Microsoft Il fattore cruciale per lo sviluppo di un programma di protezione efficace è la creazione di una cultura che riconosca il valore prioritario della sicurezza. Microsoft è consapevole del fatto che una simile cultura deve essere introdotta e supportata dalla dirigenza aziendale. I dirigenti Microsoft si sono impegnati a lungo per effettuare gli investimenti e fornire gli incentivi appropriati al fine di promuovere un comportamento orientato alla sicurezza. Nel 2002 l'azienda ha avviato l'iniziativa Trustworthy Computing, a favore di un'elaborazione affidabile, con cui Bill Gates ha voluto che Microsoft cambiasse radicalmente la propria mission e la propria strategia in alcune aree cruciali. Oggi Trustworthy Computing è per Microsoft un valore fondamentale, che guida ogni aspetto della vita aziendale. Alla base di questa iniziativa si collocano quattro concetti chiave: privacy, protezione, affidabilità e procedure aziendali. Informazioni dettagliate sul programma sono disponibili sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). Microsoft comprende perfettamente che il successo nel settore in rapida evoluzione degli Online Services dipende da sicurezza e privacy dei dati dei clienti e da disponibilità e flessibilità dei servizi offerti. L'azienda pertanto progetta e testa diligentemente applicazioni e infrastruttura sulla base di standard riconosciuti a livello internazionale per dimostrare di poter offrire tali caratteristiche unitamente alla conformità alle leggi vigenti e alle politiche interne per la sicurezza e la privacy. Come risultato, i clienti di Microsoft beneficiano di test e monitoraggio più accurati, invio automatico delle patch, economie di scala volte alla riduzione dei costi e continui miglioramenti sul piano della protezione. 7

8 Privacy Microsoft si sforza in ogni modo di proteggere la privacy e la sicurezza dei clienti, rispettando tra l'altro tutte le normative applicabili in materia di riservatezza e attenendosi scrupolosamente alle rigorose procedure in materia esposte nelle informative sulla privacy dell'azienda. Per creare un ambiente affidabile per i clienti, Microsoft sviluppa software, servizi e processi tenendo costantemente presente l'importanza della tutela della riservatezza. I team Microsoft verificano continuamente la conformità con le leggi internazionali sulla privacy e le procedure adottate dall'azienda sul piano della riservatezza derivano, in parte, proprio dalle leggi vigenti in materia in tutto il mondo. Seguendo le indicazioni della legislazione sulla privacy, l'azienda ne applica gli standard a livello internazionale. Microsoft si impegna a tutelare la sicurezza delle informazioni personali. I team che si occupano della distribuzione degli Online Services si avvalgono di un'ampia gamma di tecnologie e procedure per la sicurezza al fine di aiutare gli utenti a proteggere le informazioni personali da accesso, utilizzo o divulgazione non autorizzati. I team addetti allo sviluppo di software Microsoft applicano i principi PD3+C, definiti nel programma Security Development Lifecycle (SDL), in tutte le procedure operative e di sviluppo dell'azienda: Privacy integrata nella progettazione (Privacy by Design): Microsoft utilizza questo principio in diversi modi durante lo sviluppo, il rilascio e la gestione delle applicazioni per assicurarsi che i dati raccolti dai clienti siano finalizzati a uno scopo specifico e che i clienti ricevano tutte le informazioni necessarie per poter prendere decisioni consapevoli. Quando i dati da raccogliere sono classificati come altamente sensibili, è possibile che vengano adottate misure di sicurezza supplementari, come la crittografia durante il transito o l'archiviazione delle informazioni oppure in entrambe le fasi. Privacy di default (Privacy by Default): le soluzioni Microsoft prevedono la richiesta di autorizzazione ai clienti prima di raccogliere o trasferire dati sensibili. Una volta che l'autorizzazione è stata concessa, tali dati vengono protetti con l'ausilio di strumenti mirati come gli elenchi di controllo di accesso (ACL, Access Control List) in combinazione con meccanismi per l'autenticazione delle identità. Privacy applicata al deployment (Privacy in Deployment): Microsoft divulga i meccanismi di tutela della privacy ai clienti aziendali nell'intento di consentirgli di definire policy per la protezione e la riservatezza appropriate per i rispettivi utenti. Comunicazioni (Communications): Microsoft si sforza di coinvolgere un pubblico il più vasto possibile attraverso la pubblicazione di informative sulla privacy, white paper e altri documenti inerenti alla riservatezza. Ulteriori informazioni sull'impegno di Microsoft in materia di privacy sono disponibili nella pagina relativa alla privacy sul sito Web dell'iniziativa Trustworthy Computing di Microsoft (in inglese). 8

9 Sicurezza Microsoft ha cercato di rendere l'infrastruttura cloud aziendale sempre più flessibile in modo che potesse usufruire dei vantaggi offerti da tecnologie emergenti come la virtualizzazione. I miglioramenti apportati hanno prodotto un distacco, e quindi l'indipendenza, delle risorse informatiche dall'infrastruttura fisica comune per molti tipi di oggetti dei clienti. Se si unisce a questo il fatto che il processo di sviluppo software per le applicazioni ospitate online è spesso più agile se i rilasci sono più frequenti, il risultato è che la gestione dei rischi connessi alla protezione delle informazioni ha dovuto adattarsi per poter garantire l'esperienza Trustworthy Computing (elaborazione affidabile). Le sezioni successive di questo white paper descriveranno in che modo il team OSSC di Microsoft applica i principi base della sicurezza e gli sforzi compiuti all'interno dell'azienda per gestire i rischi nell'infrastruttura cloud di Microsoft. Spiegheranno inoltre cosa significa un approccio Defense-in-Depth alla sicurezza degli Online Services e in che modo l'ambiente di cloud computing richiede l'adozione di nuovi approcci alle misure di protezione. Programma di protezione delle informazioni Il programma di protezione delle informazioni online di Microsoft definisce le modalità operative del team OSSC. Il British Standards Institute (BSI) Management Systems America ne ha certificato la conformità agli standard ISO/IEC 27001:2005. Informazioni dettagliate sui certificati ISO/IEC 27001:2005 sono disponibili nella pagina del sito del BSI relativa ai risultati delle ricerche sulla directory certificati/client (in inglese). Il programma di protezione delle informazioni raggruppa i requisiti di sicurezza in tre domini di alto livello: amministrativo, tecnico e fisico. I criteri applicati in questi domini rappresentano le basi per la gestione dei rischi. Partendo dai controlli e dalle misure di sicurezza identificati nei domini e nelle relative sottocategorie, il programma si attiene al modello "Plan, Do, Check, Act" (Pianificare, attuare, verificare, agire) delle norme ISO/IEC27001:

