Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseModello
Creazione di una Politica di Sicurezza Cloud Efficace: Guida e Modello

Creazione di una Politica di Sicurezza Cloud Efficace: Guida e Modello

Una solida politica di sicurezza cloud è imperativa per qualsiasi organizzazione che si affida ai servizi cloud per memorizzare ed elaborare dati sensibili. Migliora la sicurezza stabilendo standard e procedure chiare per la protezione delle risorse cloud, dettagliando i ruoli coinvolti nella salvaguardia dei dati e promuovendo una cultura consapevole della sicurezza. Inoltre, avere una politica di sicurezza cloud documentata è un requisito di alcune normative di conformità e audit.

Questo documento fornisce indicazioni per la creazione di una politica di sicurezza cloud efficace: dettaglia le sezioni da includere e fornisce esempi per illustrare. Sentitevi liberi di adattarlo per soddisfare i requisiti legali e di conformità unici della vostra organizzazione.

Ricorda che la tua politica di sicurezza cloud è parte di una strategia di sicurezza più ampia. Dovrebbe essere in linea e integrarsi con le altre tue politiche e pratiche di sicurezza, incluse le politiche di sicurezza della rete e di protezione dei dati, per creare una difesa solida contro minacce e vulnerabilità.

Modello di Policy per la Sicurezza Cloud

  1. Scopo

La creazione di una politica di sicurezza cloud inizia con la definizione del suo scopo dichiarato che delinea gli obiettivi generali e specifici. Questo scopo dichiarato servirà come fondamento che guiderà la selezione di controlli di sicurezza specifici, procedure e strategie che soddisferanno le esigenze dell'organizzazione e i requisiti normativi. Assicura che la politica sia focalizzata, pertinente e allineata con la strategia di sicurezza generale dell'organizzazione, fornendo una direzione chiara per lo sviluppo e l'attuazione della politica.

Esempio

Lo scopo di questa politica è proteggere la riservatezza, l'integrità e la disponibilità dei dati gestiti tramite servizi di cloud computing. Stabilisce un quadro strutturato di responsabilità e misure per garantire la conformità ai requisiti normativi e l'adesione alle linee guida di sicurezza nel campo del cloud computing.

  1. Ambito

L'ambito di una politica di sicurezza cloud delinea la sua copertura. Specifica i servizi cloud, i dati, gli utenti, le posizioni geografiche e i controlli di sicurezza ai quali la politica si applica all'interno di un'organizzazione.

Esempio

Questa politica riguarda i sistemi che gestiscono i dati definiti nella sezione "2.1. Tipi di Informazioni" di questo documento e comprende tutti i servizi cloud pertinenti. Si applica a server, database e dispositivi regolarmente utilizzati per email, accesso web o compiti lavorativi, coprendo sia nuove che esistenti installazioni. Ogni utente che interagisce con i servizi IT aziendali è soggetto a questa politica, e i requisiti di controllo della sicurezza sono universalmente applicabili a tutti i sistemi cloud approvati.

2.1. Tipi di informazioni

Lo scopo di questa sezione è fornire un elenco completo dei tipi di informazioni che rientrano nell'ambito della politica proposta. È necessario etichettare i dati memorizzati ed elaborati in modo accurato utilizzando le migliori pratiche per la data classification.

Esempio

Questa politica è applicabile a tutte le informazioni considerate dati sensibili dalla politica di classificazione dei dati dell'azienda. I tipi di dati sensibili coperti da questa politica includono:

Dati di identità e autenticazione

  • Password
  • Chiavi private crittografiche
  • Tabelle hash

Dati finanziari

  • Fatture
  • Dati della busta paga
  • Dati sulle entrate
  • Dati sui crediti commerciali

Dati proprietari

  • Test e analisi del software
  • Ricerca e sviluppo

Dati personali dei dipendenti

  • Nomi e indirizzi
  • Numeri di previdenza sociale
  • Numeri di patente di guida
  • Numeri delle carte d'identità
  • Numeri di conto finanziario, inclusi codici o password che consentono l'accesso al conto
  • Informazioni su assicurazioni sanitarie e mediche

3. Proprietà e Responsabilità

Questa sezione della politica di sicurezza cloud è fondamentale per garantire che individui e team comprendano i loro ruoli nella protezione delle risorse cloud, stabilendo una chiara responsabilità e prevenendo lacune che aumentano il rischio di incidenti di sicurezza.

