Il governo federale degli Stati Uniti deve essere Zero Trust entro il 2024. Keeper può aiutarlo.

Il governo federale degli Stati Uniti deve essere Zero Trust entro il 2024. Keeper può aiutarlo.

L’Office of Management and Budget (OMB) e la Cybersecurity Infrastructure Security Agency (CISA) hanno affermato che il governo federale degli Stati Uniti “non può più dipendere da difese basate sul perimetro per mantenere i suoi sistemi critici e i dati al sicuro”. Per questo motivo hanno rilasciato un memorandum che delinea un obiettivo molto aggressivo: far adottare a tutte le agenzie federali un’architettura di sicurezza zero trust entro il 2024. Il memorandum cerca di fornire chiarezza e un percorso per le agenzie federali a sostegno dei recenti ordini esecutivi legati alla sicurezza da parte della Casa Bianca, tra cui l’EO del maggio 2021 che impone alle agenzie federali di utilizzare l’autenticazione a più fattori (2FA) e la crittografia end-to-end.

Il memorandum dell’OMB e della CISA richiede alle agenzie federali di soddisfare specifici obiettivi di sicurezza zero trust relativi a identità, dispositivi, reti, applicazioni e dati entro la fine dell’anno fiscale 2024. Questi obiettivi si allineano con i cinque pilastri del modello di maturità zero-trust della Cybersecurity and Infrastructure Security Agency (CISA):

  1. Identità: Le agenzie federali devono implementare una soluzione single sign-on (SSO), usare 2FA “resistenti al phishing”, e “adottare politiche di password sicure e controllare le password rispetto ai dati noti violati.”
  2. Dispositivi: Il governo federale deve mantenere “un inventario completo di ogni dispositivo che gestisce e autorizza per l’uso governativo” e gestire il rilevamento degli incidenti e la risposta per quei dispositivi.
  3. Reti: Le agenzie federali devono crittografare tutte le richieste DNS e il traffico HTTP, segmentare le loro reti e crittografare le e-mail in transito.
  4. Applicazioni: Le agenzie federali devono trattare tutte le applicazioni come se fossero collegate a Internet, condurre test di routine e “rigorosi”, e accettare segnalazioni di vulnerabilità esterne.
  5. Dati: le agenzie federali devono seguire un “percorso chiaro e condiviso per implementare protezioni che utilizzino una categorizzazione completa dei dati”, utilizzare soluzioni di sicurezza cloud per monitorare l’accesso ai dati sensibili e implementare “registrazione e condivisione delle informazioni a livello aziendale”.

Come Keeper può aiutare le agenzie governative a raggiungere il modello Zero Trust

Come unico fornitore di soluzioni per la gestione delle password disponibile sul marketplace FedRAMP, la piattaforma di gestione delle password e di cybersicurezza aziendale zero-trust and zero-knowledge Keeper è la soluzione perfetta per le agenzie governative federali per soddisfare tutti i requisiti di identità del memorandum OMB. Diamo un’occhiata:

Keeper la piattaforma Enteprise Password Management (EPM)

Keeper permette agli amministratori IT di implementare e applicare politiche di password forti in tutta la loro organizzazione. Utilizzando la console di amministrazione di Keeper, gli amministratori possono personalizzare la complessità delle password per soddisfare i requisiti del governo federale e possono automatizzare le politiche relative alle modalità di gestione delle password all’interno delle applicazioni, come SSO e 2FA.

I controlli di accesso dettagliati permettono agli amministratori di impostare le autorizzazioni dei dipendenti in base ai loro ruoli e responsabilità, impostare cartelle condivise in modo sicuro per i dipartimenti o i gruppi e consentire una condivisione sicura, granulare e controllata di credenziali e cassette di sicurezza tra dipendenti e team. Keeper supporta il controllo degli accessi basato sui ruoli (RBAC), l’auditing, il reporting degli eventi e gli standard di conformità tra cui GDPR e ISO 27001.

Keeper Secure File Storage (SFS)

A supporto dei requisiti dell’OMB per la condivisione delle informazioni a livello aziendale, Keeper SFS consente la condivisione efficiente e sicura dei file archiviati con altri utenti di Keeper. Proprio come le password memorizzate in Keeper, gli utenti possono impostare i permessi di condivisione per i file digitali (sola lettura, modifica, condivisione o modifica e condivisione).

