Come scegliere il cloud giusto

Cos'è il Cloud: la nuvola

Il Cloud (che in italiano si pronuncia clàud) che non è altro che uno spazio di archiviazione personale, chiamato talvolta anche cloud storage, accessibile in qualsiasi momento ed in ogni luogo utilizzando semplicemente una qualunque connessione ad Internet e qualsiasi dispositivo. Ti è mai capitato di elaborare un file dal computer di casa e il giorno successivo in ufficio ricordarti di non averlo portato con te? Oppure ti aver lavorato su varie versioni di un documento e non sapere quale sia quella corretta? O ancora dover condurre un lavoro con un collega e lavorare sullo stesso file e impazzire per fare le correzioni senza cancellare quelle del collaboratore? Sicuramente non è una sensazione piacevole dover ricominciare tutto d’accapo! Per questo il Cloud è nato! In caso di smarrimento o rottura del pc o dello smartphone i tuoi dati saranno salvati e accessibili nella nuvola. Prima di capire come scegliere il cloud giusto per la tua organizzazione vediamo le differenze tra i vati tipi di Cloud.

Diversi tipi di Cloud, come scegliere il cloud giusto per la propria organizzazione

Cloud Storage e Cloud computing

Le diverse tipologie di cloud rispondono a 2 famiglie principali:

  • cloud storage: mero deposito di file. Un esempio è Dropbox, servizio che permette di posizionare online dati di qualsiasi natura ma che si limita a fare da storage.
  • cloud computing: oltre a dare la possibilità di immagazzinare dati online, permette anche di lavorare i file depositati. I più famosi cloud computing sono quelli di Google Drive e di Microsoft OneDrive che permettono l’uso (anche condiviso) dei file che contengono, consentendo una forma di ciò che viene comunemente chiamata “online collaboration”.

Ma il cloud permette ben altro, consente infatti di utilizzare applicazioni fisicamente installate, su server che né appartengono all’azienda che ne fa uso né sono posti al suo interno.
Il cloud computing è infatti la distribuzione di servizi di calcolo, come server, risorse di archiviazione, database, rete, software, analisi, business intelligence e altri ancora, tramite Internet (“il cloud”), per offrire innovazione rapida, risorse flessibili ed economie di scala.

 

Differenze tra cloud pubblico, privato e ibrido

Il discorso comincia così a diventare più complesso e rende necessario un chiarimento ulteriore tra le differenze tra cloud pubblico, privato e ibrido. I cloud pubblici rappresentano la modalità più comune per la distribuzione del cloud computing. Le risorse cloud, ad esempio i server e le risorse di archiviazione, appartengono a e sono gestite da un provider di servizi cloud di terze parti e vengono distribuite tramite Internet. 

Microsoft Azure è un esempio di cloud pubblico. In un cloud pubblico condividi lo stesso hardware, le stesse risorse di archiviazione e gli stessi dispositivi di rete con altre organizzazioni o “tenant” cloud.

Un cloud privato è costituito da risorse di calcolo usate esclusivamente da un’azienda o un’organizzazione. Il cloud privato può essere situato fisicamente nel data center locale dell’organizzazione oppure può essere ospitato da un provider di servizi di terze parti. I cloud privati vengono usati spesso da agenzie governative, istituti finanziari e altre organizzazioni di medie e grandi dimensioni con operazioni cruciali che richiedono un controllo avanzato sul proprio ambiente.

I cloud ibridi combinano l’infrastruttura locale, o cloud privati, con i cloud pubblici, in modo da consentire alle organizzazioni di sfruttare i vantaggi di entrambi. Puoi ad esempio usare il cloud pubblico per scenari che richiedono volumi elevati e con esigenze minori a livello di sicurezza, come la posta elettronica basata sul Web, e il cloud privato o un’altra infrastruttura locale per operazioni riservate e cruciali per l’azienda, come la creazione di relazioni finanziarie.

Per maggiori informazioni sul sito di Microsoft

 

Vantaggi dei cloud pubblici:

  • Costi ridotti: non devi acquistare hardware o software e paghi solo per i servizi usati.
  • Nessuna manutenzione: il provider di servizi fornisce la manutenzione.
  • Scalabilità quasi illimitata: sono disponibili risorse on demand per soddisfare le tue esigenze aziendali.
  • Affidabilità elevata: una vasta rete di server offre protezione in caso di errori.

Vantaggi dei cloud privati:

  • Maggiore flessibilità: la tua organizzazione può personalizzare il proprio ambiente cloud per soddisfare esigenze aziendali specifiche.
  • Sicurezza ottimizzata: le risorse non sono condivise con altri utenti, quindi sono possibili livelli superiori di controllo e di sicurezza.
  • Scalabilità elevata: i cloud privati offrono comunque la scalabilità e l’efficienza di un cloud pubblico.

Vantaggi dei cloud ibridi:

  • Controllo: la tua organizzazione può mantenere un’infrastruttura privata per gli asset riservati.
  • Flessibilità: puoi sfruttare le risorse aggiuntive nel cloud pubblico quando necessario.
  • Convenienza: grazie alla scalabilità nel cloud pubblico, puoi pagare per potenza di calcolo aggiuntiva solo quando necessario.
  • Semplicità: puoi rendere meno complesso il passaggio al cloud eseguendo una migrazione graduale di alcuni carichi di lavoro alla volta.

