agility made possible™
Transcript
agility made possible™
WHITE PAPER Outsourcing in sicurezza | luglio 2012 outsourcing in sicurezza nel cloud: cinque domande fondamentali Russell Miller Tyson Whitten CA Technologies, Security Management agility made possible™ Outsourcing in sicurezza sommario SEZIONE 1: Sfida 3 Non ignorare la sicurezza quando si esegue il passaggio al cloud SEZIONE 2: Opportunità 3 La gestione delle identità privilegiate e la tutela delle informazioni può aiutare a realizzare l'outsourcing in modo più sicuro. SEZIONE 3: Conclusioni 11 SEZIONE 4: Riferimenti 11 SEZIONE 5: Informazioni sugli autori 12 Outsourcing in sicurezza Sezione 1: Sfida Non ignorare la sicurezza quando si esegue il passaggio al cloud Le organizzazioni di ogni dimensione e tipo fanno sempre più affidamento sui servizi cloud, non solo per le funzioni business critical, ma anche per archiviare ed elaborare i dati più sensibili. Secondo Gartner, "Alla fine del 2016, i dati sensibili relativi ai clienti di oltre il 50% delle prime 1000 aziende globali saranno archiviati nel cloud pubblico".1 Altri resistono alla tentazione rappresentata dai servizi basati sul cloud per motivi di sicurezza. Entrambi i tipi di organizzazioni stanno scoprendo che la "sicurezza cloud" sta ancora muovendo i primi passi, data l'assenza di standard definiti e perfino di norme informali. L'amministrazione e il monitoraggio delle identità privilegiate e dei dati a livello interno sono diventati un requisito per molte organizzazioni; questo riduce il rischio di violazioni interne, aiuta a garantire l'accountability degli amministratori, facilita la conformità e può anche accelerare l'adozione delle nuove tecnologie. Tuttavia, le stesse organizzazioni che controllano scrupolosamente i propri dati e identità interni spesso affidano i servizi IT a quella che è essenzialmente una "scatola nera", rinunciando a esercitare un controllo diretto e rivolgendosi ad aziende di hosting dei servizi cloud per proteggere i propri dati. Mentre la sicurezza è regolata da accordi relativi a policy e procedure di sicurezza, le azioni dei singoli amministratori spesso rimangono celate. L'idea è che i singoli privilegi e azioni amministrative vengono visti in qualche modo come meno a rischio, se forniti da un'entità esterna. Purtroppo non è così. Allo stesso modo, i dati di per se stessi non sono più o meno al sicuro da accessi non autorizzati, se memorizzati sulla rete interna di un'azienda o nel data center di una società di hosting. Quando scelgono l'outsourcing, le organizzazioni dispongono di un livello significativo di flessibilità. Possono scegliere di mantenere un controllo elevato, optando per un ambiente di cloud privato autogestito, oppure affidarsi a un soggetto esterno per la gestione e l'hosting della propria infrastruttura, piattaforma o servizi cloud. Ogni tipo di cloud e di servizio presenta sfide specifiche per la sicurezza; tuttavia, per tutti i tipi di cloud, la sicurezza delle identità e dei dati può aumentare la trasparenza e ridurre i rischi. Sezione 2: Opportunità La gestione delle identità privilegiate e la protezione delle informazioni può contribuire a una maggiore sicurezza dell'outsourcing. La chiave per comprendere la sicurezza in un ambiente cloud è rendersi conto che i principi fondamentali di tutela della riservatezza, dell'integrità e della disponibilità delle informazioni non cambiano. Quando utilizzano un ambiente cloud, le organizzazioni devono comprendere i rischi che esso pone per i propri sistemi e dati. Per farlo, è importante seguire le best practice IAM (Identity and Access Management), sia internamente, sia richiedendo che le società di hosting facciano lo stesso. 