I dati aziendali e la loro sicurezza. 

di Paolo Maganuco

Se avete usato un foglio di calcolo, è probabile che abbiate usato Microsoft 365, una delle suite per ufficio più diffuse al mondo.
Secondo una ricerca di Statista, fornitore leader di dati di mercato e di consumo numero uno al mondo, Microsoft ne detiene il 46% del mercato Globale.  

La suite si compone di numerose applicazioni, ad esempio Word, Excel, PowerPoint, Teams, OneDrive e SharePoint.  

In totale possiamo contare fino a 14 differenti Apps. 

Tutte le applicazioni di Microsoft, gestite come servizi SaaS (Software-as-a-Service) e compreso Microsoft 365, utilizzano come strumenti di sicurezza: 

  • Microsoft Defender XDR: per tutto ciò che riguarda sicurezza dei device Windows, Posta Elettronica e Identità.
  • Microsoft Pureview (Compliance): per tutto ciò che riguarda la classificazione dei dati, la crittografia ed i controlli di accesso, grazie ai quali le organizzazioni possono salvaguardare le informazioni sensibili da accessi non autorizzati, da divulgazione o uso improprio. 

Per quanto riguarda le politiche di responsabilità, Microsoft utilizza la “Shared responsibility”. Questo modello consiste nel dividere, tra sé e le aziende, le responsabilità della sicurezza di tutto ciò che compone i propri servizi. 

In questo modo, Microsoft si fa carico della sicurezza di tutta l’infrastruttura cloud come datacenter, sistemi operativi, networking e Applicativi, lasciando alle aziende la responsabilità della sicurezza delle proprie informazioni e dei dati, degli account e delle identità, nonché dei dispositivi dell’utente (laptop e dispositivi mobili). 

Per rendere possibile tutto ciò, Microsoft offre una serie di strumenti all’avanguardia per la sicurezza e la conformità. Questi strumenti comprendono: la gestione delle identità e degli accessi, la protezione dalle minacce, la gestione della sicurezza e dei rischi e la conformità. 

Sebbene Microsoft si impegni a garantire un livello di servizio del 99,9% di disponibilità per la maggior parte delle applicazioni, è comunque responsabilità del cliente proteggere ed eseguire il backup dei propri dati. 

Gli standard di sicurezza e le normative regolatorie 

Microsoft office 365 Security and Compliance si compone di un insieme di strumenti, funzionalità e servizi integrati, progettati per aiutare le organizzazioni a proteggere i propri dati, comprendendo un’ampia gamma di funzionalità incentrate sulla salvaguardia delle risorse digitali, sulla mitigazione dei rischi di cybersecurity e sull’adesione agli standard legali e di settore. 

Garantire la conformità alle normative e agli standard pertinenti è essenziale per le organizzazioni che desiderano mantenere la fiducia di clienti, partner e stakeholder ed evitare sanzioni legali e finanziarie.  

Infine, Microsoft si impegna a rispettare un’ampia gamma di normative e standard globali, regionali e di settore, come il General Data Protection Regulation (GDPR), l’Health Insurance Portability and Accountability Act (HIPAA) ed il Federal Risk and Authorization Management Program (FedRAMP). 

A questo punto è lecito domandarsi in che modo Microsoft aiuti le aziende a proteggere i propri dati: 

  • Proteggendo i dati sensibili: Implementando regole di classificazione, criptazione e controllo degli accessi ai dati, salvaguardandoli da divulgazione o uso improprio.
  • Mitigando i rischi: Le misure di conformità di Microsoft 365, come la protezione dalle minacce, la gestione dell’identità e la prevenzione della perdita di dati, aiutano a ridurre i rischi di cybersecurity ed a prevenire le violazioni dei dati, che possono causare perdite finanziarie e danni alla reputazione.
  • Dimostrando responsabilità: La conformità ai requisiti normativi testimonia la responsabilità e l’impegno dell’organizzazione nella protezione della privacy e della sicurezza dei dati. Questo contribuisce a creare fiducia nei confronti di clienti e stakeholder, migliorandone la reputazione.
  • Semplificando la governance: Gli strumenti di conformità messi a disposizione da Microsoft 365, consentono alle organizzazioni di stabilire politiche, automatizzare l’applicazione e monitorare, attraverso le dashboard, l’aderenza ai requisiti normativi, semplificando i processi di governance e riducendo gli oneri amministrativi. 

Cosa è esattamente Microsoft 365 Pureview? 

All’interno del sistema Microsoft 365, Microsoft Pureview è un hub centrallizzato che fornisce alle organizzazioni una serie completa di strumenti e risorse per gestire le attività e le responsabilità legate alla conformità. L’hub offre un’interfaccia unificata in cui gli amministratori possono valutare, monitorare e migliorare la posizione di conformità della loro organizzazione attraverso i vari servizi e applicazioni di Microsoft 365. I componenti di Microsoft Pureview includono: 

