Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Come parte delle linee guida per l'adozione di Zero Trust , questo articolo descrive lo scenario aziendale per soddisfare i requisiti normativi e di conformità applicabili all'organizzazione.
Indipendentemente dalla complessità dell'ambiente IT dell'organizzazione o dalle dimensioni dell'organizzazione, i nuovi requisiti normativi che potrebbero influire sull'azienda vengono continuamente aggiunti. Queste normative includono il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), il California Consumer Privacy Act (CCPA), una miriade di normative sanitarie e finanziarie per le informazioni e i requisiti di residenza dei dati.
Il processo di soddisfare i requisiti normativi e di conformità può essere lungo, complesso e noioso quando non viene gestito correttamente. Questa sfida ha notevolmente aumentato il carico di lavoro dei team di sicurezza, conformità e normative per ottenere e dimostrare la conformità, prepararsi per un controllo e mettere in atto le procedure consigliate in corso.
Un approccio Zero Trust spesso supera alcuni tipi di requisiti imposti dalle normative di conformità, ad esempio quelli che controllano l'accesso ai dati personali. Le organizzazioni che hanno implementato un approccio Zero Trust potrebbero scoprire di soddisfare già alcune nuove condizioni o di poter facilmente basarsi sull'architettura Zero Trust per essere conformi.
| Approcci tradizionali per soddisfare i requisiti normativi e di conformità | Approccio moderno per soddisfare i requisiti normativi e di conformità con Zero Trust |
|---|---|
| Molte organizzazioni usano diverse soluzioni legacy integrate insieme. Queste soluzioni spesso non interagiscono senza problemi, esponendo le lacune dell'infrastruttura e aumentando i costi operativi. Alcune soluzioni indipendenti "all'avanguardia" potrebbero anche impedire la conformità con determinate normative nel tentativo di soddisfare altri. Un esempio diffuso è l'uso della crittografia per garantire che i singoli autorizzati gestiscono i dati in modo sicuro. Ma la maggior parte delle soluzioni di crittografia rende i dati opachi per i servizi, ad esempio Prevenzione della perdita dei dati (DLP), eDiscovery o archiviazione. La crittografia impedisce all'organizzazione di eseguire due diligence sulle azioni eseguite dagli utenti che usano dati crittografati. Questo risultato forza le organizzazioni a prendere decisioni difficili e rischiose, ad esempio vietare l'uso di tutta la crittografia a livello di file per i trasferimenti di dati sensibili o consentire ai dati crittografati di uscire dall'organizzazione insospettabili. |
Unificare la strategia di sicurezza e i criteri con un approccio Zero Trust suddivide i silo tra team IT e sistemi, consentendo una migliore visibilità e protezione nello stack IT. Soluzioni di conformità integrate in modo nativo, ad esempio quelle di Microsoft Purview, non solo interagiscono per supportare i requisiti di conformità e quelli di un approccio Zero Trust, ma lo fanno con la massima trasparenza, consentendo a ogni soluzione di sfruttare i vantaggi di altri, ad esempio la conformità delle comunicazioni sfruttando le etichette di riservatezza nel contenuto. Le soluzioni di conformità integrate possono fornire la copertura necessaria con compromessi minimi, ad esempio contenuti crittografati elaborati in modo trasparente da soluzioni eDiscovery o DLP. La visibilità in tempo reale consente l'individuazione automatica degli asset, inclusi gli asset critici e i carichi di lavoro, mentre i requisiti di conformità possono essere applicati a tali asset tramite l'etichettatura di classificazione e riservatezza. L'implementazione di un'architettura Zero Trust consente di soddisfare i requisiti normativi e di conformità con una strategia completa. L'uso delle soluzioni Microsoft Purview in un'architettura Zero Trust consente di individuare, gestire, proteggere e gestire l'intero patrimonio di dati dell'organizzazione in base alle normative che influisce sull'organizzazione. Le strategie Zero Trust spesso comportano l'implementazione di controlli che soddisfano o superano determinati requisiti normativi, riducendo così il carico di esecuzione di modifiche a livello di sistema per rispettare nuovi requisiti normativi. |
Le indicazioni contenute in questo articolo illustrano come iniziare a usare Zero Trust come framework per soddisfare i requisiti normativi e di conformità con un'enfasi su come comunicare e collaborare con i responsabili aziendali e i team nell'intera organizzazione.
Questo articolo usa le stesse fasi del ciclo di vita di Cloud Adoption Framework per Azure: definire strategia, pianificare, preparare, adottare e gestire, ma adattata per Zero Trust.