3 Outsourcing in sicurezza Il passaggio a un ambiente cloud in hosting comporta la rinuncia a un certo livello di controllo, ma questo non deve significare mettere a rischio la sicurezza. I moderni strumenti IAM consentono a un'organizzazione di stabilire quale livello di sicurezza e trasparenza richiedere alla società di hosting selezionata. Il livello di trasparenza IAM dipende dal tipo di servizi cloud in considerazione: •Cloud privato (interno ed esterno) •Infrastructure-as-a-Service (IaaS) •Platform-as-a-Service (PaaS) •Software-as-a-Service (SaaS) Ogni tipo di servizio cloud presenta sfide specifiche per la sicurezza: l'approccio che le organizzazioni dovrebbero adottare di fronte a ognuno di questi tipi dovrebbe essere adeguato al tipo di servizio e ai requisiti di sicurezza dell'azienda. Ciò che definisce un ambiente di cloud privato non è l'ubicazione dell'hosting, ma la mancanza di risorse condivise, o "multi-tenancy". Questo può avvenire all'interno di un'organizzazione, utilizzando hardware di proprietà della società, oppure sistemi e dispositivi di proprietà della società di hosting. Il rischio, tuttavia, è significativamente maggiore in caso di hosting off-site, perché in tal caso la separazione dell'infrastruttura deve essere verificata. Per tutti i tipi di cloud, in aggiunta alle normali best practice relative a hardening, architettura di rete, policy e procedure, gli strumenti IAM sono fondamentali per fare sì che solo le persone giuste abbiano accesso ai sistemi e ai dati adeguati. Questo implica la comprensione delle identità e degli accessi; la sicurezza di sistemi e dati, e il reporting/logging dell'attività degli utenti. 5 domande chiave da porre al proprio outsourcer Domande Follow-up 1. Dove sono situati i nostri dati? •Dove saranno situati i nostri dati sensibili? •Possiamo indicare posizioni da non utilizzare per lo storage dei dati? •Fornite visibilità in tempo reale? 2. Chi ha accesso ai nostri server e dati? •Con quali ruoli? •Questi soggetti sono gli unici responsabili per il nostro account? •In che modo l'accesso ai nostri dati viene concesso o negato? 3. In che modo vengono protetti i nostri sistemi e dati? •In che modo vengono gestiti i diritti amministrativi dell'hypervisor? •In che modo vengono controllati i nostri dati? •Come potete dimostrare che i vostri controlli sono conformi alle normative a noi applicabili? 4 Outsourcing in sicurezza 4. Quali dati relativi all'attività vengono acquisiti e registrati? •Qual è il livello di granularità registrato? •Come viene garantita l'accountability per gli account condivisi (ad esempio root)? •Come vengono gestiti gli amministratori temporanei? •Qual è la procedura per la concessione dell'accesso tramite account di emergenza? 5. Come pensate di garantire la conformità? •Quale tipo di reporting fornirete? •I report saranno automatizzati e facilmente generabili a beneficio degli auditor? Dove sono situati i nostri dati? Rinunciare al controllo del patrimonio di dati sensibili dell'organizzazione per affidarlo a terzi rimane un freno notevole, per le aziende che passano ai servizi basati sul cloud. Secondo Gartner, "La sicurezza dei dati sensibili nel cloud è il problema numero 1 per l'adozione del cloud stesso".2 Le aziende devono essere certe che, in caso di outsourcing, il rischio di compromissione dei dati e di non conformità normativa rimanga lo stesso o si riduca. Esistono vari passaggi che le aziende dovrebbero seguire nell'eseguire la transizione dei dati al di fuori dell'organizzazione e durante la loro gestione continua. 1.Comprendere le risorse disponibili: il primo passaggio consiste nell'eseguire un inventario dei dati in relazione a ciò che verrà esternalizzato. Se le applicazioni di business vengono affidate a un provider di hosting gestito, occorre capire il tipo di dati che vengono memorizzati e comunicati in relazione a tali applicazioni. Inoltre, è necessario comprendere il livello di sensibilità delle informazioni relativamente alle policy aziendali e normative. Le tecnologie di classificazione automatizzata sono un buon punto di partenza per eseguire questo inventario delle informazioni sensibili. Comprendere se verranno affidati a terzi dati sensibili (PII), risorse di proprietà intellettuale (IP) o dati riconducibili a pagamenti tramite carte (PCI) è importante. 2.Determinare cosa è accettabile per la transizione: il passaggio successivo consiste nello stabilire cosa può essere portato nel cloud. L'azienda deve prendere una decisione basata sul rischio, per stabilire cosa può essere gestito da un soggetto terzo. Indipendentemente dai controlli, alcune informazioni potrebbero essere semplicemente troppo delicate per l'outsourcing. È importante stabilirlo in anticipo, prima di procedere lungo la strada dell'outsourcing. 