agility made possible™

Transcript

WHITE PAPER
Outsourcing in sicurezza | luglio 2012
outsourcing in
sicurezza nel
cloud: cinque
domande
fondamentali
Russell Miller
Tyson Whitten
CA Technologies, Security Management
agility
made possible™
Outsourcing in sicurezza
sommario
SEZIONE 1: Sfida
3
Non ignorare la sicurezza quando
si esegue il passaggio al cloud
SEZIONE 2: Opportunità
3
La gestione delle identità privilegiate
e la tutela delle informazioni può aiutare
a realizzare l'outsourcing in modo più sicuro.
SEZIONE 3: Conclusioni
11
SEZIONE 4: Riferimenti
11
SEZIONE 5: Informazioni sugli autori
12
Sezione 1: Sfida
Non ignorare la sicurezza quando si esegue
il passaggio al cloud
Le organizzazioni di ogni dimensione e tipo fanno sempre più affidamento sui servizi cloud, non solo
per le funzioni business critical, ma anche per archiviare ed elaborare i dati più sensibili. Secondo
Gartner, "Alla fine del 2016, i dati sensibili relativi ai clienti di oltre il 50% delle prime 1000 aziende
globali saranno archiviati nel cloud pubblico".1 Altri resistono alla tentazione rappresentata dai servizi
basati sul cloud per motivi di sicurezza. Entrambi i tipi di organizzazioni stanno scoprendo che la
"sicurezza cloud" sta ancora muovendo i primi passi, data l'assenza di standard definiti e perfino
di norme informali.
L'amministrazione e il monitoraggio delle identità privilegiate e dei dati a livello interno sono diventati
un requisito per molte organizzazioni; questo riduce il rischio di violazioni interne, aiuta a garantire
l'accountability degli amministratori, facilita la conformità e può anche accelerare l'adozione delle
nuove tecnologie.
Tuttavia, le stesse organizzazioni che controllano scrupolosamente i propri dati e identità interni
spesso affidano i servizi IT a quella che è essenzialmente una "scatola nera", rinunciando a esercitare
un controllo diretto e rivolgendosi ad aziende di hosting dei servizi cloud per proteggere i propri dati.
Mentre la sicurezza è regolata da accordi relativi a policy e procedure di sicurezza, le azioni dei singoli
amministratori spesso rimangono celate. L'idea è che i singoli privilegi e azioni amministrative vengono
visti in qualche modo come meno a rischio, se forniti da un'entità esterna. Purtroppo non è così.
Allo stesso modo, i dati di per se stessi non sono più o meno al sicuro da accessi non autorizzati,
se memorizzati sulla rete interna di un'azienda o nel data center di una società di hosting.
Quando scelgono l'outsourcing, le organizzazioni dispongono di un livello significativo di flessibilità.
Possono scegliere di mantenere un controllo elevato, optando per un ambiente di cloud privato
autogestito, oppure affidarsi a un soggetto esterno per la gestione e l'hosting della propria infrastruttura,
piattaforma o servizi cloud. Ogni tipo di cloud e di servizio presenta sfide specifiche per la sicurezza;
tuttavia, per tutti i tipi di cloud, la sicurezza delle identità e dei dati può aumentare la trasparenza
e ridurre i rischi.
Sezione 2: Opportunità
La gestione delle identità privilegiate e la
protezione delle informazioni può contribuire
a una maggiore sicurezza dell'outsourcing.
La chiave per comprendere la sicurezza in un ambiente cloud è rendersi conto che i principi
fondamentali di tutela della riservatezza, dell'integrità e della disponibilità delle informazioni non
cambiano. Quando utilizzano un ambiente cloud, le organizzazioni devono comprendere i rischi che
esso pone per i propri sistemi e dati. Per farlo, è importante seguire le best practice IAM (Identity and
Access Management), sia internamente, sia richiedendo che le società di hosting facciano lo stesso.
3
Il passaggio a un ambiente cloud in hosting comporta la rinuncia a un certo livello di controllo,
ma questo non deve significare mettere a rischio la sicurezza. I moderni strumenti IAM consentono
a un'organizzazione di stabilire quale livello di sicurezza e trasparenza richiedere alla società di hosting
selezionata.
