Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
3. e
#cloudconferenceitalia
Chi sono
Silvio Di Benedetto – Inside Technologies
silvio.dibenedetto@insidetechnologies.eu
Web: www.insidetechnologies.eu
Twitter: @s_net
Senior Consultant
Microsoft MVP CDM
Veeam VanGuard
Parallels VIPP
4. e
#cloudconferenceitalia
Numeri e date
Il General Data Protection Regulation
Microsoft Operations Management Suite
Microsoft Azure
Agenda
5.
6.
7.
8.
9.
10.
11. e
#cloudconferenceitalia
Uber
Uber ha pagato 100k dollari per non divulgare i dati che gli
sono stati rubati nel 2016
Uber aveva già subito il furto dei dati nel 2014
Dati dei clienti (no carte di credito e viaggi)
Dati dei driver
50+7 milioni di account persi
https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data
12. e
#cloudconferenceitalia
Si applica nel trattamento dei dati di utenti privati
Riguarda tutte le aziende e liberi professionisti
Aumenta i diritti degli interessati (utenti) tra cui la possibilità di
modificare i dati e di chiedere il diritto all’oblio
Sparisce la distinzione tra amministratori e non
Sparisce il concetto di «misure minime»
Obbligo di formazione interna
Obbligo di notifica in caso di Breach Detection entro 72 ore
Viene introdotta la figura del DPO
Cosa cambia
13. e
#cloudconferenceitalia
Art. 1 - Oggetto e Finalità
Il presente regolamento protegge i diritti e le libertà fondamentali
delle persone fisiche, in particolare il diritto alla protezione dei
dati.
Art. 1 (NIS) - Oggetto e Ambito di Applicazione
La presente direttiva stabilisce misure volte a conseguire un
livello comune elevato di sicurezza della rete e dei sistemi
informativi nell’Unione così da migliorare il funzionamento del
mercato interno.
Articoli
14. e
#cloudconferenceitalia
Art. 24 - Responsabilità del Titolare del Trattamento
1. - Tenuto conto della natura, dell'ambito di applicazione, del
contesto e delle finalità del trattamento, nonché dei rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle persone
fisiche, il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento è effettuato conformemente al
presente regolamento. Dette misure sono riesaminate e
aggiornate qualora necessario.
Articoli
15. e
#cloudconferenceitalia
Art. 32 - Sicurezza del Trattamento
1 - Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di
varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio,
che comprendono, tra le altre, se del caso:
(a). - la pseudonimizzazione e la cifratura dei dati personali;
(b). - la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
(c). - la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
(d). - una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
Articoli
16. e
#cloudconferenceitalia
Art. 39 - Compiti del Responsabile della Protezione dei
Dati
a) informare e fornire consulenza (…) in merito agli obblighi derivanti dal presente
regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla
protezione dei dati;
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o
degli Stati membri relative alla protezione dei dati nonché delle politiche (…) in materia
di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la
sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle
connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione
dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d) cooperare con l'autorità di controllo; e e) fungere da punto di contatto per l'autorità
di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva
di cui all'articolo 36 (…).
Articoli
20. e
#cloudconferenceitalia
Servizio completamente operato e aggiornato sul cloud
Nulla o minima infrastruttura locale
Soluzione di security a tutto tondo:
Audit log for Windows e Security log for Linux
Office 365 ed Azure Log
IIS Log
Network security
CEF logs
Microsoft Operations Management Suite
21. …sample list of log/metrics that OMS collects:
• Custom Application/Infra logs
• Azure Platform telemetry
• Windows event logs
• Window performance counters
• Security Event Logs
• IIS Logs
• ETW logs
• Linux Syslog
• Linux system metrics
• Firewall Logs
• Networking Syslog
• JSON doc
• O365 Activity Events
Solutions
Search & Analytics
Azure Portal
22. e
#cloudconferenceitalia
Auditing accesso alle risorse
Non modificabile, non ripudiabile
Breach detection
Business continuity e DR
Data Protection (backup)
Antimalware Analysis
Patching Analysis and Resolving
Cosa fa OMS
23. e
#cloudconferenceitalia
HIPAA /
HITECH Act
FERPA
GxP
21 CFR Part 11
ISO 27001 SOC 1 Type 2ISO 27018 CSA STAR
Self-Assessment
Singapore
MTCS
UK
G-Cloud
Australia
IRAP/CCSL
FISC Japan
New Zealand
GCIO
China
GB 18030
EU
Model Clauses
ENISA
IAF
Argentina
PDPA
Japan CS
Mark Gold
CDSA
Shared
Assessments
Japan My
Number Act
FACT UK GLBA
Spain
ENS
PCI DSS
Level 1 MARS-E FFIEC
China
TRUCS
SOC 2 Type 2 SOC 3
Canada
Privacy Laws
MPAA
Privacy
Shield
ISO 22301
India
MeitY
Germany IT
Grundschutz
workbook
Spain
DPA
CSA STAR
Certification
CSA STAR
Attestation
HITRUST IG Toolkit UK
China
DJCP
ITAR
Section 508
VPAT
SP 800-171 FIPS 140-2
High
JAB P-ATO
CJIS
DoD DISA
SRG Level 2
DoD DISA
SRG Level 4
IRS 1075
DoD DISA
SRG Level 5
Moderate
JAB P-ATO
ISO 27017
The Trusted Cloud
More certifications than any other cloud provider
GLOBALUSGOVINDUSTRYREGIONAL
24. e
#cloudconferenceitalia
EU model clauses
EU-US Privacy shield
ISO 22301
ISO/IEC 27001, 27017, 27018
SOC 1, 2, 3
ENISA IAF
ISO/IEC 27001 and ISO/IEC
27018:2014 compliant
Payment Card Industry (PCI
Compliant) Data Security Standard
(PCI DSS) by the PCI Security
Standards Council.
Service Organization Controls
(SOC) 1 Type 1 and SOC 2 Type
1 compliant
HIPAA and HITECH for companies
that have a HIPAA Business
Associate Agreement
Certificazioni di riferimento
28. e
#cloudconferenceitalia
Microsoft Intune policies are groups of settings that control
features on mobile devices and computers. You create policies by
using templates that contain recommended or custom settings,
and then you deploy them to device or user groups.
Configuration policies
Device compliance policies
Conditional access polices
Corporate device enrollment policies
Resource access policies
Customize yours devices
29. e
#cloudconferenceitalia
Microsoft Exchange On-premises
Microsoft Exchange Online
SharePoint Online
Skype for Business Online
Dynamics 365
Teams
AWS
More…
Conditional access polices
30. e
#cloudconferenceitalia
Mobile Application Management and Windows Information
Protection (WIP), helps to protect against this potential data
leakage without otherwise interfering with the employee
experience.
Enforce Application Security
32. e
#cloudconferenceitalia
Control and help secure email, documents, and sensitive data
that you share outside your company walls. From easy
classification to embedded labels and permissions, enhance
data protection at all times with Azure Information Protection -
no matter where it’s stored or who it’s shared with.
Azure Information Protection
Classify data based on
sensitivity and add labels -
manually or automatically.
Encrypt your sensitive data and
define usage rights when
needed.
See what’s happening with your
shared data to gain more
control over it.