Funzionalità IO: processo di protezione - dal livello Standard al livello Razionale
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: autenticazione utente a due fattori, esame di protezione standard per nuove acquisizioni software e processi di classificazione dei dati
Introduzione
Il processo di protezione è un elemento chiave dell'ottimizzazione dell'infrastruttura. La protezione deve far parte dei criteri di progettazione per tutte le procedure e le tecnologie evidenziate dal modello di ottimizzazione dell'infrastruttura. Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Razionale nel processo di protezione.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali Assenza di processi di valutazione dei rischi coerenti Un piano di risposta ai problemi di protezione è disponibile ma non completamente documentato Viene utilizzata solo la tecnologia di protezione delle identità standard Sfide IT Protezione dei PC limitata Il processo per l'aggiornamento della protezione su tutte le risorse IT connesse alla rete non è documentato |
Progetti Continuare l'ottimizzazione dei criteri di protezione DiD (Defense-In-Depth, Difesa in profondità) Sviluppare e implementare i criteri per la gestione dell'identità e degli accessi a due fattori Sviluppare un processo per la gestione dei test dei requisiti di protezione su tutto il software acquisito o sviluppato Stabilire una procedura standard ripetibile per la classificazione dei dati riservati |
Vantaggi per l'azienda I problemi e gli imprevisti sono ridotti e i casi rimanenti vengono risolti più velocemente Una migliore protezione delle informazioni e delle identità consente alle imprese di proteggersi dalle eventuali minacce, a prescindere dal dispositivo in uso Vantaggi IT Servizi e strumenti automatici forniscono risorse per implementare nuovi servizi oppure ottimizzare i servizi esistenti Le operazioni IT proattive consentono di risolvere preventivamente i problemi per evitare che la produttività degli utenti diminuisca |
Il livello Razionale di ottimizzazione richiede che l'organizzazione disponga di procedure definite per la gestione dei rischi, la gestione e la risposta agli imprevisti e la verifica delle applicazioni.
Requisito: autenticazione utente a due fattori, esame di protezione standard per nuove acquisizioni software e processi di classificazione dei dati
Target
È necessario leggere questa sezione nel caso in cui non siano stati attuati piani per i criteri di protezione, la valutazione dei rischi, la risposta ai problemi e la protezione dei dati.
Panoramica
Molte organizzazioni sono a conoscenza di quanto sia importante proteggere i dati e le risorse dalle perdite o dai danni dovuti al furto, all'errore umano o del computer, a intenti dannosi o a numerosi altri eventi. È possibile compiere alcune azioni per limitare le possibilità che si verifichino perdite o danni. Possono anche essere stabiliti criteri e procedure per rispondere e ridurre al minimo gli effetti derivanti dalle perdite o dai danni all'ambiente IT. Il livello Razionale illustrato in questa guida differisce leggermente da quanto descritto in Core Infrastructure Optimization Online Self-Assessment (in inglese) e si basa sui seguenti argomenti: autenticazione utente a due fattori, esame di protezione standard per nuove risorse e processi di classificazione dei dati.
Fase 1: valutazione
La fase di valutazione deve stabilire i requisiti di protezione per l'organizzazione e identificare i processi attualmente disponibili. I requisiti di protezione possono variare drasticamente da società a società o da istituzione a istituzione in base, ad esempio, alle dimensioni, al settore o al campo oppure alle leggi regionali o alle normative. Raccogliendo i requisiti richiesti dalla propria organizzazione, sarà possibile definire un processo di protezione appropriato.
Fase 2: identificazione
Durante la fase di identificazione, verranno esaminati gli strumenti e le procedure attualmente disponibili e stabiliti i requisiti di protezione adatti per l'organizzazione. Durante questa fase, verranno raccolti i criteri di protezione impliciti o applicati, oltre ai componenti tecnologici già in uso o a disposizione. Verranno anche raccolti requisiti esterni in base alle leggi o alle normative del proprio paese o del proprio settore.
Fase 3: stima e pianificazione
Il passaggio dalla fase di stima e pianificazione al livello Razionale di ottimizzazione evidenzia aree specifiche di miglioramento.
Autenticazione a due fattori
Se una password rimane segreta può essere molto efficace, anche quando usata come unico mezzo di protezione. Infatti, una password composta da più di 10 caratteri comprendente lettere casuali, numeri e caratteri speciali può risultare molto difficile da violare. Purtroppo, gli utenti non sono sempre in grado di memorizzare questo tipo di password, anche a causa delle normali limitazioni della mente umana.