3.Richiedere visibilità: una volta compreso cosa rappresenta un candidato per l'outsourcing, è necessario stabilire in che modo garantire che i dati saranno conservati in una determinata posizione. I requisiti normativi per l'archiviazione e la protezione di determinati tipi di dati variano su base globale e regionale. Se la legge richiede che tipi di dati specifici siano memorizzati in una certa regione, è necessario essere certi che così sarà per tutta la durata del contratto. Tuttavia, determinare in anticipo, per contratto, che i dati saranno conservati in una determinata area geografica non è più accettabile come garanzia assoluta. Le aziende stanno iniziando a richiedere visibilità in tempo reale sulla posizione delle informazioni sensibili che hanno esternalizzato. E i vendor rispondono fornendo visibilità in tempo reale sulla posizione dei dati, come elemento di differenziazione del servizio. La capacità di comprendere dove si trovano le informazioni nel corso del rapporto di outsourcing consentirà di continuare a prendere decisioni relative ai dati basate sul rischio, anche quando i dati si trovano al di fuori del proprio controllo, facilitando al contempo, in modo significativo, gli sforzi di conformità al momento di eseguire l'audit annuale. 5 Outsourcing in sicurezza Chi ha accesso ai nostri server e dati? Dopo aver stabilito in che modo il provider fornirà visibilità sulla posizione dei dati sensibili, il passo successivo consiste nel determinare come verrà gestito l'accesso ai sistemi in cui le informazioni sensibili risiederanno. Per raggiungere questo obiettivo, è fondamentale comprendere in che modo una società di hosting utilizza le identità e il suo modello di sicurezza. Una società di hosting dovrebbe essere in grado di dimostrare di comprendere e implementare i principi fondamentali di sicurezza per la gestione delle identità: •Minimo privilegio: tutte le identità, in particolare quelle amministrative, devono disporre esclusivamente dei diritti di accesso minimi necessari per svolgere il proprio lavoro. •Separazione dei compiti: in base al concetto di separazione dei compiti, per completare un'attività sono necessari più soggetti singoli (ad esempio, la stessa persona non può avviare E approvare una transazione). Una società di hosting dovrebbe essere in grado di descrivere i propri ruoli amministrativi e le modalità della loro gestione. Ad esempio, la gestione della sicurezza dei sistemi e delle applicazioni critici (come i database) deve essere tenuta separata dalla gestione del sistema. Nessun amministratore singolo dovrebbe essere responsabile delle operazioni quotidiane e della sicurezza di un sistema o di un'applicazione. Idealmente, gli amministratori di una società di hosting che devono accedere con continuità ai dati più sensibili di un'azienda, dovrebbero dedicarsi solo a quel cliente, senza avere accesso ai dati dei suoi concorrenti. È opportuno, inoltre, che le organizzazioni raccolgano presso la società di hosting informazioni su coloro che avranno accesso ai propri sistemi e dati. Oltre ai controlli di background, il Paese in cui un dipendente si trova potrebbe avere implicazioni significative, comprese eventuali leggi che limitino le modalità con cui una società può monitorare le azioni dei dipendenti. In che modo vengono protetti i nostri sistemi e dati? Le società di hosting dovrebbero disporre inoltre di un processo documentato per la gestione dei diritti di accesso, compresi dipendenti che entrano a far parte dell'azienda o se ne vanno, o il cui ruolo si modifica. Questi processi dovrebbero prevedere la revoca immediata dei privilegi di accesso quando non sono più necessari. Audit periodici devono essere effettuati per confermare la corrispondenza di tutti i privilegi con ruoli ed esigenze correnti. Una volta compresa la sicurezza degli accessi, è importante determinare in che modo sono protetti i sistemi che ospitano i dati più sensibili e come vengono controllati i dati stessi. La virtualizzazione è la tecnologia alla base di qualsiasi ambiente cloud. Essa