La tabella seguente è una versione accessibile dell'illustrazione.
| Definire una strategia | Piano | Pronto | Adottare | Governance e gestione |
|---|---|---|---|---|
| Allineamento dell'organizzazione Obiettivi strategici Risultati |
Team dei stakeholder Piani tecnici Idoneità alle competenze |
Valutare Prova Pilota |
Implementare progressivamente nel patrimonio digitale | Tenere traccia e misurare Monitorare e rilevare Iterare per raggiungere la maturità |
Definire la fase di strategia
La fase Definisci strategia è fondamentale per definire e formalizzare gli sforzi per affrontare il "Perché?" di questo scenario. In questa fase si comprende lo scenario tramite prospettive normative, aziendali, IT, operative e strategiche.
Si definiscono quindi i risultati rispetto ai quali misurare il successo in questo scenario, comprendendo che la conformità è un percorso incrementale e iterativo.
Questo articolo suggerisce motivazioni e risultati rilevanti per molte organizzazioni. Usare questi suggerimenti per perfezionare la strategia per l'organizzazione in base alle esigenze specifiche.
Comprendere le motivazioni dei responsabili aziendali
Anche se Zero Trust può aiutare a semplificare il processo di soddisfare i requisiti normativi, forse la sfida più grande è ottenere supporto e contributo da parte dei leader nell'organizzazione. Queste linee guida per l'adozione sono progettate per facilitare la comunicazione con loro, in modo da poter ottenere l'allineamento dell'organizzazione, definire gli obiettivi strategici e identificare i risultati.
L'allineamento inizia con la comprensione di ciò che motiva i leader e perché devono preoccuparsi di soddisfare i requisiti normativi. La tabella seguente fornisce prospettive di esempio, ma è importante incontrarsi con ognuno di questi leader e team e venire a una comprensione condivisa delle motivazioni dell'altro.
| Ruolo | Perché soddisfare i requisiti normativi è importante |
|---|---|
| Amministratore Delegato (CEO) | Responsabile della protezione della strategia organizzativa convalidata da organismi di controllo esterni. Il CEO riferisce per lo più a un consiglio di amministrazione che può anche valutare il livello di conformità ai requisiti legislativi nell'organizzazione e i risultati di audit annuali. |
| Direttore Marketing (CMO) | Responsabile di garantire che le informazioni aziendali riservate non vengano condivise esternamente esclusivamente per scopi di marketing. |
| Chief Information Officer (CIO) | In genere il responsabile delle informazioni nell'organizzazione e sarà tenuto responsabile delle autorità di regolamentazione delle informazioni. |
| Chief Technology Officer (CTO) | Responsabile del mantenimento della conformità alle normative vigenti all'interno dell'ambiente digitale. |
| Chief Information Security Officer (CISO) | Responsabile dell'adozione e della conformità agli standard di settore che forniscono controlli direttamente correlati alla conformità alla sicurezza delle informazioni. |
| Direttore Operativo (COO) | Assicura che i criteri e le procedure aziendali relativi alla sicurezza delle informazioni, alla privacy dei dati e ad altre procedure normative vengano mantenuti a livello operativo. |
| Direttore Finanziario (CFO) | Valuta gli svantaggi finanziari e i vantaggi della conformità, ad esempio l'assicurazione informatica e la conformità fiscale. |
| Direttore del Rischio (Chief Risk Officer - CRO) | Possiede il componente di Rischio del framework di governance dei rischi e della conformità (GRC) all'interno dell'organizzazione. Attenua le minacce alla non conformità e alla conformità. |
Diverse parti dell'organizzazione potrebbero avere motivazioni e incentivi diversi per svolgere il lavoro dei requisiti normativi e di conformità. La tabella seguente riepiloga alcune di queste motivazioni. Assicurarsi di entrare in contatto con gli stakeholder per comprendere le motivazioni.
| Zona | Motivazioni |
|---|---|
| Esigenze aziendali | Per rispettare i requisiti normativi e legislativi applicabili. |
| Esigenze IT | Per implementare tecnologie che automatizzano la conformità ai requisiti normativi e di conformità, come stabilito dall'organizzazione nell'ambito delle identità, dei dati, dei dispositivi (endpoint), delle applicazioni e dell'infrastruttura. |
| Esigenze operative | Implementare criteri, procedure e istruzioni di lavoro a cui si fa riferimento e allineati agli standard di settore pertinenti e ai requisiti di conformità pertinenti. |
| Esigenze strategiche | Ridurre il rischio di violazione delle leggi nazionali, regionali e locali e dei potenziali danni finanziari e di reputazione pubblica che possono derivare da violazioni. |
Uso della piramide della governance per informare la strategia
La cosa più importante da ricordare con questo scenario aziendale è che il framework Zero Trust funge da parte di un modello di governance più ampio che stabilisce la gerarchia di vari requisiti legislativi, normativi, normativi, politici e procedurali all'interno di un'organizzazione. Nello spazio di conformità e regolamentazione possono essere disponibili molti modi per ottenere lo stesso requisito o controllo. È importante dichiarare che questo articolo prevede la conformità alle normative usando un approccio Zero Trust.
