Soddisfare i requisiti normativi e di conformità
Come parte delle linee guida per l'adozione di Zero Trust , questo articolo descrive lo scenario aziendale per soddisfare i requisiti normativi e di conformità applicabili all'organizzazione.
Indipendentemente dalla complessità dell'ambiente IT dell'organizzazione o dalle dimensioni dell'organizzazione, vengono aggiunti continuamente nuovi requisiti normativi che potrebbero influire sull'azienda. Queste normative includono il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), il California Consumer Privacy Act (CCPA), una miriade di normative sanitarie e finanziarie per le informazioni e i requisiti di residenza dei dati.
Il processo di soddisfare i requisiti normativi e di conformità può essere lungo, complesso e noioso quando non viene gestito correttamente. Questa sfida ha notevolmente aumentato il carico di lavoro dei team di sicurezza, conformità e normative per ottenere e dimostrare la conformità, prepararsi per un controllo e mettere in atto le procedure consigliate in corso.
Un approccio Zero Trust spesso supera alcuni tipi di requisiti imposti dalle normative di conformità, ad esempio quelli che controllano l'accesso ai dati personali. Le organizzazioni che hanno implementato un approccio Zero Trust possono scoprire che soddisfano già alcune nuove condizioni o possono facilmente basarsi sull'architettura Zero Trust per essere conformi.
| Approcci tradizionali per soddisfare i requisiti normativi e di conformità | Approccio moderno per soddisfare i requisiti normativi e di conformità con Zero Trust |
|---|---|
| Molte organizzazioni usano diverse soluzioni legacy unite. Queste soluzioni spesso non interagiscono senza problemi, esponendo le lacune dell'infrastruttura e aumentando i costi operativi. Alcune soluzioni indipendenti "migliori di razza" potrebbero anche impedire la conformità con determinate normative mentre vengono usate per soddisfare un altro. Un esempio diffuso è l'uso della crittografia per garantire che i singoli autorizzati gestiscono i dati in modo sicuro. Ma la maggior parte delle soluzioni di crittografia rende i dati opachi per i servizi, ad esempio Prevenzione della perdita dei dati (DLP), eDiscovery o archiviazione. La crittografia impedisce all'organizzazione di eseguire due diligence sulle azioni eseguite dagli utenti che usano dati crittografati. Questo risultato forza le organizzazioni a prendere decisioni difficili e rischiose, ad esempio vietare l'uso di tutta la crittografia a livello di file per i trasferimenti di dati sensibili o consentire ai dati crittografati di uscire dall'organizzazione insospettabili. |
Unificare la strategia di sicurezza e i criteri con un approccio Zero Trust suddivide i silo tra team IT e sistemi, consentendo una migliore visibilità e protezione nello stack IT. Soluzioni di conformità integrate in modo nativo, ad esempio quelle di Microsoft Purview, non solo interagiscono per supportare i requisiti di conformità e quelli di un approccio Zero Trust, ma lo fanno con la massima trasparenza, consentendo a ogni soluzione di sfruttare i vantaggi di altri, ad esempio la conformità delle comunicazioni sfruttando le etichette di riservatezza nel contenuto. Le soluzioni di conformità integrate possono fornire la copertura necessaria con compromessi minimi, ad esempio contenuti crittografati elaborati in modo trasparente da soluzioni eDiscovery o DLP. La visibilità in tempo reale consente l'individuazione automatica degli asset, inclusi gli asset critici e i carichi di lavoro, mentre i requisiti di conformità possono essere applicati a tali asset tramite l'etichettatura di classificazione e riservatezza. L'implementazione di un'architettura Zero Trust consente di soddisfare i requisiti normativi e di conformità con una strategia completa. L'uso delle soluzioni Microsoft Purview in un'architettura Zero Trust consente di individuare, gestire, proteggere e gestire l'intero patrimonio di dati dell'organizzazione in base alle normative che influisce sull'organizzazione. Le strategie Zero Trust spesso comportano l'implementazione di controlli che soddisfano o superano determinati requisiti normativi, riducendo così il carico di esecuzione di modifiche a livello di sistema per rispettare nuovi requisiti normativi. |
Le indicazioni contenute in questo articolo illustrano come iniziare a usare Zero Trust come framework per soddisfare i requisiti normativi e di conformità con un'enfasi su come comunicare e collaborare con i responsabili aziendali e i team nell'intera organizzazione.
Questo articolo usa le stesse fasi del ciclo di vita di Cloud Adoption Framework per Azure: definire strategia, pianificare, preparare, adottare e gestire, ma adattata per Zero Trust.
