Panoramica della gestione degli incidenti di sicurezza
Cos'è un incidente della sicurezza?
Microsoft definisce un incidente della sicurezza all'interno dei suoi servizi online come una violazione confermata della sicurezza che causa la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali o ai dati personali dei clienti durante l'elaborazione da parte di Microsoft. Ad esempio, l'accesso non autorizzato all'infrastruttura Servizi online Microsoft e l'esfiltrazione dei dati dei clienti costituiscono un evento imprevisto per la sicurezza, mentre gli eventi di conformità che non influiscono sulla riservatezza, l'integrità o la disponibilità dei servizi o dei dati dei clienti non vengono considerati eventi imprevisti di sicurezza.
In che modo Microsoft risponde agli eventi imprevisti di sicurezza?
Ogni volta che si verifica un evento imprevisto di sicurezza, Microsoft si impegna a rispondere in modo rapido ed efficace per proteggere i servizi Microsoft e i dati dei clienti. Microsoft usa una strategia di risposta agli eventi imprevisti progettata per analizzare, contenere e rimuovere le minacce alla sicurezza in modo rapido ed efficiente.
I servizi cloud Microsoft vengono monitorati continuamente per individuare i segni di compromissione. Oltre al monitoraggio e agli avvisi di sicurezza automatizzati, tutti i dipendenti ricevono una formazione annuale per riconoscere e segnalare i segni di potenziali incidenti di sicurezza. Tutte le attività sospette rilevate da dipendenti, clienti o strumenti di monitoraggio della sicurezza vengono inoltrate ai team di risposta alla sicurezza specifici del servizio per l'analisi. Tutti i team operativi del servizio, inclusi i team di risposta alla sicurezza specifici del servizio, mantengono una rotazione approfondita delle chiamate per garantire che le risorse siano disponibili per la risposta agli eventi imprevisti 24x7x365. Le rotazioni su chiamata consentono a Microsoft di montare una risposta efficace agli eventi imprevisti in qualsiasi momento o scala, inclusi eventi diffusi o simultanei.
Quando vengono rilevate ed escalation attività sospette, i team di risposta alla sicurezza specifici del servizio avviano un processo di analisi, contenimento, eradicazione e ripristino. Questi team coordinano l'analisi del potenziale evento imprevisto per determinarne l'ambito, inclusi eventuali effetti sui clienti o sui dati dei clienti. In base a questa analisi, i team di risposta alla sicurezza specifici del servizio collaborano con i team dei servizi interessati per sviluppare un piano per contenere la minaccia e ridurre al minimo l'impatto dell'evento imprevisto, eliminare la minaccia dall'ambiente e ripristinare completamente uno stato sicuro noto. I team di servizio pertinenti implementano il piano con il supporto dei team di risposta alla sicurezza specifici del servizio per garantire che la minaccia venga eliminata correttamente e che i servizi interessati vengano sottoposti a un ripristino completo.
Dopo la risoluzione di un evento imprevisto, i team del servizio implementano tutte le lezioni apprese dall'evento imprevisto per prevenire, rilevare e rispondere meglio a eventi imprevisti simili in futuro. Selezionare gli eventi imprevisti di sicurezza, in particolare gli eventi imprevisti che influiscono sui clienti o che comportano una violazione dei dati, vengono sottoposti a un evento imprevisto completo post-mortem. La valutazione finale è progettata per identificare errori tecnici, errori procedurali, errori manuali e altri difetti di processo che potrebbero aver contribuito all'incidente o che sono stati identificati durante il processo di risposta all'incidente. I miglioramenti identificati durante il post-mortem vengono implementati con il coordinamento dei team di risposta alla sicurezza specifici del servizio per prevenire eventi imprevisti futuri e migliorare le funzionalità di rilevamento e risposta.
Come e quando i clienti vengono informati degli eventi imprevisti relativi alla sicurezza o alla privacy?