Un modello di strategia che viene spesso usato all'interno della conformità alle normative è la piramide della governance illustrata di seguito.
Questa piramide illustra i diversi livelli in cui la maggior parte delle organizzazioni gestisce la governance it (Information Technology). Dall'alto della piramide fino alla fine, questi livelli sono la legislazione, gli standard, le politiche e le procedure e le istruzioni di lavoro.
La cima della piramide rappresenta il livello più importante: la legislazione. A questo livello, la variazione tra le organizzazioni è minore perché le leggi si applicano su vasta scala a molte organizzazioni, anche se le normative nazionali e specifiche dell'azienda possono essere applicate solo ad alcune aziende e non ad altre. La base della piramide, le istruzioni di lavoro, rappresenta l'area con la più grande variazione e superficie di implementazione in tutte le organizzazioni. Questo è il livello che consente a un'organizzazione di sfruttare la tecnologia per soddisfare i requisiti più importanti per i livelli più elevati.
Il lato destro della piramide fornisce esempi di scenari in cui la conformità dell'organizzazione può portare a risultati aziendali positivi e vantaggi. La pertinenza aziendale crea più incentivi per le organizzazioni per avere una strategia di governance.
La tabella seguente descrive in che modo i diversi livelli di governance a sinistra della piramide possono offrire i vantaggi aziendali strategici sul lato destro.
| Livello di governance | Rilevanza e risultati aziendali strategici |
|---|---|
| Legislazione e leggi, considerate collettivamente | Il superamento di controlli legali può evitare multe e sanzioni e crea fiducia dei consumatori e fedeltà del marchio. |
| Gli standard forniscono una base affidabile per le persone che condividono le stesse aspettative su un prodotto o un servizio | Gli standard forniscono una garanzia di qualità attraverso vari controlli di qualità del settore. Alcune certificazioni hanno anche vantaggi per l'assicurazione informatica. |
| Criteri e procedure documentano le funzioni e le operazioni quotidiane di un'organizzazione | Molti processi manuali correlati alla governance possono essere semplificati e automatizzati. |
| Le istruzioni di lavoro descrivono come eseguire un processo in base ai criteri e alle procedure definiti nei passaggi dettagliati | I dettagli complessi dei manuali e dei documenti di istruzioni possono essere semplificati dalla tecnologia. Ciò può ridurre notevolmente l'errore umano e risparmiare tempo. Un esempio è l'uso dei criteri di accesso condizionale di Microsoft Entra come parte del processo di onboarding dei dipendenti. |
Il modello di piramide della governance consente di concentrarsi sulle priorità:
Requisiti legislativi e legali
Le organizzazioni possono affrontare gravi ripercussioni se non sono seguite.
Standard di sicurezza e specifici del settore
Le organizzazioni possono avere un requisito del settore per essere conforme o certificato con uno o più di questi standard. Il framework Zero Trust può essere mappato a diversi standard di sicurezza, sicurezza delle informazioni e gestione dell'infrastruttura.
Criteri e procedure
Specifico dell'organizzazione e governa i processi più intrinseci all'interno dell'azienda.
Istruzioni di lavoro
Controlli dettagliati altamente tecnici e personalizzati per le organizzazioni per soddisfare i criteri e le procedure.
Esistono diversi standard che aggiungono il maggior valore alle aree dell'architettura Zero Trust. Focalizzando l'attenzione sui seguenti standard che si applicano a te, si otterrà un impatto maggiore:
Il Centro per i benchmark CIS (Center for Internet Security) fornisce indicazioni preziose per la gestione dei dispositivi e i criteri di gestione degli endpoint. I benchmark CIS includono guide all'implementazione per Microsoft 365 e Microsoft Azure. Le organizzazioni in tutti i settori e i verticali usano benchmark CIS per aiutarli a raggiungere gli obiettivi di sicurezza e conformità. soprattutto quelli che operano in ambienti fortemente regolamentati.