C’è cloud e cloud, come scegliere quello giusto (per aziende)

Il termine Cloud, spesso visivamente rappresentato dalla nuvola, suggerisce alla mente di ognuno flessibilità e semplicità nel salvare dati utili e averli sempre disponibili solo grazie ad una connessione. Nell’uso privato, i diversi cloud, ci vengono in aiuto come sistemi di back-up, ampliando la capacità dei dispositivi in uso.

Utilizzando questi servizi, però, siamo nel contempo più o meno consapevoli del fatto che stiamo di fatto accettando un compromesso: stiamo esponendo i nostri dati in cambio di maggiore flessibilità!
Detto ciò, come comportiamo allora in azienda? Ecco perché insistiamo col dire che c’è cloud e cloud. Così come esistono “buone pratiche” e modus operandi che è necessario assumere ad ogni livello di un’organizzazione affinché sia garantita la sicurezza informatica di un’azienda.

Esporre i propri dati è sempre un rischio che può portare a danni importanti e talvolta irreversibili. Se a farlo è un’organizzazione i danni che né possono derivare si traducono in perdite di reputazione ed affidabilità, con connesse perdite di valore oltre che di produttività del lavoro stesso. Questo perché ogni azienda vive di relazioni a più livelli, dunque i dati interessati sono quelli dei propri fornitori, clienti, dipendenti, collaboratori.. Come gestire queste problematiche?

Vi proponiamo cinque temi/quesiti in “pillole” che consentono di fare un’autoanalisi del livello di sicurezza dei propri asset aziendali. Il primo quesito riguarda proprio l’uso nella propria azienda di “Cloud non autorizzati”….

Anche le organizzazioni di media dimensione dovrebbero rivolgersi a dei professionisti per settare e proteggere i dati aziendali per non incorrere in spiacevoli inconvenienti ed attacchi hacker

5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale

Valutazione del rischio: 5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale

La “superficie di attacco” oggi è molto ampia, si pensi alla sola connettività a internet e alla rete degli uffici delle aziende, che apre le porta all’esterno facilitandoci nel lavoro ma rendendoci anche soggetti ad attacchi di vario tipo.

Nel caso di attacchi DoS per esempio le risorse online dell’azienda vengono rese non disponibili e bloccate a e le attività aziendali si interrompono, creando un forte danno economico. Oppure i furti dei  furto di documenti o di informazioni riservate dell’azienda tramite malware…

Per maggiori informazioni sui tupi di attacchi

Procediamo quindi nella autoanalisi per capire il livello di sicurezza della tua organizzazione:

5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale


1. Stiamo utilizzando “cloud non autorizzati”

Dropbox, Google Drive, MediaFire, Egnyte. … ottimi strumenti per i privati, ma una minaccia per le aziende. Anche se la tua società non li supporta, è probabile che il team responsabile della sicurezza abbia riscontrato l’uso di uno o più di questi cloud privati all’interno di un’organizzazione. La sincronizzazione degli account e la condivisione di file privati non è supportata e quindi non protette dall’infrastruttura IT.

Questi atteggiamenti generano il diffuso fenomeno delle “shadow IT“, le zone d’ombra che sfuggono al controllo dell’amministrazione e che quindi possono esporre a rischi interi asset aziendali. Il 40% delle organizzazioni che ha avuto esperienze con cloud non autorizzati ha riscontrato l’esposizione di dati riservati. [Studio a cura di Symantec: Avoiding the Hidden Costs of the Cloud]

Si rivela quindi necessario valutare l’implementazione di servizi cloud sicuri e professionali dismettendo l’uso dei cloud non autorizzati.Scegliendo una soluzione di livello aziendale come Microsoft OneDrive for Business, i dipendenti possono salvare e condividere documenti e collaborare ai contenuti senza compromettere la sicurezza dei dati.

2. Le “minacce interne”

Ok, abbiamo disposto l’utilizzo di un sistema cloud professionale, efficiente e sicuro posto ad evitare “cloud non autorizzati”. Ma come gestiamo l’utilizzo dello stesso e dunque come questo viene usato dalle persone, quindi dai nostri collaboratori?

Le minacce interne sono generalmente ritenute le più complesse da cui difendersi. Se consideriamo poi, l’uso sempre maggiore di collaboratori occasionali, freelance e dipendenti temporanei in un’organizzazione, la capacità di difendersi da potenziali minacce interne è praticamente impossibile. È possibile però, perlomeno monitorare il lavoro dei nostri collaboratori evitando disfunzioni compromettenti la sicurezza.

Con le soluzioni integrate in Office 365 e quindi in SharePoint Online, Exchange Online e Microsoft Office, è possibile impostare le autorizzazioni di accesso ai file dei diversi autori. Gli amministratori ricevono notifiche ogni volta che vengono scambiate informazioni riservate e possono scegliere se revocare dati e accesso a determinati dipendenti. Così come possono esaminare i dati degli incidenti e generare report per individuare con precisione i casi in cui può essersi verificata una perdita delle informazioni.

Inoltre, le soluzioni di prevenzione della perdita dei dati sempre integrate in questi ultimi, consentono agli amministratori IT di prevenire problemi legati a minacce interne. Tutto questo è possibile senza estendere i budget per la conformità: con Office 365 la compliance è inclusa nel pacchetto!