Il livello di trasparenza IAM dipende dal tipo di servizi cloud in considerazione:
•Cloud privato (interno ed esterno)
•Infrastructure-as-a-Service (IaaS)
•Platform-as-a-Service (PaaS)
•Software-as-a-Service (SaaS)
Ogni tipo di servizio cloud presenta sfide specifiche per la sicurezza: l'approccio che le organizzazioni
dovrebbero adottare di fronte a ognuno di questi tipi dovrebbe essere adeguato al tipo di servizio e ai
requisiti di sicurezza dell'azienda. Ciò che definisce un ambiente di cloud privato non è l'ubicazione
dell'hosting, ma la mancanza di risorse condivise, o "multi-tenancy". Questo può avvenire all'interno
di un'organizzazione, utilizzando hardware di proprietà della società, oppure sistemi e dispositivi di
proprietà della società di hosting. Il rischio, tuttavia, è significativamente maggiore in caso di hosting
off-site, perché in tal caso la separazione dell'infrastruttura deve essere verificata.
Per tutti i tipi di cloud, in aggiunta alle normali best practice relative a hardening, architettura di rete,
policy e procedure, gli strumenti IAM sono fondamentali per fare sì che solo le persone giuste abbiano
accesso ai sistemi e ai dati adeguati. Questo implica la comprensione delle identità e degli accessi;
la sicurezza di sistemi e dati, e il reporting/logging dell'attività degli utenti.
5 domande chiave da porre al proprio outsourcer
Domande
Follow-up
1. Dove sono situati i nostri dati?
•Dove saranno situati i nostri dati sensibili?
•Possiamo indicare posizioni da non utilizzare per
lo storage dei dati?
•Fornite visibilità in tempo reale?
2. Chi ha accesso ai nostri server e dati?
•Con quali ruoli?
•Questi soggetti sono gli unici responsabili per il nostro
account?
•In che modo l'accesso ai nostri dati viene concesso
o negato?
3. In che modo vengono protetti i nostri
sistemi e dati?
•In che modo vengono gestiti i diritti amministrativi
dell'hypervisor?
•In che modo vengono controllati i nostri dati?
•Come potete dimostrare che i vostri controlli sono
conformi alle normative a noi applicabili?
4
4. Quali dati relativi all'attività vengono
acquisiti e registrati?
•Qual è il livello di granularità registrato?
•Come viene garantita l'accountability per gli account
condivisi (ad esempio root)?
•Come vengono gestiti gli amministratori temporanei?
•Qual è la procedura per la concessione dell'accesso
tramite account di emergenza?
5. Come pensate di garantire la conformità?
•Quale tipo di reporting fornirete?
•I report saranno automatizzati e facilmente generabili
a beneficio degli auditor?
Dove sono situati i nostri dati?
Rinunciare al controllo del patrimonio di dati sensibili dell'organizzazione per affidarlo a terzi rimane
un freno notevole, per le aziende che passano ai servizi basati sul cloud. Secondo Gartner, "La sicurezza
dei dati sensibili nel cloud è il problema numero 1 per l'adozione del cloud stesso".2 Le aziende devono
essere certe che, in caso di outsourcing, il rischio di compromissione dei dati e di non conformità
normativa rimanga lo stesso o si riduca.
Esistono vari passaggi che le aziende dovrebbero seguire nell'eseguire la transizione dei dati al di fuori
dell'organizzazione e durante la loro gestione continua.
1.Comprendere le risorse disponibili: il primo passaggio consiste nell'eseguire un inventario dei
dati in relazione a ciò che verrà esternalizzato. Se le applicazioni di business vengono affidate a
un provider di hosting gestito, occorre capire il tipo di dati che vengono memorizzati e comunicati
in relazione a tali applicazioni. Inoltre, è necessario comprendere il livello di sensibilità delle
informazioni relativamente alle policy aziendali e normative. Le tecnologie di classificazione
automatizzata sono un buon punto di partenza per eseguire questo inventario delle informazioni
sensibili. Comprendere se verranno affidati a terzi dati sensibili (PII), risorse di proprietà
intellettuale (IP) o dati riconducibili a pagamenti tramite carte (PCI) è importante.
