Vincere le quattro principali sfide della sicurezza di

Vincere le quattro principali sfide della
sicurezza di Microsoft SharePoint
Microsoft SharePoint è diventato rapidamente lo standard aziendale per la collaborazione interna
ed esterna e la gestione dei contenuti, un po' come Microsoft Exchange è diventato lo standard
aziendale per le e-mail. Tuttavia, di pari passo con il successo di SharePoint sono arrivate le
stesse sfide che riguardavano Exchange: l'esigenza di ottimizzare il ritorno dell'investimento,
proteggersi contro virus e perdita di dati e creare criteri per l'amministrazione e la compliance.
Questo white paper esamina i vantaggi e i rischi relativi a SharePoint e consiglia le migliori prassi
per proteggere le risorse digitali di un'organizzazione.
di Chris McCormack, Product Marketing Manager, Sophos
Un white paper Sophos
Novembre 2009
Un white paper Sophos
Vincere le quattro principali sfide della sicurezza di Microsoft SharePoint
Vincere le quattro principali sfide della sicurezza di Microsoft
SharePoint
Introduzione a SharePoint
Microsoft SharePoint consente agli operatori
informatici di collaborare per creare documenti,
scambiare file, risolvere problemi, creare strategie,
collegarsi a contenuti Web in tempo reale e
creare tabelle e report raccolti dai database di
un'organizzazione. SharePoint offre molti vantaggi
per le aziende, specialmente quelle con meno di
1000 dipendenti o più, in quanto:
»» Aumenta la produttività dei dipendenti
semplificando le attività aziendali quotidiane
»» Riduce i tempi del ciclo del progetto attraverso
la collaborazione
»» Consente ai dipendenti di prendere decisioni
informate consentendo un accesso centralizzato
alle informazioni
»» Consente di soddisfare i requisiti normativi
mediante il controllo totale del contenuto
»» Semplifica l'accesso ai dati strutturati e non
strutturati su vari sistemi
»» Offre una piattaforma unica e integrata per la
gestione di applicazioni intranet, extranet e
Internet a livello aziendale
Microsoft SharePoint è costituito da due
componenti principali: Windows SharePoint
Services 3.0 (WSS) e Microsoft Office SharePoint
Server (MOSS). Per un maggiore approfondimento,
fare riferimento alla scheda “Cos'è esattamente
Microsoft SharePoint?”.
Le vendite di Microsoft SharePoint nel 2008
hanno fruttato 1 miliardo di dollari di utili, con
oltre 100 milioni di licenze vendute, risultato
che ha fatto dire a un analista di mercato che
“SharePoint è il prodotto server dell'azienda più
venduto di tutti i tempi.” Altri analisti prevedono
che la crescita della famosa piattaforma di
gestione di contenuti e collaborazione resterà a un
livello stabile e che nei prossimi 4 anni crescerà al
livello annuale medio di tutto rispetto del 25%.
Oggi, la maggior parte delle organizzazioni utilizza
SharePoint per memorizzare e condividere i propri
archivi elettronici di fondamentale importanza,
come ad esempio i documenti di pianificazione
aziendale strategica, la contabilità aziendale, gli
archivi sui dipendenti, sulla proprietà intellettuale
e sullo stato di salute del personale.
Valutazione dei pro e dei contro
Una delle principali sfide che devono affrontare
i responsabili IT e gli amministratori consiste nel
trovare il modo di equilibrare le ricche funzionalità
di SharePoint con i rischi derivanti dal rendere
più accessibile i contenuti interattivi al di là del
perimetro chiuso dell'organizzazione. Anche
quando SharePoint viene utilizzato principalmente
da utenti interni (area ombreggiata nella figura a
pagina 1) la minaccia che il malware si propaghi
attraverso la rete resta notevole.
Poiché l'accesso a SharePoint viene ampliato per
includere partner e applicazioni esterne, i rischi
crescono esponenzialmente. Per i responsabili IT e
gli amministratori ciò significa che lo sfruttamento
dell'investimento dell'organizzazione in SharePoint
fa aumentare anche la sua vulnerabilità al
malware, la fuga di dati e molti altri pericoli.
Un'implementazione sicura consiste in livelli
di sicurezza sostenuti da controlli dell'accesso
appropriati, in modo tale che il contenuto
dell'organizzazione sia ben protetto e allo
stesso tempo accessibile oltre il perimetro
dell'organizzazione.
