Minacce, vulnerabilità e valutazione dei rischi del datacenter
Microsoft offre più di 200 servizi cloud ai clienti 24x7x365. Alcuni esempi sono servizi aziendali come Microsoft Azure, Microsoft 365, Microsoft Dynamics e servizi consumer come Bing, MSN, Outlook.com, Skype e Xbox Live. Questi servizi sono ospitati nell'infrastruttura cloud di Microsoft: data center distribuiti a livello globale, nodi di edge computing e centri operativi dei servizi e una delle reti globali più grandi del mondo; con un'ampia impronta di fibra che li collega tutti. Dall’apertura del nostro primo centro dati nel 1989, Microsoft ha investito miliardi di dollari nella nostra infrastruttura e continua a offrire servizi online avanzati in materia di sicurezza, scalabili e affidabili, gestendo in maniera efficiente le operazioni e i costi man mano che i servizi crescono.
I servizi cloud di Microsoft si fondano su un principio di fiducia e sicurezza, con l'obiettivo prioritario di proteggere i dati e le applicazioni dei clienti nel cloud con tecnologia, processi e crittografia all’avanguardia. I dati dei clienti sono archiviati nei centri dati Microsoft, che sono distribuiti geograficamente e protetti da diversi livelli di misure di sicurezza fisiche e logiche approfondite. I centri dati Microsoft sono progettati e gestiti per proteggere i servizi e i dati da danni derivanti da disastri naturali, minacce ambientali o accesso non autorizzato.
Metodologia di valutazione di minacce, vulnerabilità e rischi
Il programma TVRA (Threat, Vulnerability, and Risk Assessment) consente di comprendere in che modo Microsoft identifica e attenua l'impatto delle minacce fisiche e ambientali per i data center Microsoft. Microsoft si impegna ad aggiornare continuamente le proprie valutazioni dei rischi e le metodologie per i miglioramenti e man mano che cambiano le condizioni. Di conseguenza, le analisi e le conclusioni di TVRA sono soggette a modifiche e le relazioni vengono considerate puntuali.
Microsoft semplifica il processo di TVRA seguendo questi passaggi:
Identificazione dei rischi
Le TVRA considerano un'ampia gamma di scenari di minaccia derivanti da pericoli naturali e creati dall'uomo (inclusi quelli accidentali). I risultati variano a seconda della posizione del data center, della progettazione, dell'ambito dei servizi e di altri fattori. La TVRA seleziona gli scenari di minaccia da evidenziare nel documento TVRA in base alle esigenze dei clienti, a un paese indipendente, alla città e alla valutazione a livello di sito dell'ambiente di rischio fornito dalle informazioni sui rischi di terze parti e di prima parte. Per le regioni che contengono più data center, le valutazioni TVRA sono aggregate per garantire una visione olistica delle minacce fisiche e ambientali, delle vulnerabilità e dei rischi per le posizioni oggetto di valutazione.
I tipi di scenari di minacce valutati per i TVRA dei centri dati comprendono:
- Minacce esterne: eventi imprevisti derivanti da attività umane intenzionali o accidentali esterne. Ad esempio, disordini civili, atti illeciti, attività criminali, furti esterni, ordigni esplosivi improvvisati, attacchi armati, incendi dolosi, ingresso non autorizzato e disastri aerei.
- Minacce interne: eventi imprevisti derivanti da attività umane intenzionali o accidentali interne. Ad esempio, furto interno e sabotaggio.
- Rischi naturali: un processo naturale o un fenomeno che potrebbe influire negativamente sui data center. Ad esempio tempeste tropicali, cicloni, alluvioni, frane, siccità, incendi, terremoti, attività vulcaniche, forti temporali, grandine, vento forte o forti piogge.
- Minacce ambientali: condizioni ambientali che potrebbero influire negativamente sui data center. Ad esempio, stress idrico, stress termico e pandemie.
Analisi dei rischi
Le minacce vengono valutate in base a una valutazione del rischio intrinseco; il rischio intrinseco viene calcolato in funzione dell'impatto intrinseco di una minaccia e della probabilità intrinseca dell'occorrenza della minaccia in assenza di azioni e controlli di gestione. Queste valutazioni si basano sia sul feedback interno di un esperto in materia che sull'uso di indici di rischio esterni.
Rischio residuo
Il rischio residuo viene determinato come misura dei livelli di rischio rimanenti dopo la considerazione dell'efficacia del controllo. L'efficacia del controllo viene valutata come misura delle azioni di gestione correnti e dei controlli progettati per prevenire o rilevare le minacce, valutando al tempo stesso la probabilità che tali controlli abbiano l'effetto desiderato in base a quanto previsto in fase di progettazione e implementazione. Queste valutazioni si basano sulla raccolta di commenti e suggerimenti interni delle PMI sull'efficacia del controllo per la posizione dei centri dati considerati nel TVRA.
Report
Una volta completata la valutazione, viene generato un report TVRA per l'approvazione della gestione e per supportare gli sforzi complessivi relativi alla gestione dei rischi.
Risorse
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per