Keeper utilizza PBKDF2 per ricavare le chiavi di autenticazione in base alla password principale dell’utente, quindi genera chiavi di crittografia AES-256 per crittografare ogni file archiviato. Il cloud di Keeper contiene solo il testo crittografato di ciascun file e la condivisione tra utenti viene eseguita utilizzando PKI per garantire che solo il destinatario di un file condiviso possa decrittarlo. I metodi di crittografia zero-knowledge di Keeper assicurano che solo l’utente possa accedere e decifrare i file archiviati.

Keeper SSO Connect

Sebbene alcuni identity providers SSO (IdP) forniscano strumenti di gestione delle password di base per i siti web che non utilizzano SAML, questi strumenti sono in genere di proprietà di ciascun IdP, potrebbero non essere compatibili con ogni ambiente di dati o stack tecnologico e potrebbero non utilizzare un’architettura di sicurezza zero-knowledge. Keeper SSO Connect colma queste lacune di sicurezza e funzionalità, consentendo alle agenzie governative di estendere facilmente e senza soluzione di continuità le proprie implementazioni SSO con Keeper.

Keeper SSO Connect è una soluzione SaaS SAML 2.0 completamente gestita che può essere distribuita su qualsiasi istanza o in qualsiasi ambiente Windows, Mac OS o Linux, nel cloud o on-premise. Si integra facilmente e perfettamente con tutte le piattaforme IdP SSO più diffuse, tra cui Microsoft 365, Azure, ADFS, Okta, Ping, JumpCloud, Centrify, OneLogin e F5 BIG-IP APM.

Keeper SSO Connect non richiede alcun servizio on-premises o cloud-hosted del cliente, né alcun software o attrezzatura aggiuntiva. L’installazione avviene in due semplici passi:

  1. Configurare SSO Connect nella console di amministrazione di Keeper.
  2. Abilitare e configurare l’applicazione Keeper all’interno dell’IdP.

Keeper BreachWatch™

A sostegno del requisito dell’OMB “controllare le password rispetto ai dati noti violati”, Keeper BreachWatch esegue la scansione dei forum del Dark Web e informa gli amministratori IT se le password dei dipendenti sono state compromesse in una violazione dei dati pubblici.

Keeper richiede solo pochi minuti per l’implementazione, una gestione minima e si adatta alle esigenze di reparti o agenzie di qualsiasi dimensione.

Fonte: Keeper Security

 

4me ha ottenuto la certificazione ISO 27001

4me ha ottenuto la certificazione ISO 27001

Per venire incontro alle esigenze dei clienti che richiedono ai propri fornitori di software di essere certificati ISO 27001, la soluzione 4me Software as a Service (SaaS) ha ora ottenuto le certificazioni ISO 27001:2013 e ISO 27018:2019.

 

All’inizio di quest’anno, 4me aveva annunciato anche la sua attestazione SOC 2 Type 2.

Queste certificazioni sottolineano gli sforzi di 4me per fornire ai suoi clienti sicurezza e privacy ad alto livello.  I clienti possono essere sicuri che l’Information Security Management System  (ISMS) di 4me è stato certificato per proteggere i loro dati, comprese le PII (Personally Identifiable Information), nel cloud.  4me manterrà queste certificazioni attraverso audit di sorveglianza annuali e un audit di ricertificazione dopo tre anni.

Potete trovare maggiori dettagli sulle misure di sicurezza di 4me al seguente link: https://www.4me.com/security/

Fonte: 4me

Gestione delle risorse IT per i CIO: 10 domande da porsi

Gestione delle risorse IT per i CIO: 10 domande da porsi

Nell’ambiente aziendale odierno, i CIO sono diventati partner essenziali per l’azienda: l’importanza della loro esperienza nel dirigere la strategia aziendale è più che mai apprezzata. Allo stesso tempo, molti CIO si stanno rendendo conto di non poter fornire un’adeguata governance IT senza comprendere appieno il patrimonio IT della propria organizzazione in un dato momento. Un esempio: nel 2017, il mercato del software ITAM è stato valutato oltre $ 750 milioni, con previsioni che stimano $ 2,19 miliardi entro il 2026 – quasi un aumento del 300%!

