Funzionalità IO: processo di protezione - dal livello Base al livello Standard
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: criteri di protezione, valutazione dei rischi, risposta ai problemi e protezione dei dati
Checkpoint: criteri di protezione, valutazione dei rischi, risposta ai problemi e protezione dei dati
Introduzione
Il processo di protezione è un elemento chiave dell'ottimizzazione dell'infrastruttura. La protezione deve far parte dei criteri di progettazione per tutte le procedure e le tecnologie evidenziate dal modello di ottimizzazione dell'infrastruttura. Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Standard nel processo di protezione.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali I sistemi sono complessi, non compatibili, costosi e forniscono servizi limitati all'organizzazione Sfide IT Assenza di servizi remoti o basati sul Web coerenti o protetti Mancanza di criteri di protezione standard Identificazione non coerente dei dispositivi connessi alla rete Numero limitato di criteri IT e processi automatici disponibili |
Progetti Sviluppare processi coerenti per identificare e risolvere i problemi di protezione su tutti i dispositivi connessi alla rete Sviluppare una conformità dei criteri di protezione coerenti su tutti i dispositivi connessi alla rete Passare alle versioni recenti del sistema operativo e dell'infrastruttura Pianificare la valutazione del software in uso per garantire che soddisfi i requisiti di sistema |
Vantaggi per l'azienda Gli utenti finali dispongono di un contratto di servizio e di un contatto a cui rivolgersi per risolvere gli eventuali problemi riscontrati, aumentando la produttività dei collaboratori Vantaggi IT I livelli di rischio per la protezione sono noti e gestiti La risposta agli imprevisti è più prevedibile ed efficace I dati e i dispositivi sono più protetti grazie alle misure di protezione preventive |
Il livello Standard di ottimizzazione richiede che l'organizzazione disponga di procedure definite per la gestione dei rischi, la gestione e la risposta agli imprevisti e la verifica delle applicazioni.
Requisito: criteri di protezione, valutazione dei rischi, risposta ai problemi e protezione dei dati
Target
È necessario leggere questa sezione nel caso in cui non siano stati attuati piani per i criteri di protezione, la valutazione dei rischi, la risposta ai problemi e la protezione dei dati.
Panoramica
Molte organizzazioni sono a conoscenza di quanto sia importante proteggere i dati e le risorse dalle perdite o dai danni dovuti al furto, all'errore umano o del computer, a intenti dannosi o a numerosi altri eventi. È possibile compiere alcune azioni per limitare le possibilità che si verifichino perdite o danni. Possono anche essere stabiliti criteri e procedure per rispondere e ridurre al minimo gli effetti derivanti dalle perdite o dai danni all'ambiente IT.
Fase 1: valutazione
La fase di valutazione deve stabilire i requisiti di protezione per l'organizzazione e identificare i processi attualmente disponibili. I requisiti di protezione possono variare drasticamente da società a società o da istituzione a istituzione in base, ad esempio, alle dimensioni, al settore o al campo oppure alle leggi regionali o alle normative. Raccogliendo i requisiti richiesti dalla propria organizzazione, sarà possibile definire un processo di protezione appropriato.
Fase 2: identificazione
Durante la fase di identificazione, verranno esaminati gli strumenti e le procedure attualmente disponibili e stabiliti i requisiti di protezione adatti per l'organizzazione. Durante questa fase, verranno raccolti i criteri di protezione impliciti o applicati, oltre ai componenti tecnologici già in uso o a disposizione. Verranno anche raccolti requisiti esterni in base alle leggi o alle normative del proprio paese o del proprio settore.
Fase 3: stima e pianificazione
Il passaggio dalla fase di stima e pianificazione al livello Standard di ottimizzazione evidenzia aree specifiche di miglioramento.
Criteri di protezione
Per definire un gruppo efficace di criteri di protezione e controlli è necessario individuare le vulnerabilità esistenti nei computer e analizzare i criteri di protezione e i controlli che li tutelano. Oltre ad esaminare i criteri disponibili, questa procedura deve interessare anche le aree in cui i criteri sono assenti, ad esempio:
Criteri di protezione fisica dei computer, ad esempio i controlli per l'accesso fisico.
Criteri di protezione della rete (ad esempio, i criteri per la posta elettronica e Internet).
Criteri di protezione dei dati (controllo dell'accesso e controlli dell'integrità).
Piani di emergenza e di ripristino di emergenza e test.
Consapevolezza e formazione per la protezione dei computer.
Criteri di gestione e coordinamento per la protezione dei computer.