National Institute of Standards and Technology (NIST) fornisce le NIST Special Publication (NIST SP 800-63-4 ipd) Digital Identity Guidelines. Queste linee guida forniscono requisiti tecnici per le agenzie federali che implementano i servizi di gestione delle identità digitali e non sono destinati a limitare lo sviluppo o l'uso di standard al di fuori di questo scopo. È importante notare che questi requisiti vengono eseguiti per migliorare i protocolli esistenti che fanno parte della strategia Zero Trust. Sia il governo che le organizzazioni del settore pubblico in particolare negli Stati Uniti sottoscrivono nIST, tuttavia le società quotate pubblicamente possono anche utilizzare i principi guida all'interno del quadro. NIST fornisce inoltre assistenza per l'implementazione di un'architettura Zero Trust nelle pubblicazioni incluse in NIST SP 1800-35.
Lo standard ISO 27002:2022 appena modificato è consigliato per la governance generale dei dati e la sicurezza delle informazioni. Tuttavia, i controlli dell'allegato A forniscono una buona base per la creazione di un elenco di misure di sicurezza, che in seguito possono essere convertite in obiettivi pratici.
ISO 27001:2022 fornisce anche linee guida complete sul modo in cui la gestione dei rischi può essere implementata nel contesto della sicurezza delle informazioni. Ciò può essere particolarmente utile con il numero di metriche disponibili per gli utenti nella maggior parte dei portali e dei dashboard.
Gli standard come questi possono essere classificati in ordine di priorità per fornire all'organizzazione una baseline di criteri e controlli per soddisfare i requisiti comuni.
Microsoft fornisce Microsoft Purview Compliance Manager per pianificare e tenere traccia dello stato di avanzamento verso gli standard delle riunioni applicabili all'organizzazione. Compliance Manager può offrire supporto nell'intero percorso di conformità, dall'acquisizione dell'inventario dei rischi per la protezione dei dati, alla gestione delle complessità per l'implementazione dei controlli, al rimanere aggiornati in merito a normative e certificazioni, fino alla creazione di report per i revisori.
Definizione della strategia
Dal punto di vista della conformità, l'organizzazione deve definire la propria strategia in base alla metodologia intrinseca dell'archiviazione con ridondanza geografica. Se l'organizzazione non sottoscrive uno standard, un criterio o un framework specifici, è necessario ottenere un modello di valutazione da Compliance Manager. A ogni sottoscrizione di Microsoft 365 attiva viene assegnata una baseline di protezione dei dati di cui è possibile eseguire il mapping rispetto alle linee guida per la distribuzione Zero Trust. Questa baseline offre agli implementatori un ottimo punto di partenza per l'implementazione pratica di Zero Trust dal punto di vista della conformità. Questi controlli documentati possono essere convertiti in un secondo momento in obiettivi misurabili. Questi obiettivi devono essere specifici, misurabili, ottenibili, realistici e associati al tempo (SMART).
Il modello Baseline di protezione dei dati in Compliance Manager integra 36 azioni per Zero Trust, allineate tra le famiglie di controlli seguenti:
- Applicazione Zero Trust
- linee guida per lo sviluppo di app Zero Trust
- Endpoint Zero Trust
- dati Zero Trust
- identità Zero Trust
- Infrastruttura Zero Trust
- rete Zero Trust
- Zero Trust Visibilità, automazione e orchestrazione
Questi elementi sono strettamente allineati all'architettura di riferimento Zero Trust, come illustrato di seguito.
Fase del piano
Molte organizzazioni possono adottare un approccio a quattro fasi a queste attività tecniche, riepilogate nella tabella seguente.