La tabella seguente è una versione accessibile dell'illustrazione.
| Definire una strategia | Piano | Pronto | Adozione | Governance e gestione |
|---|---|---|---|---|
| Allineamento dell'organizzazione Obiettivi strategici Risultati |
Team stakeholder Piani tecnici Idoneità a livello di competenze |
Valutare Test Programma pilota |
Implementare in modo incrementale nel digital estate | Tenere traccia e misurare Monitorare e rilevare Iterazione per la maturità |
Definire la fase di strategia
La fase Definisci strategia è fondamentale per definire e formalizzare gli sforzi per affrontare il "Perché?" di questo scenario. In questa fase si comprende lo scenario tramite prospettive normative, aziendali, IT, operative e strategiche.
Si definiscono quindi i risultati rispetto ai quali misurare il successo in questo scenario, comprendendo che la conformità è un percorso incrementale e iterativo.
Questo articolo suggerisce motivazioni e risultati rilevanti per molte organizzazioni. Usare questi suggerimenti per perfezionare la strategia per l'organizzazione in base alle esigenze specifiche.
Comprendere le motivazioni dei responsabili aziendali
Anche se Zero Trust può aiutare a semplificare il processo di soddisfare i requisiti normativi, forse la sfida più grande è ottenere supporto e contributo da parte dei leader nell'organizzazione. Queste linee guida per l'adozione sono progettate per facilitare la comunicazione con loro, in modo da poter ottenere l'allineamento dell'organizzazione, definire gli obiettivi strategici e identificare i risultati.
L'allineamento inizia con la comprensione di ciò che motiva i leader e perché devono preoccuparsi di soddisfare i requisiti normativi. La tabella seguente fornisce prospettive di esempio, ma è importante incontrarsi con ognuno di questi leader e team e venire a una comprensione condivisa delle motivazioni dell'altro.
| Ruolo | Perché soddisfare i requisiti normativi è importante |
|---|---|
| Chief Executive Officer (CEO) | Responsabile della protezione della strategia organizzativa convalidata da organismi di controllo esterni. Il CEO riferisce per lo più a un consiglio di amministrazione che può anche valutare il livello di conformità ai requisiti legislativi nell'organizzazione e i risultati di audit annuali. |
| Chief Marketing Officer (CMO) | Responsabile di garantire che le informazioni aziendali riservate non vengano condivise esternamente esclusivamente per scopi di marketing. |
| Chief Information Officer (CIO) | In genere il responsabile delle informazioni nell'organizzazione e sarà tenuto responsabile delle autorità di regolamentazione delle informazioni. |
| Chief Technology Officer (CTO) | Responsabile del mantenimento della conformità alle normative all'interno del digital estate. |
| Chief Information Security Officer (CISO) | Responsabile dell'adozione e della conformità agli standard di settore che forniscono controlli direttamente correlati alla conformità alla sicurezza delle informazioni. |
| Chief Operations Officer (COO) | Assicura che i criteri e le procedure aziendali relativi alla sicurezza delle informazioni, alla privacy dei dati e ad altre procedure normative vengano mantenuti a livello operativo. |
| Chief Financial Officer (CFO) | Valuta gli svantaggi finanziari e i vantaggi della conformità, ad esempio l'assicurazione informatica e la conformità fiscale. |
| Chief Risk Officer (CRO) | È proprietario del componente rischio del framework di governance dei rischi e della conformità (GRC) all'interno dell'organizzazione. Attenua le minacce alla non conformità e alla conformità. |
Diverse parti dell'organizzazione potrebbero avere motivazioni e incentivi diversi per svolgere il lavoro dei requisiti normativi e di conformità. La tabella seguente riepiloga alcune di queste motivazioni. Assicurarsi di entrare in contatto con gli stakeholder per comprendere le motivazioni.
| Area | Motivazioni |
|---|---|
| Esigenze aziendali | Per rispettare i requisiti normativi e legislativi applicabili. |
| Esigenze IT | Per implementare tecnologie che automatizzano la conformità ai requisiti normativi e di conformità, come stabilito dall'organizzazione nell'ambito delle identità, dei dati, dei dispositivi (endpoint), delle applicazioni e dell'infrastruttura. |
| Esigenze operative | Implementare criteri, procedure e istruzioni di lavoro a cui si fa riferimento e allineati agli standard di settore pertinenti e ai requisiti di conformità pertinenti. |
| Esigenze strategiche | Ridurre il rischio di violazione delle leggi nazionali, regionali e locali e dei potenziali danni finanziari e di reputazione pubblica che possono derivare da violazioni. |
Uso della piramide della governance per informare la strategia
La cosa più importante da ricordare con questo scenario aziendale è che il framework Zero Trust funge da parte di un modello di governance più ampio che stabilisce la gerarchia di vari requisiti legislativi, normativi, normativi, politici e procedurali all'interno di un'organizzazione. Nello spazio di conformità e regolamentazione possono essere disponibili molti modi per ottenere lo stesso requisito o controllo. È importante dichiarare che questo articolo prevede la conformità alle normative usando un approccio Zero Trust.