consente la creazione di carichi di lavoro mobili e può funzionare in un ambiente dinamico. Pertanto, per proteggere un ambiente cloud, la sicurezza della virtualizzazione è fondamentale. Le organizzazioni devono implementare anche la gestione delle identità privilegiate a livello di hypervisor. Tuttavia, il controllo dell'accesso al contenitore rappresenta solo metà della soluzione. I provider devono adottare un approccio alla sicurezza basato sui dati, per tutelarli indipendentemente dal modo in cui viene controllato l'accesso alle applicazioni e ai sistemi. Una volta consentito l'accesso ai dati, è quindi necessario controllarne l'utilizzo. 6 Outsourcing in sicurezza Protezione degli ambienti virtuali Gli strumenti di controllo degli accessi possono essere configurati in modo da limitare l'accesso a singole macchine virtuali, in base ai privilegi collegati all'identità di ogni amministratore hypervisor. Questo aiuta ad assicurare che, anche in un ambiente condiviso, solo gli amministratori adeguati abbiano accesso alle macchine virtuali di un'organizzazione. Controlli di sicurezza automatizzati a livello di hypervisor sono necessari per proteggere le singole macchine virtuali. La natura flessibile e dinamica di un ambiente virtuale consente spostamento, eliminazione, copia delle macchine, oppure la modifica di impostazioni fondamentali, quasi senza sforzo. I controlli di sicurezza hypervisor sono quindi necessari per impedire che singole macchine virtuali vengano gestite con modalità che violano i relativi requisiti di sicurezza. Ad esempio, le macchine virtuali contenenti dati PCI dovrebbero essere etichettate tramite tag, in modo che gli amministratori non possano spostarle in un ambiente di rete non conforme. Per modificare le impostazioni di sicurezza fondamentali di una macchina virtuale, sarà necessario modificare i tag o le relative regole. Questo passaggio aggiuntivo riduce la possibilità di errori amministrativi nella gestione delle macchine virtuali. Protezione degli ambienti multi-tenant I servizi cloud pubblici presentano sfide specifiche per la sicurezza: l'approccio che le organizzazioni dovrebbero adottare di fronte a tali sfide dovrebbe essere adeguato al tipo di servizio e ai requisiti di sicurezza dell'azienda. In tutti i casi, comunque, l'organizzazione dovrebbe adottare misure per mantenere i propri dati al sicuro da terzi che eventualmente condividano gli stessi servizi: Figura A. Rappresentazione visiva di un ambiente multi-tenant.  7 Outsourcing in sicurezza In un ambiente cloud multi-tenant, la definizione dei requisiti di sicurezza dipende dal tipo di cloud: Tipo di cloud Descrizione Livello di sicurezza Infrastructure-as-aService (IaaS) Le risorse dell'infrastruttura sono condivise, inclusi server fisici, dispositivi di rete e database (ad esempio Amazon EC2, RackSpace Cloud) Ogni "tenant" è in genere separato a livello di macchina virtuale. È possibile che una società di hosting utilizzi un unico hypervisor per gestire le macchine virtuali appartenenti a più organizzazioni diverse. Platform-as-a-Service (PaaS) I servizi a livello di piattaforma sono condivisi (ad esempio Google App Engine, Microsoft® Windows AzureTM, Force.com) Ogni tenant condivide risorse a livello di piattaforma software. Oltre alla sicurezza della virtualizzazione, le organizzazioni devono assicurare che la società di hosting cui si affidano impieghi tecniche di gestione delle identità privilegiate basate su best practice, per gli utenti che amministrano il software della piattaforma. Software-as-a-Service (SaaS) Servizi applicativi condivisi (ad esempio, Salesforce.com) Anche se la trasparenza è spesso limitata, in un ambiente SaaS, l'organizzazione che voglia affidarsi a un fornitore di questo tipo dovrebbe guardare oltre il livello dei servizi applicativi, per comprendere in che modo gli strumenti IAM vengono impiegati a ogni livello dell'infrastruttura, dall'hardware fisico alle macchine virtuali, alle piattaforme e alla sicurezza del codice. Per garantire la sicurezza delle macchine virtuali, l'organizzazione deve implementare la gestione degli accessi e delle identità (IAM) a livello di hypervisor. Come in un cloud