1
Un white paper Sophos
Vincere le quattro principali sfide della sicurezza di Microsoft SharePoint
Quali sono i quattro rischi principali?
2. Accesso a contenuto improprio
SharePoint è vulnerabile a tutta una serie di
minacce esistenti ed emergenti:
1. Virus e altro malware
Non lasciate che il portale SharePoint diventi
un'immensa fonte di contenuti impropri, illegali o
simili e che viola i requisiti legali di compliance e
amministrazione.
2. Accesso a contenuto improprio
Consigli
3. Perdita di dati riservati dell'azienda
»» Semplificate la compliance grazie al filtraggio
avanzato dei contenuti.
4. Alterazione dei dati da parte di utenti interni ed
esterni
»» Assicuratevi che la soluzione di terzi distribuita
includa un motore di scansione di contenuti e
criteri completo.
1. Virus e altre forme di malware
»» Controllo dei file in base al nome, alle
dimensioni o al tipo mediante il controllo
dell'estensione dei file per impedirne
l'occultamento del tipo.
Windows SharePoint Services memorizza
documenti, elenchi, viste e altre informazioni in un
database Microsoft SQL Server.
Gli spazi di lavoro collaborativi consentono di
condividere facilmente file e contenuti, facendo
in tal modo aumentare i rischi di contrarre virus e
altre forme di malware. Questa è una grande fonte
di preoccupazione, nel caso in cui il contenuto
abbia origine esternamente all'organizzazione,
da sistemi non gestiti (ad esempio, consentendo
ai clienti di pubblicare allegati o collegamenti
a siti non affidabili in un ambiente basato su
SharePoint).
Consigli
Implementate una suite antivirus progettata per
eseguire la scansione di database SQL Server e
rilevare malware e file sospetti memorizzati al
loro interno — funzionalità di cui le tradizionali
soluzioni antivirus endpoint/server non dispongono.
Altre caratteristiche da considerare includono:
»» Protezione al momento dell'accesso, su
richiesta e pianificata contro malware, virus,
spyware, adware, file sospetti e applicazioni
potenzialmente indesiderate, soluzione che
garantisce la massima sicurezza offrendo nel
contempo un'esperienza utente completamente
trasparente.
»» Rilevamento proattivo di nuovo malware del
giorno zero, mediante la tecnologia Behavioral
Genotype.
»» Gestore quarantena integrato per l'eliminazione,
la rimozione o l'autorizzazione dei file.
3. Perdita di dati riservati dell'azienda
Poiché la tecnologia SharePoint consente
l'agevole scambio di file tra gli utenti, anche
se avete implementato criteri di sicurezza sul
perimetro e i server di posta, gli utenti potrebbero
comunque usare SharePoint per scambiare file che
normalmente verrebbero bloccati dalla sicurezza
e-mail.
Consigli
»» Cercate una soluzione che garantisca
esplicitamente che i dati sensibili non vengano
trafugati attraverso SharePoint o Exchange.
»» Utilizzate un controllo del contenuto che
impedisca agli utenti di caricare o scaricare
informazioni sensibili.
»» Verificate che i file possano essere controllati in
base al loro nome e contenuto (parole e frasi).
4. Alterazione dei dati
Secondo un'indagine recente, un quarto dei
330 partecipanti non crede che gli archivi
elettronici o altri tipi di contenuti digitali della
sua organizzazione siano protetti quando vengono
condivisi all'interno dell'ambiente SharePoint. Tra
i partecipanti le cui organizzazioni hanno subito
una violazione dei dati all'interno dei loro sistemi
SharePoint, il 67% ha indicato che la violazione
è avvenuta ad opera di una persona che era
autorizzata ad accedere a SharePoint dall'interno
dell'organizzazione.
2
Un white paper Sophos
Vincere le quattro principali sfide della sicurezza di Microsoft SharePoint
Consigli
Preoccupazioni emergenti
»» Cercate una soluzione modulare per il controllo
della protezione delle informazioni che attui la
sicurezza basata su criteri per PC e dispositivi
mobili in ambienti misti.
»» Le minacce stanno diventando sempre più
grandi e non sono destinate a diminuire nel
breve periodo, se mai ciò dovesse accadere.
Uno dei motivi per cui ciò avviene è che la
mobilità dei dipendenti continua ad aumentare.