In effetti, in parte a causa degli effetti della pandemia, i CIO stanno  modificando le loro priorità di spesa, compresi investimenti significativi in ​​dati e analisi di business, sicurezza e gestione dei rischi, applicazioni aziendali basate su cloud e tecnologie per la customer experience.

Mentre guidate la vostra organizzazione attraverso i numerosi cambiamenti dovuti dall’adozione diffusa di Cloud Computing, del WFH e di altre attività verso la rivoluzione digitale, alcuni problemi, come la gestione dei costi e della sicurezza, potrebbero sembrare familiari. Ma altri, come il rapido aumento del lavoro a distanza causato dalla pandemia globale presentano nuovi ostacoli e opportunità.

Mentre si cercano nuovi modi per bilanciare i costi e la sicurezza IT con la necessità di mantenere l’agilità aziendale, sarà fondamentale sviluppare un’unica panoramica degli scenari IT dell’intera organizzazione. Per decenni, gli strumenti ITAM hanno promesso di fornire questo e ci hanno deluso con il loro impatto. È necessario un nuovo approccio e ITAM 2.0 è progettato per superare le barriere che hanno afflitto la prima generazione di questi strumenti.

Per aiutarvi a sviluppare la giusta soluzione ITAM per la vostra organizzazione, ecco 10 domande che vi consigliamo di porre al vostro team.

1. Siamo preparati per il remote working duraturo?

Data la continua incertezza della pandemia, è praticamente impossibile prevedere quando, come e in che misura i dipendenti torneranno a lavorare in presenza. Prevediamo che molte imprese porranno l’accento sulla flessibilità a lungo termine con modelli di lavoro ibridi.

Per quasi tutte le organizzazioni, un certo grado di lavoro remoto è destinato a rimanere, ponendo la sicurezza e la protezione dei dati sotto i riflettori e incaricando i manager e i tecnici IT di garantire che le reti aziendali siano sicure e che i dipendenti siano protetti quando non sono sulla rete aziendale.

Proteggere la vostra forza lavoro remota può essere una sfida, ma è possibile quando si hanno gli strumenti giusti. Per saperne di più, leggete il nostro post correlato sulla gestione del perimetro di sicurezza.

La governance IT nell’ambiente odierno richiede il mantenimento di un’unica fonte di verità che contenga i dati necessari per tutti gli scenari, compresa la sicurezza fuori e dentro il perimetro aziendale”.  Roel Decneut, CMO, Lansweeper

2. Come ottimizziamo i costi IT mantenendo l’agilità aziendale?

Uno degli effetti collaterali della pandemia è stata l’ulteriore pressione sui CIO per controllare i propri budget IT consentendo al tempo stesso il lavoro remoto su larga scala. Di fronte a tale pressione, è di fondamentale importanza evitare misure di riduzione dei costi a breve termine che potrebbero ridurre la capacità di competizione dell’organizzazione.

Spesso, il potenziale vantaggio dell’ottimizzazione dei costi a lungo termine giustifica ulteriori investimenti a breve termine nell’IT. I CIO devono trovare un equilibrio strategico tra contenere i costi e fornire all’azienda l’agilità sufficiente per innovare. Mantenere una panoramica del proprio patrimonio IT durante un rapido processo di trasformazione digitale è la chiave per ottimizzare i costi.

Scopri come Cerner Corporation sta ottimizzando i costi e offrendo maggiore valore ai clienti con Lansweeper.

3. Come abilitiamo la trasformazione digitale?

In futuro, le aziende saranno sempre più dipendenti dalle piattaforme cloud e dalle economie di scala che guidano il machine learning e altre innovazioni emergenti. L’ITAM è essenziale per il vostro viaggio di trasformazione digitale. Prima di poter passare al cloud, implementare soluzioni guidate dall’AI o digitalizzare efficacemente, è necessario avere un quadro accurato delle risorse disponibili, dei dati che si raccolgono e si conservano e della topologia del proprio panorama IT.

Naturalmente, il costo è una considerazione essenziale. Scopri come crediamo che bilanciare le riduzioni dei costi a breve termine con le ottimizzazioni dei costi a lungo termine sia essenziale per il viaggio della trasformazione digitale.

