Rafforza la sicurezza dei tuoi dati - I consigli per un progetto vincente, gli strumenti di Microsoft Azure ed il caso Mirabilandia - IT Strategy
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Rafforza la sicurezza dei tuoi dati I consigli per un progetto vincente, gli strumenti di Microsoft Azure ed il caso Mirabilandia
Quando abbiamo deciso di
avviare il progetto di revisione
della struttura informatica,
abbiamo da subito indirizzato la
nostra scelta verso un partner
che ci garantisse la necessaria
competenza sugli aspetti tecnici
e, soprattutto, che adottasse un
approccio organizzativo,
calandosi nella realtà quotidiana
della gestione aziendale.
Abbiamo scelto IT Strategy
proprio in funzione di quest'ultimo
aspetto: la capacità di
affrontare un progetto molto
tecnico come questo
privilegiando il punto di vista
organizzativo, facendo in modo
che il sistema informatico diventi
veramente un patrimonio al
servizio di tutta l'azienda.
Riccardo Marcante
General Manager
2 / Rafforza la sicurezza dei tuoi dati
Contenuti
1. Le 6 mosse giuste per avviare
un progetto di sicurezza ............................................................ 4
2. Come creare una mentalità
di sicurezza nella tua azienda? ................................................ 7
3. Case
history .......................................................................................... 8
4. Le funzionalità di backup
di Microsoft Azure .................................................................... 10
Un primo progetto
di sicurezza
Anche se la sensibilità delle direzioni
aziendali sta crescendo non è facile
ottenere un budget adeguato per
realizzare un progetto di sicurezza
informatica.
Nelle pagine seguenti vengono forniti
alcuni consigli pratici per pianificare un
primo progetto di sicurezza,
sensibilizzando la Direzione e creando
una cultura della sicurezza in tutta
l’organizzazione.
Viene infine raccontata l’esperienza
del Parco divertimenti di Mirabilandia
nella realizzazione di un progetto di
sicurezza informatica.
3 / Rafforza la sicurezza dei tuoi dati
1. Le 6 mosse giuste
per avviare un
progetto di sicurezza
1.1 Utilizza i dati della tua azienda
per convincere la tua Direzione
• Individua i servizi IT ed i dati più critici e valuta con i responsabili
di business quali potrebbero essere i danni economici o di
immagine in caso di interruzione dei servizi o violazione dei dati
• Verifica sul tuo firewall quanti sono i tentativi di intrusione in un
giorno o in una settimana
• Prepara una presentazione con poche slide e senza termini tecnici
che descriva i dati raccolti ed inviala alla Direzione ed ai
Responsabili, proponendo un incontro per avviare un progetto
di sicurezza
• Nel corso dell’incontro chiarisci che le slide sono il frutto di una
prima analisi rapida e che un progetto di sicurezza coinvolge
la tecnologia ma anche le persone e le modalità di lavoro
• Proponi un incontro per condividere un piano di progetto
4 / Rafforza la sicurezza dei tuoi dati
1.2 Fai un assessment
• In questa fase è utile coinvolgere un consulente e tenere presenti
le norme di settore (ad es. ISO 27001) per non tralasciare aspetti
importanti e fare riferimento a controlli di sicurezza codificati
• Utilizza un inventario hardware e software ed approfondisci
i controlli a seconda dell’importanza degli asset
• Predisponi un documento tecnico che consideri almeno: la
sicurezza fisica dei locali, le telecomunicazioni, i server ed i client,
i device mobili e gli accessi dall’esterno (anche dei consulenti)
• Fai un inventario della documentazione tecnica e delle procedure
di gestione ICT (ad es. backup, business continuity, accessi
ai sistemi, Regolamento interno, …) e rileva i gap principali
• Analizza i rischi che incombono sugli asset informatici, almeno
su quelli che presentano un maggior impatto
1.3 Fissa le priorità e prepara
un primo piano di interventi
• Nell’elenco dei punti critici rilevati dall’assessment dai priorità
agli interventi rapidi da attuare e che garantiscano visibilità
nei confronti dell’organizzazione
• Richiedi o stima i costi ed i tempi per gli interventi prioritari,
tenendo presenti i servizi e le risorse hardware e software
necessarie ed i tempi di realizzazione
1.4 Presenta il tuo progetto
• Prepara una presentazione in linguaggio non tecnico che
