Agenzia di Controllo del Sistema Sociosanitario Lombardo

Approccio Zero Trust grazie a Microsoft 365 Business Premium

Agenzia di Controllo del Sistema Sociosanitario Lombardo (ACSS)

L’Agenzia di Controllo del Sistema Sociosanitario Lombardo (ACSS) è un organismo tecnico scientifico, terzo e indipendente.

Ad ACSS sono affidate funzioni di controllo di livello centrale (che richiedono autonomia d’azione e un’ampia visione d’insieme sull’intero sistema dei controlli) e ha la funzione di raccordo e di coordinamento delle Agenzie di Tutela della Salute (ATS).

Introduzione

Fino a non molti anni fa l’approccio alla sicurezza ha avuto come presupposto che i propri utenti fossero interni al perimetro aziendale e che gli “avversari” fossero, invece, esterni al contesto IT.

Anche a fronte della pandemia legata al Covid 19, il paradigma del lavoro è mutato e questo ha aggiunto complessità nella gestione della sicurezza informatica. Le organizzazioni, al fine di garantire l’erogazione “sicura” dei propri servizi, devono, quindi, affrontare con le giuste contromisure questo “nuovo” contesto di rischio, allo scopo di rilevare e limitare proattivamente le “azioni malevoli”.

Zero Trust, basandosi sull’assioma NON fidarsi mai, verificare sempre, è l’approccio che presuppone l’assenza di un perimetro di rete affidabile e attendibile e per questo motivo ogni singola richiesta di accesso alle infrastrutture aziendali deve essere SEMPRE rigorosamente controllata.

Questo paradigma viene tradotto nei suoi tre seguenti “principi guida”:

  • Verifica esplicita
    • Eseguire sempre l’autenticazione e l’autorizzazione in base a tutti i «punti dati» disponibili (identità e posizione dell’utente, classificazione dei dati,…)
  • Accesso con privilegi minimi
    • Limitare l’accesso di un utente con Just-In-Time (JIT) e Just-Enough-Access (JEA)
    • Politiche adattive basate sui rischi e protezione dei dati
  • Presunzione di violazione
    • Ridurre al minimo il raggio d’azione e impedire il «movimento laterale»
    • Verificare la crittografia «end-to-end»
    • Utilizzare l’analisi per ottenere la visibilità necessaria, al fine di migliorare il livello difensivo

L’esigenza

ACSS, con l’obiettivo di efficientare il proprio contesto IT, ha espresso la necessità di migliorare e innalzare il proprio livello di sicurezza aziendale, basandosi sul paradigma Zero Trust, attraverso l’implementazione di opportune soluzioni Microsoft.

La soluzione

Microsoft 365 Business Premium è stata individuata come la soluzione che meglio veniva incontro alle esigenze, in quanto mette a disposizione tutti gli strumenti di produttività necessari agli utenti, oltre ad una serie di soluzioni per la gestione dell’ecosistema aziendale, dal punto di vista della sicurezza e degli adempimenti normativi.

L’iniziale assesment ha permesso di analizzare nel dettaglio il contesto IT di ACSS ed è stato propedeutico alle definizione del piano di progetto, basato sul deployment delle seguenti soluzioni:

L’attività è stata contraddistinta da una componente di trasferimento di conoscenze (Knowledge Transfer), che ha previsto anche il supporto per l’implementazione e la configurazione di Microsoft OneDrive for Business e di Microsoft SharePoint online, per la memorizzazione e condivisione in sicurezza dei dati aziendali.

I Benefici

Produttività degli utenti

  • Microsoft OneDrive for Business e Microsoft SharePoint online hanno permesso la definizione di un accesso gestito e controllato ai dati personali e aziendali, anche quando l’utente non si trova all’interno della rete aziendale
  • In Microsoft SharePoint online è stata definita una strutturazione documentale, al fine di organizzare non solo le differenti tipologie di informazioni ma anche di gestirne in modo granulare le autorizzazioni e l’accesso: questo anche nell’ottica di dismettere l’attuale File System basato su sistemi On-Premises
  • L’attivazione del sistema di Versioning su dati ha fornito agli utenti la possibilità di accedere a versioni precedenti dei documenti attualmente lavorati
  • Aumento della capacità di archiviazione dei dati da parte dell’utente, alla luce della possibilità di definire in Microsoft OneDrive for Business quali dati debbano essere mantenuti solo in “Cloud” e quali anche localmente

Compliance

  • Microsoft 365 garantisce misure di sicurezza fisiche, amministrative e tecniche che consentono ai clienti di rispettare gli standard di conformità per la privacy in diversi settori, oltre a soddisfare i requisiti specificati in standard e normative, come ad esempio GDPR, ISO 27001, HIPAA (Health Insurance Portability and Accountability Act) e ISMA (Federal Information Security Management Act)

Sicurezza

  • Microsoft Defender for Office 365 ha aumentato il livello di sicurezza della posta elettronica, fornendo una protezione zero-day affidabile e includendo funzionalità di salvaguardia dell’organizzazione da URL e allegati malevoli, oltre che da tentativi di Phishing e di Impersonation
  • La Multi-Factor Authentication (MFA) ha definito un ulteriore livello di protezione contro il furto d’identità e lo spoofing dell’account
  • Il Conditional Access, implementato nel contesto di ACSS in combinazione con MFA, consente un controllo capillare su come, quando e da dove gli utenti sono in grado di accedere ai servizi Microsoft 365
  • AD Password Protection ha diminuito la possibilità che gli utenti utilizzino password «vulnerabili», oltre ad innalzare la protezione contro attacchi “password spray”
  • Il servizio di Self Service Password Reset (SSPR), concedendo agli utenti autonomia nella gestione della password, permette di:
    • Migliorare la loro produttività, a fronte della riduzione del tempo necessario per eseguire l’operazione
    • Minimizzare il numero di chiamate di supporto: la gestione del cambio della password o dello “sblocco” di un account, dovuto ad esempio alla perdita o a un errato inserimento della password stessa, implica per il supporto IT aziendale una serie di attività e una gestione del rapporto con l’utenza finale che genera spesso un grande effort dal punto di vista quantitativo e qualitativo
    • Incrementare la sicurezza: Informazioni sensibili (come appunto la password) non sono rese note a persone terze

“Le attività che abbiamo condotto con Indacon – spiega il Dottor Alberto Panese, direttore della Struttura Complessa “Analisi e Sviluppo Sistemi di Controllo” di ACSS  – hanno avuto sostanzialmente due obiettivi: migliorare la produttività dei nostri colleghi grazie alle funzionalità e ai benefici messi a disposizione da Microsoft OneDrive for Business e da Microsoft SharePoint Online, e di migliorare la gestione dei dati dell’agenzia incrementandone il livello di sicurezza di accesso alle informazioni, gestendo in maniera granulare anche la fruibilità e l’accessibilità alle informazioni e ai sistemi.

Abbiamo particolarmente apprezzato l’attività di “Knowledge Transfer” che ha caratterizzato l’intera progettualità implementativa. Le nuove funzionalità ci hanno consentito di incrementare la nostra conoscenza di Microsoft 365 e sfruttare appieno tutte le caratteristiche del progetto – conclude il Dottor Panese – senza alcun tipo di interruzione della normale e ordinaria erogazione della nostre attività quotidiane”.