3. Attivare una “task force” per la sicurezza informatica

Può sembrare assurdo: secondo il Financial Executives Research Foundation: The CFO’s Role in Cybersecurity – L’84% delle organizzazioni non ha in piedi una task force per la sicurezza informatica!

Questo perché non si è abituati a prevenire, ma a curare. Ai professionisti della sicurezza informatica viene insegnato a ragionare sul quando (e non se) può verificarsi una violazione. La pianificazione di una violazione significa creare una task force in tutta l’organizzazione che stabilisca le persone coinvolte nella comunicazione dell’attacco ai clienti (responsabile marketing), i responsabili della protezione di una rete (responsabili della sicurezza e delle tecnologie) e chi dovrà gestire le implicazioni legali delle informazioni violate (responsabili dei reparti legale, del servizio clienti e HR). Benché la creazione di una task force per la sicurezza informatica all’interno di un’organizzazione sia considerata una procedura consigliata, nella maggior parte delle aziende tale task force non esiste del tutto.

4. Sicurezza della politica BYOD

Le politiche BYOD permettono ai dipendenti di accedere ai file della società dai propri dispositivi h24. Tali politiche negli ultimi cinque anni hanno visto una vera e propria esplosione, considerando l’aumento dello smart working. Tuttavia, secondo un report del 2014 a cura di Check Point, oltre metà dei dirigenti IT ha segnalato che gli incidenti di sicurezza causati dall’approccio BYOD, generando rischi e costi non indifferenti. È dunque necessario supportare le politiche BYOD in modo da trarne vantaggi, senza compromettere la sicurezza, né tanto meno violare il budget.

I servizi di Office 365 sono stati pensati proprio per dotare le imprese di strumenti capaci di supportare l’agilità del lavoro senza perdite in sicurezza e compliance, comprendendo funzionalità Single Sign-On e per la gestione self-service delle password. Inoltre, Strumenti di gestione della mobilità come Microsoft Enterprise Mobility Suite (EMS) possono mantenere i dipendenti connessi alle app di cui hanno bisogno, senza compromettere la sicurezza. Oggi, è necessario proteggere e gestire i dispositivi mobili e gli smartphone usati al di fuori della rete aziendale, insieme ai dati che contengono. Ciò è possibile proprio con EMS, in un unico pacchetto. Quest’ultimo, fra le altre cose, consente di cancellare da remoto i dati dai dispositivi smarriti.

Inoltre, la gestione di dispositivi mobili per Office 365 può contribuire alla protezione dei dispositivi aziendali da qualsiasi posizione. Il tuo team IT può gestire i criteri per i dispositivi mobili ed eseguire una cancellazione selettiva dei dati di Office 365 se un dipendente lascia l’organizzazione, evitando ai reparti HR, IT e della sicurezza perdite di tempo e difficoltà.

5.  Budget destinato alla sicurezza

Bisogna dirlo: ancora non si percepisce la sicurezza informatica come necessaria e fondamentale. Questo perché non si ha avvertenza della gravità dei rischi che si corrono come utente e come azienda soprattutto. Difatti, soltanto negli ultimi dieci anni questi discorsi hanno iniziato ad interessare utenti di ogni livello. La disavvertenza di questo problema, si traduce in scarsi investimenti relativi alla voce “sicurezza”. Inoltre, il più delle volte questa viene percepita come una spesa e non come un’investimento atto a prevenire disfunzioni, perdite di risorse, sprechi; capace di dare una nuova spinta alla produttività stessa di ogni livello, garantendo forza e stabilità dei vari asset.

Detto ciò, c’è quindi da domandarsi se i budget destinati alla voce “sicurezza” sono ragionevoli e commisurati al raggiungimento di tale scopo.  Che si tratti di individuare professionisti capaci di supportare la gestione dell’area sicurezza o potenziare il budget IT, è necessario scoprire ciò di cui ha bisogno il proprio team e introdurre le modifiche necessarie perché possa lavorare al meglio.

In questi casi, è possibile chiedere consulenza ai fornitori IT per meglio comprendere quali sono gli strumenti che meglio si adattano al proprio business. Infoservice, anche in qualità di partner Microsoft, offre prima di tutto questo. Una consulenza altamente specializzata a costo zero! Questo perché essa è prima di tutto tesa al raggiungimento di obiettivi comuni come l’implementazione di strumenti e servizi informatici, atti a sostenere e semplificare il lavoro quotidiano, affrontando insieme la Digital Trasformation.

Concetti e terminologia della GDPR

Terminologia del GDPR

Il 25 maggio, giorno dell’entrata in vigore del General Data Protection Regulation (GDPR) – il nuovo regolamento sulla privacy – è alle porte. In questo periodo si è cercato di capire cosa cambia e come andar d’accordo con il nuovo dispositivo, dissipando “paure”, indicando processi e soluzioni informatiche utili al raggiungimento della conformità di legge, la “famosa” compliance aziendale.

Facendo il punto della situazione, è quindi utile adesso, assimilare la terminologia del GDPR. Ciò consentendo ad ognuno di individuare il proprio ruolo sulla scena dell’attuazione del nuovo regolamento; di comprendere quali diritti e doveri ci riguardano in via preventiva, quali azioni mettere al più presto in pratica per arrivare pronti al 25 maggio!