Un modello di strategia che viene spesso usato all'interno della conformità alle normative è la piramide della governance illustrata di seguito.
Questa piramide illustra i diversi livelli in cui la maggior parte delle organizzazioni gestisce la governance it (Information Technology). Dall'alto della piramide fino alla fine, questi livelli sono la legislazione, gli standard, le politiche e le procedure e le istruzioni di lavoro.
La cima della piramide rappresenta il livello più importante: la legislazione. A questo livello, la variazione tra le organizzazioni è minore perché le leggi si applicano su vasta scala a molte organizzazioni, anche se le normative nazionali e specifiche dell'azienda possono essere applicate solo ad alcune aziende e non ad altre. La base della piramide, le istruzioni di lavoro, rappresenta l'area con la più grande variazione e superficie di implementazione in tutte le organizzazioni. Questo è il livello che consente a un'organizzazione di sfruttare la tecnologia per soddisfare i requisiti più importanti per i livelli più elevati.
Il lato destro della piramide fornisce esempi di scenari in cui la conformità dell'organizzazione può portare a risultati aziendali positivi e vantaggi. La pertinenza aziendale crea più incentivi per le organizzazioni per avere una strategia di governance.
La tabella seguente descrive in che modo i diversi livelli di governance a sinistra della piramide possono offrire i vantaggi aziendali strategici sul lato destro.
| Livello di governance | Rilevanza e risultati aziendali strategici |
|---|---|
| Legislazione e leggi, considerate collettivamente | Il superamento di controlli legali può evitare multe e sanzioni e crea fiducia dei consumatori e fedeltà del marchio. |
| Gli standard forniscono una base affidabile per le persone che condividono le stesse aspettative su un prodotto o un servizio | Gli standard forniscono una garanzia di qualità attraverso vari controlli di qualità del settore. Alcune certificazioni hanno anche vantaggi per l'assicurazione informatica. |
| Criteri e procedure documentano le funzioni e le operazioni quotidiane di un'organizzazione | Molti processi manuali correlati alla governance possono essere semplificati e automatizzati. |
| Le istruzioni di lavoro descrivono come eseguire un processo in base ai criteri e alle procedure definiti nei passaggi dettagliati | I dettagli complessi dei manuali e dei documenti di istruzioni possono essere semplificati dalla tecnologia. Ciò può ridurre notevolmente l'errore umano e risparmiare tempo. Un esempio è l'uso dei criteri di accesso condizionale di Microsoft Entra come parte del processo di onboarding dei dipendenti. |
Il modello di piramide della governance consente di concentrarsi sulle priorità:
Requisiti legislativi e legali
Le organizzazioni possono affrontare gravi ripercussioni se non sono seguite.
Standard di sicurezza e specifici del settore
Le organizzazioni possono avere un requisito del settore per essere conforme o certificato con uno o più di questi standard. Il framework Zero Trust può essere mappato a diversi standard di sicurezza, sicurezza delle informazioni e gestione dell'infrastruttura.
Criteri e procedure
Specifica dell'organizzazione e governance dei processi più intrinseci all'interno dell'azienda.
Istruzioni di lavoro
Controlli dettagliati altamente tecnici e personalizzati per le organizzazioni per soddisfare i criteri e le procedure.
Esistono diversi standard che aggiungono il maggior valore alle aree dell'architettura Zero Trust. Focalizzando l'attenzione sugli standard seguenti che si applicano a si produrrà un impatto maggiore:
Il Centro per i benchmark CIS (Center for Internet Security) fornisce indicazioni preziose per la gestione dei dispositivi e i criteri di gestione degli endpoint. I benchmark CIS includono guide all'implementazione per Microsoft 365 e Microsoft Azure. Le organizzazioni in tutti i settori e i verticali usano benchmark CIS per aiutarli a raggiungere gli obiettivi di sicurezza e conformità. soprattutto quelli che operano in ambienti fortemente regolamentati.
