Sarce spa

Kaspersky rafforza la trasparenza e la sicurezza dei dati

Nell’ambito dell’impegno di Kaspersky a fornire a clienti e partner garanzie di sicurezza sui propri prodotti e sulle proprie pratiche, l’azienda ha aperto altri tre Transparency Center: Giappone, Singapore e Stati Uniti. Le nuove strutture ampliano le opportunità per clienti e partner di conoscere meglio le pratiche di progettazione e di elaborazione dei dati di Kaspersky e di esaminare il codice sorgente dell’azienda e altre aree aziendali.

La tecnologia è ormai presente in quasi tutti gli aspetti della nostra vita e la quantità di dati che quotidianamente affidiamo ai dispositivi tecnologici cresce ogni anno in modo esponenziale. Questo trend ha trasformato l’elaborazione dei dati in un fattore critico per molte società digitalizzate. Con l’aumento costante della produzione di informazioni in tutto il mondo, anche i loro volumi di elaborazione crescono in modo vertiginoso. L’impegno a garantire che clienti e partner siano informati sul funzionamento dei prodotti dell’azienda e sulle pratiche di ingegneria e gestione dei dati, ha portato Kaspersky a lanciare la Global Transparency Initative (GTI), con l’obiettivo di fornire agli stakeholder dell’azienda tutte le informazioni necessarie per potersi fidare di Kaspersky.

Una delle pietre miliari della GTI è stata l’apertura di una rete globale di Transparency Center, strutture sicure dove clienti e partner possono esaminare il codice dell’azienda, gli aggiornamenti del software, le regole di rilevamento delle minacce e altre attività. Fino ad oggi nessun altro fornitore di cybersicurezza ha realizzato un’iniziativa di così ampia portata. Aprendo i Transparency Center, infatti, Kaspersky compie un passo significativo verso la completa trasparenza delle sue tecnologie di protezione, delle sue infrastrutture e delle sue pratiche di elaborazione dei dati. Dopo il lancio del primo centro nel 2018 a Zurigo (Svizzera), Kaspersky ne ha avviati altri e ora gestisce centri di revisione del codice a Madrid (Spagna), Kuala Lampur (Malesia) e San Paolo (Brasile).

I nuovi Transparency Center accoglieranno i partner aziendali e i clienti dell’azienda, compresi gli enti statali e le autorità di regolamentazione, responsabili della sicurezza informatica. Altre due strutture nella regione APAC, a Tokyo e Singapore, consentono all’azienda di essere ancora più vicina agli stakeholder di questa area, mentre il centro di Woburn, negli Stati Uniti, servirà da nuova sede per il Transparency Center nordamericano dell’azienda, che prima si trovava a New Brunswick in Canada.

Le visite ai Transparency Center di Kaspersky offrono diverse opzioni di revisione sempre in modalità di pura consultazione. Variano in base alle competenze e agli interessi dei visitatori: da una panoramica generale sulle pratiche di sicurezza e trasparenza di Kaspersky a una revisione completa del codice sorgente di Kaspersky sotto la guida degli esperti dell’azienda.

Kaspersky fornisce la revisione del codice sorgente esclusivamente a scopo di consultazione e segue policy di accesso tra le più rigorose, il che significa che una richiesta di questo genere potrebbe essere rifiutata in caso venissero individuati possibili problemi di sicurezza. Per garantire l’integrità del codice sorgente, Kaspersky fornisce un accesso di sola lettura per la revisione, escludendo così la possibilità di modifiche.

Guidati dagli esperti di Kaspersky i visitatori dei Transparency Center possono:

  • esaminare la documentazione sullo sviluppo sicuro del software dell’azienda e il codice sorgente del portfolio dei principali prodotti dell’azienda, compresi i prodotti di punta per utenti privati e aziende, nonché tutte le versioni degli aggiornamenti del software e delle regole di rilevamento delle minacce;
  • ricostruire il codice sorgente per assicurarsi che corrisponda ai moduli disponibili pubblicamente. Il processo di compilazione, disponibile presso i Transparency Center, fornisce una garanzia di sicurezza sull’integrità del codice sorgente di Kaspersky;
  • controllare la distinta base del software (SBOM) dei prodotti Kaspersky per migliorare la sicurezza supply chain;
  • esaminare i risultati degli audit di sicurezza di terze parti (come l’audit report SOC 2 e il report di valutazione ISO 27001), sia da remoto che fisicamente.