2.Determinare cosa è accettabile per la transizione: il passaggio successivo consiste nello stabilire
cosa può essere portato nel cloud. L'azienda deve prendere una decisione basata sul rischio, per
stabilire cosa può essere gestito da un soggetto terzo. Indipendentemente dai controlli, alcune
informazioni potrebbero essere semplicemente troppo delicate per l'outsourcing. È importante
stabilirlo in anticipo, prima di procedere lungo la strada dell'outsourcing.
3.Richiedere visibilità: una volta compreso cosa rappresenta un candidato per l'outsourcing,
è necessario stabilire in che modo garantire che i dati saranno conservati in una determinata
posizione. I requisiti normativi per l'archiviazione e la protezione di determinati tipi di dati variano
su base globale e regionale. Se la legge richiede che tipi di dati specifici siano memorizzati in una
certa regione, è necessario essere certi che così sarà per tutta la durata del contratto. Tuttavia,
determinare in anticipo, per contratto, che i dati saranno conservati in una determinata area
geografica non è più accettabile come garanzia assoluta. Le aziende stanno iniziando a richiedere
visibilità in tempo reale sulla posizione delle informazioni sensibili che hanno esternalizzato.
E i vendor rispondono fornendo visibilità in tempo reale sulla posizione dei dati, come elemento di
differenziazione del servizio. La capacità di comprendere dove si trovano le informazioni nel corso
del rapporto di outsourcing consentirà di continuare a prendere decisioni relative ai dati basate
sul rischio, anche quando i dati si trovano al di fuori del proprio controllo, facilitando al contempo,
in modo significativo, gli sforzi di conformità al momento di eseguire l'audit annuale.
5
Chi ha accesso ai nostri server e dati?
Dopo aver stabilito in che modo il provider fornirà visibilità sulla posizione dei dati sensibili, il passo
successivo consiste nel determinare come verrà gestito l'accesso ai sistemi in cui le informazioni
sensibili risiederanno. Per raggiungere questo obiettivo, è fondamentale comprendere in che modo
una società di hosting utilizza le identità e il suo modello di sicurezza. Una società di hosting dovrebbe
essere in grado di dimostrare di comprendere e implementare i principi fondamentali di sicurezza per
la gestione delle identità:
•Minimo privilegio: tutte le identità, in particolare quelle amministrative, devono disporre
esclusivamente dei diritti di accesso minimi necessari per svolgere il proprio lavoro.
•Separazione dei compiti: in base al concetto di separazione dei compiti, per completare un'attività
sono necessari più soggetti singoli (ad esempio, la stessa persona non può avviare E approvare una
transazione).
Una società di hosting dovrebbe essere in grado di descrivere i propri ruoli amministrativi e le modalità
della loro gestione. Ad esempio, la gestione della sicurezza dei sistemi e delle applicazioni critici (come
i database) deve essere tenuta separata dalla gestione del sistema. Nessun amministratore singolo
dovrebbe essere responsabile delle operazioni quotidiane e della sicurezza di un sistema o di
un'applicazione. Idealmente, gli amministratori di una società di hosting che devono accedere con
continuità ai dati più sensibili di un'azienda, dovrebbero dedicarsi solo a quel cliente, senza avere
accesso ai dati dei suoi concorrenti.
È opportuno, inoltre, che le organizzazioni raccolgano presso la società di hosting informazioni su
coloro che avranno accesso ai propri sistemi e dati. Oltre ai controlli di background, il Paese in cui un
dipendente si trova potrebbe avere implicazioni significative, comprese eventuali leggi che limitino le
modalità con cui una società può monitorare le azioni dei dipendenti.
In che modo vengono protetti i nostri sistemi e dati?
Le società di hosting dovrebbero disporre inoltre di un processo documentato per la gestione dei diritti
di accesso, compresi dipendenti che entrano a far parte dell'azienda o se ne vanno, o il cui ruolo si
modifica. Questi processi dovrebbero prevedere la revoca immediata dei privilegi di accesso quando
non sono più necessari. Audit periodici devono essere effettuati per confermare la corrispondenza di
tutti i privilegi con ruoli ed esigenze correnti.
Una volta compresa la sicurezza degli accessi, è importante determinare in che modo sono protetti
i sistemi che ospitano i dati più sensibili e come vengono controllati i dati stessi. La virtualizzazione
è la tecnologia alla base di qualsiasi ambiente cloud. Essa consente la creazione di carichi di lavoro
mobili e può funzionare in un ambiente dinamico. Pertanto, per proteggere un ambiente cloud,
la sicurezza della virtualizzazione è fondamentale. Le organizzazioni devono implementare anche
la gestione delle identità privilegiate a livello di hypervisor.