National Institute of Standards and Technology (NIST) fornisce la NIST Special Publication (NIST SP 800-63-4 ipd) Digital Identity Guidelines(NIST SP 800-63-4 ipd). Queste linee guida forniscono requisiti tecnici per le agenzie federali che implementano i servizi di gestione delle identità digitali e non sono destinati a limitare lo sviluppo o l'uso di standard al di fuori di questo scopo. È importante notare che questi requisiti vengono eseguiti per migliorare i protocolli esistenti che fanno parte della strategia Zero Trust. Sia le organizzazioni governative che quelle del settore pubblico, in particolare nel Stati Uniti sottoscrivere il NIST, tuttavia le società quotate pubblicamente possono anche utilizzare i principi guida all'interno del quadro. NIST fornisce inoltre assistenza per l'implementazione di un'architettura Zero Trust nelle pubblicazioni incluse in NIST SP 1800-35.
Lo standard ISO 27002:2022 appena modificato è consigliato per la governance generale dei dati e la sicurezza delle informazioni. Tuttavia, i controlli annessione A forniscono una buona base per la creazione di un elenco di controllo dei controlli di sicurezza, che in seguito possono essere convertiti in obiettivi utilizzabili.
ISO 27001:2022 fornisce anche linee guida complete sul modo in cui la gestione dei rischi può essere implementata nel contesto della sicurezza delle informazioni. Ciò può essere particolarmente utile con il numero di metriche disponibili per gli utenti nella maggior parte dei portali e dei dashboard.
Gli standard come questi possono essere classificati in ordine di priorità per fornire all'organizzazione una baseline di criteri e controlli per soddisfare i requisiti comuni.
Microsoft fornisce Microsoft Purview Compliance Manager per pianificare e tenere traccia dello stato di avanzamento verso gli standard delle riunioni applicabili all'organizzazione. Compliance Manager può offrire supporto nell'intero percorso di conformità, dall'acquisizione dell'inventario dei rischi per la protezione dei dati, alla gestione delle complessità per l'implementazione dei controlli, al rimanere aggiornati in merito a normative e certificazioni, fino alla creazione di report per i revisori.
Definizione della strategia
Dal punto di vista della conformità, l'organizzazione deve definire la propria strategia in base alla metodologia intrinseca dell'archiviazione con ridondanza geografica. Se l'organizzazione non sottoscrive uno standard, un criterio o un framework specifici, è necessario ottenere un modello di valutazione da Compliance Manager. A ogni sottoscrizione di Microsoft 365 attiva viene assegnata una baseline di protezione dei dati di cui è possibile eseguire il mapping rispetto alle linee guida per la distribuzione Zero Trust. Questa baseline offre agli implementatori un ottimo punto di partenza per l'implementazione pratica di Zero Trust dal punto di vista della conformità. Questi controlli documentati possono essere convertiti in un secondo momento in obiettivi misurabili. Questi obiettivi devono essere specifici, misurabili, ottenibili, realistici e associati al tempo (SMART).
Il modello Baseline di protezione dei dati in Compliance Manager integra 36 azioni per Zero Trust, allineate tra le famiglie di controlli seguenti:
- Applicazione Zero Trust
- Linee guida per lo sviluppo di app Zero Trust
- Zero Trust Endpoint
- Dati zero trust
- Identità Zero Trust
- Infrastruttura Zero Trust
- Rete Zero Trust
- Visibilità zero trust, automazione e orchestrazione
Questi elementi sono strettamente allineati all'architettura di riferimento Zero Trust, come illustrato di seguito.
Fase del piano
Molte organizzazioni possono adottare un approccio a quattro fasi a queste attività tecniche, riepilogate nella tabella seguente.