10 Il team OSSC definisce più in dettaglio le quattro fasi della struttura tradizionale Plan, Do, Check, Act di un programma ISO per la protezione dei dati nel modo riportato di seguito: Plan (Pianificare) 10 a. Processi decisionali basati sui rischi: nel gestire l'assegnazione delle priorità delle attività chiave e l'allocazione delle risorse, il team OSSC elabora un piano d'azione per la sicurezza basato sulla valutazione dei rischi. Gli obiettivi aziendali e individuali incorporati in tale piano tengono conto di eventuali aggiornamenti di policy, standard operativi e controlli di sicurezza nella divisione GFS e in molti team di prodotto. b. Requisiti di documentazione: il team OSSC definisce con chiarezza le aspettative per ottenere attestazioni e certificazioni di terze parti attraverso un framework di controlli documentato. Tale framework individua i requisiti da soddisfare in modo chiaro, coerente e conciso. Do (Attuare) a. Implementazione di controlli appropriati: i team operativi e quelli addetti alla distribuzione di servizi e prodotti mettono in atto una serie di controlli basati sul piano di azione per la sicurezza. b. Applicazione dei controlli: il team OSSC implementa e applica direttamente molti controlli, ad esempio quelli utilizzati per garantire la conformità alle normative anticrimine internazionali, gestire le minacce all'infrastruttura e proteggere fisicamente i data center. Altre misure di sicurezza vengono attuate e gestite dai team operativi e da quelli addetti all'erogazione di servizi e prodotti. Check (Verificare) a. Valutazione e miglioramento: il team OSSC valuta costantemente le attività di controllo messe in atto. È possibile che, in seguito a tali verifiche, vengano aggiunti controlli supplementari o modificati quelli esistenti per assicurare che gli obiettivi definiti nelle policy di protezione delle informazioni e nel framework di controlli siano raggiunti. Act (Agire) a. Verifica dell'efficacia del programma: team interni e revisori esterni sottopongono ad analisi periodiche il programma di protezione delle informazioni per verificarne continuamente l'efficacia. b. Conformità ai requisiti: il team OSSC valuta il programma di protezione delle informazioni e il framework di controlli in rapporto agli standard e ai requisiti legislativi, normativi, aziendali e di settore applicabili al fine di identificare le aree passibili di miglioramento e verificare l'aderenza agli obiettivi definiti. I piani aziendali e tecnologici di Microsoft vengono quindi aggiornati in modo da gestire al meglio l'impatto dei cambiamenti operativi. Nessun programma di protezione può considerarsi completo se non tiene conto dell'esigenza di fornire al personale un'adeguata formazione. Microsoft si occupa di produrre ed erogare la formazione sulla sicurezza necessaria per garantire che tutti i gruppi coinvolti nella creazione, deployment, gestione e supporto degli Online Services ospitati nell'infrastruttura cloud comprendano appieno le proprie responsabilità in rapporto alle politiche aziendali di protezione delle informazioni per gli Online Services di Microsoft. Questo programma di formazione insegna i principi di riferimento chiave che vanno applicati quando si esamina ciascun livello dell'approccio Defense-in-Depth adottato da Microsoft per la protezione degli Online Services. I clienti aziendali e gli sviluppatori di software di terze parti vengono inoltre incoraggiati ad applicare gli stessi principi quando sviluppano applicazioni o distribuiscono servizi utilizzando l'infrastruttura cloud di Microsoft.

11 Processi di gestione dei rischi L'analisi e la risoluzione delle vulnerabilità di protezione all'interno di sistemi online interdipendenti sono più complesse rispetto ai sistemi IT tradizionali e possono richiedere una maggiore quantità di tempo. La gestione dei rischi e le revisioni correlate devono essere adattate all'ambiente dinamico di questi sistemi. Microsoft si avvale di procedure consolidate basate su un'esperienza di lungo corso nella distribuzione di servizi sul Web per gestire in modo adeguato questi nuovi rischi. Il personale OSSC collabora con team operativi e titolari d'azienda in molti gruppi addetti alla distribuzione di servizi e prodotti all'interno di Microsoft per debellare questi rischi. Il programma di protezione delle informazioni stabilisce i requisiti di documentazione e le procedure standard per eseguire processi decisionali continui basati sui rischi. Attraverso il programma di gestione dei rischi di protezione (SRMP, Security Risk Management Program), le valutazioni dei rischi si svolgono a vari livelli e influiscono sull'assegnazione delle priorità in aree come la pianificazione dei rilasci dei prodotti, la gestione delle policy e l'allocazione delle risorse. Ogni anno viene eseguita una valutazione completa e accurata delle minacce all'infrastruttura cloud di Microsoft, che conduce a una serie di esami e verifiche supplementari nel corso dei dodici mesi successivi. Questo lavoro costante si concentra sulle minacce potenzialmente più dannose. Procedendo in tal modo, Microsoft definisce le priorità e guida lo sviluppo di controlli di sicurezza e delle attività correlate. La metodologia SRMP valuta l'efficacia dei controlli nella gestione delle minacce con l'ausilio dei seguenti strumenti: Identificazione delle minacce e delle vulnerabilità cui l'ambiente è soggetto Calcolo dei rischi Reporting dei rischi all'interno dell'intero ambiente cloud Microsoft Risoluzione dei rischi sulla base della valutazione dell'impatto e del caso aziendale associato Test dell'efficacia degli interventi di correzione e dei rischi residui Gestione dei rischi su base regolare Gestione della continuità operativa Molte organizzazioni che stanno prendendo in considerazione l'uso di applicazioni cloud vogliono maggiori informazioni sulla disponibilità e la flessibilità dei servizi. L'hosting di applicazioni e l'archiviazione di dati in un ambiente cloud offrono nuove opzioni sul piano della disponibilità e della scalabilità dei servizi, come anche del backup e del ripristino dei dati. Il programma di continuità operativa sviluppato da Microsoft si avvale di procedure consigliate di settore per creare e adattare le funzionalità di quest'area in modo da consentire la gestione di nuove applicazioni man mano che diventano disponibili nell'ambiente cloud di Microsoft. Microsoft utilizza un processo di gestione e governance continue per garantire che venga sempre fatto tutto il necessario per identificare l'impatto di potenziali perdite, elaborare piani e strategie di ripristino di facile attuazione e assicurare la continuità di prodotti e servizi. Individuare tutte le risorse (persone, attrezzature e sistemi) di cui occorre disporre per eseguire un'attività o un processo è essenziale per approntare un piano efficace per i casi di emergenza. L'impossibilità di esaminare, gestire e testare il piano è uno dei principali rischi associati al verificarsi di una perdita dovuta a una situazione di emergenza, pertanto il programma non si limita alla semplice documentazione di procedure di ripristino. Microsoft utilizza il ciclo di vita dello sviluppo del piano di gestione della continuità operativa per creare e gestire piani di ripristino di emergenza attraverso l'implementazione di sei fasi, come mostrato nell'immagine seguente: 11