Dall’apertura del primo Transparency Center in Svizzera nel 2018, l’azienda ha organizzato oltre 25 visite con i clienti aziendali che sono diventati tra gli ospiti più frequenti. Tra le informazioni più richieste dai visitatori ci sono quelle sulle pratiche di gestione dei dati di Kaspersky, mentre le revisioni del codice sorgente sono avvenute solo occasionalmente. Questo è dovuto dal fatto che per revisionare il codice sorgente sono necessarie capacità di cybersecurity che consentano di affrontare correttamente la valutazione della sicurezza dei prodotti. Questo, in particolare, ha portato al lancio di un programma dedicato, il Cyber Capacity Building Program (CCBP), con il quale gli esperti di Kaspersky intendono aiutare una community più ampia in tutto il mondo ad apprendere strumenti e conoscenze pratiche per queste valutazioni di sicurezza, insegnando la revisione sicura del codice, il code fuzzing e altri metodi.

Siamo la prima azienda nel settore della cybersicurezza ad aprire il nostro codice sorgente a revisioni esterne. Kaspersky ha lavorato duramente per dimostrare di essere un partner affidabile e degno di fiducia. Vorrei invitare i nostri clienti, potenziali ed esistenti, e le autorità governative a visitare i nostri nuovi Transparency Center dove faremo del nostro meglio per rispondere a tutte le domande possibili sul nostro codice sorgente, sulle regole di rilevamento delle minacce, sugli aggiornamenti del software e sulle nostre pratiche di ingegneria e di elaborazione dei dati” ha dichiarato Andrey Efremov, Chief Business Development Officer di Kaspersky.

Dal 2017, Kaspersky ha implementato la Global Transparency Initiative (GTI). Alcuni degli ultimi sviluppi della GTI includono il trasferimento in Svizzera dell’elaborazione e dell’archiviazione dei dati relativi alle minacce informatiche per gli utenti di Kaspersky che si trovano in America Latina e in Medio Oriente, la ricertificazione dei data service di Kaspersky da parte dell’ente di certificazione indipendente TÜV AUSTRIA e il lancio della versione digitale del “Cyber Capacity Building Program”, che ha l’obiettivo di aiutare le organizzazioni di tutto il mondo a sviluppare strumenti e conoscenze pratiche per la valutazione della sicurezza.

Siamo un System Integrator di ultima generazione: forniamo software, consulenza e servizi per accelerare l’evoluzione digitale delle aziende. Vuoi saperne di più?

Sarce spa

Kaspersky ha rinnovato con successo l’audit SOC 2 condotto da una delle società Big Four

Impegnata a rispettare i più alti principi di sicurezza, Kaspersky ha superato ancora una volta l’audit SOC 2 (Service Organization Control for Service Organizations) Type 1, condotto da una delle società di revisione internazionale Big Four. La valutazione indipendente ha riconfermato che il processo di sviluppo e rilascio degli AV database di Kaspersky è protetto da modifiche non autorizzate grazie a rigidi controlli di sicurezza.

Sviluppato dall’American Institute of Certified Public Accountants (AICPA), il Service Organization Controls (SOC) Reporting Framework è un report riconosciuto a livello globale che conferma la conformità dei controlli di sicurezza dell’organizzazione ai Trust Services Criteria (TSC) dell’AICPA, ovvero sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy. Kaspersky ha completato per la prima volta l’esame SOC 2 Type 1 nel 2019 come parte della Global Transparency Initiative (GTI) dell’azienda.

La rivalutazione è stata avviata a fine gennaio 2022 e si è conclusa con successo a fine aprile. Durante l’esame, i revisori di Big Four hanno esaminato, tra le altre cose, le politiche e le procedure dell’azienda relative allo sviluppo e al rilascio di database antivirus (AV), la sicurezza fisica e di rete dell’infrastruttura coinvolta in questo processo e gli strumenti di monitoraggio utilizzati dal team Kaspersky. L’esame ha riguardato anche il modo in cui l’azienda comunica i termini e le condizioni del processo di rilascio dei database AV ai propri dipendenti, utenti e clienti.