  • Compliance Manager: Fornisce alle organizzazioni un punteggio basato sul rischio che riflette la loro posizione di conformità tra i vari servizi di Microsoft 365. Inoltre, offre suggerimenti e controlli prioritari per migliorare la loro posizione di conformità.
  • Information Protection: La protezione delle informazioni comprende strumenti e funzionalità per la classificazione, l’etichettatura e la protezione dei dati sensibili nei servizi Microsoft 365 al fine di evitarne una fuga non autorizzata.
  • eDiscovery: Consente alle organizzazioni di identificare, conservare e raccogliere le informazioni archiviate elettronicamente (ESI) per scopi legali e normativi. Permette, inoltre, di cercare, esportare e analizzare i dati in Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams, semplificando il processo di eDiscovery e garantendo la conformità ai requisiti legali.
  • Data Loss Prevention: Funzionalità di prevenzione della perdita di dati che aiutano a prevenire la condivisione o la fuga non autorizzata di informazioni sensibili all’interno delle applicazioni Microsoft 365. Gli amministratori possono creare e applicare criteri per rilevare e impedire la trasmissione di dati sensibili, come informazioni finanziarie, informazioni di identificazione personale (PII) e proprietà intellettuale.
  • Audit log and Reporting: Microsoft 365 Compliance offre funzionalità di raccolta di log e reporting per tracciare e monitorare le attività degli utenti, le modifiche alle configurazioni e gli eventi relativi alla conformità all’interno dell’ambiente Microsoft 365. Consente di generare report di conformità, analizzare le tendenze e dimostrare la corrispondenza normativa a revisori e stakeholder.
  • Insider Risk Management: Aiuta le organizzazioni a rilevare e mitigare le minacce interne, analizzando il comportamento degli utenti ed identificando i rischi potenziali all’interno dell’organizzazione. Fornisce funzionalità proattive di monitoraggio, indagine e correzione per ridurre il rischio di violazioni dei dati e della conformità causate da insider malintenzionati o negligenti.
  • Communication Compliance: Permette di monitorare e applicare le policy relative alla comunicazione ed alla collaborazione all’interno dei servizi Microsoft 365. Questa funzione consente di rilevare e indagare le violazioni delle policy (molestie, condivisione di informazioni sensibili, contenuti inappropriati) per garantire la conformità ai requisiti normativi e alle policy organizzative. 

L’insieme di queste componenti lavora per fornire alle organizzazioni una suite completa di strumenti e funzionalità utili alla protezione dei dati sensibili e alla garanzia della conformità normativa e delle attività all’interno dell’ambiente Microsoft 365. 

Best Practice in Microsoft 365 Security and Compliance. 

Garantire la conformità e la sicurezza dei dati all’interno dell’ecosistema Microsoft 365 è fondamentale per le organizzazioni che desiderano proteggere le informazioni sensibili, ridurre i rischi e aderire ai requisiti normativi. Seguendo una serie di best practice consolidate, le organizzazioni possono rafforzare la loro posizione di sicurezza, migliorare la protezione dei dati e promuovere una cultura della conformità all’interno del proprio ambiente Microsoft 365. Di seguito, alcune best practice fondamentali da considerare per la conformità e la sicurezza di Microsoft 365: 

Utilizzare il Data Classification and Encryption, utile per: 

  • Classificare i dati sensibili in base alla loro importanza e sensibilità e applicare i controlli di sicurezza appropriati. 
  • Crittografare i dati per proteggerli da accessi non autorizzati

Abilitare lo Unified Audit Logging:  

  • Attivando la registrazione unificata degli audit log nei servizi di Microsoft 365 l’organizzazione può acquisire e monitorare le attività degli utenti, le modifiche delle configurazioni e gli eventi relativi alla sicurezza.
  • Utilizzando i registri di audit è possibile tenere traccia ed indagare su incidenti di sicurezza, violazioni della conformità e comportamenti sospetti.

Applicare regolarmente patch di sicurezza sui dispositivi:

  • Mantenendo le applicazioni, i servizi e i dispositivi Microsoft Office 365 aggiornati con le patch e facendo gli aggiornamenti di sicurezza più recenti si possono risolvere le vulnerabilità riducendo i rischi per la sicurezza.
  • Implementando una strategia di gestione delle patch così da garantire la distribuzione tempestiva degli stessi e facendo costanti aggiornamenti in tutto l’ambiente dell’organizzazione.

Utilizzare automazioni e machine learning: 

  • Sfruttare le funzionalità di automazione e apprendimento automatico di Microsoft 365 permette di semplificare le operazioni di sicurezza, rilevare le minacce e rispondere agli incidenti di sicurezza in modo più efficace. 
  • Implementate criteri di sicurezza, avvisi e azioni correttive automatizzate aiuta a migliorare la sicurezza e riduce l’impegno manuale.

Implementare la gestione delle identità: 

  • Utilizzare soluzioni di gestione delle identità, come Entra ID, consente la gestione di identità degli utenti, di controlli di accesso e di meccanismi di autenticazione. 
  • Implementare l’autenticazione a più fattori (MFA) permette di aggiungere un ulteriore livello di sicurezza e di verificare le identità degli utenti prima di concedere l’accesso a risorse sensibili. 

Il mantenimento delle conformità nell’ambiente Microsoft 365 è essenziale per diversi motivi.  

In primo luogo, la conformità assicura che le organizzazioni aderiscano ai requisiti legali e normativi, riducendo il rischio di multe, sanzioni e ripercussioni legali. In secondo luogo, aiuta a proteggere i dati sensibili da accessi non autorizzati, da violazioni ed usi impropri, salvaguardando l’organizzazione ed i suoi stakeholder. Infine, la conformità favorisce la fiducia tra clienti, partner e stakeholder, migliorando la reputazione dell’organizzazione ed il suo vantaggio competitivo sul mercato. 

Data l’importanza sostanziale della conformità di Microsoft 365, le organizzazioni devono darle priorità investendo nelle misure di conformità. Ciò comporta l’implementazione di solidi controlli di sicurezza, meccanismi di protezione dei dati e strutture di governance all’interno dell’ambiente Microsoft 365. Inoltre, è necessario valutare e monitorare regolarmente la posizione di conformità, affrontarne le eventuali lacune e vulnerabilità rimanendo costantemente aggiornati sull’evoluzione dei requisiti normativi e sugli standard di settore. 

di Paolo Maganuco

Scopri come BSG può supportarti nell’utilizzo di Microsoft 365!

Contattaci