descriva i risultati dell’assessment e che precisi che la sicurezza
dei dati non si esaurisce con qualche intervento sulla tecnologia
• Chiarisci le motivazioni che ti hanno guidato nella scelta dei primi
interventi da svolgere
• La presentazione dovrà precisare che l’elenco degli interventi
individuati è più ampio ma si limiterà ad approfondire i più urgenti
indicando per ciascuno un budget di spesa ed una stima dei
tempi di implementazione ed i miglioramenti che si realizzeranno
5 / Rafforza la sicurezza dei tuoi dati
1.5 Dai visibilità al progetto
• Comunica il tuo progetto all’organizzazione anche con una
mail, utilizzando un linguaggio semplice che chiarisca i benefici
in termini di sicurezza, indichi i tempi previsti e segnali eventuali
cambiamenti e disservizi che si potranno presentare durante
le attività
• Coinvolgi anche i responsabili dei business impattati dal progetto,
tenendoli aggiornati sull’andamento delle attività
• A seconda della durata del progetto, fissa uno o più incontri
per presentare lo Stato di Avanzamento dei Lavori
• Prendi nota dei risultati ottenuti per ciascun intervento (riduzione
superficie di attacco, innalzamento affidabilità, incremento del
livello di riservatezza dei dati critici, riduzione vulnerabilità, …)
• Comunica a tutta l’organizzazione i risultati significativi ottenuti
(mail/Intranet/riunioni), sii sempre conciso, semplice ed essenziale
nelle comunicazioni
1.6 Stabilisci revisioni
di sicurezza periodiche
• Aggiorna i documenti di assessment allineandoli agli interventi
svolti ed ai nuovi servizi e sistemi implementati
• Svolgi periodiche verifiche sulla sicurezza rivedendo il piano
di interventi e le priorità: affronta la sicurezza come un processo
6 / Rafforza la sicurezza dei tuoi dati
2. Come creare una
mentalità di sicurezza
nella tua azienda?
2.1 Primi passi per una Cyber
Security Awareness
• Fai una verifica sulla robustezza delle password utilizzate (esistono
tool gratuiti per verificarle) e comunica quante password deboli
hai rilevato
• Simula un attacco phishing ai colleghi (anche per questo esistono
tool gratuiti) e dai visibilità dei risultati
• Rendi noti i tentativi di attacco che la tua azienda subisce
costantemente (ad esempio, attraverso un’analisi dei tuoi firewall)
2.2 Coinvolgi i tuoi colleghi!
• Sottoponi ai colleghi un test di valutazione delle competenze di
sicurezza informatica (puoi usare anche Forms per questo scopo)
• Organizza un piano di formazione interno che includa casi pratici
aziendali, illustri il Regolamento Interno e fornisca delle guide
precise su come comportarsi per migliorare la sicurezza sul lavoro
ma anche per i dispositivi personali
• Fai capire quali semplici azioni dei singoli nelle attività di tutti
i giorni possono contribuire ad accrescere la sicurezza
• Utilizza video e materiale che puoi trovare facilmente in rete
(digita “security awareness”)
• Pubblica il materiale utilizzato per la formazione in modo
che sia disponibile per tutti
• Prevedi degli aggiornamenti periodici di formazione e test
7 / Rafforza la sicurezza dei tuoi dati3. Case
History
3.1 A Mirabilandia la sicurezza
non è un divertimento!
Con il progetto di adeguamento al GDPR, Mirabilandia ha colto
l’occasione per effettuare un assessment di sicurezza dell’infrastruttura
e riorganizzare ruoli e responsabilità del reparto IT.
Per Mirabilandia è fondamentale garantire la sicurezza delle attrazioni
presenti nel Parco ma è importante anche che i servizi IT funzionino
regolarmente, in particolare durante la stagione estiva quando
affluiscono decine di migliaia di persone ed un disservizio potrebbe
comportare gravi disagi e perdite economiche.
Abbiamo così svolto l’assessment di sicurezza coinvolgendo
la Direzione, il responsabile della Sicurezza ed il personale IT.
Si sono condivise le priorità di intervento sulla base delle esigenze
di business e del budget disponibile.
IT Strategy è intervenuta con un gruppo di lavoro costituito
da lead auditor ISO 27001, Privacy Officer certificati, consulenti
certificati ITIL Foundation, esperti in sicurezza informatica, in progetti
di virtualizzazione e nelle tecnologie Microsoft.
L’assessment è iniziato nell’autunno del 2018 ed il progetto
di implementazione è stato avviato a febbraio del 2019, dopo
aver selezionato una nuova piattaforma hardware e software.