| Fase 1 | Fase 2 | Fase 3 | Fase 4 |
|---|---|---|---|
| Identificare i requisiti normativi applicabili all'organizzazione. Usare Compliance Manager per identificare le normative che potrebbero influire sull'azienda, valutare la conformità ai requisiti di alto livello imposti da tali normative e pianificare la correzione per le lacune identificate. Esaminare le linee guida correnti per le normative applicabili all'organizzazione. |
Usare Esplora contenuto in Microsoft Purview per identificare i dati soggetti ai requisiti normativi e valutarne il rischio e l'esposizione. Definire classificatori personalizzati per adattare questa funzionalità alle esigenze aziendali. Valutare i requisiti per la protezione delle informazioni, ad esempio i criteri di conservazione dei dati e di gestione dei record, e quindi implementare i criteri di base di protezione delle informazioni e governance dei dati usando etichette di conservazione e riservatezza. Implementare criteri di prevenzione della perdita dei dati di base per controllare il flusso di informazioni regolamentate. Implementare i criteri di conformità delle comunicazioni, se richiesti dalle normative. |
Estendere i criteri di gestione del ciclo di vita dei dati con l'automazione. Configurare controlli di partizionamento e isolamento usando etichette di riservatezza, prevenzione della perdita dei dati o barriere informative, se richiesto dalle normative. Espandere i criteri di protezione delle informazioni implementando l'etichettatura dei contenitori, l'etichettatura automatica e obbligatoria e i criteri DLP più rigorosi. Espandere quindi questi criteri ai dati locali, ai dispositivi (endpoint) e ai servizi cloud di terze parti usando altre funzionalità in Microsoft Purview. Rivaluta la conformità usando Compliance Manager e identifica e corregge le lacune rimanenti. |
Usare Microsoft Sentinel per creare report basati sul log di controllo unificato per valutare e inventariare continuamente lo stato di conformità delle informazioni. Continuare a usare Compliance Manager in modo continuativo per identificare e correggere le lacune rimanenti e soddisfare i requisiti delle normative nuove o aggiornate. |
Se questo approccio a fasi funziona per l'organizzazione, è possibile usare:
Questa presentazione di PowerPoint scaricabile per presentare e monitorare i progressi attraverso queste fasi e obiettivi per i responsabili aziendali e altri stakeholder. Ecco la diapositiva per questo scenario aziendale.
Questa cartella di lavoro di Excel consente di assegnare proprietari e tenere traccia dello stato di avanzamento per queste fasi, obiettivi e attività. Ecco il foglio di lavoro per questo scenario aziendale.
Team stakeholder
Il team degli stakeholder per questo scenario aziendale include i leader dell'organizzazione che vengono investiti nel comportamento di sicurezza e probabilmente includono i ruoli seguenti:
| Responsabili del programma e proprietari tecnici | Responsabilità |
|---|---|
| Sponsor | Strategia, gestione, escalation, approccio, allineamento aziendale e gestione del coordinamento. |
| Responsabile progetto | Gestione complessiva di engagement, risorse, sequenza temporale e pianificazione, comunicazioni e altri. |
| CISO | Protezione e governance di asset e sistemi di dati, ad esempio la determinazione dei rischi e i criteri e la verifica e la creazione di report. |
| IT Compliance Manager | Determinazione dei controlli necessari per soddisfare i requisiti di conformità e protezione. |
| Lead end user security and usability (EUC) | Rappresentazione dei dipendenti. |
| Ruoli di indagine e controllo | Indagine e creazione di report in collaborazione con i lead di conformità e protezione. |
| Information Protection Manager | Classificazione dei dati e identificazione dei dati sensibili, controlli e correzione. |
| Lead dell'architettura | Requisiti tecnici, architettura, revisioni, decisioni e definizione delle priorità. |
| Amministratori di Microsoft 365 | Tenant e ambiente, preparazione, configurazione, test. |
La presentazione di PowerPoint delle risorse per questo contenuto di adozione include la diapositiva seguente con una visualizzazione stakeholder che è possibile personalizzare per la propria organizzazione.
Piani tecnici e preparazione delle competenze
Microsoft fornisce risorse che consentono di soddisfare i requisiti normativi e di conformità. Le sezioni seguenti evidenziano le risorse per obiettivi specifici nelle quattro fasi definite in precedenza.
Fase 1
Nella fase 1 si identificano le normative applicabili all'organizzazione e si inizia a usare Compliance Manager. Si esaminano anche le normative applicabili all'organizzazione.
| Obiettivi per la fase 1 | Risorse |
|---|---|
| Identificare i requisiti di conformità usando la piramide della governance. | Valutazioni di Compliance Manager |
| Usare Compliance Manager per valutare la conformità e pianificare la correzione per individuare le lacune identificate. | Visitare il Portale di conformità di Microsoft Purview ed esaminare tutte le azioni di miglioramento gestite dal cliente rilevanti per l'organizzazione. |
| Esaminare le linee guida correnti per le normative applicabili all'organizzazione. | Vedi la tabella seguente. |
Questa tabella elenca le normative o gli standard comuni.