Il Total Employee Mobility Benchmarking
Report del 2009, pubblicato da Runzheimer
International, indica che il 51% dei lavoratori
è mobile ogni giorno. Tuttavia, molti dirigenti
del reparto IT non hanno il controllo sui relativi
rischi, costi e vantaggi. Il report annuale è stato
realizzato mediante interviste con i funzionari
di 90 organizzazioni di piccole, medie e grandi
dimensioni in tutti gli U.S.A.
»» Essa deve essere completamente trasparente
per gli utenti finali e facile da amministrare
da un'unica console centrale. E, infine, la sua
architettura modulare garantisce la completa
sicurezza dei dati, in base alle esigenze
dell'organizzazione e ai requisiti di crescita.
»» Fornisce il controllo centralizzato della
sicurezza dei dati in ambienti IT misti.
»» Consente l'implementazione e l'attuazione
coerente dei criteri di sicurezza a livello
aziendale.
»» Consente di memorizzare, scambiare e
ripristinare le chiavi in modo semplice e facile,
grazie all'avanzata gestione centralizzata delle
chiavi
»» Consente la completa protezione dei dati su
tutti i tipi di dispositivi, tra cui: laptop, desktop,
supporti rimovibili, PDA, CD ed e-mail
»» Offre le funzioni di cifratura e prevenzione della
fuga di dati (DLP) mediante un'unica console di
gestione.
»» Gestisce completamente la cifratura dell'unità
Windows Vista BitLocker
»» SharePoint è tra gli strumenti di più facile
uso della suite Windows, dicono gli esperti. Il
problema è che qualsiasi utente può impostare un
sito SharePoint e, spesso, non ci sono indicazioni
in merito a chi può accedervi e sul tipo di dati che
possono essere memorizzati al suo interno. Alcuni
utenti suppongono che, poiché vengono utilizzati
nella rete interna dell'azienda, i dati di SharePoint
devono essere protetti dalle difese di sicurezza
aziendali standard.
»» In altri casi, i dipendenti fanno l'errore di offrire
l'accesso a SharePoint ai partner aziendali o
collaboratori all'esterno dell'azienda, senza
adottare degli accorgimenti per proteggere lo
scambio di dati.
»» Si integra rapidamente ed efficacemente
con le infrastrutture di sicurezza esistenti e
automatizza le attività amministrative.
Un approccio alla protezione dei dati
basato su livelli
3
Un white paper Sophos
Vincere le quattro principali sfide della sicurezza di Microsoft SharePoint
Cosa intendiamo per "protezione dei dati"?
L'espressione "protezione dei dati" si riferisce
a tecnologie, strumenti e migliori pratiche per
proteggere i dati sensibili delle organizzazioni.
Un'efficace strategia di protezione dei dati è quella
che trova un giusto equilibrio tra protezione e
produttività, garantendo la sicurezza di tutti i dati
sensibili e riservati, senza impedire agli utenti di
occuparsi delle loro attività lavorative giornaliere.
Affinché una strategia abbia successo, le
tecnologie vanno implementate in modo puntuale,
economicamente conveniente, facile da distribuire
e semplice da amministrare.
Pertanto, la soluzione ideale al problema della
protezione dei dati è quella che integra le
tecnologie fondamentali con le migliori pratiche
e tecnologie per rendere immediatamente efficaci
i criteri implementati, consentendo agli utenti di
mettersi subito al lavoro.
Protezione dati efficace = Tecnologia che incorpora
le migliori pratiche + Intelligenza preimballata
Una strategia completa di protezione dei dati
dovrebbe coprire le quattro aree fondamentali:
Protezione dalle minacce: la protezione dalle
minacce dovrebbe consentire la protezione dei
dati contro il malware e impedire agli hacker
di accedere direttamente o indirettamente ai
dati sensibili nei sistemi e nella rete. Pertanto,
la protezione dalle minacce deve includere:
prevenzione delle intrusioni, firewall, antivirus,
antimalware e antispam per assicurarsi che gli
hacker non si intrufolino nella rete, violando e
rubando i dati sensibili. Poiché le minacce sono in
continua evoluzione e hanno motivazioni di natura
sempre più finanziaria, la protezione proattiva,
in grado di identificare e bloccare le nuove
minacce prima che vengano catalogate, diventa di
fondamentale importanza.
