Elenco di controllo RaMP - Protezione dei dati
Questo elenco di controllo RaMP (Rapid Modernization Plan) consente di proteggere i dati locali e cloud sia dall'accesso accidentale che da accessi dannosi.
L'accesso accidentale si verifica quando un utente ottiene accesso a dati che, in base ai suoi ruoli e responsabilità, non dovrebbe ottenere. Ne possono conseguire una perdita di dati non intenzionale, la distruzione dei dati o violazioni delle normative sulla sicurezza e sulla privacy dei dati.
L'accesso dannoso si verifica quando un utente malintenzionato, esterno o interno, cerca intenzionalmente di accedere ai dati. Gli utenti malintenzionati interni possono usare i dati per trarne profitto o danneggiare l'organizzazione. Gli utenti malintenzionati esterni possono eliminare, modificare, sottrarre e crittografare i dati più sensibili, con il rischio di un attacco ransomware.
Per entrambi i tipi di attacchi, è necessario adottare le misure necessarie per identificare i dati, proteggerli, prevenirne la distruzione o la sottrazione e assicurarsi che solo gli utenti con uno scopo aziendale abbiano accesso a essi.
La protezione dei dati fa parte del principio Zero Trust di "presunzione di violazione". Anche applicando tutte le protezioni per gli account utente e i dispositivi, è necessario presupporre che un utente malintenzionato possa riuscire ad accedere all'ambiente e attraversarlo, alla ricerca dei dati più preziosi per l'organizzazione.
Pertanto, è necessario:
Conoscere i dati
Comprendere il panorama dei dati e identificare informazioni importanti nell'ambiente cloud e locale.
Proteggere i dati
Proteggere i dati sensibili durante tutto il ciclo di vita applicando etichette di riservatezza collegate a azioni di protezione come crittografia, restrizioni di accesso, contrassegni visivi e altro ancora.
Evitare la perdita di dati
Applicare un set coerente di criteri di prevenzione della perdita dei dati nel cloud, negli ambienti locali e negli endpoint per monitorare, prevenire e correggere le attività rischiose con dati sensibili.
Uso dell'accesso con privilegi minimi
Applicare autorizzazioni minime costituite da chi è autorizzato ad accedere e a cosa sono autorizzati a usare i dati per soddisfare i requisiti aziendali e di produttività.
Responsabilità dei membri del programma e del progetto
Questa tabella descrive la protezione complessiva dei dati dell'organizzazione in termini di gerarchia di gestione di sponsorizzazione/programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Proprietario | Responsabilità |
|---|---|---|
| CISO, CIO o Director of Data Security | Sponsorizzazione dei dirigenti | |
| Responsabile del programma dalla sicurezza dei dati | Guidare i risultati e la collaborazione tra team | |
| Security Architect | Consigliare su configurazione e standard | |
| Amministrazione Microsoft 365 | Implementare le modifiche al tenant di Microsoft 365 per OneDrive e le cartelle protette | |
| Data Security Engineer e/o Ingegnere della sicurezza dell'infrastruttura | Abilitare il backup dell'infrastruttura | |
| Proprietari dell'applicazione | Identificare gli asset aziendali cruiciali | |
| Amministrazione di sicurezza dei dati | Implementare le modifiche di configurazione | |
| Amministratore IT | Aggiornare gli standard e i documenti dei criteri | |
| Governance della sicurezza e/o Amministrazione IT | Monitorare per garantire la conformità | |
| Team di formazione utenti | Assicurarsi che le linee guida per gli utenti riflettano gli aggiornamenti dei criteri |
Obiettivi di distribuzione
Soddisfare questi obiettivi di distribuzione per proteggere i dati per Zero Trust.
| Fatto | Obiettivo di distribuzione | Proprietario |
|---|---|---|
| 1. Conoscere i dati | Progettista della sicurezza dei dati | |
| 2. Proteggere i dati | Data Security Engineer | |
| 3. Evitare la perdita di dati | Data Security Engineer | |
| 4. Usare l'accesso con privilegi minimi | Data Security Engineer |
1. Conoscere i dati
Eseguire questi passaggi di implementazione per soddisfare l'obiettivo di distribuzione Dei dati .