Dovresti elencare tutti i ruoli relativi alle azioni e ai controlli di sicurezza cloud e descrivere le responsabilità associate. Se non sei sicuro di come iniziare a compilare l'elenco, prendi in considerazione le seguenti domande:

  • Quali individui o team utilizzano i servizi cloud e devono essere a conoscenza delle politiche di sicurezza?
  • Chi è responsabile della configurazione e della manutenzione delle impostazioni di sicurezza nell'ambiente cloud?
  • Chi si assicura che le implementazioni cloud siano conformi ai requisiti di conformità pertinenti e alle politiche interne?
  • Chi è responsabile per prendere decisioni riguardo la selezione di soluzioni cloud?

Esempi

  • Amministratore della sicurezza cloud: Responsabile della configurazione e del mantenimento delle impostazioni e dei controlli di sicurezza nell'ambiente cloud, inclusi la gestione degli accessi, la crittografia e il monitoraggio.
  • Data Owner: L'individuo o il team responsabile per i dati dell'organizzazione memorizzati nel cloud, inclusa la Netwrix Data Classification, il controllo degli accessi e le politiche di conservazione dei dati.

4. Utilizzo sicuro dei servizi di Cloud Computing

Questa sezione delinea i requisiti per l'uso accettabile dei servizi cloud. Per prepararla, dovresti seguire i seguenti passi per ogni servizio cloud:

  • Identificare gli utenti dei servizi, sia interni che esterni.
  • Documentare il tipo di servizio cloud (SaaS, PaaS, IaaS), con specifiche dettagliate.
  • Specificare i tipi di dati da memorizzare nel servizio.
  • Dettagliare le soluzioni e le configurazioni di sicurezza richieste, come la crittografia, il monitoraggio e i backup.
  • Compila uno storico degli incidenti di sicurezza passati che coinvolgono il fornitore di cloud scelto.
  • Richiedi la documentazione delle certificazioni di sicurezza disponibili.
  • Copie sicure del Service Level Agreement (SLA) e altri accordi con il fornitore di servizi cloud.

4.1 Servizi Approvati

Fornire un riassunto della vostra infrastruttura basata sul cloud, inclusivo di un catalogo di servizi approvati in linea con i rispettivi dipartimenti. Descrivere il processo di approvazione per l'adozione dei servizi. Prendere in considerazione l'inclusione di un elenco di servizi non autorizzati.

Esempio

Solo le soluzioni basate su cloud approvate elencate nella Sezione 4.1 sono permesse per l'uso. L'installazione di software non autorizzato su dispositivi di proprietà dell'organizzazione e componenti dell'infrastruttura IT è proibita. L'amministratore della sicurezza cloud deve autorizzare i servizi cloud di terze parti prima dell'uso; qualsiasi servizio non autorizzato deve scatenare allarmi e blocchi di accesso.

Infrastructure as a Service (IaaS)

  • Amazon Web Services (AWS) — Reparto IT
  • Microsoft Azure — Reparto IT

Software come Servizio (SaaS)

  • Office 365 — Tutti i dipartimenti
  • Salesforce — Solo per i reparti Vendite e Marketing

5. Valutazione dei rischi

La sezione di valutazione dei rischi stabilisce parametri e responsabilità legati all'identificazione, valutazione e priorità dei rischi di sicurezza associati ai servizi cloud.

