CyberGRX

La metodologia di valutazione CyberGRX identifica il rischio sia intrinseco che residuo e usa l'analisi delle minacce quasi in tempo reale e la convalida indipendente delle prove per fornire ai clienti una visione olistica del proprio comportamento di rischio informatico di terze parti.

CyberGRX è il primo e più grande scambio di rischi collaborativi al mondo. La metodologia analitica di CyberGRX crea intelligence sulle minacce e modelli di rischio sofisticati da una sola valutazione convalidata. Grazie alle informazioni dettagliate sui rischi in materia di sicurezza e privacy dei dati, la valutazione CyberGRX offre non solo informazioni approfondite sul rischio residuo, ma combina la modellazione degli scenari di attacco e mitre ATT&kill chain CK per monitorare le tattiche e le tecniche in evoluzione nel panorama delle minacce.

Microsoft e CyberGRX

CyberGRX, utilizzando i partner strategici Deloitte e Touche e KPMG, ha convalidato e segnalato la valutazione di Microsoft Cloud, costituita da oltre 1.000 domande di sicurezza e risposte Microsoft corrispondenti. CyberGRX affronta i rischi intrinseci, le informazioni sulle minacce specifiche del settore e gli scenari di attacco reali. Ciò offre ai clienti la possibilità di convalidare il comportamento di sicurezza di Microsoft con prove esterne per generare risultati incentrati sul rischio, anziché sulla semplice conformità.

Microsoft riconosce la necessità che i clienti debbano usare veicoli efficienti che aiuteranno la loro organizzazione a valutare rapidamente i rischi, per includere la valutazione dei potenziali rischi che possono assumere a causa dell'uso di terze parti per i servizi chiave, come noi. Essendo uno dei più grandi provider di servizi cloud al mondo, Microsoft è consapevole che la nostra base di clienti è vasta e diversificata e che questi clienti hanno priorità variabili e provengono da diversi settori. Il ridimensionamento di queste diverse esigenze richiede a Microsoft di cercare metodi efficaci per ampliare e amplificare la nostra capacità di condividere conoscenze chiave che aiuteranno tutti i clienti con le loro priorità di sicurezza e indipendentemente dai servizi Microsoft Cloud che usano. Collaborare con aziende di valutazione di terze parti come CyberGRX è un modo per aiutare i nostri clienti a essere più agili nella loro ricerca di valutazione dei rischi.

Il modello cyberGRX offre alle organizzazioni interessate all'implementazione del controllo di sicurezza di Microsoft Cloud la possibilità di selezionare i controlli a cui sono più interessati e fornisce risposte convalidate per la revisione. Microsoft trae vantaggio da questo modello in quanto può anche essere agile nella capacità di fornire aggiornamenti e le risposte sono disponibili per qualsiasi membro dello scambio CyberGRX, fornendo un maggiore accesso ai clienti a queste informazioni chiave. In breve, CyberGRX aiuta Microsoft a raggiungere più clienti con esigenze di valutazione dei rischi e sottolinea il nostro impegno per la trasparenza e la sicurezza.

Inoltre, i clienti possono usare la funzionalità Framework Mapper di CyberGRX per eseguire il mapping dei controlli di valutazione e delle risposte a standard e framework di settore noti, ad esempio NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, che possono ridurre significativamente il carico di due diligence.

Piattaforme cloud microsoft nell'ambito & servizi nell'ambito

• Azure
• Dynamics 365
• Microsoft 365
• Power Platform

Per un elenco completo di Microsoft Servizi online nell'ambito di controllo CyberGRX, vedere:

• Offerte di conformità di Microsoft Azure o report di attestazione SOC 2 di Azure di tipo 2.
• Azure DevOps Services,
• Office 365 documentazione soc 2.

Office 365 e CyberGRX

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

• Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
• Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
• Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
• Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
• Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità

Servizi inclusi nell'ambito

Commerciale

Cortana, Customer Lockbox, Archiviazione Exchange Online, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (inclusi Bookings, Elenchi e Turni), Microsoft To-Do, Microsoft Defender per Office 365, Office 365 Video, Office per il web, OneDrive for Business, Project, SharePoint Online, Skype for Business Online, Sway, lavagna, Viva Engage

Controlli, report e certificati

Per accedere a un report di valutazione CyberGRX gratuito di Microsoft Cloud, compilare questo modulo.

Come eseguire l'implementazione

• Casi d'uso finanziari: panoramica dei casi d'uso, esercitazioni e altre risorse per creare soluzioni Microsoft Cloud per i servizi finanziari.
• Regolamento dei servizi finanziari negli Stati Uniti: in che modo i servizi online Microsoft cono conformi alle principali aspettative normative per le istituzioni finanziarie statunitensi.

Domande frequenti

Per informazioni dettagliate sul modo in cui la metodologia di convalida di CyberGRX, il modello di punteggio della maturità e altre aree correlate, vedere domande frequenti sulla valutazione della sicurezza.

Risorse

• Report di controllo di Service Trust Portal
• CyberGRX
• Servizi finanziari e servizi cloud aziendali di Microsoft
• Responsabilità condivise per il cloud computing
• Conformità nel Centro protezione Microsoft
• Microsoft Industry Clouds