Tuttavia, il controllo dell'accesso al contenitore rappresenta solo metà della soluzione. I provider
devono adottare un approccio alla sicurezza basato sui dati, per tutelarli indipendentemente dal modo
in cui viene controllato l'accesso alle applicazioni e ai sistemi. Una volta consentito l'accesso ai dati,
è quindi necessario controllarne l'utilizzo.
6
Protezione degli ambienti virtuali
Gli strumenti di controllo degli accessi possono essere configurati in modo da limitare l'accesso a
singole macchine virtuali, in base ai privilegi collegati all'identità di ogni amministratore hypervisor.
Questo aiuta ad assicurare che, anche in un ambiente condiviso, solo gli amministratori adeguati
abbiano accesso alle macchine virtuali di un'organizzazione.
Controlli di sicurezza automatizzati a livello di hypervisor sono necessari per proteggere le singole
macchine virtuali. La natura flessibile e dinamica di un ambiente virtuale consente spostamento,
eliminazione, copia delle macchine, oppure la modifica di impostazioni fondamentali, quasi senza
sforzo. I controlli di sicurezza hypervisor sono quindi necessari per impedire che singole macchine
virtuali vengano gestite con modalità che violano i relativi requisiti di sicurezza. Ad esempio,
le macchine virtuali contenenti dati PCI dovrebbero essere etichettate tramite tag, in modo che
gli amministratori non possano spostarle in un ambiente di rete non conforme. Per modificare le
impostazioni di sicurezza fondamentali di una macchina virtuale, sarà necessario modificare i tag
o le relative regole. Questo passaggio aggiuntivo riduce la possibilità di errori amministrativi nella
gestione delle macchine virtuali.
Protezione degli ambienti multi-tenant
I servizi cloud pubblici presentano sfide specifiche per la sicurezza: l'approccio che le organizzazioni
dovrebbero adottare di fronte a tali sfide dovrebbe essere adeguato al tipo di servizio e ai requisiti
di sicurezza dell'azienda. In tutti i casi, comunque, l'organizzazione dovrebbe adottare misure per
mantenere i propri dati al sicuro da terzi che eventualmente condividano gli stessi servizi:
Figura A.
Rappresentazione
visiva di un ambiente
multi-tenant.

7
In un ambiente cloud multi-tenant, la definizione dei requisiti di sicurezza
dipende dal tipo di cloud:
Tipo di cloud
Descrizione
Livello di sicurezza
Infrastructure-as-aService (IaaS)
Le risorse dell'infrastruttura
sono condivise, inclusi
server fisici, dispositivi di
rete e database (ad esempio
Amazon EC2, RackSpace
Cloud)
Ogni "tenant" è in genere separato a livello di macchina
virtuale. È possibile che una società di hosting utilizzi
un unico hypervisor per gestire le macchine virtuali
appartenenti a più organizzazioni diverse.
Platform-as-a-Service
(PaaS)
I servizi a livello di
piattaforma sono condivisi
(ad esempio Google App
Engine, Microsoft® Windows
AzureTM, Force.com)
Ogni tenant condivide risorse a livello di piattaforma
software. Oltre alla sicurezza della virtualizzazione,
le organizzazioni devono assicurare che la società di
hosting cui si affidano impieghi tecniche di gestione
delle identità privilegiate basate su best practice, per gli
utenti che amministrano il software della piattaforma.
Software-as-a-Service
(SaaS)
Servizi applicativi condivisi
(ad esempio, Salesforce.com)
Anche se la trasparenza è spesso limitata, in un ambiente
SaaS, l'organizzazione che voglia affidarsi a un fornitore
di questo tipo dovrebbe guardare oltre il livello dei
servizi applicativi, per comprendere in che modo
gli strumenti IAM vengono impiegati a ogni livello
dell'infrastruttura, dall'hardware fisico alle macchine
virtuali, alle piattaforme e alla sicurezza del codice.
Per garantire la sicurezza delle macchine virtuali,
l'organizzazione deve implementare la gestione degli
accessi e delle identità (IAM) a livello di hypervisor.