| Regolamento o standard | Risorse |
|---|---|
| National Institute of Standards and Technology (NIST) | Configurare Microsoft Entra ID per soddisfare i livelli di garanzia dell'autenticatore NIST |
| Federal Risk and Authorization Management Program (FedRAMP) | Configurare l'ID Microsoft Entra per soddisfare il livello di impatto elevato di FedRAMP |
| Certificazione del modello di maturità della cybersecurity (CMMC) | Configurare l'ID Microsoft Entra per la conformità cmmc |
| Ordine esecutivo per migliorare la cybersecurity della nazione (EO 14028) | Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID |
| Health Insurance Portability and Accountability Act del 1996 (HIPAA) | Configurazione dell'ID Microsoft Entra per la conformità HIPAA |
| Payment Card Industry Security Standards Council (PCI SSC) | Linee guida per Microsoft Entra PCI-DSS |
| Normative sui servizi finanziari | Considerazioni chiave sulla conformità e sulla sicurezza per i mercati bancari e dei capitali statunitensi
|
| America del Nord Electric Reliability Corporation (NERC) | Considerazioni chiave sulla conformità e sulla sicurezza per il settore energetico |
Fase 2
Nella fase 2 si inizia a implementare i controlli per i dati che non sono già presenti. Altre indicazioni per la pianificazione e la distribuzione dei controlli di protezione delle informazioni sono disponibili nella Guida all'adozione di Zero Trust per identificare e proteggere i dati aziendali sensibili.
| Obiettivi per la fase 2 | Risorse |
|---|---|
| Usare Esplora contenuto per identificare i dati regolamentati. | Introduzione a Esplora contenuto Esplora contenuto può essere utile per esaminare l'esposizione corrente dei dati regolamentati e valutarne la conformità alle normative che determinano dove devono essere archiviati e come devono essere protetti. Creare tipi di informazioni riservate personalizzati |
| Implementare la governance dei dati di base e i criteri di protezione delle informazioni usando etichette di conservazione e riservatezza. | Informazioni sui criteri di conservazione e sulle etichette da conservare o eliminare Informazioni sulle etichette di riservatezza |
| Verificare i criteri di prevenzione della perdita dei dati e di crittografia. | Prevenzione della perdita dei dati purview Crittografia con etichettatura di riservatezza Crittografia per Office 365 |
| Implementare i criteri di comunicazione (se applicabile). | Creare e gestire i criteri di conformità delle comunicazioni |
Fase 3
Nella fase 3 si inizia ad automatizzare i criteri di governance dei dati per la conservazione e l'eliminazione, incluso l'uso di ambiti adattivi.
Questa fase include l'implementazione di controlli per la separazione e l'isolamento. L'NIST, ad esempio, prevede l'hosting di progetti in un ambiente isolato se questi progetti si riferiscono a tipi specifici di lavoro classificati per e con il governo Stati Uniti. In alcuni scenari, le normative dei servizi finanziari richiedono ambienti di partizionamento per impedire ai dipendenti di diverse parti dell'azienda di comunicare tra loro.
| Obiettivi per la fase 3 | Risorse |
|---|---|
| Estendere i criteri di gestione del ciclo di vita dei dati con l'automazione. | Gestione del ciclo di vita dei dati |
| Configurare i controlli di partizionamento e isolamento (se applicabile). | Barriere informative Prevenzione della perdita dei dati Accesso tra tenant |
| Espandere i criteri di protezione delle informazioni ad altri carichi di lavoro. | Informazioni sullo scanner di protezione delle informazioni Usare i criteri di prevenzione della perdita di dati per le app cloud non Microsoft Prevenzione della perdita dei dati e Microsoft Teams Uso della prevenzione della perdita dei dati degli endpoint Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint |
| Rivaluta la conformità con Compliance Manager. | Compliance Manager |
Fase 4
Gli obiettivi della fase 4 riguardano l'operazionalizzazione di questo scenario passando a un movimento continuo di valutazione della conformità degli asset alle normative e agli standard applicabili.
| Obiettivi per la fase 4 | Risorse |
|---|---|
| Valutare e inventariare continuamente lo stato di conformità delle risorse. | Questo articolo ha identificato ogni strumento necessario e per questo obiettivo si forma un processo iterativo ripetibile che consente il monitoraggio continuo delle risorse e degli asset all'interno del digital estate. Cercare il log di controllo nel portale di conformità |
| Usare Microsoft Sentinel per creare report per misurare la conformità. | Usare Microsoft Sentinel per creare report basati sul log di controllo unificato per valutare e misurare la conformità e dimostrare l'efficacia dei controlli. Log analytics in Azure |
| Usare Compliance Manager per identificare e correggere i nuovi gap. | Compliance Manager |
Fase pronta
La maggior parte del lavoro di conformità avviene tramite l'applicazione dei criteri. Determinare quali condizioni devono essere soddisfatte per ottenere la conformità e quindi creare un criterio o un set di criteri per automatizzare un set di controlli. L'applicazione dei criteri con Zero Trust crea una verifica ripetibile per specifici controlli di conformità implementati. Creando controlli nella tecnologia operativa con cui l'organizzazione interagisce ogni giorno, diventa un'attività più semplice per ottenere la conformità ai controlli.