12 Microsoft affronta il ripristino di dati e servizi dopo aver completato un'analisi delle dipendenze identificando due obiettivi correlati al ripristino delle risorse: Obiettivo in termini di tempo di ripristino (RTO, Recovery Time Objective): definisce il lasso di tempo massimo in cui è possibile tollerare la perdita di un processo, una funzione o una risorsa critici prima che ne derivi un impatto gravemente negativo sull'operatività aziendale. Obiettivo in termini di punto di ripristino (RPO, Recovery Point Objective): definisce la perdita massima di dati sostenibile in caso di guasto ed è in genere concepito in termini di intervallo di tempo massimo che può trascorrere tra l'ultimo backup disponibile e il momento in cui si è verificato il guasto. Dal momento che il processo di identificazione e classificazione delle risorse è continuo, in quanto parte del processo di gestione dei rischi relativi all'infrastruttura cloud computing Microsoft, il piano di ripristino di emergenza implica che questi obiettivi possano essere applicati più tempestivamente per valutare se implementare o meno strategie di ripristino in caso di situazioni di emergenza. Microsoft convalida ulteriormente queste strategie attraverso una serie di esercitazioni che comprendono prove, test, formazione e manutenzione. 12

13 Gestione degli incidenti di sicurezza I controlli di sicurezza e i processi di gestione dei rischi che Microsoft ha messo in atto per proteggere la propria infrastruttura cloud riducono senz'altro il rischio di incidenti connessi alla sicurezza, ma sarebbe ingenuo pensare che non si verificheranno più attacchi dannosi in futuro. Il team di gestione degli incidenti di sicurezza (SIM, Security Incident Management), che fa parte dell'ossc, si occupa della risoluzione di questo tipo di problemi ed è attivo 24 ore su 24, tutti i giorni. La sua missione consiste nel valutare in modo rapido e accurato gli incidenti di sicurezza informatica in cui sono coinvolti i Microsoft Online Services e nel ridurne il rischio, comunicando chiaramente tutte le informazioni pertinenti ai dirigenti senior e ad altre parti interessate all'interno di Microsoft. Il processo di risposta agli incidenti del team SIM si articola in sei fasi: Preparazione: il personale SIM si sottopone a una formazione continua in modo da poter reagire prontamente non appena si verifica un incidente di sicurezza. Identificazione: ricercare la causa di un incidente, intenzionale o meno, spesso significa monitorare il problema e ripercorrerne le tracce attraverso più livelli all'interno dell'ambiente cloud computing Microsoft. Il team SIM collabora con membri di altri team interni Microsoft per diagnosticare l'origine di un dato incidente di sicurezza. Contenimento: una volta individuata la causa del problema, il team SIM cerca di limitarne i danni avvalendosi del supporto di tutti gli altri team necessari. Le modalità di contenimento variano in base all'impatto dell'incidente sull'azienda. Prevenzione e attenuazione dei rischi: coordinandosi con i team di distribuzione di servizi e prodotti, il gruppo SIM cerca di ridurre il rischio che l'incidente si ripresenti. Ripristino: continuando a collaborare con altri gruppi in base alle necessità, il team SIM fornisce il proprio supporto nel processo di ripristino dei servizi. Il punto della situazione: dopo la risoluzione dell'incidente di sicurezza, il gruppo SIM convoca una riunione con tutto il personale coinvolto per valutare l'accaduto e fare proprie le lezioni apprese durante il processo di risposta all'evento. Il team SIM è in grado di rilevare tempestivamente i problemi e prevenire l'interruzione dei servizi grazie alla stretta collaborazione con altri gruppi. Ad esempio, è strettamente allineato con i team operativi, compreso il Microsoft Security Response Center. Ulteriori informazioni su quest'ultimo sono disponibili alla pagina Microsoft Security Response Center (in inglese). Queste relazioni gli consentono di acquisire rapidamente una visione operativa olistica di un incidente al suo verificarsi. Il team SIM si consulta inoltre con i proprietari delle risorse per stabilire la gravità dell'incidente sulla base di un'ampia gamma di fattori, tra cui potenziali o ulteriori interruzioni dei servizi e rischi di danni alla reputazione. Conformità alle normative internazionali anticrimine Il programma OSSC di conformità alle normative internazionali anticrimine (GCC, Global Criminal Compliance) partecipa alla definizione di policy e all'erogazione della formazione nell'ambito del processo di risposta di Microsoft. Gestisce inoltre le richieste di informazioni legittime da parte dei tutori della legge. Agenti locali dislocati in diversi paesi provvedono a convalidare e, se necessario, tradurre la richiesta. Una delle ragioni per cui il GCC è considerato un 13

14 "programma di risposta ottimale" da molte autorità internazionali consiste nel fatto che mette a disposizione un portale per le forze dell'ordine che offre supporto in più lingue a membri autenticati delle forze di polizia su come inviare una richiesta legale a Microsoft. Tra gli obiettivi del programma vi è quello di offrire formazione ai professionisti delle forze dell'ordine. Il GCC forma inoltre il personale Microsoft a tutti i livelli sulle responsabilità connesse alla privacy e alla conservazione dei dati. Il lavoro di formazione interna e di definizione di policy continua a evolversi man mano che Microsoft aggiunge nuovi data center in diverse parti del mondo, estendendo quindi la portata dei requisiti normativi internazionali da soddisfare. Il GCC gioca un ruolo cruciale nella comprensione e implementazione dei processi che devono tener conto delle varie leggi internazionali e di come si applicano ai clienti privati o aziendali che si avvalgono dei Microsoft Online Services. Conformità operativa L'ambiente dei Microsoft Online Services deve soddisfare numerosi requisiti di sicurezza specifici per settore e stabiliti dagli enti governativi, oltre naturalmente a quelli definiti da Microsoft sulla base delle esigenze commerciali dell'azienda. Con la progressiva evoluzione delle attività commerciali online di Microsoft e l'introduzione di nuovi Online Services nella cloud dell'azienda, si prevede l'aggiunta di altri requisiti che potrebbero includere standard di protezione dei dati specifici per paese e regione. Il team per la conformità operativa collabora con lo staff operativo, con i team addetti alla distribuzione di prodotti e servizi e con revisori interni ed esterni per garantire la conformità di Microsoft agli obblighi normativi e agli standard pertinenti. Di seguito è riportato l'elenco di alcuni dei controlli e delle valutazioni cui l'ambiente cloud di Microsoft viene sottoposto su base regolare: Payment Card Industry Data Security Standard: richiede una revisione e una convalida annuali dei controlli di sicurezza correlati alle transazioni basate su carta di credito. Media Ratings Council: certifica la correttezza dell'elaborazione e della generazione dei dati dei sistemi di pubblicità. Sarbanes-Oxley: sistemi selezionati vengono sottoposti a controlli annualmente per verificarne la conformità con processi chiave correlati all'integrità del reporting finanziario. Health Insurance Portability and Accountability Act: definisce una serie di linee guida in materia di ripristino di emergenza, sicurezza e privacy per l'archiviazione elettronica delle cartelle cliniche. Valutazioni sulla privacy e controlli interni: si tratta di una serie di verifiche mirate che vengono eseguite nel corso di un intero anno. L'adempimento di tutti questi obblighi di controllo ha iniziato presto a rappresentare per Microsoft una sfida considerevole. In seguito a un attento esame dei requisiti, tuttavia, l'azienda ha rilevato che molte delle verifiche richieste esigevano la valutazione degli stessi processi e controlli operativi. Riconoscendo la significativa opportunità di eliminare sforzi ridondanti, ottimizzare i processi e gestire proattivamente le aspettative di conformità in maniera più esaustiva, il team OSSC ha sviluppato quindi un framework di conformità completo ed efficace. Tale framework e i processi associati si basano su una metodologia in cinque fasi illustrata nell'immagine seguente: 14