Come in un cloud privato, è possibile configurare
strumenti IAM per limitare l'accesso a singole
macchine virtuali in base alle impostazioni di sicurezza
associate a ciascuna identità hypervisor in modo che,
anche in un ambiente condiviso, solo gli amministratori
autorizzati abbiano accesso alle macchine virtuali di
un'organizzazione.
In tutti i tipi di cloud, i provider di hosting odierni hanno la possibilità di fornire ai clienti, come servizio
i dati relativi all'attività degli utenti, per eseguirne il download negli strumenti di sicurezza in-house
dei clienti stessi. Questo aiuta le aziende di outsourcing a comprendere chi sta accedendo ai loro dati,
conservando al contempo i log dell'attività degli utenti, necessari per soddisfare i requisiti di audit.
Protezione dei dati
Controllare le identità e l'accesso alle informazioni sensibili è necessario ma non sufficiente. La sensibilità
dei dati è implicita nei dati stessi, indipendentemente dalla loro ubicazione. Perciò, mentre il controllo
dei dati a livello di contenitore fornisce un livello di sicurezza, non è però sufficiente se i dati lasciano
i confini dell'azienda o del data center. Quel che è necessario richiedere al provider è un approccio che
contempli una sicurezza basata sui dati, al fine di proteggere efficacemente le risorse aziendali sensibili
che vengono esternalizzate. Questo aiuta a ridurre il rischio collegato all'outsourcing, consente la mobilità
dei dati e, al contempo, la conservazione del controllo all'interno dell'organizzazione. I componenti di
una soluzione di sicurezza basata sui dati includono classificazione, prevenzione della perdita di dati,
crittografia e gestione dei diritti sulle informazioni (Information Rights Management, IRM).
8
È inoltre opportuno comprendere in che modo la sicurezza basata sui dati viene applicata ai dati stessi
a riposo, in fase di accesso, in uso e in movimento. Alcuni esempi:
•A riposo: i dati, una volta spostati e memorizzati all'interno della rete e degli archivi del provider,
dovrebbero essere cifrati, se possibile. Alcune informazioni, come i dati collegati alle informazioni
sensibili, devono essere obbligatoriamente crittografate; altre lo saranno a seconda del relativo
livello di sensibilità per il business.
•In fase di accesso: quando gli amministratori o i dipendenti tentano di accedere a informazioni
sensibili, dovrebbe essere presa in considerazione la sensibilità dei dati. Comprendere la sensibilità
delle informazioni prima di concedere l'accesso consente decisioni di controllo degli accessi molto
più granulari. Inoltre, le informazioni criptate proteggono l'organizzazione da accessi non autorizzati
dovuti a un controllo inefficiente delle policy relative al contenitore.
•In uso: una volta ottenuto l'accesso ai dati, l'utente dovrebbe essere controllato a livello di endpoint.
Gli amministratori che accedono a informazioni sensibili della clientela non dovrebbero essere in
grado di copiarle su un'unità rimovibile o di stamparle senza autorizzazione.
•In movimento: anche il trattamento dei dati sulla rete dovrebbe essere controllato. I ruoli che hanno
accesso ai dati dovrebbero essere controllati selettivamente, in base al ruolo e alla sensibilità dei
dati. La capacità di emettere avvisi, bloccare o crittografare le informazioni inviate sulla rete
dovrebbe contribuire in modo efficace al controllo del trattamento delle informazioni.
Quali dati relativi all'attività vengono acquisiti e registrati?
Come per una quota importante della funzione di sicurezza, determinare il livello corretto di
informazioni relative all'attività che è opportuno esigere dalla società di hosting richiede un'attenta
valutazione dei pro e dei contro.
Granularità: trasparenza e costi
Presso una società di hosting, le identità possono essere gestite e monitorate in base agli stessi
standard applicati ai dipendenti interni in un ambiente cloud privato; tuttavia, ogni livello di
granularità presenta contemporaneamente vantaggi e costi:
Livello di granularità
Descrizione
Trasparenza
Gruppi amministrativi
Tutti i privilegi e i log di audit possono essere monitorati
dall'organizzazione di outsourcing a livello di gruppo.
I singoli possono essere aggiunti o rimossi da questi gruppi
dall'azienda di hosting, senza che le organizzazioni clienti
ne siano a conoscenza.