Durante la fase Ready , si valutano, si testano e si pilotano i criteri destinati per assicurarsi che queste attività raggiungano i risultati previsti. Assicurarsi che questi non introducono nuovi rischi. Per questo scenario aziendale Zero Trust, è importante collaborare con gli stakeholder che implementano controlli di accesso, protezione dei dati e altre protezioni dell'infrastruttura. Ad esempio, le raccomandazioni per la valutazione, il test e la distribuzione pilota dei criteri per abilitare il lavoro remoto e ibrido sono diverse dalle raccomandazioni per identificare e proteggere i dati sensibili nel digital estate.
Controlli di esempio
Ogni pilastro di Zero Trust può essere mappato a controlli specifici all'interno di un framework normativo o standard.
Esempio 1
È stato eseguito il mapping di Zero Trust for Identity a Controllo di accesso Management all'interno del benchmark cis (Center for Internet Security) e a Annexure A.9.2.2 User Access Provisioning in ISO 27001:2022.
In questo diagramma, Controllo di accesso Management è definito nell'allegato 9.2.2 dello standard iso 27001 dei requisiti iso 27001, provisioning degli accessi utente. I requisiti per questa sezione sono soddisfatti richiedendo l'autenticazione a più fattori.
L'esecuzione di ogni controllo, come l'applicazione dei criteri di accesso condizionale, è univoca per ogni organizzazione. Il profilo di rischio dell'organizzazione insieme a un inventario degli asset deve creare un'area di superficie accurata e un ambito di implementazione.
Esempio 2
Una delle correlazioni più ovvie tra l'architettura Zero Trust e gli standard di settore include la classificazione delle informazioni. L'allegato 8.2.1 da ISO 27001 determina che:
- Le informazioni devono essere classificate in termini di requisiti legali, valore, criticità e riservatezza a qualsiasi divulgazione o modifica non autorizzata, idealmente classificate per riflettere l'attività aziendale anziché inibirla o complicarla.
In questo diagramma, il servizio di classificazione dei dati di Microsoft Purview viene usato per definire e applicare etichette di riservatezza a messaggi di posta elettronica, documenti e dati strutturati.
Esempio 3
L'allegato 8.1.1 in ISO 27001:2022 (inventario delle risorse) richiede che "gli asset associati alle informazioni e alle strutture di elaborazione delle informazioni debbano essere identificati e gestiti nel ciclo di vita e siano sempre aggiornati".
L'adempimento di questo requisito di controllo può essere ottenuto tramite l'implementazione della gestione dei dispositivi di Intune. Questo requisito fornisce un chiaro conto dell'inventario e segnala lo stato di conformità per ogni dispositivo rispetto ai criteri aziendali o di settore definiti.
Per questo requisito di controllo, si usa Microsoft Intune per gestire i dispositivi, inclusa la configurazione dei criteri di conformità per segnalare la conformità dei dispositivi rispetto ai criteri impostati. È anche possibile usare i criteri di accesso condizionale per richiedere la conformità dei dispositivi durante il processo di autenticazione e autorizzazione.
Esempio 4
L'esempio più completo di un pilastro di Zero Trust mappato agli standard di settore sarebbe intelligence sulle minacce e risposta agli eventi imprevisti. L'intera gamma di prodotti Microsoft Defender e Microsoft Sentinel diventano applicabili in questo scenario per fornire analisi approfondite ed esecuzione di intelligence sulle minacce e risposta agli eventi imprevisti in tempo reale.
In questo diagramma, Microsoft Sentinel insieme agli strumenti di Microsoft Defender fornisce intelligence sulle minacce.
Fase di adozione
Nella fase di adozione si implementano in modo incrementale i piani tecnici nel digital estate. È necessario classificare i piani tecnici in base all'area e collaborare con i team corrispondenti per eseguire questa fase.