15 Identificazione e integrazione dei requisiti: in questa fase vengono definiti i controlli applicabili e l'ambito di applicazione. Nel corso della stessa, inoltre, vengono acquisiti e analizzati i documenti di processo e le procedure operative standard (SOP, Standard Operating Procedure). Valutazione e correzione delle lacune: in questa fase vengono identificate e corrette le lacune presenti nei controlli delle tecnologie o dei processi. Test dell'efficacia e valutazione dei rischi: questa fase prevede la misurazione dell'efficacia dei controlli e il reporting dei risultati ottenuti. Acquisizione di certificazioni e attestati: in questa fase vengono coinvolti revisori e autorità di certificazione di terze parti. Miglioramento e ottimizzazione: se si rilevano non conformità, le cause fondamentali vengono documentate e sottoposte a verifiche più accurate. I problemi individuati vengono inoltre monitorati fino alla completa risoluzione. Questa fase prevede anche ulteriori sforzi per ottimizzare i controlli tra i domini di sicurezza in modo da aumentare il livello di efficienza per superare future verifiche e revisioni per l'acquisizione di certificazioni. Uno dei successi derivati dall'implementazione di questo programma consiste nel fatto che l'infrastruttura cloud di Microsoft ha ottenuto sia gli attestati SAS 70 Tipo I e Tipo II che la certificazione ISO/IEC 27001:2005. Tale risultato è una chiara dimostrazione dell'impegno di Microsoft a fornire un'infrastruttura di cloud computing sicura e affidabile in quanto: 15 Il certificato ISO/IEC 27001:2005 riconosce che Microsoft ha implementato i controlli per la protezione delle informazioni approvati a livello internazionale che sono definiti in questo standard e Gli attestati SAS 70 provano la volontà di Microsoft di acconsentire all'esame dei programmi di sicurezza interni da parte di revisori esterni.

16 Approccio Defense-in-Depth L'adozione di un approccio Defense-in-Depth è fondamentale per Microsoft ai fini di poter offrire un'infrastruttura cloud affidabile. L'applicazione di controlli a più livelli richiede l'impiego di meccanismi di protezione, lo sviluppo di strategie di attenuazione dei rischi e la capacità di rispondere a eventuali attacchi non appena si verificano. L'utilizzo di più misure di sicurezza più o meno rigorose, a seconda della sensibilità della risorsa protetta, produce una maggiore capacità di prevenire possibili violazioni o ridurre l'impatto di un incidente di sicurezza. L'avvento del cloud computing non mette in discussione la validità del principio che la rigorosità dei controlli dipende dalla sensibilità della risorsa, né la sua essenzialità per un'efficace gestione dei rischi connessi alla sicurezza. Il fatto che in un ambiente di cloud computing la maggior parte delle risorse possa essere virtualizzata comporta delle variazioni nell'analisi del rischio e nelle modalità di applicazione dei controlli di sicurezza ai livelli di Defense-in-Depth tradizionali (fisico, rete, dati, accesso alle identità, autorizzazione e autenticazione degli accessi e host). Gli Online Services, compresi i servizi di infrastruttura e di piattaforma forniti dalla divisione GFS, sfruttano le tecnologie di virtualizzazione. Pertanto, i clienti che utilizzano servizi ospitati nella cloud di Microsoft possono disporre di risorse che non è più possibile associare facilmente a una presenza fisica. I dati possono essere archiviati virtualmente e distribuiti a più destinazioni. Ciò significa che l'identificazione dei controlli di sicurezza e la definizione delle modalità di utilizzo di tali controlli per implementare un approccio a più livelli per la protezione delle risorse devono evolversi. Naturalmente, è comunque necessario mettere in atto misure per la sicurezza fisica e di rete. Tuttavia, il punto focale della gestione dei rischi si sposta maggiormente verso il livello degli oggetti, verso gli elementi in uso nell'ambiente cloud, ad esempio i contenitori per l'archiviazione dei dati statici o dinamici, gli oggetti macchina virtuale e gli ambienti di runtime in cui vengono eseguiti i calcoli. I vari controlli in atto utilizzano numerosi dispositivi e metodi di protezione fisica e di rete tradizionali per garantire che l'entità, sia essa una persona che vuole accedere a un data center oppure un processo che richiede l'accesso a dati di clienti archiviati dinamicamente nell'ambiente cloud di Microsoft, sia autentica e autorizzata per l'accesso richiesto. Vengono inoltre implementate alcune misure specifiche per assicurare che i server e le istanze dei sistemi operativi in esecuzione nell'infrastruttura cloud di Microsoft siano protetti da possibili attacchi. Questa sezione offre una panoramica di alcuni dei processi e controlli che Microsoft utilizza per gestire la sicurezza di data center, comunicazioni e hardware di rete e host di servizi. Protezione fisica L'impiego di sistemi tecnici per automatizzare l'autorizzazione per l'accesso e l'autenticazione per alcune misure di sicurezza è uno dei modi in cui la protezione fisica è cambiata in seguito al progresso delle tecnologie di sicurezza. Un altro è il passaggio dall'uso di applicazioni enterprise tradizionali, distribuite su hardware e software fisicamente posizionati all'interno dell'azienda, all'uso di Software as a Service e Software plus Services. A questi cambiamenti è necessario che se ne accompagnino altri nel modo in cui le aziende garantiscono la protezione delle proprie risorse. Il team OSSC gestisce la protezione fisica di tutti i data center di Microsoft, che è essenziale per assicurare l'operatività costante delle strutture e tutelare i dati dei clienti. Per ogni struttura vengono utilizzate procedure consolidate e precise nella progettazione e nelle operazioni relative alla sicurezza. Microsoft garantisce la creazione di perimetri interni ed esterni con crescenti controlli ad ogni livello perimetrale. Il sistema di sicurezza applica l'uso combinato di soluzioni tecnologiche, tra cui fotocamere, dispositivi biometrici, lettori di schede e allarmi, con misure di sicurezza tradizionali quali lucchetti e chiavi. I controlli operativi vengono integrati per 16