Granularità
minima
L'utente associato a questa identità può cambiare in
concomitanza con lo spostamento delle risorse da parte
dell'outsourcer. L'azienda di hosting deve tenere traccia delle
diverse identità e dei ruoli in ogni momento.
Maggiore
granularità
Ogni singolo utente è associato a una sola identità. I record
relativi a utenti privilegiati e attività vengono trasmessi dalla
società di hosting all'organizzazione di outsourcing.
Massima
granularità
(ad esempio "Gruppo di
amministrazione Linux")
Singoli ruoli
(ad esempio, "Admin
Linux n. 1")
Identità singole
(Ad esempio, "Third_Party_
ID15624" o "Third_Party_
JohnSmith")
9
Il livello di trasparenza deve essere scelto in modo da soddisfare le esigenze del provider di servizi
cloud come del consumatore. Maggiori sono le informazioni fornite dal provider di servizi cloud,
più aumentano trasparenza e verificabilità, ma anche sforzi e costi. Quando le organizzazioni scelgono
di accettare la trasparenza a livello di gruppo, dovrebbero accertarsi che la società di hosting monitori
internamente i singoli utenti, in modo da garantire l'accountability in caso di violazione.
Come pensate di garantire la conformità?
L'ultima domanda, e, talvolta, la più importante, in base al tipo di attività e al settore, riguarda la
conformità. Le organizzazioni chiedono ai propri outsourcer di fornire strumenti e reporting che
consentano loro di rispettare gli obiettivi di conformità. In aggiunta ai report disponibili e che
richiedono un'elaborazione individuale, i report di conformità chiave dovrebbero essere forniti
immediatamente, utilizzando dati in tempo reale.
Il provider cloud deve consentire al cliente di rispettare i requisiti normativi e, di conseguenza,
fornire funzionalità equivalenti a quelle implementate nell'ambito dei propri controlli di conformità.
Se i controlli sono maturi e funzionano in modo efficace, diventa più facile specificare i requisiti da
richiedere al provider cloud. Se i controlli del cliente non sono maturi e creano problemi durante gli
audit di conformità, per il provider cloud sarà più difficile comprendere quali requisiti soddisfare.
Anche se i dati relativi all'attività vengono registrati e i dati effettivamente controllati, è necessario
rendere disponibile una funzione di reporting in una forma che consenta di raggiungere gli obiettivi
del cliente. Questi report devono riguardare informazioni altamente sintetiche, destinate a dirigenti
e similari, ma anche informazioni dettagliate, pensate per soddisfare un revisore tecnico.
Le singole esigenze variano, ma una società di hosting dovrebbe comunque essere in grado di fornire
report relativi a quanto segue:
•Dove sono memorizzati i dati (Paese, città e così via)
•Quando viene eseguito l'accesso ai dati e da chi (sempre monitorando gli accessi alle singole identità,
non solo gli account amministrativi condivisi)
•A quali dati è stato eseguito l'accesso (con indicazione del tipo: carta di credito, informazioni
sanitarie private e così via)
•Quali operazioni sono state eseguite sui dati oggetto di accesso (sono stati esportati dal sistema
o elaborati da un'applicazione?)
Sempre di più, le società di hosting forniscono report per soddisfare direttamente esigenze specifiche.
Questo può ridurre, se non eliminare, la necessità per l'organizzazione di outsourcing di andare
letteralmente a caccia dei dati all'interno dei report, con conseguente disorganizzazione nella gestione
della conformità. Tramite report pensati specificamente per soddisfare esigenze singole evidenziate
dagli auditor, un'organizzazione può rimuovere un livello di interpretazione lasciata a singoli valutatori,
riducendo così il rischio per la conformità.
10
Sezione 3:
Conclusioni
La domanda di trasparenza relativa agli ambienti cloud in hosting sta rapidamente diventando
un'esigenza di mercato. Le organizzazioni che mirano all'outsourcing in un ambiente cloud dovrebbero
richiedere un livello senza precedenti di trasparenza sui propri servizi cloud, evitando di affidarsi,
per la sicurezza, esclusivamente ai contratti e alle certificazioni del proprio fornitore di servizi.