| Fatto | Passaggio di implementazione | Proprietario | Documentazione |
|---|---|---|---|
| 1. Determinare i livelli di classificazione dei dati. | Progettista della sicurezza dei dati | Informazioni su | |
| 2. Determinare i tipi di informazioni sensibili predefiniti e personalizzati. | Progettista della sicurezza dei dati | Informazioni su | |
| 3. Determinare l'uso di classificatori già sottoposti a training e personalizzati sottoponibili a training. | Progettista della sicurezza dei dati | Informazioni su | |
| 4. Individuare e classificare i dati sensibili. | Progettista della sicurezza dei dati e/o tecnico della sicurezza dei dati | Informazioni su |
2. Proteggere i dati
Eseguire questi passaggi di implementazione per soddisfare l'obiettivo proteggere la distribuzione dei dati .
| Fatto | Passaggio di implementazione | Proprietario | Documentazione |
|---|---|---|---|
| 1. Determinare l'uso e la progettazione delle etichette di riservatezza. | Security Architect | Operazioni preliminari | |
| 2. Etichettare e proteggere gli elementi per app e servizi di Microsoft 365. | Data Security Engineer | Gestire le etichette di riservatezza | |
| 3. Abilitare e configurare Microsoft Defender per il cloud App. | Data Security Engineer | Operazioni preliminari | |
| 4. Individuare, etichettare e proteggere gli elementi sensibili che risiedono negli archivi dati nel cloud. | Data Security Engineer | Procedure consigliate | |
| 5. Individuare, etichettare e proteggere gli elementi sensibili che risiedono negli archivi dati locali. | Data Security Engineer | Scanner di protezione delle informazioni | |
| 6. Estendere le etichette di riservatezza ad Azure usando Microsoft Purview Data Map | Data Security Engineer | Etichettatura nella mappa dei dati di Microsoft Purview |
3. Evitare la perdita di dati
Eseguire questi passaggi di implementazione per soddisfare l'obiettivo Di prevenzione della perdita di dati.
| Fatto | Passaggio di implementazione | Proprietario | Documentazione |
|---|---|---|---|
| 1. Progettare e creare criteri di prevenzione della perdita dei dati (DLP). | Security Architect | Informazioni su | |
| 2. Abilitare e configurare la prevenzione della perdita dei dati degli endpoint. | Data Security Engineer | Informazioni su | |
| 3. Configurare i criteri di accesso per Microsoft Defender per il cloud Controllo app per l'accesso condizionale. | Data Security Engineer | Sintesi |
4. Usare l'accesso con privilegi minimi
Eseguire questi passaggi di implementazione per assicurarsi che gli utenti e gli amministratori soddisfino l'obiettivo Di usare l'accesso con privilegi minimi.
| Fatto | Passaggio di implementazione | Proprietario |
|---|---|---|
| 1. Dall'obiettivo di distribuzione Conoscere i dati esaminare le autorizzazioni per le posizioni delle informazioni sensibili e critiche. | Data Security Engineer | |
| 2. Implementare autorizzazioni minime per le informazioni sensibili e critiche, rispettando i requisiti aziendali e di collaborazione e informando gli utenti interessati. | Data Security Engineer | |
| 3. Eseguire la gestione delle modifiche per i dipendenti in modo che le posizioni future per le informazioni sensibili e critiche vengano create e mantenute con autorizzazioni minime. | Team di formazione utenti | |
| 4. Controllare e monitorare le posizioni per informazioni sensibili e critiche per garantire che non vengano concesse autorizzazioni estese. | Data Security Engineer e/o Security Governance Amministrazione |
Risultati
Dopo aver completato questi obiettivi di distribuzione, si sarà compilata la sezione Dati dell'architettura Zero Trust.