17 agevolare il monitoraggio automatizzato e la generazione di notifiche tempestive in caso di violazione o problemi. Inoltre, garantiscono la responsabilità attraverso la distribuzione di documentazione verificabile relativa al programma di sicurezza fisica del data center. L'elenco seguente fornisce ulteriori esempi di come Microsoft applica i controlli sulla sicurezza fisica: Limitazione degli accessi al personale dei data center: Microsoft fornisce i requisiti di sicurezza in base ai quali vengono esaminati gli appaltatori e i dipendenti dei data center. Oltre alle clausole contrattuali relative al personale del sito, un ulteriore livello di sicurezza all'interno del data center viene applicato al personale impegnato nella gestione della struttura. L'accesso viene limitato applicando una politica di privilegi minimi, in modo tale da autorizzare la gestione dei servizi e delle applicazioni dei clienti solo al personale essenziale. Gestione dei requisiti di dati con elevato impatto sulle aziende: Microsoft ha sviluppato requisiti minimi più rigorosi per le risorse classificate come altamente sensibili rispetto a quelle di scarsa o moderata sensibilità all'interno dei data center utilizzati per fornire gli online service. I protocolli di sicurezza standard relativi a identificazione, token di accesso e registrazione e sorveglianza degli ingressi al sito definiscono chiaramente il tipo di autenticazione necessaria. In caso di accesso a risorse altamente sensibili, è richiesta un'autenticazione a più fattori. Centralizzazione della gestione degli accessi alle risorse fisiche: mentre Microsoft continua a espandere il numero dei data center utilizzati per offrire Online Services, è stato sviluppato uno strumento per gestire il controllo degli accessi alle risorse fisiche che fornisce anche record verificabili attraverso la centralizzazione del flusso di lavoro del processo di richiesta, approvazione e accesso ai data center. Questo strumento opera utilizzando il principio in base al quale occorre offrire il livello di accesso più basso possibile e integra il flusso di lavoro per ottenere l'approvazione di più parti di autorizzazione. È configurabile in base alle condizioni del sito e garantisce un accesso più efficace ai dettagli cronologici per la segnalazione e la conformità con i controlli. Protezione della rete Microsoft applica molteplici livelli di protezione, a seconda dei casi, ai dispositivi dei data center e alle connessioni di rete. Ad esempio, i controlli di sicurezza vengono utilizzati sia sui piani di gestione sia sui piani di controllo. L'hardware specializzato, ad esempio servizi di bilanciamento del carico, firewall e dispositivi di prevenzione delle intrusioni, è attualmente in uso per la gestione degli attacchi Denial of Service (DoS) basati sul volume. I team di gestione della rete applicano, a seconda dei casi, elenchi di controllo di accesso a più livelli (ACL) ad applicazioni e reti locali virtuali segmentate (VLAN). Attraverso l'hardware di rete, Microsoft utilizza le funzioni gateway delle applicazioni per effettuare un controllo approfondito dei pacchetti e intraprendere azioni quali l'invio di allarmi basati sul traffico di rete sospetto o in grado di bloccare tale traffico. Un'infrastruttura DNS interna ed esterna globalmente ridondante è attualmente in uso per l'ambiente cloud di Microsoft. La ridondanza prevede la tolleranza di errore ed è ottenuta attraverso il clustering dei server DNS. Ulteriori controlli riducono gli attacchi Denial of Service (DDoS) distribuiti e gli attacchi di inquinamento e poisoning della cache. Ad esempio, gli ACL all'interno dei server e delle aree DNS limitano l'accesso in scrittura ai record DNS al solo personale autorizzato. Le nuove funzionalità di protezione del software DNS sicuro più recente, come la randomizzazione degli identificativi di query, vengono utilizzate su tutti i server DNS. I cluster DNS vengono continuamente monitorati per rilevare i software non autorizzati e le modifiche alla configurazione dell'area DNS, nonché altri eventi di servizio dannosi. L'infrastruttura DNS fa parte della rete Internet collegata a livello globale e per la fornitura di questo servizio è richiesta la partecipazione di numerose organizzazioni. Microsoft prende parte a molte di queste organizzazioni, tra cui il DNS Operations Analysis and Research Consortium (DNS-OARC), che comprende esperti DNS di tutto il mondo. 17

18 Protezione dei dati Microsoft classifica le risorse in modo tale da determinare la portata dei controlli di sicurezza da applicare. Le categorie tengono conto del potenziale relativo ai danni alla reputazione e finanziari, nel caso in cui la risorsa venga coinvolta in un incidente correlato alla sicurezza. Una volta classificata la risorsa, viene adottato un approccio approfondito alla protezione per determinare quali misure sono necessarie. Ad esempio, le risorse dati che rientrano nella categoria degli impatti moderati sono soggette ai requisiti di crittografia quando risiedono su supporti rimovibili o quando sono coinvolte in trasferimenti su reti esterne. Oltre a tali requisiti, i dati a impatto elevato sono soggetti anche ai requisiti di crittografia per l'archiviazione e i trasferimenti su reti e sistemi interni. I prodotti Microsoft devono rispettare le norme di crittografia SDL, che elencano gli algoritmi di crittografia accettabili e non accettabili. Ad esempio, per la crittografia simmetrica sono necessarie chiavi lunghe più di 128 bit. Quando si utilizzano algoritmi asimmetrici, sono necessarie chiavi lunghe almeno bit. Gestione dell'identità e degli accessi Per la gestione degli accessi alle risorse, Microsoft utilizza un modello "need-to-know" basato su una politica di privilegi minimi. Ove possibile, i controlli degli accessi basati sui ruoli vengono utilizzati per allocare l'accesso logico a specifiche funzioni lavorative o aree di responsabilità, piuttosto che a singoli utenti. Tali criteri impongono che l'accesso che non sia stato esplicitamente concesso dal titolare della risorsa sulla base di un requisito aziendale identificato venga negato per impostazione predefinita. Per ottenere l'accesso, i singoli utenti che dispongono dell'autorizzazione ad accedere a qualsiasi risorsa devono utilizzare le misure opportune. Le risorse altamente sensibili richiedono un'autenticazione a più fattori, che includono password, token hardware, smart card e dispositivi biometrici. La riconciliazione degli account utente a fronte delle autorizzazioni all'utilizzo si verifica su base continuativa per garantire che l'utilizzo di una risorsa sia adeguato e necessario per completare una determinata attività. Gli account che non necessitano più di un accesso a una data risorsa vengono disattivati. Sicurezza delle applicazioni La sicurezza delle applicazioni è un elemento chiave nell'approccio di Microsoft alla protezione del suo ambiente cloud computing. Le rigide procedure di sicurezza impiegate dai team di sviluppo Microsoft sono state formalizzate nel 2004 in un processo denominato Security Development Lifecycle (SDL). Il processo SDL è una metodologia di sviluppo agnostica ed è completamente integrato con il ciclo di sviluppo delle applicazioni, dalla progettazione alla risposta, e non sostituisce le metodologie di sviluppo software quali Waterfall o Agile. Varie fasi del processo SDL sottolineano l'istruzione e la formazione e richiedono che a ogni fase dello sviluppo software vengano opportunamente applicati processi e attività specifici. La leadership senior all'interno di Microsoft continua a sostenere il mandato in base al quale il processo SDL debba essere applicato durante il processo di sviluppo dei prodotti Microsoft, inclusa la distribuzione degli Online Services. L'OSSC svolge un ruolo fondamentale nel garantire che il processo SDL venga e continui ad essere applicato alla creazione delle applicazioni da ospitare nell'infrastruttura cloud di Microsoft. 18