Per l'accesso alle identità e ai dispositivi, adottare un approccio a fasi in cui si inizia con un numero ridotto di utenti e dispositivi e quindi aumentare gradualmente la distribuzione per includere l'ambiente completo. Questo scenario è descritto nello scenario di adozione di attività remote e ibride sicure. Ecco un esempio.
L'adozione per la protezione dei dati comporta la propagazione del lavoro e l'iterazione man mano che si procede per assicurarsi che i criteri creati siano appropriati per l'ambiente in uso. Questo è descritto nello scenario di adozione di dati aziendali sensibili e di identificazione e protezione. Ecco un esempio.
Governance e gestione
Soddisfare i requisiti normativi e di conformità è un processo in corso. Durante la transizione a questa fase, passare al rilevamento e al monitoraggio. Microsoft offre alcuni strumenti utili.
È possibile usare Esplora contenuto per monitorare lo stato di conformità dell'organizzazione. Per la classificazione dei dati, Esplora contenuto offre una visualizzazione del panorama e della diffusione di informazioni riservate all'interno dell'organizzazione. Da classificatori sottoponibili a training a diversi tipi di dati sensibili, tramite ambiti adattivi o etichette di riservatezza create manualmente, gli amministratori possono verificare se lo schema di riservatezza previsto viene applicato correttamente in tutta l'organizzazione. Si tratta anche di un'opportunità per identificare aree specifiche di rischio in cui le informazioni riservate vengono condivise in modo coerente in Exchange, SharePoint e OneDrive. Ecco un esempio.
Usando la maggiore funzionalità di creazione di report all'interno del Portale di conformità di Microsoft Purview, è possibile creare e quantificare una macro-visualizzazione della conformità. Ecco un esempio.
Lo stesso pensiero e processo può essere applicato ad Azure. Usare Defender per il cloud-Conformità alle normative per determinare un punteggio di conformità simile allo stesso punteggio fornito in Purview Compliance Manager. Il punteggio è allineato a più standard normativi e framework in diversi verticali del settore. Spetta all'organizzazione comprendere quali di questi standard e framework normativi si applicano al punteggio. Lo stato fornito da questo dashboard visualizza una valutazione in tempo reale costante del passaggio rispetto alle valutazioni non riuscite con ogni standard. Ecco un esempio.
I dashboard di Purview forniscono una valutazione generale che consente di informare i responsabili aziendali e di essere usati nei report di reparto, ad esempio una revisione trimestrale. In una nota più operativa, è possibile sfruttare Microsoft Sentinel creando un'area di lavoro Log Analytics per i dati dei log di controllo unificati. Questa area di lavoro può essere connessa ai dati di Microsoft 365 e fornisce informazioni dettagliate sull'attività degli utenti. Ecco un esempio.
Questi dati sono personalizzabili e possono essere usati insieme agli altri dashboard per contestualizzare il requisito normativo allineato in modo specifico alla strategia, al profilo di rischio, agli obiettivi e agli obiettivi dell'organizzazione.
Passaggi successivi
- Panoramica del framework di adozione zero trust
- Modernizzare rapidamente il comportamento di sicurezza
- Proteggere il lavoro remoto e ibrido
- Identificare e proteggere i dati aziendali sensibili
- Impedire o ridurre i danni aziendali da una violazione
Risorse di rilevamento dello stato
Per uno degli scenari aziendali Zero Trust, è possibile usare le risorse di rilevamento dello stato seguenti.
| Risorsa di rilevamento dello stato | Questo ti aiuta... | Progettata per |
|---|---|---|
Griglia di fasi del piano di adozione scaricabile file di Visio o PDF 
|
Comprendere facilmente i miglioramenti della sicurezza per ogni scenario aziendale e il livello di impegno per le fasi e gli obiettivi della fase del piano. | I responsabili del progetto di scenario aziendale, i responsabili aziendali e altri stakeholder. |
Presentazione di PowerPoint scaricabile in Zero Trust Adoption Tracker 
|
Tenere traccia dello stato di avanzamento attraverso le fasi e gli obiettivi della fase del piano. | I responsabili del progetto di scenario aziendale, i responsabili aziendali e altri stakeholder. |
Obiettivi e attività dello scenario aziendale scaricabili nella cartella di lavoro di Excel 
|
Assegnare la proprietà e tenere traccia dello stato di avanzamento attraverso le fasi, gli obiettivi e le attività della fase del piano. | Lead del progetto di scenario aziendale, lead IT e implementatori IT. |
Per altre risorse, vedere Valutazione Zero Trust e risorse di rilevamento dello stato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per