privato, è possibile configurare strumenti IAM per limitare l'accesso a singole macchine virtuali in base alle impostazioni di sicurezza associate a ciascuna identità hypervisor in modo che, anche in un ambiente condiviso, solo gli amministratori autorizzati abbiano accesso alle macchine virtuali di un'organizzazione. In tutti i tipi di cloud, i provider di hosting odierni hanno la possibilità di fornire ai clienti, come servizio i dati relativi all'attività degli utenti, per eseguirne il download negli strumenti di sicurezza in-house dei clienti stessi. Questo aiuta le aziende di outsourcing a comprendere chi sta accedendo ai loro dati, conservando al contempo i log dell'attività degli utenti, necessari per soddisfare i requisiti di audit. Protezione dei dati Controllare le identità e l'accesso alle informazioni sensibili è necessario ma non sufficiente. La sensibilità dei dati è implicita nei dati stessi, indipendentemente dalla loro ubicazione. Perciò, mentre il controllo dei dati a livello di contenitore fornisce un livello di sicurezza, non è però sufficiente se i dati lasciano i confini dell'azienda o del data center. Quel che è necessario richiedere al provider è un approccio che contempli una sicurezza basata sui dati, al fine di proteggere efficacemente le risorse aziendali sensibili che vengono esternalizzate. Questo aiuta a ridurre il rischio collegato all'outsourcing, consente la mobilità dei dati e, al contempo, la conservazione del controllo all'interno dell'organizzazione. I componenti di una soluzione di sicurezza basata sui dati includono classificazione, prevenzione della perdita di dati, crittografia e gestione dei diritti sulle informazioni (Information Rights Management, IRM). 8 Outsourcing in sicurezza È inoltre opportuno comprendere in che modo la sicurezza basata sui dati viene applicata ai dati stessi a riposo, in fase di accesso, in uso e in movimento. Alcuni esempi: •A riposo: i dati, una volta spostati e memorizzati all'interno della rete e degli archivi del provider, dovrebbero essere cifrati, se possibile. Alcune informazioni, come i dati collegati alle informazioni sensibili, devono essere obbligatoriamente crittografate; altre lo saranno a seconda del relativo livello di sensibilità per il business. •In fase di accesso: quando gli amministratori o i dipendenti tentano di accedere a informazioni sensibili, dovrebbe essere presa in considerazione la sensibilità dei dati. Comprendere la sensibilità delle informazioni prima di concedere l'accesso consente decisioni di controllo degli accessi molto più granulari. Inoltre, le informazioni criptate proteggono l'organizzazione da accessi non autorizzati dovuti a un controllo inefficiente delle policy relative al contenitore. •In uso: una volta ottenuto l'accesso ai dati, l'utente dovrebbe essere controllato a livello di endpoint. Gli amministratori che accedono a informazioni sensibili della clientela non dovrebbero essere in grado di copiarle su un'unità rimovibile o di stamparle senza autorizzazione. •In movimento: anche il trattamento dei dati sulla rete dovrebbe essere controllato. I ruoli che hanno accesso ai dati dovrebbero essere controllati selettivamente, in base al ruolo e alla sensibilità dei dati. La capacità di emettere avvisi, bloccare o crittografare le informazioni inviate sulla rete dovrebbe contribuire in modo efficace al controllo del trattamento delle informazioni. Quali dati relativi all'attività vengono acquisiti e registrati? Come per una quota importante della funzione di sicurezza, determinare il livello corretto di informazioni relative all'attività che è opportuno esigere dalla società di hosting richiede un'attenta valutazione dei pro e dei contro. Granularità: trasparenza e costi Presso una società di hosting, le identità possono essere gestite e monitorate in base agli stessi standard applicati ai dipendenti interni in un ambiente cloud privato; tuttavia, ogni livello di granularità presenta contemporaneamente vantaggi e costi: Livello di granularità Descrizione Trasparenza Gruppi amministrativi Tutti i privilegi e i log di audit possono essere monitorati dall'organizzazione di outsourcing a livello di gruppo. I singoli