Esempio

L'amministratore della sicurezza del Cloud e il team di sicurezza IT sono responsabili della conduzione delle valutazioni dei rischi. Una valutazione dei rischi deve essere eseguita:

  • Dopo l'implementazione di un nuovo servizio cloud
  • Dopo significativi aggiornamenti o aggiornamenti a un servizio cloud esistente
  • Dopo qualsiasi modifica alla configurazione di un servizio cloud
  • In risposta a un evento di sicurezza o incidente
  • Trimestrale per tutti i servizi cloud esistenti

Inoltre, uno specialista esterno di valutazione dei rischi effettuerà una valutazione del rischio ogni sei mesi.

6. Controlli di sicurezza

Questa sezione descrive sia i controlli di sicurezza interni dell'organizzazione sia quelli forniti dal provider di servizi cloud. Esempi di controlli di sicurezza includono i diritti di accesso al server, le regole del firewall, le ACL VLAN e la segmentazione della rete.

Raggruppa i controlli in categorie logiche, come controllo degli accessi, protezione dei dati, risposta agli incidenti e conformità. Fornisci una descrizione chiara dello scopo e dell'ambito di ogni controllo. Se applicabile, fai riferimento a eventuali mandati o standard di settore (ad esempio, ISO 27001, NIST, GDPR) che i controlli aiutano a soddisfare.

Esempio

Controllo 23: Autenticazione Multifattore (MFA)

  • Descrizione: Implementare MFA per tutti gli utenti che accedono ai servizi cloud per migliorare la sicurezza richiedendo più forme di autenticazione prima di concedere l'accesso.
  • Responsabilità: Team di Sicurezza IT
  • Riferimento: NIST SP 800-63B, Sezione 5.1
  • Requisiti: Tutti gli utenti con accesso alle risorse cloud devono iscriversi al sistema MFA dell'organizzazione prima di ottenere l'accesso. I metodi MFA consentiti includono codici SMS, autenticazione tramite app mobile, token hardware e biometria. Verranno forniti agli utenti formazione e linee guida su come configurare e utilizzare correttamente i metodi MFA. È consentito il bypass temporaneo della MFA per scenari specifici come il recupero dell'account.

6.1. Valutazione del Controllo di Sicurezza

Definire la frequenza con cui i controlli di sicurezza subiscono valutazioni regolari della loro efficacia e vulnerabilità.

Esempio

L'Amministratore della Sicurezza Cloud è responsabile di condurre una valutazione comprensiva delle configurazioni dei controlli di sicurezza su base trimestrale. La valutazione includerà la revisione di tutte le impostazioni e configurazioni dei controlli di sicurezza per tutti gli ambienti cloud. Comprenderà anche l'indagine su tutti i casi di tentativi di accesso falliti per identificare le debolezze nei controlli di sicurezza.

7. Recupero Incidenti di Sicurezza

Questa sezione dovrebbe spiegare come i dipendenti dovrebbero segnalare attività sospette e incidenti di sicurezza, inclusi i contatti e i canali attraverso cui farlo.

Dovrebbe anche delineare come gli incidenti dovrebbero essere categorizzati in base alla gravità, all'impatto e alla natura; fornire il processo di escalation; e descrivere le procedure per contenere, indagare, mitigare e recuperare dagli incidenti di sicurezza.

Il team di risposta agli incidenti dovrebbe essere chiaramente definito, con i ruoli e le responsabilità di ogni membro chiaramente indicati. Includere anche i dettagli di contatto per le parti esterne rilevanti, come avvocati, forze dell'ordine e specialisti di cybersecurity.

Esempio (Estratto)

Il team di risposta agli incidenti (IRT) è responsabile della gestione e mitigazione degli incidenti di sicurezza che coinvolgono ambienti cloud. Tutti i membri dell'IRT sono tenuti a sottoporsi a regolari sessioni di formazione ed esercitazioni per garantire preparazione e familiarità con il processo di risposta agli incidenti.