I sistemi di autenticazione a due fattori risolvono i problemi dell'autenticazione basata su un solo segreto mediante la richiesta di un secondo segreto. L'autenticazione a due fattori impiega una combinazione dei seguenti elementi:
Un oggetto di proprietà dell'utente, ad esempio un token hardware o una smart card.
Un elemento noto all'utente, come un numero di identificazione personale (PIN).
Le smart card e i relativi PIN associati rappresentano la forma più diffusa, affidabile ed economica di autenticazione a due fattori. Una volta implementati i controlli necessari, per accedere alle risorse di rete l'utente deve disporre di una smart card e conoscere il relativo PIN. Il requisito a due fattori riduce in modo significativo la possibilità di accessi non autorizzati a una rete aziendale.
Le smart card forniscono un controllo di sicurezza particolarmente efficace in due scenari: la sicurezza degli account amministratore e la protezione degli accessi remoti. Questa guida è dedicata a questi due aspetti come aree prioritarie nelle quali implementare l'utilizzo delle smart card.
Poiché gli account a livello di amministratore dispongono di un numero elevato di diritti utente, la violazione di uno di essi può comportare accessi indesiderati a tutte le risorse di rete. È di importanza essenziale salvaguardare l'accesso a livello di amministratore dato che il furto delle credenziali di account di dominio a questo livello compromette l'integrità del dominio e dell'intero insieme di strutture, oltre a quello di eventuali altri insiemi di strutture trusting. L'autenticazione a due fattori è fondamentale per l'autenticazione dell'amministratore.
Le organizzazioni possono fornire un importante livello aggiuntivo di protezione mediante l'implementazione di smart card per gli utenti che devono disporre di connettività remota alle risorse di rete. L'autenticazione a due fattori è particolarmente importante per gli utenti remoti poiché per le connessioni remote non è possibile fornire altre forme di controllo fisico sugli accessi. L'autenticazione a due fattori mediante smart card può aumentare il livello di protezione del processo di autenticazione degli utenti remoti che si connettono attraverso collegamenti a una rete privata virtuale (VPN).
Per ulteriori informazioni sull'autenticazione a due fattori, andare all'indirizzo https://www.microsoft.com/technet/security/guidance/networksecurity/securesmartcards/default.mspx.
Esame di protezione standard per nuove acquisizioni software
Al livello Razionale, tutte le acquisizioni software dell'organizzazione devono seguire un programma specifico per consentire l'esecuzione di un esame di protezione standard. Le procedure consigliate per i processi di esame della protezione dei sistemi IT vengono descritte nello standard ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management (in inglese). ISO/IEC 17799:2005 stabilisce linee guida e principi generali per l'acquisizione dei sistemi informativi, lo sviluppo e la gestione, tra cui:
Requisiti di protezione dei sistemi informativi.
Elaborazione corretta nei sistemi di applicazioni.
Controlli crittografici.
Protezione dei file di sistema.
Protezione per i processi di sviluppo e supporto.
Gestione delle vulnerabilità tecniche.
Per ulteriori informazioni sullo standard e per richiedere la relativa documentazione, visitare il sito Web ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management (in inglese).
Processi di classificazione dei dati
La protezione e la classificazione dei dati riguardano l'applicazione dei livelli di classificazione della protezione ai dati nel sistema o in corso di trasmissione. Questa categoria di soluzioni riguarda anche la protezione dei dati in termini di riservatezza e integrità dei dati archiviati o trasmessi. I metodi di protezione maggiormente adottati dalle organizzazioni sono le soluzioni di crittografia.
Impatto sulla conformità
La classificazione dei dati è importante ai fini della conformità perché indica agli utenti i livelli di importanza dei dati, come gestirli, proteggerli o eliminarli. I livelli alto, medio e basso sono classificazioni dei dati tipiche che indicano l'impatto relativo dei dati sull'azienda. In alcune organizzazioni è possibile applicare il sistema di classificazione militare che prevede i livelli Top Secret, Segreto, Riservato e Non classificato.
Tutte le linee guida in materia di conformità richiedono la protezione dei file e la crittografia delle informazioni riservate, sia che queste siano archiviate o in corso di trasmissione. Il processo di conformità crea grandi quantità di dati riservati, principalmente in applicazioni non strutturate, quali file Microsoft Office Word e Office Excel. Il controllo e la protezione di questi dati sulla conformità sono molto importanti perché contengono dettagli completi sulle vulnerabilità note di un'organizzazione.