| Fase 1 | Fase 2 | Fase 3 | Fase 4 |
|---|---|---|---|
| Identificare i requisiti normativi applicabili all'organizzazione. Usare Compliance Manager per identificare le normative che potrebbero influire sull'azienda, valutare la conformità ai requisiti di alto livello imposti da tali normative e pianificare la correzione per le lacune identificate. Esaminare le linee guida correnti per le normative applicabili all'organizzazione. |
Usare Esplora contenuto in Microsoft Purview per identificare i dati soggetti ai requisiti normativi e valutarne il rischio e l'esposizione. Definire classificatori personalizzati per adattare questa funzionalità alle esigenze aziendali. Valutare i requisiti per la protezione delle informazioni, ad esempio i criteri di conservazione dei dati e di gestione dei record, e quindi implementare i criteri di base di protezione delle informazioni e governance dei dati usando etichette di conservazione e riservatezza. Implementare politiche DLP di base per controllare il flusso di informazioni regolamentate. Implementare i criteri di conformità delle comunicazioni , se richiesti dalle normative. |
Estendere i criteri di gestione del ciclo di vita dei dati con l'automazione. Configurare controlli di partizionamento e isolamento usando etichette di riservatezza, prevenzione della perdita dei dati o barriere informative , se richiesto dalle normative. Espandere i criteri di protezione delle informazioni implementando l'etichettatura dei contenitori, l'etichettatura automatica e obbligatoria e i criteri DLP più rigorosi. Espandere quindi questi criteri ai dati locali, ai dispositivi (endpoint) e ai servizi cloud di terze parti usando altre funzionalità in Microsoft Purview. Rivaluta la conformità usando Compliance Manager e identifica e corregge le lacune rimanenti. |
Usare Microsoft Sentinel per creare report basati sul log di controllo unificato per valutare e inventariare continuamente lo stato di conformità delle informazioni. Continuare a usare Compliance Manager in modo continuativo per identificare e correggere le lacune rimanenti e soddisfare i requisiti delle normative nuove o aggiornate. |
Se questo approccio a fasi funziona per l'organizzazione, è possibile usare:
Questa presentazione di PowerPoint scaricabile per presentare e monitorare i progressi attraverso queste fasi e obiettivi per i responsabili aziendali e altri stakeholder. Ecco la diapositiva per questo scenario aziendale.
Questa cartella di lavoro di Excel consente di assegnare proprietari e tenere traccia dello stato di avanzamento per queste fasi, obiettivi e attività. Ecco il foglio di lavoro per questo scenario aziendale.
Squadra di stakeholder
Il team di stakeholder per questo scenario aziendale include i leader dell'organizzazione che sono coinvolti nella vostra strategia di sicurezza e sono probabilmente incluse le seguenti figure:
| Responsabili del programma e responsabili tecnici | Responsabilità |
|---|---|
| Sostenitore | Strategia, orientamento, escalation, approccio, allineamento aziendale e gestione della coordinazione. |
| Capo del progetto | Gestione complessiva di engagement, risorse, sequenza temporale e pianificazione, comunicazioni e altri. |
| Responsabile della sicurezza delle informazioni (CISO) | Protezione e governance di asset e sistemi di dati, come la determinazione dei rischi e delle politiche, e il monitoraggio e la reportistica. |
| Responsabile della Conformità IT | Determinazione dei controlli necessari per soddisfare i requisiti di conformità e protezione. |
| Responsabile sicurezza e usabilità per l'utente finale (EUC) | Rappresentazione dei dipendenti. |
| Ruoli di indagine e controllo | Indagine e redazione di report in collaborazione con i responsabili della conformità e protezione. |
| Responsabile della protezione delle informazioni | Classificazione dei dati e identificazione dei dati sensibili, controlli e correzione. |
| Responsabile dell'architettura | Requisiti tecnici, architettura, revisioni, decisioni e definizione delle priorità. |
| Amministratori di Microsoft 365 | Cliente e ambiente, preparazione, configurazione, test. |
La presentazione di PowerPoint delle risorse per questo contenuto di adozione include la seguente diapositiva con una visualizzazione degli stakeholder che può essere personalizzata per la propria organizzazione.
Piani tecnici e preparazione delle competenze
Microsoft fornisce risorse che consentono di soddisfare i requisiti normativi e di conformità. Le sezioni seguenti evidenziano le risorse per obiettivi specifici nelle quattro fasi definite in precedenza.
Fase 1
Nella fase 1 si identificano le normative applicabili all'organizzazione e si inizia a usare Compliance Manager. Si esaminano anche le normative applicabili all'organizzazione.
| Obiettivi per la fase 1 | Risorse |
|---|---|
| Identificare i requisiti di conformità usando la piramide della governance. | Valutazioni di Compliance Manager |
| Usare Compliance Manager per valutare la conformità e pianificare la correzione per individuare le lacune identificate. | Visitare il portale di Microsoft Purview ed esaminare tutte le azioni di miglioramento gestite dal cliente rilevanti per l'organizzazione. |
| Esaminare le linee guida correnti per le normative applicabili all'organizzazione. | Vedere la tabella seguente. |
Questa tabella elenca le normative o gli standard comuni.