In sostanza, "fidarsi è bene, verificare è meglio". Quando la visibilità sull'ambiente di una società di
hosting è limitata, comprenderne l'infrastruttura IAM non è necessario. Nella scelta di un fornitore di
servizi cloud, le organizzazioni non dovrebbero più accettare garanzie sulle pratiche di sicurezza, ma
insistere invece su una piena comprensione dell'utilizzo delle identità da parte della società di hosting,
per consentire separazione dei compiti e restrizioni di accesso adeguate a ogni livello dell'infrastruttura.
Le organizzazioni più allergiche al rischio possono garantire che le rispettive società di hosting utilizzino
i moderni strumenti IAM per contribuire a realizzare il cloud computing in modo coerente con i propri
requisiti di sicurezza.
Sezione 4:
Riferimenti
1 Gartner, Inc.; Gartner's Top Predictions for IT Organizations and Users, 2012 and Beyond:
Control Slips Away; Darryl C. Plummer et al, 23 novembre 2011
2 Gartner, Inc.; 2012 Planning Guide: Security and Risk Management; Dan Blum et al;
1 novembre 2011
11
Sezione 5:
Informazioni sugli autori
Russell Miller opera da oltre cinque anni nel settore della sicurezza di rete, in ruoli che vanno
dall'ethical hacking al marketing di prodotto. Attualmente gestisce il marketing per i prodotti dedicati
alla sicurezza della virtualizzazione e alla gestione delle identità privilegiate di CA ControlMinder.
Russell ha conseguito un BA in Computer Science presso il Middlebury College e un MBA presso la
Sloan School of Management del MIT.
Tyson Whitten è un CISSP con oltre 10 anni di esperienza nel settore della sicurezza delle informazioni,
durante i quali ha gestito prodotti e servizi applicativi, di rete e basati sul rischio. Nel suo attuale ruolo
è responsabile di CA DLP all'interno dell'unità CA Technologies Security Customer Solutions. Prima di
unirsi a CA Technologies, Tyson ha svolto incarichi presso Genuity, Guardent, VeriSign e SecureWorks.
Ha conseguito un BS in Information Systems e un MBA in Product and General Management presso
il Boston College.
CA Technologies è un'azienda di soluzioni e software di gestione IT con
esperienza e competenze in tutti gli ambienti IT, dagli ambienti mainframe
e distribuiti fino a quelli virtuali e cloud. CA Technologies gestisce e protegge
gli ambienti IT e consente ai clienti di fornire servizi informatici più flessibili.
I prodotti e i servizi innovativi di CA Technologies offrono alle organizzazioni
IT la visibilità e il controllo essenziali per stimolare l'agilità del business.
La maggior parte delle aziende Global Fortune 500 si affida a CA Technologies
per la gestione degli ecosistemi IT in continua evoluzione. Per ulteriori
informazioni, visitare il sito CA Technologies all'indirizzo www.ca.com.
Copyright © 2012 CA Technologies. Tutti i diritti riservati. Microsoft e Microsoft Windows Azure sono marchi o marchi registrati di Microsoft
Corporation negli Stati Uniti e/o in altri paesi. Linux® è un marchio registrato di Linus Torvalds negli Stati Uniti e in altri Paesi. Tutti i marchi,
le denominazioni sociali, i marchi di servizio e i logo citati in questa pubblicazione sono di proprietà delle rispettive società. Il presente documento
ha esclusivamente scopi informativi. CA Technologies declina ogni responsabilità in relazione all'accuratezza e alla completezza delle presenti
informazioni. Nella misura consentita dalle leggi applicabili, CA Technologies rende disponibile questo documento "così com'è" senza garanzie
di alcun tipo incluse, a titolo esemplificativo ma non esaustivo, le garanzie implicite di commerciabilità, idoneità a un determinato scopo e non
violazione di diritti altrui. In nessun caso CA sarà ritenuta responsabile per perdite o danni, diretti o indiretti, derivanti dall'utilizzo del presente
documento, ivi inclusi, in via esemplificativa e non esaustiva, perdite di profitti, interruzioni di attività, perdita del valore di avviamento o di dati,
anche nel caso in cui CA venga espressamente informata in anticipo del possibile verificarsi di tali danni.
CS2579_0712

agility made possible™

Transcript

Documenti analoghi

Diapositiva 1

Come ridurre i costi aziendali

OASIS Openly Accessible Services and Interacting

Scarica subito

Brochure illustrativa

L`HR è in grado di favorire la crescita?