Il Manager dell'IRT è Alex Smith (alex.smith@email.com, 212-121-1234). Responsabilità:

  • Supervisiona il processo di risposta agli incidenti
  • Coordina la comunicazione con le parti esterne
  • Garantisce la conformità ai requisiti normativi

In caso di un incidente di sicurezza, potrebbero essere coinvolti i seguenti contatti esterni:

  • Consulenza legale: Studio Legale XYZ (Contatto: legal@xyzlawfirm.com)
  • Forze dell'ordine: Dipartimento di Polizia Locale (Contatto: 911)
  • Specialisti forensi: CyberForensics Inc. (Contatto: info@cyberforensics.com)
  • Specialisti in cybersecurity: SecureTech Solutions (Contatto: info@securetechsolutions.com)

8. Consapevolezza

In questa sezione, specificare il pubblico di riferimento per la formazione sulla sicurezza, la frequenza e i metodi di erogazione della formazione e chi supervisionerà la formazione. Descrivere il processo per affrontare la mancata conformità e sottolineare le procedure di segnalazione degli incidenti. Enfatizzare l'importanza di aggiornare la formazione per adattarsi alle minacce alla sicurezza in evoluzione e alle migliori pratiche. Inoltre, dettagliare come si manterranno i registri della formazione completata e si misurerà la sua efficacia.

Esempio

  • Pubblico di riferimento: La formazione è richiesta per tutte le persone che hanno accesso alle risorse cloud, inclusi ma non limitati a dipendenti, appaltatori e fornitori terzi.
  • Frequenza: La formazione sulla consapevolezza della sicurezza deve essere condotta annualmente per tutto il personale e all'atto dell'assunzione per i nuovi dipendenti.
  • Metodi di consegna: La formazione può essere erogata tramite una combinazione di corsi online, webinar e sessioni di persona, a seconda delle esigenze del pubblico di riferimento.
  • Valutazione: Le valutazioni dell'efficacia, incluse verifiche periodiche e sondaggi, devono essere condotte per valutare l'impatto del programma di formazione e identificare aree di miglioramento.

9. Applicazione

Questa sezione descrive come verrà applicata la politica di sicurezza, le conseguenze della non conformità e le parti responsabili del controllo degli sforzi di applicazione.

Esempio

Il team di sicurezza IT, in collaborazione con le Risorse Umane, applicherà la politica di sicurezza attraverso valutazioni di routine. I dipendenti che non rispettano la politica o non superano i test avranno i loro account sospesi e dovranno completare un corso di formazione sulla sicurezza affinché l'account possa essere nuovamente attivato.

10. Documenti correlati

Questa sezione dovrebbe elencare qualsiasi altro documento rilevante per la politica di sicurezza, inclusa qualsiasi politica che riguarda la sicurezza, la conformità, la segnalazione degli incidenti e la formazione sulla sicurezza. Esempi possono includere i seguenti:

  • Politica delle password
  • Politica di protezione dei dati
  • Procedure di gestione della non conformità
  • Piano di risposta agli incidenti

11. Cronologia delle revisioni

Uno storico delle revisioni fornisce trasparenza e responsabilità documentando qualsiasi modifica o aggiornamento apportato alla politica nel tempo. Assicurati di documentare ogni modifica alla politica e la sua motivazione.

Esempio

Versione

Data di revisione

Autore

Descrizione

1.0

02/01/2023

Blake Parker, Amministratore di Sicurezza Cloud

Versione iniziale

1.1

06/01/2023

Blake Parker, Amministratore della Sicurezza Cloud

Frequenza di aggiornamento della formazione

Conclusione

Questo modello di politica di sicurezza cloud fornisce una solida base per la creazione di una politica di sicurezza cloud efficace e personalizzata in base alle esigenze specifiche della vostra organizzazione. La politica dovrebbe affrontare le preoccupazioni di sicurezza relative al cloud computing in modo pratico e adattabile, in modo che la vostra organizzazione possa proteggere adeguatamente i suoi dati sensibili oggi e domani.

Netwrix Auditor for SharePoint e Teams

Mantieni i dati in SharePoint e Microsoft Teams al sicuro senza sacrificare la produttività

Richiedi una demo individuale

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management