Chi è il “soggetto interessato”? Chi sono e che differenza c’è fra il “Responsabile del trattamento” e il “Titolare del trattamento”? Cosa sono i “Dati personali”? Cosa si intende quando si parla di “Diritto all’oblio”, alla cancellazione? In che misura la legge coinvolge i responsabili e i titolari del trattamento rispetto alla “Violazione dei dati personali”? Cosa significano le locuzioni “Privacy by default” “Privacy by design” e principio di “Accountability”?

Avere ben chiare le risposte a queste domande consente di affrontare il processo di conformità alla nuova legge con coscienza, consapevolezza e successo.

Soggetto interessato

È qualsiasi cittadino UE (anche che si trovi al di fuori degli stati membri), identificabile tramite i propri dati personali. L’interessato, ad esempio, è il consumatore che effettua un acquisto online, il paziente di un sistema sanitario, il cittadino che accede ai sevizi della pubblica amministrazione online, l’utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei prodotti/servizi.

Titolare del trattamento

È l’azienda che opera entro i confini della UE o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Così secondo la legge n. 675/1996

il “titolare” è la persona fisica [dove per persona fisica si intende in questo caso il libero professionista, il piccolo imprenditore etc] o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza[1].

Responsabilità del titolare del trattamento è anche quella di scegliere partner in grado di erogare soluzioni conformi alla normativa.

Alcune esempi sono le aziende che ricevono informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti.

Responsabile del trattamento

È ad esempio, il tuo fornitore di servizi cloud! Il Responsabile del trattamento si configura come contraente per un Titolare del trattamento. È quindi il fornitore di servizi per un’altra azienda, la quale anch’essa offre servizi ai cittadini UE. Anche il responsabile del trattamento acquisisce dati sensibili sulle persone. Gli esempi includono anche aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.

Dati personali

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..[2]

Particolarmente importanti sono: i dati identificativi come ad esempio i dati anagrafici; i dati sensibili come quelli che rivelano religione, opinioni politiche, lo stato di salute e la vita sessuale; i dati giudiziari che rivelano ad esempio l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale…

La definizione fornita dalla UE è anche più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.

Diritto all’oblio

È il diritto di ogni cittadino UE, dunque del soggetto interessato, di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali. Le persone possono richiedere la cancellazione definitiva e completa di tutti i loro dati personali raccolti e/o archiviati dal titolare del trattamento. Ciò può avvenire ad esempio: quando il trattamento violi una disposizione del Regolamento stesso; quando le finalità per cui i dati sono stati raccolti o trattati siano terminate; quando l’interessato abbia ritirato il proprio consenso al trattamento dei propri dati.

Violazione dei dati personali

Il nuovo regolamento impone alle aziende, titolari del trattamento dei dati personali, di comunicare all’autorità di controllo, entro 72 ore dalla venuta a conoscenza dell’accaduto la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Privacy by default e privacy by design

Sono i due fari guida nella dinamica di definizione delle politiche sulla sicurezza dei dati. Sono i concetti dai quali muove il GDPR. Il regolamento introduce il concetto di Privacy by default per sottolineare la necessità della tutela della vita privata dei cittadini “di default” appunto: come impostazione predefinita. Con ciò si richiede alle aziende l’adozione di un processo di raccolta dei dati che ne tuteli la diffusione. Il processo di adozione dei dati si verifica ad esempio in occasione di registrazione a servizi telematici o della stipula di contratti. Così come in ogni caso ciascun interessato rende noti i propri dati ad un terzo (titolare e/o responsabile del trattamento).

Ciò si lega ai principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

La privacy by default comporta, da una parte, che i sistemi informatici utilizzati garantiscano conformità alla legge anche rispetto a come questi vengono impostati e che determinate informazioni vengano protette in modo rafforzato. Dall’altra parte comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente: queste impostazioni vengono affidate a chi “costruisce” il sistema informatico.

Per privacy by design si intende, invece, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo. L’attuale codice della privacy contiene in nuce la definizione delle PET – Privacy enabling technologies – che costituiscono il fondamento della privacy by design. Significa che i programmi informatici e i sistemi informativi devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. Ciò consente di escludere il trattamento dei dati quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Accountability

Si può tradurre in italiano con “responsabilizzazione” dei titolari e responsabili del trattamento dei dati. Il GDPR pone con forza l’accento su questo concetto. Esso rappresenta l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Da questo approccio muovono le attività connesse ai criteri di privacy by default e privacy by design. Pertanto, tale principio richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili[3]

 

[1] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785.

Vedi anche: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/49205

[2] http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali

[3] http://www.garanteprivacy.it/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabil

Email aziendale: Office 365 oppure G Suite?

GSuite vs Microsoft 365:

qual è il migliore per il tuo business?

Hai un dubbio che ti assale e che non ti fa dormire?
Sei nel posto giusto! Oggi vedremo insieme la differenza tra i piani Gsuite e Microsoft 365.

GSuite vs Microsoft 365: inizia la sfida

Da anni i due colossi si contendono il cuore di milioni di utenti. Indubbiamente, entrambe le aziende offrono prodotto e servizi di qualità. Per acquistare un piano è possibile affidarsi a un partner certificato oppure acquistarlo direttamente dalle due aziende. Inoltre, entrambe le aziende assegnano una licenza ad un utente e si può decidere se impregnarsi annualmente o mensilmente. Possiamo quindi trovare una similitudine nella modalità di acquisto dei piani.