| Regolamento o standard | Risorse |
|---|---|
| National Institute of Standards and Technology (NIST) | Configurare Microsoft Entra ID per soddisfare i livelli di garanzia dell'autenticatore NIST |
| Programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP) | Configurare l'ID Microsoft Entra per soddisfare il livello di impatto elevato di FedRAMP |
| Certificazione del modello di maturità della cybersecurity (CMMC) | Configurare l'ID Microsoft Entra per la conformità cmmc |
| Ordine esecutivo per migliorare la cybersecurity della nazione (EO 14028) | Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID |
| Legge sulla Portabilità e Responsabilità delle Assicurazioni Sanitarie del 1996 (HIPAA) | Configurazione dell'ID Microsoft Entra per la conformità HIPAA |
| Payment Card Industry Security Standards Council (PCI SSC) | Microsoft Entra: linee guida PCI-DSS |
| Normative sui servizi finanziari |
Considerazioni chiave su conformità e sicurezza per i mercati bancario e finanziario degli Stati Uniti
|
| North America Electric Reliability Corporation (NERC) | Considerazioni chiave sulla conformità e sulla sicurezza per il settore energetico |
Fase 2
Nella fase 2 si inizia a implementare i controlli per i dati che non sono già presenti. Altre indicazioni per la pianificazione e la distribuzione dei controlli di protezione delle informazioni sono disponibili nella Guida all'adozione di Zero Trust per identificare e proteggere i dati aziendali sensibili .
| Obiettivi per la fase 2 | Risorse |
|---|---|
| Utilizzare Esplora contenuti per identificare i dati regolamentati. |
Introduzione a Esplora contenuto Esplora contenuto può essere utile per esaminare l'esposizione corrente dei dati regolamentati e valutarne la conformità alle normative che determinano dove devono essere archiviati e come devono essere protetti. Creare tipi di informazioni riservate personalizzati |
| Implementare la governance dei dati di base e i criteri di protezione delle informazioni usando etichette di conservazione e riservatezza. |
Informazioni sui criteri di conservazione e sulle etichette da conservare o eliminare Informazioni sulle etichette di riservatezza |
| Verificare i criteri di prevenzione della perdita dei dati e di crittografia. |
Prevenzione della perdita dei dati purview Crittografia con etichettatura di riservatezza Crittografia per Office 365 |
| Implementare i criteri di comunicazione (se applicabile). | Crea e gestisci i criteri di conformità delle comunicazioni |
Fase 3
Nella fase 3 si inizia ad automatizzare i criteri di governance dei dati per la conservazione e l'eliminazione, incluso l'uso di ambiti adattivi.
Questa fase include l'implementazione di controlli per la separazione e l'isolamento. L'NIST, ad esempio, prevede l'hosting di progetti in un ambiente isolato se questi progetti sono correlati a tipi specifici di lavoro classificati per e con il governo degli Stati Uniti. In alcuni scenari, le normative dei servizi finanziari richiedono ambienti di partizionamento per impedire ai dipendenti di diverse parti dell'azienda di comunicare tra loro.
| Obiettivi per la fase 3 | Risorse |
|---|---|
| Estendere i criteri di gestione del ciclo di vita dei dati con l'automazione. | gestione del ciclo di vita dei dati |
| Configurare i controlli di partizionamento e isolamento (se applicabile). |
Barriere informative Prevenzione della perdita dei dati Accesso tra tenant |
| Espandere i criteri di protezione delle informazioni ad altri carichi di lavoro. |
Informazioni sullo scanner di protezione delle informazioni Usare i criteri di prevenzione della perdita dei dati per le app cloud non Microsoft Prevenzione della perdita di dati e Microsoft Teams Uso di Prevenzione della perdita di dati degli endpoint Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint |
| Rivaluta la conformità con Compliance Manager. | Compliance Manager |
Fase 4
Gli obiettivi della fase 4 riguardano l'operazionalizzazione di questo scenario passando a un movimento continuo di valutazione della conformità degli asset alle normative e agli standard applicabili.
| Obiettivi per la fase 4 | Risorse |
|---|---|
| Valutare e inventariare continuamente lo stato di conformità delle risorse. | Questo articolo ha identificato ogni strumento necessario e per questo obiettivo si forma un processo iterativo ripetibile che consente il monitoraggio continuo delle risorse e degli asset all'interno del digital estate. Cercare nel log di controllo nel portale di conformità |
| Usare Microsoft Sentinel per creare report per misurare la conformità. | Usare Microsoft Sentinel per creare report basati sul log di controllo unificato per valutare e misurare la conformità e dimostrare l'efficacia dei controlli. Log analytics in Azure |
| Usare Compliance Manager per identificare e correggere i nuovi gap. | Compliance Manager |
Fase pronta
La maggior parte del lavoro di conformità avviene tramite l'applicazione dei criteri. Determinare quali condizioni devono essere soddisfatte per ottenere la conformità e quindi creare un criterio o un set di criteri per automatizzare un set di controlli. L'applicazione dei criteri con Zero Trust crea una verifica ripetibile per specifici controlli di conformità implementati. Creando controlli nella tecnologia operativa con cui l'organizzazione interagisce ogni giorno, diventa un'attività più semplice per ottenere la conformità ai controlli.