Una volta completato l’audit, è stato concluso che i controlli interni di Kaspersky per la protezione del processo di sviluppo e rilascio dei database antivirus per i sistemi operativi Windows e Unix sono adeguatamente progettati per soddisfare tutte e cinque le categorie di affidabilità coperte dal TSC. L’ambito dell’audit attuale è stato ampliato rispetto alla valutazione del 2019, poiché Kaspersky ha introdotto nuovi strumenti e controlli di sicurezza. Il rapporto completo può essere fornito ai nostri clienti su richiesta.

Siamo orgogliosi di poter annunciare che, ancora una volta, l’integrità e la sicurezza delle nostre pratiche ingegneristiche, attraverso le quali offriamo soluzioni di cybersecurity di alto livello, siano state confermate. La sicurezza e la fiducia dei nostri clienti e partner sono per noi una priorità fondamentale. Questa nuova valutazione indipendente fornisce una garanzia oltre a verificare l’affidabilità delle soluzioni e dei servizi che offriamo. La valutazione SOC 2 fornisce una descrizione rigorosa e allo stesso tempo utile delle nostre garanzie a clienti e partner sulle modalità di sviluppo e distribuzione dei database AV di Kaspersky. Il report è una conferma dell’impegno di Kaspersky nel proteggere in modo proattivo la propria infrastruttura e nel garantire la sicurezza dei propri clienti e partner“, ha commentato Anton Ivanov, Chief Technology Officer di Kaspersky.

Il rinnovo del report SOC 2 Type 1 rientra in una più ampia gamma di attività che fanno parte dell’iniziativa di trasparenza (GTI) di Kaspersky, a dimostrazione del costante impegno dell’azienda alla responsabilità. Kaspersky è tra i primi nel settore ad aver avviato i Transparency Center, in cui gli stakeholder dell’azienda possono esaminare il codice sorgente, gli aggiornamenti software e le regole di rilevamento delle minacce di Kaspersky. L’azienda richiede regolarmente valutazioni indipendenti da parte di terzi sulle proprie pratiche ingegneristiche, sui data service e sulla conformità agli standard del settore. All’inizio di quest’anno, l’azienda ha rinnovato la certificazione ISO 27001*, uno standard di sicurezza riconosciuto a livello internazionale, rilasciato dall’ente di certificazione indipendente TÜV AUSTRIA.

Siamo un System Integrator di ultima generazione: forniamo software, consulenza e servizi per accelerare l’evoluzione digitale delle aziende. Vuoi saperne di più?

Sarce spa

HR: i più esposti agli attacchi e i più determinanti nella strategia di cyber security dell’azienda

Una violazione dei dati all’interno dell’azienda (il cosiddetto data breach) ha costi ingenti e costituisce un danno enorme: è fondamentale quindi che i professionisti HR comprendano i diversi modi in cui un hacker può tentare di accedere alle informazioni ed essere in grado di riconoscerli e per certi versi prevenirli.

In prima istanza l’HR dovrebbe provvedere a una adeguata formazione di tutti i dipendenti, collaborando con l’IT che non può più essere ritenuto l’unico responsabile della protezione delle informazioni e dei sistemi.

È fondamentale che le risorse umane siano quindi parte integrante nello sviluppo, nell’implementazione e nella comunicazione di politiche e procedure di sicurezza aziendale.

In secondo luogo, il team HR è uno dei più esposti agli attacchi esterni: solitamente i dipendenti di un’azienda vengono abituati a non aprire e-mail sospette con allegati o a cliccare su link inviati da sconosciuti; nel caso dell’HR, tuttavia, le e-mail esterne provengono spesso da sconosciuti e in molti casi contengono un cv allegato o un link di riferimento per gli endorsement e i materiali a supporto di una candidatura.

I professionisti delle risorse umane devono quindi implementare le migliori strategie per educare e far applicare le politiche aziendali di sicurezza, ponendo sempre particolare attenzione al proprio lavoro e alla propria particolare condizione di “esposizione” al rischio.

I consigli di Kaspersky per proteggere l’HR

Di seguito i suggerimenti di Kaspersky, leader globale nella sicurezza informatica, per proteggere “l’anello debole” dell’HR in azienda.