Se si analizzano, però, nel dettaglio possiamo trovare nelle significative differenze. Per agevolarti nella scelta abbiamo provveduto a studiarli e a proporti una breve recensione di Gsuite vs Microsft 365.

GSuite: l’offerta di Google per le aziende

I piani offerti da Google Workspace sono quattro: Business Starter, Business Standard, Business Plus ed Enterprise. Quest’ultimo piano si riferisce alla vecchia “Suite premium per l’ufficio con funzionalità e controlli avanzati“ ed è utile per aziende con oltre 300 utenti. Ora analizziamo nel dettaglio ogni piano GSuite.

L’offerta di Microsoft per le aziende

La prima grande differenza nella sfida GSuite vs Microsoft 365 riguarda il numero di piano tra cui l’utente può scegliere. Mentre, infatti, i piani offerti da Google alle imprese sono soltanto tre, Microsoft con Microsoft 365, ha un’offerta di licenze molto ampia. Microsoft è capace di rispondere a numerose altre esigenze di business, contribuendo in maniera significativa e quasi esclusiva alla digitalizzazione di un’impresa. Per aiutarti nella ricerca della migliore licenza suddividiamo la vasta offerta di Microsoft in due categorie: Business e Enterprise. Gli Enterprise, oltre ad essere dedicate ad aziende con numerosi utenti, sono più articolati dei primi. Nulla vieta che è possibile attivare piani Enterprise anche al di sotto di 300 utenti.

Vuoi conoscere meglio le sottoscrizioni Microsoft 365?

I 3 Piani Business per piccole e medie imprese

Iniziamo, con la più piccola delle licenze Microsoft365 è la Business Basic (ex. Essential) in cui troviamo:
  • Email aziendale brandizzabile e personalizzabile con Exchange Online, naturalmente perfettamente integrato con Outlook. Inoltre, è disponibile una cassetta postale da 50 GB e la possibilità di creare alias email di gruppo, calendari intelligenti e condivisibili, lista contatti
  • Versioni Online del pacchetto Office tra cui Word, Excel e Power Point
  • Spazio di archiviazione e condivisione dei file per utente di ben 1 TB con One Drive (a prescindere dal numero delle licenze acquistate)
  • Microsoft Teams, disponibile in modalità online e onpremise, con cui poter fare meeting, chattare con i propri collaboratori, condividere documenti e molto altro! Il limite è di 300 utenti
  • Sicurezza standard
  • SharePoint Online per creare la propria intranet aziendale, Tutti i collaboratori potranno condividere informazioni ed essere sempre aggiornati. Con SharePoint online è possibile anche creare e gestire work flow
  • Protezione di base dalle minacce tramite Exchange Online Protection

Il costo?

È possibile sottoscrivere una licenza Business Basic a 5,10 €, IVA esclusa, per utente al mese con abbonamento annuale.

Come per Google, anche la Business Standard di Microsoft è tra le più richieste tra gli utenti. Oltre a tutte le funzionalità presenti nella licenza precedente è possibile avere:

  • le versioni desktop di tutte le app del pacchetto Office.
  • eDiscovery per email, chat e file: per trovare informazioni e prevenire la perdita dei dati.
  • Le applicazioni onpremise di Access e Pubblisher

Il costo mensile della licenza Business Standard annuale è di 10,50 € a utente, IVA esclusa.

Con Microsoft 365 Business Premium, invece, si ha un piano completo sia dal punto di vista della collaborazione aziendale che della sicurezza. Infatti, ha tutte funzionalità aggiuntive riguardanti:

  • Sicurezza avanzata con Azure Information Protection
  • Controllo di accesso e dati su tutti i dispositivi
  • Protezione dalle minacce informatiche, grazie all’antivirus Microsoft Defender
  • Protezione su possibili attacchi phising

Il costo?

Per ogni utente è possibile acquistare la licenza Microsoft 365 Business Premium a 18,60 € al mese, IVA esclusa.

Scopri le nuove regole di Microsoft

I Piani Enterprise di Microsoft 365

I piani Enterprise offrono dei servizi specifici per aziende di grandi dimensioni. A differenza della GSuite, i piani Enterprise si differenziano in tre licenze differenti:
  • Enterprise E1 al costo di 10,18 € al mese, IVA esclusa. In cui sono disponibili tutti i servizi aziendali presenti nelle business come la posta elettronica, l’archiviazione e condivisione di file e pacchetto Office online. Inoltre, sono disponibili servizi di sicurezza avanzata.
  • Enterprise E3 al costo di 27,12 € al mese, IVA esclusa. Utile se si ha la necessità di avere le migliori applicazioni sula produttività aziendale perfettamente integrate con funzionalità sulla sicurezza.
  • Enterprise E5 al costo di 42,28 € al mese, IVA esclusa. Per le aziende che hanno la necessità di avere anche funzionalità avanzate sulla sicurezza, analisi e voce.

Hai ancora dubbi?

Contattaci per raccontarci le tue esigenze! Un nostro esperto ti aiuterà a trovare il piano più adatto alle tue esigenze.
Scegli la data e l’orario più adatto alle tue esigenze in totale libertà e senza nessun costo.