Compliance ai criteri: il ruolo della compliance
ai criteri consiste nel ridurre le minacce
potenziali, la responsabilità legale e l'esposizione,
implementando le migliori pratiche sotto
forma di criteri, per impedire che gli utenti
mettano inavvertitamente a rischio se stessi o
l'organizzazione, continuando a fornire loro gli
strumenti di cui hanno bisogno per svolgere il
loro lavoro quotidiano. La compliance ai criteri
dovrebbe consentire il controllo delle applicazioni
(es.: messaggistica istantanea, condivisione file
P2P), dispositivi di memorizzazione rimovibili
(es.: chiavette USB) e sistemi aziendali (es.:
navigazione in Internet ed e-mail). Controllare il
modo in cui essi vengono usati significa che ai
dipendenti possono essere forniti gli strumenti di
cui hanno bisogno per svolgere il loro lavoro senza
mettere a repentaglio i dati.
Prevenzione della perdita di dati (DL): la DLP
fornisce una panoramica automatica e consente
di monitorare il movimento dei dati, per impedire
che gli utenti divulghino accidentalmente i dati
sensibili, attraverso dispositivi di memorizzazione
rimovibili o applicazioni Internet. Gli elenchi
di controllo dei contenuti (CCL) costituiscono
un elemento essenziale della DLP, definendo
i tipi di dati da proteggere, come ad esempio
le informazioni che consentono di identificare il
titolare (PII) o i dati finanziari, compresi i numeri
delle carte di credito e i conti bancari.
La soluzione ideale dovrebbe fornire CLL
predefiniti per rendere rapida e semplice la
distribuzione e la configurazione, integrandosi
anche strettamente con la compliance ai criteri e
altri componenti della strategia di protezione dei
dati, il tutto mettendo a disposizione al tempo
stesso un'esperienza diretta per gli utenti in grado
di ridurre l'impatto sulla produttività.
Cifratura: la cifratura è essenziale per proteggere
la riservatezza, l'integrità e l'autenticità dei dati
immobili o in movimento ed è un requisito
essenziale presente in numerosi regolamenti. Essa
dovrebbe proteggere i dati presenti su desktop,
server e dispositivi mobili, compresi i laptop e i
supporti di memorizzazione rimovibili, nonché
i dati che possono essere inviati per e-mail.
La soluzione ideale è quella che da un lato è
trasparente per l'utente finale e consente di evitare
problemi a livello di produttività e procedure
e dall'altro risulta facile da implementare e
distribuire, con criteri flessibili che si adattano alla
vostra azienda. Inoltre, una soluzione che integri la
cifratura con la DLP fornisce un notevole vantaggio,
in quanto fa sì che tutti i dati sensibili autorizzati a
essere spostati al di fuori della rete per validi motivi
aziendali, non possano essere violati.
4
Un white paper Sophos
Vincere le quattro principali sfide della sicurezza di Microsoft SharePoint
Cos'è esattamente Microsoft SharePoint?
Microsoft SharePoint è costituito da due componenti: Windows SharePoint Services 3.0 (WSS) e Microsoft Office
SharePoint Server (MOSS).
1. Windows SharePoint Services — Microsoft Windows SharePoint Services è un'estensione di Windows Server, studiata
per mettere a disposizione strumenti di calibrazione e funzioni per le organizzazioni di piccole e medie dimensioni.
WSS consente ai dipendenti di creare spazi di lavoro, condividere calendari e contatti e utilizzare le tecnologie del Web
2.0, come ad esempio blog, wiki e feed RSS. Uno dei principali motivi per cui le organizzazioni distribuiscono Windows
SharePoint Services è dovuto alle sue caratteristiche fondamentali di gestione dei documenti, le quali includono servizi
di librerie di documenti per prelevare e riporre i documenti stessi, nonché una funzione di gestione dei diritti sulle
informazioni per il controllo delle operazioni che gli utenti sono autorizzati a compiere.
2. Microsoft Office SharePoint Server — MOSS è un server di collaborazione e gestione di contenuti che fornisce ai
professionisti IT e agli sviluppatori la piattaforma e gli strumenti di cui hanno bisogno per l'amministrazione dei server e
l'estensione e l'interoperabilità delle applicazioni. Microsoft Office SharePoint Server è destinato alle organizzazioni di
dimensioni medio-grandi, con oltre 1.000 utenti.
Boston, USA | Oxford, Regno Unito
© Copyright 2009. Sophos Plc
Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos.Nessuna parte
di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero dati o
trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso scritto degli editori.