Ogni volta che Microsoft viene a conoscenza di una violazione della sicurezza che implica perdita, divulgazione o modifica non autorizzate dei dati dei clienti, Microsoft notifica ai clienti interessati entro 72 ore come descritto nell'addendum per la protezione dei dati (DPA). L'impegno relativo alla sequenza temporale delle notifiche inizia quando si verifica la dichiarazione ufficiale dell'incidente di sicurezza. Quando si dichiara un incidente di sicurezza, il processo di notifica viene eseguito il più rapidamente possibile, senza indebiti ritardi.
Le notifiche includono una descrizione della natura della violazione, dell'impatto approssimativo dell'utente e dei passaggi di mitigazione (se applicabile). Se l'indagine di Microsoft non è stata completata al momento della notifica iniziale, la notifica indicherà anche i passaggi successivi e le sequenze temporali per la comunicazione successiva.
Se un cliente viene a conoscenza di un evento imprevisto che potrebbe avere un impatto su Microsoft, inclusa, a titolo esemplificativa, una violazione dei dati, il cliente è responsabile di notificare tempestivamente a Microsoft l'evento imprevisto come definito nel DPA.
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alla gestione degli eventi imprevisti, vedere la tabella seguente.
Azure e Dynamics 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
|
ISO 27001 Dichiarazione di applicabilità Certificato |
A.16.1: Gestione degli eventi imprevisti e dei miglioramenti della sicurezza delle informazioni | 8 aprile 2024 |
|
ISO 27017 Dichiarazione di applicabilità Certificato |
A.16.1: Gestione degli eventi imprevisti e dei miglioramenti della sicurezza delle informazioni | 8 aprile 2024 |
|
ISO 27018 Dichiarazione di applicabilità Certificato |
A.9.1: Notifica di una violazione dei dati che coinvolge informazioni personali | 8 aprile 2024 |
| SOC 1 | IM-1: Framework di gestione degli eventi imprevisti IM-2: Meccanismi di rilevamento e avvisi IM-3: Esecuzione della risposta agli eventi imprevisti IM-4: Postmortem degli eventi imprevisti IM-6: Test di risposta agli eventi imprevisti OA-7: Accesso tecnico on-call |
16 agosto 2024 |
|
SOC 2 SOC 3 |
CCM-9: Procedure forensi CUEC: Segnalazione di eventi imprevisti IM-1: Framework di gestione degli eventi imprevisti IM-2: Meccanismi di rilevamento e avvisi IM-3: Esecuzione della risposta agli eventi imprevisti IM-4: Postmortem degli eventi imprevisti IM-6: Test di risposta agli eventi imprevisti OA-7: Accesso tecnico on-call SOC2-6: sito Web del supporto tecnico SOC2-9: dashboard del servizio |
20 maggio 2024 |
Microsoft 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| FedRAMP | IR-4: Gestione degli eventi imprevisti IR-6: Segnalazione di eventi imprevisti IR-8: Piano di risposta agli eventi imprevisti |
21 agosto 2024 |
|
ISO 27001/27017 Dichiarazione di applicabilità Certificazione (27001) Certificazione (27017) |
A.16.1: Gestione degli eventi imprevisti e dei miglioramenti della sicurezza delle informazioni | Marzo 2024 |
|
ISO 27018 Dichiarazione di applicabilità Certificato |
A.10.1: Notifica di una violazione dei dati che coinvolge informazioni personali | Marzo 2024 |
| SOC 1 | CA-26: Segnalazione degli eventi imprevisti di sicurezza CA-47: Risposta agli eventi imprevisti |
1 agosto 2024 |
| SOC 2 | CA-12: Contratti di servizio CA-13: Guide alla risposta agli eventi imprevisti CA-15: notifiche Integrità dei servizi CA-26: Segnalazione degli eventi imprevisti di sicurezza CA-29: Tecnici di chiamata CA-47: Risposta agli eventi imprevisti |
23 gennaio 2024 |
| SOC 3 | CUEC-08: Segnalazione di eventi imprevisti | 23 gennaio 2024 |