possono essere aggiunti o rimossi da questi gruppi dall'azienda di hosting, senza che le organizzazioni clienti ne siano a conoscenza. Granularità minima L'utente associato a questa identità può cambiare in concomitanza con lo spostamento delle risorse da parte dell'outsourcer. L'azienda di hosting deve tenere traccia delle diverse identità e dei ruoli in ogni momento. Maggiore granularità Ogni singolo utente è associato a una sola identità. I record relativi a utenti privilegiati e attività vengono trasmessi dalla società di hosting all'organizzazione di outsourcing. Massima granularità (ad esempio "Gruppo di amministrazione Linux") Singoli ruoli (ad esempio, "Admin Linux n. 1") Identità singole (Ad esempio, "Third_Party_ ID15624" o "Third_Party_ JohnSmith") 9 Outsourcing in sicurezza Il livello di trasparenza deve essere scelto in modo da soddisfare le esigenze del provider di servizi cloud come del consumatore. Maggiori sono le informazioni fornite dal provider di servizi cloud, più aumentano trasparenza e verificabilità, ma anche sforzi e costi. Quando le organizzazioni scelgono di accettare la trasparenza a livello di gruppo, dovrebbero accertarsi che la società di hosting monitori internamente i singoli utenti, in modo da garantire l'accountability in caso di violazione. Come pensate di garantire la conformità? L'ultima domanda, e, talvolta, la più importante, in base al tipo di attività e al settore, riguarda la conformità. Le organizzazioni chiedono ai propri outsourcer di fornire strumenti e reporting che consentano loro di rispettare gli obiettivi di conformità. In aggiunta ai report disponibili e che richiedono un'elaborazione individuale, i report di conformità chiave dovrebbero essere forniti immediatamente, utilizzando dati in tempo reale. Il provider cloud deve consentire al cliente di rispettare i requisiti normativi e, di conseguenza, fornire funzionalità equivalenti a quelle implementate nell'ambito dei propri controlli di conformità. Se i controlli sono maturi e funzionano in modo efficace, diventa più facile specificare i requisiti da richiedere al provider cloud. Se i controlli del cliente non sono maturi e creano problemi durante gli audit di conformità, per il provider cloud sarà più difficile comprendere quali requisiti soddisfare. Anche se i dati relativi all'attività vengono registrati e i dati effettivamente controllati, è necessario rendere disponibile una funzione di reporting in una forma che consenta di raggiungere gli obiettivi del cliente. Questi report devono riguardare informazioni altamente sintetiche, destinate a dirigenti e similari, ma anche informazioni dettagliate, pensate per soddisfare un revisore tecnico. Le singole esigenze variano, ma una società di hosting dovrebbe comunque essere in grado di fornire report relativi a quanto segue: •Dove sono memorizzati i dati (Paese, città e così via) •Quando viene eseguito l'accesso ai dati e da chi (sempre monitorando gli accessi alle singole identità, non solo gli account amministrativi condivisi) •A quali dati è stato eseguito l'accesso (con indicazione del tipo: carta di credito, informazioni sanitarie private e così via) •Quali operazioni sono state eseguite sui dati oggetto di accesso (sono stati esportati dal sistema o elaborati da un'applicazione?) Sempre di più, le società di hosting forniscono report per soddisfare direttamente esigenze specifiche. Questo può ridurre, se non eliminare, la necessità per l'organizzazione di outsourcing di andare letteralmente a caccia dei dati all'interno dei report, con conseguente disorganizzazione nella gestione della conformità. Tramite report pensati specificamente per soddisfare esigenze singole evidenziate dagli auditor, un'organizzazione può rimuovere un livello di interpretazione lasciata a singoli valutatori, riducendo così il rischio per la conformità. 