19 Il processo SDL è rappresentato nella seguente illustrazione: A partire dalla fase dei requisiti, il processo SDL prevede una serie di attività specifiche quando lo si considera unitamente allo sviluppo delle applicazioni da ospitare nella cloud di Microsoft: Requisiti: l'obiettivo primario in questa fase consiste nell'individuare gli obiettivi di sicurezza principali e massimizzare in altro modo la protezione del software, riducendo al tempo stesso l'interruzione dei programmi, delle pianificazioni e dell'usabilità dei clienti. Quando si ha a che fare con applicazioni in hosting, questa attività potrebbe includere una discussione operativa improntata sulla definizione di come il servizio utilizzerà le connessioni di rete e il trasporto dei messaggi. Progettazione: le misure di sicurezza critiche in questa fase includono la documentazione della superficie potenziale di attacco e la gestione della modellazione delle minacce. Come per la fase dei requisiti, i criteri ambientali potrebbero essere identificati quando si passa attraverso questo processo per un'applicazione in hosting. Implementazione: in questa fase vengono effettuati la codifica e i test. Durante l'implementazione, impedire la creazione di un codice con vulnerabilità di protezione e intraprendere azioni per eliminare tali problemi, se presenti, costituiscono le procedure principali. Verifica: la fase beta ha luogo quando nuove applicazioni sono considerate funzionalmente complete. Durante questa fase, viene rivolta particolare attenzione alla determinazione dei rischi di sicurezza presenti quando l'applicazione viene implementata in uno scenario realistico e di quali misure adottare per eliminare o ridurre tali rischi. Rilascio: la revisione di sicurezza finale (FSR, Final Security Review) viene effettuata durante questa fase. Se necessario, viene effettuata una revisione di sicurezza operativa (OSR, Operational Security Review) anche prima che la nuova applicazione possa essere rilasciata all'interno dell'ambiente cloud di Microsoft. Risposta: per l'ambiente cloud di Microsoft, il team SIM si assume l'incarico di gestire gli incidenti correlati alla sicurezza e collabora a stretto contatto con i team per la distribuzione di servizi e prodotti e i membri del Microsoft Security Response Center per selezionare, ricercare e rimediare agli incidenti segnalati. Per ulteriori informazioni sul processo SDL, consultare la pagina Microsoft Security Development Lifecycle (SDL) (in inglese). L'OSSC gestisce il processo FSR (una revisione SDL obbligatoria) per i Microsoft Online Services per garantire che siano stati soddisfatti i requisiti di sicurezza opportuni prima che le nuove applicazioni vengano implementate 19

20 nell'infrastruttura cloud di Microsoft. Il processo FSR consiste nella revisione della conformità di un team al processo SDL nel corso dello sviluppo. Durante il processo FSR, l'ossc gestisce le seguenti attività: Coordinamento del team di prodotto: il team di sviluppo dei prodotti deve completare questionari e altri documenti. Tali informazioni vengono utilizzate dall'ossc per garantire che il processo SDL sia stato applicato correttamente durante lo sviluppo. Revisione dei modelli di minaccia: Microsoft ritiene che i modelli di minaccia siano essenziali per lo sviluppo di un software sicuro. L'OSSC analizza i modelli di minaccia prodotti dai rispettivi team per verificare che siano completi e aggiornati. Come parte di questa revisione, viene attuata anche la convalida dell'implementazione dei controlli di prevenzione necessari per affrontare tutti i rischi identificati. Revisione dei bug di sicurezza: tutti i bug identificati durante la progettazione, lo sviluppo e i test vengono rivisti per garantire che i bug che avranno un impatto sulla protezione o la riservatezza dei dati dei clienti vengano risolti. Convalida dell'utilizzo degli strumenti: come parte del processo di sviluppo, i team di test e sviluppo Microsoft utilizzano strumenti di sicurezza software e procedure e modelli di codice documentati. In questo modo, attraverso l'eliminazione delle vulnerabilità comuni, è possibile migliorare notevolmente la sicurezza software. L'OSSC garantisce che i team di prodotto abbiano correttamente e adeguatamente fatto uso degli strumenti, le procedure, i modelli e i codici documentati messi a loro disposizione. Oltre a gestire il processo FSR, l'ossc gestisce anche un processo denominato OSR (Operational Security Review, revisione di sicurezza operativa). L'OSR consiste nella revisione delle comunicazioni di rete associate, delle piattaforme, della configurazione del sistema e delle funzionalità di monitoraggio a fronte dei riferimenti e degli standard di sicurezza stabiliti. Il processo OSR garantisce che nell'ambito dei piani operativi vengano integrati i controlli di sicurezza adeguati, prima che venga concessa l'autorizzazione all'implementazione all'interno dell'infrastruttura cloud. Controlli e report della sicurezza host La complessità e le crescenti dimensioni ambientali devono essere correttamente gestite al fine di offrire servizi di patch, affidabili, efficienti e sicuri. La scansione giornaliera delle risorse dell'infrastruttura fornisce il panorama corrente delle vulnerabilità del sistema host e consente all'ossc di lavorare in collaborazione con gruppi di distribuzione di prodotti e servizi per la gestione dei rischi associati senza causare interruzioni eccessive delle operazioni degli Online Services di Microsoft. I test di penetrazione effettuati dalle parti interne ed esterne offrono un quadro importante dell'efficacia dei controlli di sicurezza per l'infrastruttura cloud di Microsoft. L'esito di tali revisioni e valutazioni in itinere dei controlli risultanti viene utilizzato nella successiva operazione di scansione, monitoraggio e impegno di risanamento dei rischi. L'implementazione automatizzata delle immagini dei sistemi operativi standard irrobustiti, unitamente all'utilizzo attivo dei controlli delle policy host, come la funzionalità Group Policy, consente a Microsoft di controllare l'aggiunta dei server alla propria infrastruttura cloud. Una volta implementati, il programma di gestione delle patch e i processi operativi di revisione di Microsoft forniscono una crescente riduzione dei rischi di sicurezza nei sistemi host. 20

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

PLM Software. Answers for industry. Siemens PLM Software

PLM Software. Answers for industry. Siemens PLM Software Siemens PLM Software Monitoraggio e reporting delle prestazioni di prodotti e programmi Sfruttare le funzionalità di reporting e analisi delle soluzioni PLM per gestire in modo più efficace i complessi

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

La piattaforma IBM Cognos

La piattaforma IBM Cognos La piattaforma IBM Cognos Fornire informazioni complete, coerenti e puntuali a tutti gli utenti, con una soluzione economicamente scalabile Caratteristiche principali Accedere a tutte le informazioni in

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis 2 Intervento immediato con Bosch Intelligent Video Analysis Indipendentemente da quante telecamere il sistema utilizza, la sorveglianza

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita;

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita; .netbin. è un potentissimo strumento SVILUPPATO DA GIEMME INFORMATICA di analisi dei dati con esposizione dei dati in forma numerica e grafica con un interfaccia visuale di facile utilizzo, organizzata

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

Webinar: Cloud Computing e Pubblica Amministrazione

Webinar: Cloud Computing e Pubblica Amministrazione Webinar: Cloud Computing e Pubblica Amministrazione Forum PA Webinar, 21 luglio 2015 Parleremo di: Il Gruppo e il network di Data Center Panoramica sul Cloud Computing Success Case: Regione Basilicata

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

G.U. 11 luglio 2002, n. 161 IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