  1. Isolare tutti i device dell’HR in una sottorete separata;
  2. Non memorizzare password e info di autenticazione sul proprio device: meglio gestirle attraverso un server separato protetto con autenticazione multifattore;
  3. Seguire i consigli dei migliori professionisti in ambito cybersecurity: una risorsa di incredibile valore è rappresentata dalla piattaforma KASAP di cui è possibile scaricare una lezione di prova cliccando qui ;
  4. Prestare molta attenzione alla formazione del personale in modo che ogni utente sia in grado di riconoscere negli allegati ricevuti un file eseguibile (e non eseguirlo). Stilare quindi un elenco dei formati cv accettati e condividerlo attraverso i propri canali di recruitment.
  5. Gestire la policy sulla sicurezza informatica in maniera chiara e precisa, imponendo l’utilizzo di password non deboli e periodicamente aggiornate.

Grazie alla partnership Kaspersky, Sarce protegge le aziende contro le minacce di ultima generazione e fornisce ai clienti sistemi sempre al passo coi tempi.

Sarce spa

SICURO che le tue credenziali siano al SICURO?

Proteggi la tua azienda da possibili violazioni in caso di credenziali smarrite o rubate

Detta anche 2FA o MFA, la Multi-Factor Authentication è oggi il sistema di protezione più sicuro che abbiamo a disposizione per tenere al riparo i nostri account di lavoro da pericolose ingerenze esterne.

Durante l’accesso, all’utente viene chiesto di specificare una forma aggiuntiva di autenticazione, ad esempio l’immissione di un codice nel cellulare o la scansione dell’impronta digitale.

Se si usasse solo una password per autenticare un utente, infatti, verrebbe lasciato aperto un vettore non sicuro per l’attacco: se la password fosse vulnerabile o esposta altrove non si potrebbe avere la certezza che sia effettivamente l’utente ad accedere e non un malintenzionato.

Con una seconda forma di autenticazione, la sicurezza viene rafforzata, perché il “fattore aggiuntivo” non è facile da ottenere o duplicare.

Azure AD Multi-Factor Authentication di Microsoft funziona richiedendo due o più dei metodi di autenticazione seguenti:

  • Un’informazione nota, in genere una password.
  • Un oggetto che si possiede, ad esempio un dispositivo attendibile non facile da duplicare, come un telefono o una chiave hardware.
  • Una caratteristica personale, ad esempio un’impronta digitale o la scansione del viso per l’identificazione biometrica.

Gli utenti possono registrarsi per la reimpostazione della password self-service e Azure AD Multi-Factor Authentication in un unico passaggio per semplificare l’esperienza di onboarding. Gli amministratori possono definire quali forme di autenticazione secondaria possono essere usate. Azure AD Multi-Factor Authentication può essere utile anche quando gli utenti eseguono una reimpostazione della password self-service per proteggere ulteriormente il processo.

 

I Metodi di verifica disponibili

Quando un utente accede a un’applicazione o a un servizio e riceve una richiesta di autenticazione a più fattori, può scegliere una delle forme registrate di verifica aggiuntiva. Un amministratore potrebbe richiedere la registrazione di questi metodi di verifica oppure l’utente può accedere al proprio profilo personale per modificare o aggiungere altri metodi di verifica.

Con Azure AD Multi-Factor Authentication, in particolare, è possibile utilizzare come forme di verifica aggiuntive:

App Microsoft Authenticator

Token hardware OATH

SMS

Chiamata vocale

Come abilitare e usare Azure AD Multi-Factor Authentication

Utenti e gruppi possono essere abilitati per Azure AD Multi-Factor Authentication a richiedere una verifica aggiuntiva durante l’evento di accesso. Le impostazioni predefinite di sicurezza sono disponibili per tutti i tenant Azure ad per consentire rapidamente l’uso dell’app Microsoft Authenticator per tutti gli utenti.

Per controlli più capillari, è possibile usare i criteri di accesso condizionale per definire eventi o applicazioni che richiedono l’autenticazione a più fattori. Questi criteri possono consentire eventi di accesso regolari quando l’utente si trova nella rete aziendale o in un dispositivo registrato, ma richiedere altri fattori di verifica quando l’utente è in remoto o accede da un dispositivo personale.