Submit

Regolamento GDPR: Nuova legge UE sulla privacy

GDPR: cosa di intende per Regolamento GDPR?

Nascita e definizione della legge

In pochi sanno che il GDPR General Data Protection – Regolamento GDPR UE 2016/679, la nuova legge in materia di protezione dei dati personali, è già attiva. Il regolamento, infatti, è stato già adottato il 27 Aprile 2016. Verrà applicato a partire dal 25 Maggio 2018. È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione. Ogni organizzazione, all’interno del proprio ambito di riferimento, si trova a ricevere, scambiare, gestire e trattenere dati personali.

Cambiamenti generali e obiettivi del Regolamento GDPR

La nuova GDPR si impone alle aziende e sostituisce ormai la vecchia direttiva sulla protezione dei dati (Direttiva 995/46/EC) del 1995. Essa consta di 90 articoli. Essi specificano le nuove richieste per la gestione dei dati personali di cittadini UE e il rafforzo della relativa struttura organizzativa. Uno degli obiettivi della Commissione Europea è quello di semplificare ed unificare il contesto formativo in materia di trattamento dei dati personali, unificando i regolamenti entro l’UE e dall’UE.

Il GDPR affronta anche il tema dell’esportazione dei dati personali al fuori dell’UE. Inoltre, con il Regolamento GDPR l’Europa intende restituire ai cittadini il controllo dei propri dati personali. Dunque, in generale esso fornisce una nuova e ampia definizione dei dati personali. Imponendo processi specifici, tipi di comunicazione e caratteristiche tecnologiche che le aziende dovranno attuare per conformarsi.

Il GDPR include numerosi requisiti relativi a raccolta, archiviazione e uso delle informazioni personali, tra cui le modalità per:

  • Identificare e proteggere i dati personali nei sistemi
  • Soddisfare nuovi requisiti di trasparenza
  • Rilevare e segnalare violazioni dei dati personali
  • Formare personale e dipendenti che si occupano di privacy

Regolamento GDPR e aziende: come bisognerà regolarsi?

Le aziende che elaborano dati personali provenienti da oltre 5000 cittadini UE avranno una serie più ampia di requisiti da rispettare. Ad esempio la nomina obbligatoria di un responsabile della protezione dei dati (DPO).

In particolare, la sicurezza dei dati raccolti deve essere garantita dal titolare del trattamento e dal responsabile del trattamento. Entrambi sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. L’ambito d’intervento principale sarà quindi proprio quello informatico. I processi informatici utilizzati dovranno garantire un livello di protezione molto alto e dovranno essi stessi essere conformi alla legge.

Dopo la piena adozione ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione.

L’ammodernamento della legislazione in tema di privacy e quindi l’adempimento del GDPR non sarà di facile adozione ma sarà necessario.

Considerando i molti aspetti coinvolti dalla nuova legge europea, sarà utile iniziare a preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy. Senza rischiare di trovarsi impreparati alla sua entrata in vigore. Evitando inutili, affannose ed onerose corse contro il tempo.

Verso la conformità: passaggi fondamentali

Le aziende potranno iniziare ad utilizzare (o ad utilizzare meglio) i giusti strumenti e servizi informatici, ottimizzandone processi ed implementazioni. Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali:

  1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
  2. Protezione a più livelli dei dati
  3. Gestione dei dati scambiati/raccolti/trattenuti
  4. Segnalazione 

Vi forniremo via via indicazioni utili in grado di accompagnarvi in questo processo di apprendimento. Infine, vogliamo segnalarvi, già da ora, che i prodotti e i servizi Cloud Microsoft (come Office 365 e relativi), così come WatchGuard dispongono già di pacchetti capaci di assicurare la conformità al GDPR. Questi sono concepiti proprio nell’ottica della responsabilità condivisa, in materia di protezione dei dati personali, con i partner e con i clienti.

Allerta Wanna Cry: conoscerlo per difendersi

Allerta Wanna Cry: conoscerlo per difendersi
Sempre tenendo in considerazione le informazioni utili e le raccomandazioni fatte nel precedente articolo e cioè quali pratiche applicare per rispondere preventivamente ad agli attacchi di Wanna Cry, conosciamolo da vicino.

Conoscere “i nemici” ci consente non solo di sapere quali interventi adottare ma anche quali azioni applicare quotidianamente. In azienda, per fare ciò è necessario conoscere bene la propria infrastruttura IT. Troppo spesso, nell’utilizzo degli strumenti informatici, ci esponiamo inconsapevolmente a rischi, proprio perché non riusciamo ad averne avvertenza.

Prima di parlare dettagliatamente di questo virus, vogliamo quindi ricordare quali sono le azioni da non fare per evitare di esporsi a rischi di questo genere.

La parola d’ordine, anche in questo caso sarà: AGGIORNARE!

Lo ripetiamo: è necessario adottare il prima possibile la versione aggiornata dei software in uso a partire dal sistema operativo (Windows 10!) senza tralasciare di aggiornare qualsiasi software in grado di maneggiare contenuti esterni (sì, vi tocca aggiornare tutto!).

A livello aziendale, tale processo si esplicherà nel rendere efficiente e snello il processo di aggiornamento stesso. In questo caso snellezza ed efficienza si traducono in servizi Cloud, di per sé sempre aggiornati all’ultima versione. Ciò consente di installare il prima possibile e in modo completo le patch di sicurezza.