10 Outsourcing in sicurezza Sezione 3: Conclusioni La domanda di trasparenza relativa agli ambienti cloud in hosting sta rapidamente diventando un'esigenza di mercato. Le organizzazioni che mirano all'outsourcing in un ambiente cloud dovrebbero richiedere un livello senza precedenti di trasparenza sui propri servizi cloud, evitando di affidarsi, per la sicurezza, esclusivamente ai contratti e alle certificazioni del proprio fornitore di servizi. In sostanza, "fidarsi è bene, verificare è meglio". Quando la visibilità sull'ambiente di una società di hosting è limitata, comprenderne l'infrastruttura IAM non è necessario. Nella scelta di un fornitore di servizi cloud, le organizzazioni non dovrebbero più accettare garanzie sulle pratiche di sicurezza, ma insistere invece su una piena comprensione dell'utilizzo delle identità da parte della società di hosting, per consentire separazione dei compiti e restrizioni di accesso adeguate a ogni livello dell'infrastruttura. Le organizzazioni più allergiche al rischio possono garantire che le rispettive società di hosting utilizzino i moderni strumenti IAM per contribuire a realizzare il cloud computing in modo coerente con i propri requisiti di sicurezza. Sezione 4: Riferimenti 1 Gartner, Inc.; Gartner's Top Predictions for IT Organizations and Users, 2012 and Beyond: Control Slips Away; Darryl C. Plummer et al, 23 novembre 2011 2 Gartner, Inc.; 2012 Planning Guide: Security and Risk Management; Dan Blum et al; 1 novembre 2011 11 Outsourcing in sicurezza Sezione 5: Informazioni sugli autori Russell Miller opera da oltre cinque anni nel settore della sicurezza di rete, in ruoli che vanno dall'ethical hacking al marketing di prodotto. Attualmente gestisce il marketing per i prodotti dedicati alla sicurezza della virtualizzazione e alla gestione delle identità privilegiate di CA ControlMinder. Russell ha conseguito un BA in Computer Science presso il Middlebury College e un MBA presso la Sloan School of Management del MIT. Tyson Whitten è un CISSP con oltre 10 anni di esperienza nel settore della sicurezza delle informazioni, durante i quali ha gestito prodotti e servizi applicativi, di rete e basati sul rischio. Nel suo attuale ruolo è responsabile di CA DLP all'interno dell'unità CA Technologies Security Customer Solutions. Prima di unirsi a CA Technologies, Tyson ha svolto incarichi presso Genuity, Guardent, VeriSign e SecureWorks. Ha conseguito un BS in Information Systems e un MBA in Product and General Management presso il Boston College. CA Technologies è un'azienda di soluzioni e software di gestione IT con esperienza e competenze in tutti gli ambienti IT, dagli ambienti mainframe e distribuiti fino a quelli virtuali e cloud. CA Technologies gestisce e protegge gli ambienti IT e consente ai clienti di fornire servizi informatici più flessibili. I prodotti e i servizi innovativi di CA Technologies offrono alle organizzazioni IT la visibilità e il controllo essenziali per stimolare l'agilità del business. La maggior parte delle aziende Global Fortune 500 si affida a CA Technologies per la gestione degli ecosistemi IT in continua evoluzione. Per ulteriori informazioni, visitare il sito CA Technologies all'indirizzo www.ca.com. Copyright © 2012 CA Technologies. Tutti i diritti riservati. Microsoft e Microsoft Windows Azure sono marchi o marchi registrati di Microsoft Corporation negli Stati Uniti e/o in altri paesi. Linux® è un marchio registrato di Linus Torvalds negli Stati Uniti e in altri Paesi. Tutti i marchi, le denominazioni sociali, i marchi di servizio e i logo citati in questa pubblicazione sono di proprietà delle rispettive società. Il presente documento ha esclusivamente scopi informativi. CA Technologies declina ogni responsabilità in relazione all'accuratezza e alla completezza delle presenti informazioni. Nella misura consentita dalle leggi applicabili, CA Technologies rende disponibile questo documento "così com'è" senza garanzie di alcun tipo incluse, a titolo esemplificativo ma non esaustivo, le garanzie implicite di commerciabilità, idoneità a un determinato scopo e non violazione di diritti altrui. In nessun caso CA sarà ritenuta responsabile per perdite o danni, diretti o indiretti, derivanti dall'utilizzo del presente documento, ivi inclusi, in via esemplificativa e non esaustiva, perdite di profitti, interruzioni di attività, perdita del valore di avviamento o di dati, anche nel caso in cui CA venga espressamente informata in anticipo del possibile verificarsi di tali danni. CS2579_0712