Sarce spa

L’innovazione non può aspettare: prendi la strada più veloce verso il cloud

L’INFRASTRUTTURA LEGACY È IN GRADO DI PORTARTI IL CLOUD

L’infrastruttura del datacenter e il modo in cui fornisce risorse all’azienda sono elementi fondamentali della tua strategia di modernizzazione IT. Le infrastrutture legacy a tre livelli sono difficili da scalare, ostacolano l’agilità e la flessibilità, e la loro espansione è molto dispendiosa in termini di tempo e di risorse. Dover impiegare settimane o mesi per modificare la tecnologia o abilitare infrastrutture per soddisfare le nuove esigenze aziendali non è più sostenibile da parte delle imprese, e infatti sempre più aziende adottano soluzioni di cloud pubblico per risolvere questo genere di problema.

Ma nonostante tutti i vantaggi del cloud pubblico, i dubbi sui costi, la località dei dati, le limitazioni normative, la sicurezza e il data recovery sono tantissimi. Il dilemma fondamentale è se continuare a investire sui datacenter aziendali o se indirizzare tutti gli investimenti futuri verso i cloud pubblici.

MODERNIZZARE CON L’ARCHITETTURA WEB-SCALE

La strada da percorrere è più chiara di quanto si pensi. Con la sua architettura web-scale, l’infrastruttura iperconvergente (HCI) si è dimostrata la scelta migliore per la modernizzazione delle infrastrutture IT. Il termine ‘web-scale’ riguarda il livello di velocità e scalabilità dell’implementazione e della gestione della tua infrastruttura, che semplifica il provisioning delle risorse necessarie a tutti gli stakeholder coinvolti. Progettata per il cloud privato e ibrido, l’HCI permette alle organizzazioni IT di standardizzare i sistemi e gli spazi di archiviazione grazie a un’infrastruttura di storage definita dal software che è più semplice da implementare, gestire e scalare man mano che le esigenze aziendali crescono, senza comunque sacrificare l’affidabilità e la sicurezza. L’HCI permette all’IT di industrializzare la consegna di applicazioni, dati e servizi all’azienda al momento giusto con prestazioni migliori e costi inferiori.

COSTRUIRE INTERNAMENTE IL TUO CLOUD CON NUTANIX

I cloud pubblici sono rapidi nell’attivare i servizi – ma la conformità dei dati, le necessità in fatto di prestazioni e i requisiti di data locality impongono che i dati, le applicazioni e i servizi IT siano offerti internamente dall’azienda. Portare il cloud all’interno dell’azienda significa offrire servizi basati sul cloud da un’infrastruttura IT dedicata, dalla tua infrastruttura privata.

La soluzione Nutanix Private Cloud si basa sul software HCI leader del settore utilizzato dai cloud pubblici leader del mercato. Nutanix Private Cloud supporta tutti i carichi di lavoro business-critical per l’end-user computing, la gestione di database, lo sviluppo e il testing, l’analisi dei big data e molto altro ancora, e fornisce applicazioni e dati su qualsiasi scala con provisioning, aggiornamenti e disaster recovery semplici e one-click.

PROGETTATO PER IL CLOUD

Nutanix offre un software di infrastruttura progettato per offrire servizi cloud altamente scalabili, disponibili ed efficienti per supportare i moderni datacenter. Uniamo la disponibilità e l’agilità del cloud pubblico con la flessibilità e la sicurezza del cloud privato, tutto in un’unica soluzione.
La piattaforma software infrastrutturale di Nutanix è progettata per essere:

  • Semplice: l’implementazione, gli aggiornamenti e il DR one-click rendono la gestione del ciclo di vita davvero semplice
  • Intelligente: l’intelligenza artificiale e l’apprendimento automatico adattivo integrati regolano automaticamente le risorse per ottimizzare le prestazioni e l’utilizzo. Un’infrastruttura pronta per il futuro offre una maggiore efficienza per semplificare ulteriormente l’IT
  • Resiliente: elimina le perdite di dati o i downtime. Mantieni la tua azienda attiva e i tuoi dati al sicuro con sicurezza, protezione dei dati, backup e disaster recovery integrati

Contattaci per saperne di più

    Privacy
    Ho letto l'informativa sul trattamento dei dati e acconsento al trattamento

    Voglio iscrivermi alla newsletter