8 / Rafforza la sicurezza dei tuoi dati3.2 Risultati tecnologici ed organizzativi
Nel corso dei mesi si sono raggiunti importanti risultati, ad esempio:
• migrazione dei servizi verso una nuova piattaforma
iperconvergente che presto sarà distribuita in due siti distinti
per far fronte a eventi disastrosi nella server room
• aggiornamento dei sistemi operativi e delle policy di sicurezza
• ridondanza delle risorse hardware e software dei servizi critici
(in particolare i servizi dedicati alla vendita)
• attivazione di un sistema di monitoraggio delle risorse hardware
e software
• attivazione di una nuova soluzione di backup
• attivazione di un backup remoto dei sistemi critici attraverso
Microsoft Azure
• configurazione di una soluzione SIEM per la raccolta e l’analisi
degli eventi di rete con allarmi in tempo reale di attività anomale
e dashboard di controllo
• incremento del livello di sicurezza della rete del Parco per
bloccare le connessioni di dispositivi indesiderati
• configurazione di una nuova connettività di backup Internet
in alta affidabilità
IT Strategy ha supportato Mirabilandia anche sul fronte
dell’organizzazione interna, in particolare:
• ha mappato ruoli e responsabilità all’interno del reparto IT
• ha documentato le procedure principali (ad es. la gestione del
backup e la gestione degli accessi logici)
• ha avviato un sistema di help desk per migliorare il livello
di servizio interno
• ha avviato un processo di formazione e sensibilizzazione sugli
aspetti di sicurezza per tutto il personale
Vi sono sempre molte cose da portare avanti, sia sul piano
tecnologico che su quello organizzativo, ma il percorso è tracciato
e la consapevolezza dell’importanza della sicurezza informatica
fa ormai parte del DNA di Mirabilandia!
9 / Rafforza la sicurezza dei tuoi dati4. Le funzionalità di backup
di Microsoft Azure
4.1 Microsoft Azure
Microsoft Azure offre un insieme completo di soluzioni di sicurezza:
gestione delle identità, prevenzione di perdita dei dati, controllo
e monitoraggio di risorse in cloud e locali, sicurezza dei database,
funzionalità di business continuity e disaster recovery.
Il backup e la replica dei dati tra sistemi on premises e Microsoft Azure
sono tra le funzionalità più rapide da attivare e con un rapido ritorno
sull’investimento, di seguito ne descriviamo alcune in modo sintetico:
• Azure file sync Servizio cloud che permettere di sincronizzare i file
server on premises nel cloud Azure, mantenendo l’accesso tramite
i protocolli di condivisione più comuni, come SMB, NFS e FTPs.
Questo servizio non richiede particolari infrastrutture di rete (ad
esempio VPN con Azure) e può essere utilizzato per ridondanza
o per distribuire il file server alle filiali. Permette anche di mantenere
nel cloud i dati meno utilizzati e di scaricarli in modo trasparente
quando necessario.
• Azure DFS replica Con questa configurazione si sfrutta il servizio
Windows di replica DFS per realizzare un sistema di alta affidabilità
dei file server e far fronte a disservizi dell’infrastruttura locale. Può
anche essere configurato per offrire protezione dai ransomware.
10 / Rafforza la sicurezza dei tuoi dati• Azure backup È un servizio estremamente rapido da attivare
che prevede l’installazione dell’agente “Microsoft Azure backup”
per effettuare backup di PC e Server (interi dischi o singole cartelle
locali) mettendo a disposizione una console utilizzabile anche
dall’utente finale per il ripristino dei file.
• Azure Site Recovery Permette di creare un sistema di Disaster
Recovery in replica quasi sincrona per infrastrutture virtualizzate
e fisiche. La piattaforma garantisce snapshot applicative e una
ricca libreria di automazione. Permette di implementare piani
di recovery flessibili partendo con ambienti di test, esenti da
corruzione o perdita di dati.
• Azure “backup cloud repository” attraverso software di backup
permette di effettuare il backup completo delle macchine virtuali
su storage cloud di Azure.
Per tutti i servizi sopra descritti sono garantiti dati a sicurezza elevata
(crittografati in transito o in locale).
IT Strategy Srl
con Socio Unico
Viale del Mercato Nuovo, 44/F
36100 Vicenza
Tel. +39 0444 965587
Fax +39 0444 965586
Email info@itstrategy.it
www.itstrategy.it
11 / Rafforza la sicurezza dei tuoi datiPuoi anche leggere