Durante la fase Ready , si valutano, si testano e si pilotano i criteri destinati per assicurarsi che queste attività raggiungano i risultati previsti. Assicurarsi che questi non introducono nuovi rischi. Per questo scenario aziendale Zero Trust, è importante collaborare con gli stakeholder che implementano controlli di accesso, protezione dei dati e altre protezioni dell'infrastruttura. Ad esempio, le raccomandazioni per valutare, testare e pilotare le politiche per abilitare il lavoro remoto o ibrido sono diverse rispetto alle raccomandazioni per identificare e proteggere i dati sensibili nel patrimonio digitale.
Controlli di esempio
Ogni pilastro di Zero Trust può essere mappato a controlli specifici all'interno di un framework normativo o standard.
Esempio 1
Zero Trust for Identity viene mappato alla Gestione del controllo degli accessi all'interno del Benchmark CIS (Center for Internet Security) e all'allegato A.9.2.2 Provisioning dell'accesso utente nell'ISO 27001:2022.
In questo diagramma, la Gestione del controllo degli accessi è definita nell'allegato 9.2.2 dello standard ISO 27001, Provisioning degli accessi utente. I requisiti per questa sezione sono soddisfatti richiedendo l'autenticazione a più fattori.
L'esecuzione di ogni controllo, come l'applicazione dei criteri di accesso condizionale, è univoca per ogni organizzazione. Il profilo di rischio dell'organizzazione insieme a un inventario degli asset deve creare un'area di superficie accurata e un ambito di implementazione.
Esempio 2
Una delle correlazioni più ovvie tra l'architettura Zero Trust e gli standard di settore include la classificazione delle informazioni. L'allegato 8.2.1 da ISO 27001 determina che:
- Le informazioni devono essere classificate secondo i requisiti legali, valore, criticità e riservatezza rispetto a qualsiasi divulgazione o modifica non autorizzata, idealmente classificate in modo da riflettere l'attività aziendale, piuttosto che inibirla o complicarla.
In questo diagramma, il servizio di classificazione dei dati di Microsoft Purview viene usato per definire e applicare etichette di riservatezza a messaggi di posta elettronica, documenti e dati strutturati.
Esempio 3
L'allegato 8.1.1 in ISO 27001:2022 (inventario delle risorse) richiede che "gli asset associati alle informazioni e alle strutture di elaborazione delle informazioni debbano essere identificati e gestiti nel ciclo di vita e siano sempre aggiornati".
L'adempimento di questo requisito di controllo può essere ottenuto tramite l'implementazione della gestione dei dispositivi di Intune. Questo requisito fornisce un chiaro conto dell'inventario e segnala lo stato di conformità per ogni dispositivo rispetto ai criteri aziendali o di settore definiti.
Per questo requisito di controllo, si usa Microsoft Intune per gestire i dispositivi, inclusa la configurazione dei criteri di conformità per segnalare la conformità dei dispositivi rispetto ai criteri impostati. È anche possibile usare i criteri di accesso condizionale per richiedere la conformità dei dispositivi durante il processo di autenticazione e autorizzazione.
Esempio 4
L'esempio più completo di un pilastro di Zero Trust mappato agli standard di settore sarebbe intelligence sulle minacce e risposta agli eventi imprevisti. L'intera gamma di prodotti Microsoft Defender e Microsoft Sentinel diventano applicabili in questo scenario per fornire analisi approfondite ed esecuzione di intelligence sulle minacce e risposta agli eventi imprevisti in tempo reale.
In questo diagramma, Microsoft Sentinel insieme agli strumenti di Microsoft Defender fornisce intelligence sulle minacce.
Fase di adozione
Nella fase di adozione, si implementano in modo incrementale i tuoi piani tecnici nell'infrastruttura digitale. È necessario classificare i piani tecnici in base all'area e collaborare con i team corrispondenti per eseguire questa fase.