La cosa da non fare è quindi quella di smanettare aggirando o disabilitando le impostazioni di aggiornamento automatico, che permettono al sistema di essere sempre protetto con le ultime patch di sicurezza non appena rilasciate.

In particolare le aziende, inoltre, non devono utilizzare il protocollo SMBv1 (Microsoft ha sconsigliato l’utilizzo di SMBv1, laddove possibile). Sui sistemi su cui non sia possibile intervenire con aggiornamenti, provvedere quindi a disabilitare il protocollo SMBv1.

Inoltre, in ambito aziendale è bene che tali comportamenti atti a preservare la sicurezza dell’intera organizzazione si diffondano ad ogni settore ed ogni livello. A tal proposito, ci vengono certamente in aiuto i servizi di Office 365, che mostrano un pannello di amministrazione capace di offrire il comando e la visualizzazione delle azioni fatte tramite l’intera piattaforma Office 365. Inoltre, con Office 365 piano E5 (o acquistandolo separatamente) è possibile avere un servizio a supporto della sicurezza aziendale. Si chiama Threat Intelligence ed è molto utile per l’analisi ed il monitoraggio degli attacchi, consentendo di strutturare una strategia di difesa persistente.

Wanna Cry ransomware: cos’è e cosa fa
La recente campagna ransomware ha avuto un impatto globale. Questa assume, però, caratteri differenti dalle precedenti per due ragioni. La sua pericolosità risiede, infatti, nell’aver combinato in un solo attacco due tipologie di malware:

  1. Un codice di tipo ransomware encryption che agisce in modo classico nel cifrare i file del PC della vittima chiedendo poi il relativo riscatto;
  2. Un codice di tipo worm che ha la capacità di propagarsi automaticamente all’interno di una rete tipicamente aziendale.

Ciò permette al primo codice di essere copiato e quindi di infettare tutti i PC che riesce a contattare se vulnerabili, anche rispetto alla vulnerabilità di rete utilizzata (ad esempio l’EternalBlue).

È questo un modo molto ingegnoso, che consente la propagazione dell’infezione da ransomware, che finora dipendeva solamente dall’adescamento degli utenti tramite email di phising con allegati o link pericolosi (vettori primari dell’infezione).

È quindi sufficiente che un solo collaboratore sia rimasto vittima dell’apertura di un allegato infetto, per scatenare l’”epidemia” nella propria azienda, con un impatto tanto più elevato quanto più sistemi sono accesi e vulnerabili, dunque non aggiornati rispetto alla patch MS17-010. Inoltre, tale infezione è naturalmente propagabile anche tramite strumenti utilizzati da collaboratori esterni: ecco perché è necessario dotarsi di sistema di sicurezza efficienti come quelli consigliati nel precedente articolo.

Quanto detto fa pensare ad attacco di tipo globale e non mirato alle sole singole aziende già colpite. Naturalmente, saranno le indagini che si sono attivate a tale scopo a chiarire ciò. Al momento però, tale campagna sembrerebbe soltanto orientata ad aumentare la propagazione dell’infezione da ransomware. Esso purtroppo ha potuto avere un impatto significativo nelle realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi.

Come dichiarato da Feliciano Intini sul blog Microsoft NonSoloSecurity, attualmente, la nota positiva di questa vicenda è che la prima variante di WannaCry/WannaCrypt non è stata attrezzata con funzionalità in grado di carpire credenziali o loro derivati (hash) una volta infettato il sistema vittima. Ciò può essere segno della non volontà di approfittare dell’infezione ransomware per predisporre un attacco persistente. Questo discorso è valido, però, per la prima variante del virus e non esclude che ciò possa accadere da qui in avanti. Anzi, a questo punto purtroppo tale rischio è plausibilmente molto alto. L’efficace approccio phishing>ransomware+worm utilizzato da Wanna Cry può essere verosimilmente usato per realizzare la base per attacchi persistenti, molto più pericolosi da rilevare.

Contratto il ransomware, esso fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file, in certi casi anche importanti. A quel punto diventa inutile pensare ai mancati aggiornamenti, alla mancata attenzione e ai mancati backup.

Dopo aver predisposto gli interventi urgenti contro questa prima ondata di virus è perciò necessario approcciare alla sicurezza aziendale in maniera consapevole e sistematica. La consapevolezza di quel che si fa online, unitamente all’utilità di software antivirus e ad una necessaria informazione quotidiana, consentono di evitare la maggior parte dei rischi.

5 punti per proteggersi da WannaCry

5 punti per proteggere i sistemi aziendali da WannaCry prevenendo i suoi attacchi

Anche se al momento l’attacco di WannaCry è stato bloccato, è facile aspettarsi una seconda versione capace di aggirare il tipo di blocco operato. In generale, dunque, è necessario mettersi al sicuro da questo virus in maniera preventiva.

