Come OneDrive protegge i tuoi dati
Gli ingegneri Microsoft amministrano OneDrive utilizzando una console Windows PowerShell che richiede l’autenticazione a due fattori. Eseguiamo le attività quotidiane eseguendo flussi di lavoro in modo da poter rispondere rapidamente alle nuove situazioni. Nessun ingegnere ha accesso permanente al servizio. Quando gli ingegneri hanno bisogno dell’accesso, devono richiederlo. L’idoneità viene controllata e se l’accesso dell’ingegnere è approvato, è solo per un tempo limitato.
Inoltre, OneDrive e Office 365, investono fortemente in sistemi, processi e personale per ridurre la probabilità di violazione dei dati personali e per rilevare rapidamente e mitigare le conseguenze della violazione se si verifica. Alcuni dei nostri investimenti in questo spazio includono:
Sistemi di controllo dell’accesso: OneDrive e Office 365 mantengono una politica di “accesso zero-standing”, il che significa che i tecnici non hanno accesso al servizio a meno che non sia esplicitamente concesso in risposta a un incidente specifico che richiede l’elevazione dell’accesso. Ogni volta che viene concesso l’accesso, viene fatto secondo il principio del minimo privilegio: l’autorizzazione concessa per una richiesta specifica consente solo un insieme minimo di azioni necessarie per servire quella richiesta. Per fare questo, OneDrive e Office 365 mantengono una rigida separazione tra i “ruoli di elevazione”, con ciascun ruolo che consente solo determinate azioni predefinite. Il ruolo “Accesso ai dati del cliente” è distinto dagli altri ruoli che sono più comunemente usati per amministrare il servizio e viene esaminato più attentamente prima dell’approvazione. Presi insieme, questi investimenti nel controllo degli accessi riducono notevolmente la probabilità che un tecnico di OneDrive o Office 365 acceda in modo inappropriato ai dati dei clienti.
Sistemi di monitoraggio della sicurezza e automazione: OneDrive e Office 365 mantengono sistemi di monitoraggio della sicurezza robusti e in tempo reale. Tra le altre cose, questi sistemi emettono avvisi per i tentativi di accesso illecito ai dati dei clienti, o per i tentativi di trasferimento illecito dei dati fuori dal nostro servizio. In relazione ai punti sul controllo dell’accesso menzionati sopra, i nostri sistemi di monitoraggio della sicurezza mantengono registrazioni dettagliate delle richieste di elevazione che vengono fatte e le azioni intraprese per una data richiesta di elevazione. OneDrive e Office 365 mantengono anche investimenti per la risoluzione automatica che agiscono automaticamente per mitigare le minacce in risposta ai problemi che rileviamo, e team dedicati per rispondere agli avvisi che non possono essere risolti automaticamente. Per convalidare i nostri sistemi di monitoraggio della sicurezza, OneDrive e Office 365 conducono regolarmente esercizi di red-team in cui un team interno di test di penetrazione simula il comportamento degli aggressori contro l’ambiente reale. Queste esercitazioni portano a regolari miglioramenti delle nostre capacità di monitoraggio della sicurezza e di risposta.
Personale e processi: Oltre all’automazione descritta sopra, OneDrive e Office 365 mantengono processi e team responsabili sia di educare l’organizzazione più ampia sui processi di gestione della privacy e degli incidenti, sia di eseguire tali processi durante una violazione. Per esempio, una dettagliata procedura operativa standard (SOP) per la violazione della privacy viene mantenuta e condivisa con i team di tutta l’organizzazione. Questa SOP descrive in dettaglio i ruoli e le responsabilità sia dei singoli team all’interno di OneDrive e Office 365 che dei team centralizzati di risposta agli incidenti di sicurezza. Queste comprendono sia ciò che i team devono fare per migliorare la propria posizione di sicurezza (condurre revisioni di sicurezza, integrarsi con i sistemi di monitoraggio della sicurezza centrale e altre best practice), sia ciò che i team dovrebbero fare in caso di una violazione effettiva (rapida escalation alla risposta agli incidenti, mantenere e fornire fonti di dati specifiche che saranno utilizzate per accelerare il processo di risposta). I team sono anche regolarmente formati sulla classificazione dei dati e sulle corrette procedure di gestione e archiviazione dei dati personali.
Il risultato principale è che OneDrive e Office 365, sia per i piani consumer che per quelli business, investono fortemente nella riduzione della probabilità e delle conseguenze di una violazione dei dati personali che colpisca i nostri clienti. Se si verifica una violazione dei dati personali, ci impegniamo a notificare rapidamente i nostri clienti una volta che la violazione è confermata.