4. Possiamo gestire efficacemente i dispositivi personali dei dipendenti?

Che si tratti di uno smartphone portato sul posto di lavoro o di un laptop personale usato per accedere alla rete da remoto, la gestione dei dispositivi mobili (MDM) è una delle sfide più importanti che le organizzazioni devono affrontare oggi.

Il 67% dei dipendenti porta i propri dispositivi personali al lavoro.

Un MDM efficace aiuta a migliorare la sicurezza dei dati monitorando e proteggendo qualsiasi smartphone, laptop o tablet usato sulla rete. Questo è particolarmente cruciale dato l’aumento del BYOD (Bring Your Own Device) e, come notato sopra, l’aumento del lavoro remoto non farà che amplificare questa necessità. Ecco un approfondimento su cosa può significare l’MDM per la vostra azienda. E assicuratevi di controllare il nostro Rogue Device Scanning con Asset Radar, che rileva e registra istantaneamente i dispositivi che si collegano alla vostra rete, 24 ore su 24, 7 giorni su 7.

“La linea di demarcazione tra risorse personali e aziendali continuerà a diventare più confusa. Anche prima della crisi attuale, era difficile per le persone tenere separati i loro dispositivi personali dal lavoro. Ora diventerà quasi impossibile. L’unico modo in cui un’azienda potrà mantenere un ITAM coerente e accurato è assicurarsi di sapere esattamente quali beni possiede e dove si trovano esattamente questi beni in qualsiasi momento”.  Emad Hanna, Fondatore, CyberStockroom

 5. Possiamo finalmente abbandonare i fogli di calcolo? 

Secondo Ivanti, il 43% dei professionisti IT sta ancora monitorando le risorse IT con i fogli di calcolo.

È diventata un’abitudine familiare per molti, ma presenta anche delle sfide. Innanzitutto, è un compito che richiede molto tempo e che distoglie i vostri team da attività di maggior valore. Non solo richiede molto lavoro, ma a causa della complessità e del “fattore umano” coinvolto, vi espone a errori nell’inserimento dei dati e a report imprecisi.

La risposta è che potete sbarazzarvi dei fogli di calcolo quando adottate un approccio ITAM moderno per tracciare le risorse IT.

6. Che impatto avrà il 5G sulla mia organizzazione? 

Con il recente dispiegamento di Starlink, l’adozione diffusa dell’IoT e le installazioni 5G che diventano comuni, ci aspettiamo un paio di risultati naturali. In primo luogo, come già notato, il lavoro a distanza diventerà ancora più facile e onnipresente.

E in secondo luogo, la quantità di dati che verranno generati e condivisi aumenterà in modo esponenziale.

Entro il 2025, si stima che ci saranno più di 64 miliardi di dispositivi IoT in tutto il mondo.

In termini di ITAM, tre domande sorgono spontanee.  Come gestiamo e proteggiamo i dispositivi e i dati 5G, garantendo che i dispositivi funzionino correttamente? Come distinguiamo i dispositivi legittimi dall’IT non autorizzato? E come ci assicuriamo che i dati aziendali sensibili siano protetti?

7. La mia organizzazione è a rischio a causa di dispositivi non gestiti e obsoleti?

Il ritmo incalzante con cui la tecnologia si evolve significa che vengono aggiunte nuove soluzioni prima ancora che quelle vecchie vengano rimosse. In passato, tutti i dispositivi erano in sede e sarebbe stato relativamente semplice rimuoverli dalla rete. Ora, con il lavoro a distanza e la forza lavoro mobile, liberare le aziende dalla tecnologia obsoleta e vulnerabile diventa un po’ più complicato.

8. Come stiamo gestendo la governance IT? 

Le disposizioni stabilite dalle organizzazioni governative forniscono una guida ai CIO e ai CFO su come tracciare e gestire al meglio le risorse digitali all’interno delle loro organizzazioni. Dai CIS Controls™ alla IT Infrastructure Library, la mancata conformità ai quadri di governance IT può comportare non solo un aumento del rischio, ma anche multe salate.

Scopri come Herman Miller è stata in grado di soddisfare i primi due controlli CIS con Lansweeper

Al centro di tutti questi framework c’è un’attività essenziale: la creazione di un inventario completo e accurato delle risorse hardware e software. E questo è esattamente ciò che un ITAM efficace dovrebbe fornire. Guardate le riflessioni che abbiamo condiviso su questo argomento.

