Noa Arias

Oggi più che mai, i team che si occupano di tecnologia e conformità devono collaborare per proteggere l'integrità delle loro organizzazioni. Le informazioni sensibili vengono archiviate e trasferite in forma digitale e le normative associate stanno diventando sempre più severe e complesse. Mentre la compliance è responsabile dell'identificazione delle normative che riguardano la sicurezza delle informazioni, i team tecnologici devono identificare e implementare le soluzioni più efficaci per aderire a tali normative.

Active Directory è un'applicazione chiave per il mantenimento della conformità, poiché funge da finestra sulle attività e sulle politiche IT di un'organizzazione: deve essere protetta per mantenere l'integrità e la conformità aziendale. Tutte le aziende che hanno a che fare con dati sensibili dei clienti, come quelli finanziari o sanitari, devono garantire la sicurezza del loro ambiente Active Directory ed eseguire controlli regolari per verificare la presenza di rischi per la sicurezza delle informazioni. Se non vengono monitorati attivamente, gli account utente obsoleti e i controlli poco rigorosi sull'accesso amministrativo rappresentano una minaccia per la sicurezza di Active Directory e mettono le organizzazioni a rischio di non conformità.

Conformità alla sicurezza delle informazioni

Le normative, come la SOX e la HIPAA, sono state create per proteggere i consumatori e gli azionisti, imponendo alle organizzazioni di verificare la presenza di comportamenti sospetti in Active Directory, di proteggere i record digitali dall'uso improprio e di proteggere le informazioni private dei clienti. Anche se le normative specifiche possono variare a seconda del settore, la regola generale è la stessa: stabilire procedure e controlli per proteggere le informazioni sensibili dell'azienda. Con così tante leggi da rispettare, è difficile sapere quali regolamenti si applicano alla vostra azienda, quindi abbiamo decifrato gli acronimi dei regolamenti per rendere la conformità un po' più facile da seguire.

SOX: S sta per Shareholder - Il Sarbanes-Oxley Act (SOX) impone a qualsiasi società a partecipazione pubblica di stabilire procedure per proteggere i documenti finanziari dalla distruzione, dalla perdita e dall'uso improprio, al fine di proteggere gli azionisti della società e ridurre la possibilità di frodi aziendali. Il SOX prevede inoltre che l'azienda verifichi e riferisca in merito a tali controlli.

PCI: la P sta per Pagamenti - La normativa PCI DSS (Payment Card Industry Data Security Standard) stabilisce che qualsiasi azienda che accetti pagamenti con carta, attraverso la memorizzazione, l'elaborazione e la trasmissione dei dati dei titolari di carta, deve ospitare questi dati in modo sicuro utilizzando un provider di hosting conforme a PCI. Per essere conformi allo standard PCI, è necessario monitorare tutti gli accessi alle risorse di rete, testare regolarmente i sistemi di sicurezza e mantenere una politica di sicurezza delle informazioni.

GLBA: GL sta per Gives Loans - Il Gramm-Leach-Bliley Act (GLBA), noto anche come Financial Modernization Act del 1999, controlla il modo in cui gli istituti finanziari gestiscono le informazioni private dei clienti. La norma di salvaguardia del GLBA impone a tutti gli istituti finanziari di creare, attuare e mantenere misure di salvaguardia per proteggere le informazioni dei clienti. In base alla Safeguards Rule, gli istituti finanziari devono identificare i rischi operativi per i dati dei clienti, implementare un programma di sicurezza delle informazioni e verificare regolarmente il programma di salvaguardia.

HIPAA: H sta per Health - L'HIPAA, l'Health Insurance Portability and Accountability Act, è stato inizialmente creato per proteggere la copertura sanitaria delle persone che perdono o cambiano lavoro e si è ora evoluto in una serie di standard per la protezione dei dati dei pazienti. L'HIPAA impone a tutte le aziende che trattano informazioni sanitarie protette (PHI) di implementare e rispettare misure di sicurezza fisiche, di rete e di processo. Le informazioni sanitarie trasmesse elettronicamente, o e-PHI, sono protette dalla norma di sicurezza HIPAA e le organizzazioni devono proteggere queste informazioni identificando e proteggendo dalle minacce.

FISMA: la F sta per Governo Federale - Il Federal Information Security Management Act (FISMA) è stato istituito dal Dipartimento per la Sicurezza Nazionale allo scopo di proteggere le informazioni, le operazioni e le risorse del governo da tutte le minacce, naturali o di origine umana. Il FISMA stabilisce inoltre che le agenzie governative devono implementare strumenti per verificare i propri programmi di sicurezza delle informazioni, testare le procedure di sicurezza ed eseguire valutazioni periodiche del rischio.

Audit e conformità di Active Directory

Indipendentemente dal settore, normative come queste impongono alle organizzazioni di monitorare il proprio ambiente IT per individuare e porre rimedio a potenziali minacce. Semperis Active Directory State Manager (ADSM) aiuta le organizzazioni a mantenere la conformità attraverso l'auditing in tempo reale e la creazione di report sulle potenziali lacune, tra cui:

  • Verifica delle modifiche di Active Directory - Le verifiche governative richiedono alle organizzazioni di sapere quali modifiche vengono apportate e chi le effettua.
  • Identificazione degli account abilitati inattivi - Gli account obsoleti e non utilizzati rappresentano un rischio per la sicurezza di Active Directory perché possono essere sfruttati e utilizzati come vettori di violazione.
  • Tracciamento degli account utente sensibili e privilegiati - Il tracciamento delle modifiche agli account utente sensibili e privilegiati consente di garantire che l'azienda si attenga alle politiche di sicurezza delle informazioni implementate nell'ambito delle normative sulla sicurezza delle informazioni.

La maggior parte di queste norme sulla sicurezza delle informazioni è stata creata in seguito alla crisi finanziaria e agli scandali aziendali che hanno avuto luogo all'inizio del secolo. Con l'aumento della frequenza e della portata degli attacchi informatici e alla luce delle gravi violazioni verificatesi nell'ultimo anno, le organizzazioni sono diventate più sensibili ai problemi di sicurezza informatica. Sono state introdotte nuove normative per garantire che le aziende adottino misure di sicurezza informatica per proteggere i dati sensibili dalle violazioni. Per essere all'avanguardia, è essenziale iniziare a controllare attivamente Active Directory e a proteggere e correggere le minacce.