Office 365 ManageEngine

Compliance in Office 365

La tecnologia Cloud è una delle più popolari nel mondo dell’IT moderno. Con un numero sempre crescente di aziende che lavorano in modalità SaaS (software as a service) siamo arrivati al punto in cui un’intera attività può essere gestita in cloud. Grande risparmio, aggiornamenti software automatici, tempi di inattività ridotti e molti altri vantaggi offerti dal cloud, dovrebbero rendere la scelta di questa tecnologia quasi nature per tutti i decision makers dell’ambito IT. Molte aziende però sono ancora titubanti sulla scelta e come motivazioni principali per non fare il passaggio citano sicurezza e compliance.

Cloud compliance, un ossimoro?

A differenza di un’installazione on-premise, le informazioni contenute nel cloud sono gestite da fornitori di servizi cloud e le aziende non sanno con esattezza come vengono trattati i loro dati. Con le varie minacce legate alla non conformità, chi si avvicina alla scelta di servizi cloud ha di sicuro qualche domanda da fare:

  • Dove vengono memorizzati i nostri dati?
  • Chi avrà accesso ai nostri dati?
  • Qual è il piano di ripristino in caso di emergenza?
  • Con quali regolamentazioni siete compliant?

Purtroppo, le risposte a queste e altre domande, arrivano da coloro che sviluppano applicazioni per il cloud e che spesso non danno la giusta importanza al lato sicurezza e compliance.

Office 365, the Outlier

Office 365 è certamente un “outlier” tra tutte le altre applicazioni cloud quando si tratta di conformità. Questa suite di “prodotti online” di Microsoft è una soluzione one-stop per l’accesso a varie applicazioni, tra cui Exchange Online, SharePoint Online, OneDrive, Skype e le versioni hosted di strumenti Microsoft Office. Questi servizi riguardano una moltitudine di informazioni, e l’onere di assicurare questi dati rientra su Office 365. Qualunque problema di accesso a questi servizi ci porta direttamente nell’area di una non conformità. La buona notizia è che dal lato compliance, Office 365 è anni luce avanti ai suoi competitors ed ha piena conformità con PCI-DSS, HIPAA, GLBA e altro ancora. Vanta anche un centro dedicato alla sicurezza e alla conformità che ti aiuta a elaborare una propria strategia per soddisfare le diverse regole e regolamenti esterni e interni che l’organizzazione deve rispettare. Quanto detto può bastare a porre fine ai tuoi dubbi legati alle conformità? La risposta a questa domanda sarebbe un sonoro “NO”.

Ecco alcune aree in cui Office 365, in relazione alla compliance, non è ancora perfettamente aggiornato:

Compliance—a work in progress: funzionalità di sicurezza e compliance in Office 365 sono ancora “work in progress”. Il suo approccio attuale alla conformità potrebbe aiutare solo quelle aziende con pochi requisiti di conformità generici. Ma Office 365 non fornisce molte opzioni per le aziende che rientrano nell’ambito di  organismi di regolamentazione IT esterni rigorosi e devono controllare molti eventi specifici e memorizzare i registri per determinati periodi di tempo, per motivi di sicurezza o di conformità.

Audit trails, una barriera di 90 giorni: per migliorare le prestazioni, tutte le attività user/administrator e le tracce dell’audit sulle caselle di posta, vengono eliminate da Office 365 dopo 90 giorni. Molte aziende però, per mantenere la compliance, devono tenere i dati memorizzati per “anni” soprattutto per facilitare (se ce ne fosse bisogno) eventuali analisi forensi.

Report limitati, un grande ostacolo: durante le verifiche, le aziende sono tenute a produrre report di conformità adeguati per convalidare la sicurezza delle informazioni riservate in tutte le applicazioni. Ma i report nativi in Office 365 sono molto limitati e non forniscono il livello di visibilità necessario per garantire la conformità. Ad esempio, Office 365 non segnalerà le modifiche apportate dagli amministratori di Exchange, delegati e non alle proprietà delle caselle di posta. Inoltre, i repports di Office 365 non possono essere filtrati. Un amministratore può visualizzare tutti gli accessi a una casella di posta, ma non i dettagli relativi agli accessi effettuati da un singolo utente da indirizzi IP diversi.

Ed ecco dove ManageEngine O365 Manager Plus – una soluzione completa di reporting, audit e gestione di Office 365 – entra in scena. Con oltre 200 reports e un pacchetto di reporting concepito appositamente per soddisfare i requisiti di PCI-DSS, HIPAA, ISO 27000, GLBA e SOX, O365 Manager Plus spazza via lo scetticismo che ruota intorno al problema delle conformità. Permette agli amministratori di creare report personalizzati in base a esigenze specifiche: potranno pianificarli ed esportarli nei formati a loro più comodi inviandoli direttamente dalla propria casella di posta. O365 Manager Plus inoltre, monitora ogni attività utente e di amministrazione su tutte le applicazioni supportate segnalando eventi insoliti. Permette di superare il limite estremamente critico dei 90 giorni per i log. Esatto, avete capito bene! Potrete ora conservare i dati legati agli audit tutto il tempo che vorrete! E al contrario di altri player del mercato è una soluzione on-premises quindi qualsiasi preoccupazione sulla sicurezza dei dati non esiste più!

Se ti interessa avere maggiori informazioni puoi contattare gli specialisti Bludis allo 0643230077 o mandare una e-mail a sales@bludis.it

Written by:

Bludis è il distributore unico in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

MODIFICA CONSENSI