Per l'accesso alle identità e ai dispositivi, adottare un approccio a fasi in cui si inizia con un numero ridotto di utenti e dispositivi e quindi aumentare gradualmente la distribuzione per includere l'ambiente completo. Questo scenario è descritto nello scenario di adozione di attività remote e ibride sicure . Ecco un esempio.
L'adozione per la protezione dei dati comporta la propagazione del lavoro e l'iterazione man mano che si procede per assicurarsi che i criteri creati siano appropriati per l'ambiente in uso. Questo è descritto nello scenario di adozione Identificare e proteggere i dati aziendali sensibili. Ecco un esempio.
Governance e gestione
Soddisfare i requisiti normativi e di conformità è un processo in corso. Durante la transizione a questa fase, passare al rilevamento e al monitoraggio. Microsoft offre alcuni strumenti utili.
È possibile usare Esplora contenuto per monitorare lo stato di conformità dell'organizzazione. Per la classificazione dei dati, Esplora contenuto offre una visualizzazione del panorama e della diffusione di informazioni riservate all'interno dell'organizzazione. Da classificatori sottoponibili a training a diversi tipi di dati sensibili, tramite ambiti adattivi o etichette di riservatezza create manualmente, gli amministratori possono verificare se lo schema di riservatezza previsto viene applicato correttamente in tutta l'organizzazione. Si tratta anche di un'opportunità per identificare aree specifiche di rischio in cui le informazioni riservate vengono condivise in modo coerente in Exchange, SharePoint e OneDrive. Ecco un esempio.
Usando la maggiore funzionalità di creazione di report all'interno del portale di Microsoft Purview, è possibile creare e quantificare una macro-visualizzazione della conformità. Ecco un esempio.
Lo stesso pensiero e processo può essere applicato ad Azure. Usare Defender per la conformità Cloud-Regulatory per determinare un punteggio di conformità simile allo stesso punteggio fornito in Purview Compliance Manager. Il punteggio è allineato a più standard normativi e framework in diversi verticali del settore. Spetta all'organizzazione comprendere quali di questi standard e framework normativi si applicano al punteggio. Lo stato fornito da questo dashboard mostra una valutazione costante in tempo reale delle valutazioni superate rispetto a quelle non superate per ogni standard. Ecco un esempio.
I dashboard di Purview forniscono una valutazione generale che consente di informare i responsabili aziendali e di essere usati nei report di reparto, ad esempio una revisione trimestrale. In una nota più operativa, è possibile sfruttare Microsoft Sentinel creando un'area di lavoro Log Analytics per i dati dei log di controllo unificati. Questa area di lavoro può essere connessa ai dati di Microsoft 365 e fornisce informazioni dettagliate sull'attività degli utenti. Ecco un esempio.
Questi dati sono personalizzabili e possono essere usati insieme agli altri dashboard per contestualizzare il requisito normativo allineato in modo specifico alla strategia, al profilo di rischio, agli obiettivi e agli obiettivi dell'organizzazione.
Passaggi successivi
- Panoramica del framework di adozione del Zero Trust
- Modernizzare rapidamente il comportamento di sicurezza
- Proteggere il lavoro remoto e ibrido
- Identificare e proteggere i dati aziendali sensibili
- Impedire o ridurre i danni aziendali da una violazione
Risorse di rilevamento dello stato
Per uno degli scenari aziendali Zero Trust, è possibile usare le risorse di rilevamento dello stato seguenti.
| Risorsa per il monitoraggio dei progressi | Questo ti aiuta... | Progettato per... |
|---|---|---|
Griglia di fasi del piano di adozione scaricabile file di Visio o PDF 
|
Comprendere facilmente i miglioramenti della sicurezza per ogni scenario aziendale e il livello di impegno per le fasi e gli obiettivi della fase del piano. | I responsabili del progetto di scenario aziendale, i responsabili aziendali e altri stakeholder. |
Tracciatore di adozione Zero Trust Presentazione di PowerPoint scaricabile 
|
Tenere traccia dello stato di avanzamento attraverso le fasi e gli obiettivi della fase del piano. | I responsabili del progetto di scenario aziendale, i responsabili aziendali e altri stakeholder. |
Obiettivi e attività dello scenario aziendale scaricabili nella cartella di lavoro di Excel 
|
Assegnare la proprietà e tenere traccia dello stato di avanzamento attraverso le fasi, gli obiettivi e le attività della fase del piano. | Responsabili del progetto di scenario aziendale, responsabili IT e implementatori di soluzioni IT. |
Per altre risorse, vedere Valutazione Zero Trust e risorse di monitoraggio del progresso.