G.U. 11 luglio 2002, n. 161 IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Direttiva del Presidente del Consiglio dei Ministri 30 maggio 2002 Conoscenza e uso del dominio internet ".gov.it" e l'efficace interazione del portale nazionale "italia.gov.it" con le IL PRESIDENTE DEL

Dettagli

Guida alle offerte di finanziamento per le medie imprese

Guida alle offerte di finanziamento per le medie imprese IBM Global Financing Guida alle offerte di finanziamento per le medie imprese Realizzata da IBM Global Financing ibm.com/financing/it Guida alle offerte di finanziamento per le medie imprese La gestione

Dettagli

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni:

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni: Passepartout Mexal BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

IT-BOOK. Domini Hosting Web marketing E-mail e PEC

IT-BOOK. Domini Hosting Web marketing E-mail e PEC 5 giugno 09 IT-BOOK Configurazioni e cartatteristiche tecniche possono essere soggette a variazioni senza preavviso. Tutti i marchi citati sono registrati dai rispettivi proprietari. Non gettare per terra:

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

Sizing di un infrastruttura server con VMware

Sizing di un infrastruttura server con VMware Sizing di un infrastruttura server con VMware v1.1 Matteo Cappelli Vediamo una serie di best practices per progettare e dimensionare un infrastruttura di server virtuali con VMware vsphere 5.0. Innanzitutto

Dettagli

Servizi di supporto Enterprise Symantec: Manuale per Essential Support e Basic Maintenance

Servizi di supporto Enterprise Symantec: Manuale per Essential Support e Basic Maintenance Servizi di supporto Enterprise Symantec: Manuale per Essential Support e Basic Maintenance Manuale dei servizi di supporto Enterprise Symantec per Essential Support e Basic Maintenance Note legali Copyright

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi Analisi per tutti Considerazioni principali Soddisfare le esigenze di una vasta gamma di utenti con analisi semplici e avanzate Coinvolgere le persone giuste nei processi decisionali Consentire l'analisi

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza.

Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza. Condizioni di utilizzo aggiuntive di Acrobat.com Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza. SERVIZI ONLINE ADOBE RESI DISPONIBILI SU

Dettagli

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guida introduttiva

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guida introduttiva Acronis Backup & Recovery 10 Advanced Server Virtual Edition Guida introduttiva Questo documento descrive come installare e iniziare a utilizzare Acronis Backup & Recovery 10 Advanced Server Virtual Edition.

Dettagli

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità PASSEPARTOUT MEXAL BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it ISO 9001: 2008 Profilo Aziendale METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it Sede legale: * Viale Brodolini, 117-60044 - Fabriano (AN) - Tel. 0732.251856 Sede amministrativa:

Dettagli

Cloud computing: indicazioni per l utilizzo consapevole dei servizi

Cloud computing: indicazioni per l utilizzo consapevole dei servizi Cloud computing Cloud computing: indicazioni per l utilizzo consapevole dei servizi Schede di documentazione www.garanteprivacy.it Cloud computing: indicazioni per l utilizzo consapevole dei servizi INDICE

Dettagli

Per questa ragione il nostro sforzo si è concentrato sugli aspetti elencati qui di seguito:

Per questa ragione il nostro sforzo si è concentrato sugli aspetti elencati qui di seguito: Autore : Giulio Martino IT Security, Network and Voice Manager Technical Writer e Supporter di ISAServer.it www.isaserver.it www.ocsserver.it www.voipexperts.it - blogs.dotnethell.it/isacab giulio.martino@isaserver.it

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione Piazza delle Imprese alimentari Viale delle Manifatture Via della Produzione PASSEPARTOUT MEXAL è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

Gestire le informazioni con un sorriso sulle labbra

Gestire le informazioni con un sorriso sulle labbra Gestire le informazioni con un sorriso sulle labbra Enterprise Content Management vi semplifica la vita Enterprise-Content-Management Gestione dei documenti Archiviazione Workflow www.elo.com Karl Heinz

Dettagli

V I V E R E L ' E C C E L L E N Z A

V I V E R E L ' E C C E L L E N Z A VIVERE L'ECCELLENZA L'ECCELLENZA PLURIMA Le domande, come le risposte, cambiano. Gli obiettivi restano, quelli dell eccellenza. 1995-2015 Venti anni di successi dal primo contratto sottoscritto con l Istituto

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

Software per l archiviazione e la gestione conforme delle email

Software per l archiviazione e la gestione conforme delle email MailStore Server 7 Software per l archiviazione e la gestione conforme delle email MailStore Server Lo standard nell archiviazione delle email MailStore Server consente alle aziende di trarre tutti i vantaggi

Dettagli

Acronis Backup & Recovery 11. Affidabilità dei dati un requisito essenziale

Acronis Backup & Recovery 11. Affidabilità dei dati un requisito essenziale Protezio Protezione Protezione Protezione di tutti i dati in ogni momento Acronis Backup & Recovery 11 Affidabilità dei dati un requisito essenziale I dati sono molto più che una serie di uno e zero. Sono

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Per risparmiare tempo, finanze e risorse digitalizzando i documenti cartacei. Presentazione della soluzione

Per risparmiare tempo, finanze e risorse digitalizzando i documenti cartacei. Presentazione della soluzione Scheda Software HP Digital Sending (DSS) 5.0 Per risparmiare tempo, finanze e risorse digitalizzando i documenti cartacei Presentazione della soluzione Rendendo più fluida la gestione di documenti e dati,

Dettagli

CORPORATE OVERVIEW. www.akhela.com

CORPORATE OVERVIEW. www.akhela.com CORPORATE OVERVIEW www.akhela.com BRIDGE THE GAP CORPORATE OVERVIEW Bridge the gap Akhela è un azienda IT innovativa che offre al mercato servizi e soluzioni Cloud Based che aiutano le aziende a colmare

Dettagli

GESTIONE DELLA E-MAIL

GESTIONE DELLA E-MAIL GESTIONE DELLA E-MAIL Esistono due metodologie, completamente diverse tra loro, in grado di consentire la gestione di più caselle di Posta Elettronica: 1. tramite un'interfaccia Web Mail; 2. tramite alcuni

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali. Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica

Dettagli

DALLA RICERCA & SVILUPPO SIAV. Ecco i prodotti e le applicazioni. per innovare le imprese italiane

DALLA RICERCA & SVILUPPO SIAV. Ecco i prodotti e le applicazioni. per innovare le imprese italiane Comunicato stampa aprile 2015 DALLA RICERCA & SVILUPPO SIAV Ecco i prodotti e le applicazioni per innovare le imprese italiane Rubàno (PD). Core business di, nota sul mercato ECM per la piattaforma Archiflow,

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Micro Focus. Benvenuti nell'assistenza clienti

Micro Focus. Benvenuti nell'assistenza clienti Micro Focus Benvenuti nell'assistenza clienti Contenuti Benvenuti nell'assistenza clienti di Micro Focus... 2 I nostri servizi... 3 Informazioni preliminari... 3 Consegna del prodotto per via elettronica...