9. Come ha influito il passaggio al lavoro a distanza sulla sostenibilità delle nostre risorse? 

Poiché la pandemia ha spostato sempre più lavoratori dall’ufficio ad ambienti di lavoro in remoto, molti dispositivi legati alla scrivania, come i PC desktop, rimangono inutilizzati e diventano obsoleti, il che contribuisce ad aumentare i rifiuti elettronici.

Poiché questa preoccupazione ambientale diventa più pressante, ci aspettiamo che molte aziende si orientino verso pratiche di IT Asset Management sostenibili che promuovano il riutilizzo dei dispositivi e lo smaltimento ecologico.

10. Ho le risorse giuste per le sfide che sto affrontando?

Una cosa è identificare le sfide e le opportunità che l’ITAM presenta per la tua organizzazione, ma un’altra cosa è assemblare le risorse, sia le persone che la tecnologia, necessarie per gestire l’infrastruttura in modo efficace. Cosa dovreste gestire internamente? Cosa dovreste esternalizzare? E qual è il giusto mix di investimenti a breve e lungo termine per mantenere l’equilibrio ideale tra costi IT, sicurezza e agilità aziendale?

Queste sono le domande a cui ITAM 2.0 è stato progettato per rispondere.

Per stare al passo con la trasformazione digitale e fornire il livello di visibilità e informazioni necessarie per garantire la sicurezza, gestire i costi e supportare le iniziative aziendali, l’ITAM non può più essere soggetto ad ulteriori riflessioni. Nella visione di Lansweeper di ITAM 2.0, ITAM si evolve da una soluzione di nicchia ad un prodotto di base per un’organizzazione IT efficiente e ben gestita.

Fonte: Lansweeper

 

Estendere la capacità dell’ITSM per includere la gestione della sicurezza informatica

Estendere la capacità dell’ITSM per includere la gestione della sicurezza informatica

Con la crescente necessità per le imprese di essere conformi alla legislazione sulla protezione dei dati e agli standard di sicurezza, nasce la necessità di istituire un sistema per supportare e monitorare le procedure di protezione e sicurezza dei dati. Questo white paper esamina se è una buona idea utilizzare l’IT service management (ITSM) o l’enterprise service management (ESM) esistenti per questo scopo e identifica la funzionalità che un sistema ITSM dovrebbe possedere per avere successo in questo settore.

L’IT non è un’isola. Né lo è nemmeno la sicurezza informatica. Come vi dirà qualsiasi buon management framework, Governance, Risk and Compliancy (GRC) sono al centro di ciò che viene fatto nell’IT. Può sembrare semplice, ma è facile perdersi nella miriade di framework, best practice, linee guida, standard e buoni consigli disponibili. E quando avete finalmente identificato i framework di gestione a cui la vostra organizzazione vuole aderire, dovete decidere il sistema o i sistemi per gestire i framework. Oppure come spesso accade, le organizzazioni finiscono con l’avere un sistema di gestione separato per ciascuno di questi framework.

Non sarebbe meglio avere un unico sistema di gestione, un cosiddetto Integrated Management System (IMS) che combini tutti gli aspetti dei sistemi, processi e standard di un’organizzazione in un unico sistema intelligente? E perché non utilizzare il vostro IT service management o l’enterprise management system a tale scopo? Questo unico sistema misto consentirà alla vostra organizzazione di semplificare la gestione, risparmiare tempo e aumentare l’efficienza.

Per portare con successo i management frameworks su un sistema di gestione, una prima importante domanda a cui rispondere è se ci sono punti in comune a tutti questi framework.

E se davvero questi framework condividono alcuni principi comuni, significa che è una buona idea utilizzare un sistema comune per supportare e monitorare questi framework? E in secondo luogo, quali sono i requisiti per questo sistema di gestione integrato e il vostro attuale sistema ITSM è conforme a questi requisiti?

Questo white paper risponderà a entrambe le domande.

Download “4me Whitepaper Extending ITSM Capabilities to Include Information Security Management” 4me-Whitepaper-Extending-ITSM-Capabilities-to-Include-Information-Security-Management-US-EN.pdf – Scaricato 268 volte – 524 KB

Fonte: 4me