Risorse Microsoft
Microsoft fornisce numerose risorse per la classificazione e la protezione dei dati. Ad esempio, l'utilizzo combinato di Information Rights Management (IRM), che estende Windows Rights Management Services nelle applicazioni Microsoft Office 2003 e in Microsoft Internet Explorer, e le tecnologie Windows Rights Management Services (RMS) consentono di classificare e proteggere i dati in un'organizzazione. RMS applica una protezione basata sulla crittografia e sui criteri che accompagna le informazioni ovunque.
Altri esempi di soluzioni di tecnologie per la protezione dei dati comprendono Internet Protocol security (IPsec) e Encrypting File System (EFS). IPsec fornisce integrità e crittografia dei dati al traffico IP, mentre EFS crittografa i file memorizzati nei file system di Microsoft Windows 2000 Server, Windows XP Professional e Windows Server 2003. Microsoft fornisce le seguenti indicazioni su queste soluzioni di classificazione e protezione dei dati:
Per ulteriori informazioni sulla pianificazione della conformità alle normative, vedere la Regulatory Compliance Planning Guide (in inglese) all'indirizzo https://www.microsoft.com/technet/security/guidance/complianceandpolicies/compliance/rcguide/4-11-00.mspx.
Per ulteriori informazioni sulle soluzioni sviluppate dai partner di Windows Rights Management Services, vedere Windows Rights Management Services Partners (in inglese) all'indirizzo https://www.microsoft.com/windowsserver2003/partners/rmspartners.mspx.
Per ulteriori informazioni su RMS, vedere Windows Rights Management Services all'indirizzo www.microsoft.com/rms.
Per ulteriori informazioni sulle funzionalità Information Rights Management (IRM) di Office 2003, vedere Information Rights Management in Microsoft Office 2003 (in inglese) all'indirizzo https://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx.
per informazioni su IPsec, vedere il sito Web IPsec all'indirizzo https://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx.
Per informazioni su come utilizzare IPsec e Criteri di gruppo per isolare server e domini, vedere Server and Domain Isolation Using IPsec and Group Policy (in inglese) all'indirizzo https://go.microsoft.com/fwlink/?linkid=33945.
Per informazioni su come utilizzare EFS per proteggere i dati, vedere Protecting Data by Using EFS to Encrypt Hard Drives (in inglese) all'indirizzo https://www.microsoft.com/technet/security/smallbusiness/topics/cryptographyetc/protect_data_efs.mspx.
Per ulteriori informazioni su EFS, vedere The Encrypting File System (in inglese) all'indirizzo https://go.microsoft.com/fwlink/?linkid=46681.
Per informazioni su come proteggere da eventuali furti le informazioni riservate, vedere Protecting Sensitive Information from Theft on Windows XP Professional in a Workgroup (in inglese) all'indirizzo https://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsxp/efsxppro.mspx.
Fase 4: distribuzione
Nella fase di distribuzione vengono implementati alcuni miglioramenti dei processi di protezione valutati e approvati. È importante eseguire test sulla facilità di utilizzo per il miglioramento dei criteri di protezione e le esercitazioni antincendio periodiche al fine di garantire l'efficacia dei processi di protezione dei dati.
Ulteriori informazioni
Per ulteriori informazioni sullo sviluppo di operazioni di protezione e standard per i processi, visitare il Security Guidance Portal sul sito Microsoft TechNet all'indirizzo https://www.microsoft.com/technet/security/guidance.
Checkpoint: autenticazione utente a due fattori, esame di protezione standard per nuove acquisizioni software e processi di classificazione dei dati
|
Requisito |
|---|---|
|
Sviluppati e implementati i criteri per la gestione dell'identità e degli accessi a due fattori. |
|
Sviluppato un processo per la gestione dei test dei requisiti di protezione su tutto il software acquisito o sviluppato. |
|
Stabilita una procedura standard ripetibile per la classificazione dei dati riservati. |
.gif)
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per l'autenticazione utente avanzata a due fattori, l'esame di protezione standard per nuove acquisizioni software e i processi di classificazione dei dati.
Si consiglia di attenersi alle procedure consigliate aggiuntive per i processi di protezione riportate nel sito Web Microsoft TechNet Security Center (in inglese).
Passare alla domanda di autovalutazione successiva.