Conformità del software acquisito.
All'interno dell'organizzazione deve esistere una persona addetta all'analisi e alla gestione dei criteri di protezione e all'impostazione della strategia di protezione dell'organizzazione.
Per informazioni dettagliate sullo sviluppo di criteri di protezione, andare all'indirizzo https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx.
Valutazione dei rischi
Un processo formale di gestione dei rischi di protezione consente alle imprese di lavorare a costi minimi con un livello noto e accettabile di rischio aziendale e fornisce un modo chiaro ed efficace di organizzare e definire le proprietà delle risorse per gestire i rischi. I vantaggi offerti dalla gestione dei rischi di protezione si manifestano chiaramente nel momento in cui vengono adottati controlli efficaci ed economicamente convenienti che riducono i rischi a un livello accettabile.
Le metodologie utilizzate per definire le priorità o valutare i rischi sono numerose, ma la maggior parte si basa su uno o due approcci:
Valutazione dei rischi quantitativa.
Valutazione dei rischi qualitativa.
Valutazione dei rischi quantitativa
Nella valutazione dei rischi quantitativa, viene calcolato il valore effettivo di ciascuna risorsa aziendale in termini di costi per un'eventuale sostituzione, della produttività persa, della reputazione del marchio e altri valori aziendali diretti e indiretti. Da questa analisi è possibile stabilire quanto segue:
I valori monetari assegnati alle risorse.
Un elenco completo dei pericoli significativi.
La probabilità che si realizzi ciascun pericolo.
La perdita potenziale per l'azienda per ciascun pericolo nei 12 mesi.
Contromisure, controlli e azioni consigliate.
Valutazione qualitativa dei rischi
L'analisi dei rischi qualitativa implica di solito l'utilizzo di una combinazione di questionari e workshop aperti che coinvolgono gruppi diversificati di persone che operano all'interno dell'organizzazione, come gli esperti della protezione delle informazioni, i responsabili e il personale IT, i proprietari e gli utenti delle risorse aziendali e i dirigenti di alto livello.
Nei workshop, i partecipanti identificano le risorse e calcolano il relativo valore. Inoltre, imparano a prevedere le minacce che interessano le risorse e immaginare i tipi di vulnerabilità che queste minacce possono sfruttare in futuro. Generalmente gli esperti della protezione delle informazioni e gli amministratori di sistema sottopongono alla valutazione dei partecipanti una serie di controlli per la riduzione dei rischi e le informazioni relative al costo approssimato di ogni controllo.
I risultati ottenuti vengono infine presentati alla direzione aziendale che li sottoporrà a un'analisi costi-benefici.
Per informazioni dettagliate su questi approcci alla valutazione dei rischi, andare all'indirizzo https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01.mspx.
Risposta ai problemi
Quando si verifica un evento di protezione, molti professionisti IT si accorgono di avere solo il tempo di contenere il problema, capire cosa è successo e ripristinare i sistemi interessati il più tempestivamente possibile. Alcuni tentano di risalire alle cause dell'evento, ma anche questa operazione può apparire un lusso a chi dispone di risorse estremamente limitate. Sebbene questo tipo di approccio reattivo rappresenti una tattica efficace, può essere utile stabilire un livello minimo di ordine in modo che tutte le organizzazioni possano utilizzare al meglio le proprie risorse. Con un'appropriata pianificazione, l'organizzazione può affrontare in modo preventivo le violazioni della protezione.
Approccio reattivo
È necessario risolvere tutti i problemi di protezione per ridurre gli effetti sull'organizzazione e i relativi dati. La procedura illustrata di seguito può essere utile per la gestione rapida ed efficace dei problemi di protezione.
Proteggere la vita e la sicurezza delle persone.
Se i computer interessati controllano macchinari medici, si sconsiglia di arrestarli.Contenere i danni.
Proteggere dati importanti, software e hardware. Isolare i computer e i server interessati può causare un'interruzione dei servizi informatici, ma mantenerli in funzione può provocare danni diffusi. È necessario ricorrere al buon senso. Avere un criterio di valutazione dei rischi esistenti può aiutare a prendere la decisione giusta.Valutare i danni.
Effettuare immediatamente una copia dei dischi rigidi dei server attaccati e metterli da parte per eventuali cause legali. Valutare i danni. Subito dopo aver completato la procedura di contenimento e aver creato delle copie dei dischi rigidi, determinare tempestivamente l'entità dei danni provocati durante l'attacco.Determinare la causa dei danni.