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

Cinque best practice per amministratori VMware: Microsoft Exchange su VMware

Cinque best practice per amministratori VMware: Microsoft Exchange su VMware Cinque best practice per amministratori VMware: Microsoft Exchange su VMware Scott Lowe Founder and Managing Consultant del 1610 Group Modern Data Protection Built for Virtualization Introduzione C è stato

Dettagli

I N F I N I T Y Z U C C H E T T I WORKFLOW HR

I N F I N I T Y Z U C C H E T T I WORKFLOW HR I N F I N I T Y Z U C C H E T T I WORKFLOW HR WORKFLOW HR Zucchetti, nell ambito delle proprie soluzioni per la gestione del personale, ha realizzato una serie di moduli di Workflow in grado di informatizzare

Dettagli

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu ALL INTERNO DEL FIREWALL: ENI 2.0 Il modo di lavorare è soggetto a rapidi cambiamenti; pertanto le aziende che adottano nuovi tool che consentono uno scambio di informazioni contestuale, rapido e semplificato

Dettagli

CENTRO OCSE LEED DI TRENTO PER LO SVILUPPO LOCALE

CENTRO OCSE LEED DI TRENTO PER LO SVILUPPO LOCALE CENTRO OCSE LEED DI TRENTO PER LO SVILUPPO LOCALE BROCHURE INFORMATIVA 2013-2015 L Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) è un organizzazione inter-governativa e multi-disciplinare

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

La suite Dental Trey che semplifica il tuo mondo.

La suite Dental Trey che semplifica il tuo mondo. La suite Dental Trey che semplifica il tuo mondo. impostazioni di sistema postazione clinica studio privato sterilizzazione magazzino segreteria amministrazione sala di attesa caratteristiche UNO tiene

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

Guida dell'utente di Norton Save and Restore

Guida dell'utente di Norton Save and Restore Guida dell'utente Guida dell'utente di Norton Save and Restore Il software descritto in questo manuale viene fornito con contratto di licenza e può essere utilizzato solo in conformità con i termini del

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Arcserve Replication and High Availability

Arcserve Replication and High Availability Arcserve Replication and High Availability Guida operativa per Oracle Server per Windows r16.5 La presente documentazione, che include il sistema di guida in linea integrato e materiale distribuibile elettronicamente

Dettagli

Citrix XenDesktop rende più facile la migrazione a Windows 7/8.1

Citrix XenDesktop rende più facile la migrazione a Windows 7/8.1 White paper Citrix XenDesktop rende più facile la migrazione a Windows 7/8.1 Di Mark Bowker, analista senior Ottobre 2013 Il presente white paper di ESG è stato commissionato da Citrix ed è distribuito

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Carta di servizi per il Protocollo Informatico

Carta di servizi per il Protocollo Informatico Carta di servizi per il Protocollo Informatico Codice progetto: Descrizione: PI-RM3 Implementazione del Protocollo informatico nell'ateneo Roma Tre Indice ARTICOLO 1 - SCOPO DEL CARTA DI SERVIZI...2 ARTICOLO

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

DNS cache poisoning e Bind

DNS cache poisoning e Bind ICT Security n. 19, Gennaio 2004 p. 1 di 5 DNS cache poisoning e Bind Il Domain Name System è fondamentale per l'accesso a internet in quanto risolve i nomi degli host nei corrispondenti numeri IP. Se

Dettagli

Ottimizzare gli sconti per incrementare i profitti

Ottimizzare gli sconti per incrementare i profitti Ottimizzare gli sconti per incrementare i profitti Come gestire la scontistica per massimizzare la marginalità di Danilo Zatta www.simon-kucher.com 1 Il profitto aziendale è dato da tre leve: prezzo per

Dettagli

2013 Skebby. Tutti i diritti riservati.

2013 Skebby. Tutti i diritti riservati. Disclaimer: "# $%&'(&)'%# *("# +,(-(&'(# *%$).(&'%#,/++,(-(&'/# 0"#.(1"0%# *(""20&3%,./40%&(# /# &%-',/# disposizione. Abbiamo fatto del nostro meglio per assicurare accuratezza e correttezza delle informazioni

Dettagli

Caratteristiche fondamentali dei server di posta

Caratteristiche fondamentali dei server di posta Caratteristiche fondamentali dei server di posta Una semplice e pratica guida alla valutazione della soluzione più idonea alle esigenze delle piccole e medie imprese Introduzione... 2 Caratteristiche da

Dettagli

Gestire le comunicazione aziendali con software Open Source

Gestire le comunicazione aziendali con software Open Source Gestire le comunicazione aziendali con software Open Source Data: Ottobre 2012 Firewall pfsense Mail Server Zimbra Centralino Telefonico Asterisk e FreePBX Fax Server centralizzato Hylafax ed Avantfax

Dettagli

DAT@GON. Gestione Gare e Offerte

DAT@GON. Gestione Gare e Offerte DAT@GON Gestione Gare e Offerte DAT@GON partecipare e vincere nel settore pubblico La soluzione sviluppata da Revorg per il settore farmaceutico, diagnostico e di strumentazione medicale, copre l intero

Dettagli

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Data Sheet IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Panoramica Le medie aziende devono migliorare nettamente le loro capacità

Dettagli

Regolamento per l'accesso alla rete Indice

Regolamento per l'accesso alla rete Indice Regolamento per l'accesso alla rete Indice 1 Accesso...2 2 Applicazione...2 3 Responsabilità...2 4 Dati personali...2 5 Attività commerciali...2 6 Regole di comportamento...3 7 Sicurezza del sistema...3

Dettagli

Qualora il licenziatario si attenga alle condizioni del presente contratto di licenza, disporrà dei seguenti diritti per ogni licenza acquistata.

Qualora il licenziatario si attenga alle condizioni del presente contratto di licenza, disporrà dei seguenti diritti per ogni licenza acquistata. CONTRATTO DI LICENZA PER IL SOFTWARE MICROSOFT WINDOWS VISTA HOME BASIC WINDOWS VISTA HOME PREMIUM WINDOWS VISTA ULTIMATE Le presenti condizioni di licenza costituiscono il contratto tra Microsoft Corporation

Dettagli

Manuale di sopravvivenza per CIO: convergenza di collaborazione, cloud e client

Manuale di sopravvivenza per CIO: convergenza di collaborazione, cloud e client Manuale di sopravvivenza per CIO: convergenza di collaborazione, cloud e client I CIO più esperti possono sfruttare le tecnologie di oggi per formare interi che sono più grandi della somma delle parti.

Dettagli

Mobile Messaging SMS. Copyright 2015 VOLA S.p.A.

Mobile Messaging SMS. Copyright 2015 VOLA S.p.A. Mobile Messaging SMS Copyright 2015 VOLA S.p.A. INDICE Mobile Messaging SMS. 2 SMS e sistemi aziendali.. 2 Creare campagne di mobile marketing con i servizi Vola SMS.. 3 VOLASMS per inviare SMS da web..

Dettagli

CA Business Intelligence

CA Business Intelligence CA Business Intelligence Guida all'implementazione Versione 03.2.00 La presente documentazione ed ogni relativo programma software di ausilio (di seguito definiti "Documentazione") vengono forniti unicamente

Dettagli