Per scoprire l'origine dell'assalto, è necessario conoscere le risorse a cui era mirato l'attacco e le vulnerabilità sfruttate per accedere ai servizi o danneggiarli. Rivedere la configurazione del sistema, il livello della patch, i registri di sistema, i registri di controllo e gli itinerari di controllo sui sistemi direttamente interessati nonché dei dispositivi di rete che hanno indirizzato il traffico.Riparare i danni.
Nella maggior parte dei casi, è di fondamentale importanza procedere immediatamente alla riparazione dei danni, in modo da ripristinare quanto prima le attività aziendali e recuperare i dati perduti durante l'attacco. I piani e le procedure di continuità operativa dell'organizzazione devono includere una strategia di ripristino.Rivedere i criteri di risposta e aggiornamento.
Completate le fasi di documentazione e recupero, è utile procedere a un'analisi completa del processo. Il team individuerà le fasi eseguite con esito positivo e gli errori commessi.
Approccio preventivo
La gestione dei rischi di protezione preventiva offre numerosi vantaggi rispetto all'approccio di tipo reattivo. Anziché aspettare che si verifichi il peggio e rispondere successivamente ai problemi, è opportuno ridurre innanzitutto la possibilità che i problemi si verifichino. Allo scopo di proteggere le risorse più importanti dell'organizzazione vengono elaborati piani che prevedono l'implementazione di controlli in grado di ridurre il rischio che le vulnerabilità vengano sfruttate dagli hacker o tramite software dannosi o uso inappropriato involontario.
Un approccio preventivo efficace può contribuire a ridurre significativamente il numero di problemi di protezione che si manifesteranno nel futuro, ma non può assicurare la loro completa eliminazione. Le organizzazioni devono perciò continuare a migliorare i loro processi di risposta ai problemi e contemporaneamente sviluppare approcci preventivi a lungo termine.
Per sviluppare un piano di risposta, è necessario analizzare gli scenari di tipo reattivo e preventivo. Le operazioni reattive descritte in precedenza devono essere supportate da una pianificazione preventiva. Le aree principali interessate nella preparazione di un approccio preventivo sono:
Identificazione dei beni aziendali.
Determinazione del danno causato all'organizzazione da un attacco nei confronti di un bene.
Identificazione delle vulnerabilità che un attacco potrebbe sfruttare.
Determinazione delle modalità di riduzione del rischio di attacco mediante l'implementazione dei controlli appropriati.
Protezione dei dati
Una delle attività più importanti del reparto IT consiste nel garantire la protezione dei dati aziendali. Sono disponibili diversi metodi per passare al livello Standard per la protezione dei dati.
È necessario implementare controlli antivirus su tutti i computer. Vedere la precedente sezione "Antivirus per computer desktop".
L'organizzazione deve stabilire criteri coerenti per la classificazione dei dati riservati.
Per identificare i problemi di protezione e le minacce che possono compromettere i dati aziendali riservati, sono necessari processi coerenti.
Per una discussione completa sulla protezione dei dati, andare all'indirizzo https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx.
Fase 4: distribuzione
Nella fase di distribuzione vengono implementati alcuni miglioramenti dei processi di protezione valutati e approvati. È importante eseguire test sulla facilità di utilizzo per il miglioramento dei criteri di protezione e le esercitazioni antincendio periodiche al fine di garantire l'efficacia dei processi di protezione dei dati.
Ulteriori informazioni
Per ulteriori informazioni sullo sviluppo di un piano di risposta ai problemi di protezione, andare all'indirizzo https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx.
Checkpoint: criteri di protezione, valutazione dei rischi, risposta ai problemi e protezione dei dati
|
Requisito |
|---|---|
Nominata una persona dedicata ai criteri e alla strategia di protezione. |
|
|
Stabilita una metodologia di valutazione dei rischi. |
|
Definito un piano di risposta ai problemi di protezione. |
|
Stabilito un processo per la gestione delle identità di utenti, dispositivi e servizi. |
|
Stabiliti processi coerenti per l'identificazione di problemi di protezione, inclusi tutti i dispositivi collegati alla rete. |
|
Stabilita una conformità dei criteri di protezione coerenti sui dispositivi di rete. |
|
Stabilito un criterio coerente per la classificazione dei dati. |
.gif)
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minino del livello Standard per i criteri di protezione, la valutazione dei rischi, la risposta ai problemi e la protezione dei dati.
Si consiglia di attenersi alle procedure consigliate aggiuntive per i processi di protezione riportate nel sito Web Microsoft TechNet Security Center (in inglese).
Passare alla domanda di autovalutazione successiva.