Azioni  da effettuare per i clienti Windows:

  1. Aggiornare con urgenza i sistemi operativi, adottando appena possibile le versioni più recenti del software in uso. Per quanto riguarda i sistemi operativi Microsoft vi consigliamo di adottare al più presto Windows 10 per i client e Windows Server 2016 per i server.
  2. Proteggere le proprie cassette postali adottando filtri capaci di rilevare attacchi 0-Day e spam cryptolocker con Office 365 Advanced Threat Protection. ATP è l’unico filtro capace di bloccare a monte comunicazione “infetta”, tramite un sofisticato sistema che funziona come una camera di “detonazione”. Ciò è necessario perché le email di phiscing con allegati infetti e link pericolosi, sono il vettore di attacco primario dei virus.
  3. Aggiornare i sistemi anti malware che funzionano “a valle”in grado di rilevare la minaccia una volta nota. Dunque, aggiornare Windows Defender, aggiornamento già disposto da venerdì 12 maggio.
  4. Adottare sistemi e soluzioni di Windows Defender Advanced Threat Protection. Essi consentono tipicamente di rilevare e fermare “a monte” l’attività anomala del codice worm, che tenta l’automatica propagazione tramite la rete. Questa attività malevola è rilevabile solo da moderne soluzioni di endpoint protection di tipo anti- APT, come Advanced Threat Protection, detto filtro ATP, appunto.
  5. Implementare sistemi e servizi che consentono il versioning: utilizzando sistemi di archiviazione documentale basate sul cloud compunting come OneDrive for Business. Ciò vi consentirà di recuperare la versione originale dei file, prima che essi vengano cifrati dal ransomware. Questo perché i servizi Office 365 e OneDrive for Business, offrono la possibilità di mantenere (e condividere) lo storico delle versioni (versioning), facendo sì che ogni modifica apportata al documento non annulli la versione precedente. Inoltre, l’adozione di Virtual Machine ospitate dalla piattaforma Azure nella modalità IaaS garantisce che le stesse siano fornite perfettamente aggiornate con le necessarie patch di sicurezza.

Perché scegliere Windows 10

In ultimo, mentre le versioni precedenti di Windows sono più esposte a WannaCry, Windows 10 al momento è stato considerato quasi immune. Il virus sfrutta esploit già collaudati ed efficaci sulle versioni più datate di Windows, magari non adeguatamente aggiornate. Windows 10, invece, è strutturalmente più robusto e ha trasformato la modalità di aggiornamento verso gli utenti finali, rendendo obbligatoria l’istallazione della patch di sicurezza quando rilasciate, il secondo martedì del mese.

WannaCry: sicurezza aziendale a rischio

WannaCry: sicurezza aziendale a rischio? Proteggere la vostra Organizzazione da attacchi hacker


Il tema della sicurezza sta interessando gli argomenti di questo blog sin dai suoi primi articoli. Questo perché a dare il via a questo spazio è stata proprio la necessità di raccontare meglio i prodotti e servizi Microsoft. Conseguentemente, comprendere il loro livello di sicurezza e compliance diventa fondamentale.

Oggi, torniamo a parlare di sicurezza, concentrandoci sempre sulle aziende, maggiormente esposte agli attacchi rispetto agli utenti. Nel farlo, ricordiamo proprio delle recenti campagne malware di livello mondiale. Denominato #WannaCry, anche detto #WannaCrypt , #WannaCryptor, #Wcry, è questo il tipo di virus che sta preoccupando attualmente ogni organizzazione.

Riportando le indicazioni ufficiali di Microsoft, vogliamo fornirvi informazioni utili circa il da farsi per prevenire e contrastare tali attacchi.

WannaCry: sicurezza aziendale a rischio. Metodi e strategie per non essere attaccati

In questa situazione di preoccupante vulnerabilità, emergono le potenzialità dei prodotti e servizi Microsoft, per i quali l’attenzione alla sicurezza è costante. Queste vicende, consentono, inoltre, di capire meglio i vantaggi del modello di Windows as a Service.

Tale approccio risulta contribuire a migliorare il livello generale di sicurezza dell’ecosistema globale. Le patch di sicurezza vanno installate non appena disponibili. Solo l’innovazione costante può garantire un efficace contrasto all’altrettanto rapida evoluzione delle minacce.

Microsoft ha già rilasciato una patch di aggiornamento utile a contrastare questi virus, gratuita anche per sistemi operativi ormai fuori supporto (download MS17-010 Security).

Si invita chi non l’avesse ancora fatto, ad aggiornare. Vi riporteremo informazioni utili, indicazioni e “buone pratiche” atte a prevenire e proteggere i vostri sistemi da WannaCry e simili.

Legge sullo Smart Working in Italia

Finalmente la legge sullo Smart Working in Italia


Legge sullo Smart Working in Italia

Le esigenze personali e professionali negli ultimi anni sono profondamente cambiate. La legge sullo Smart Working in Italia introduce tale norma così.” Occorre quindi non già fissare questi cambiamenti immaginando di codificarli in nuove norme, destinate ad essere sempre incapaci di comprendere una realtà dalle molte sfaccettature e in rapido divenire. Inoltre individuare strumenti duttili, utili ad accompagnare l’impiego delle tecnologie, in modo che esprimano tutti i vantaggi potenziali per i lavoratori e per le imprese. Si avvera, in questo modo, il superamento della rigida distinzione.”

La legge “promuove il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti”. Lo stipendio e il trattamento normativo del lavoratore agile fanno riferimento al contratto collettivo. Saranno gestite inoltre in maniera del tutto simile agli altri contratti.

Finalmente il lavoro autonomo e il lavoro agile godono di norme che lo promuovono e lo sostengono con la Legge sullo Smart Working in Italia!

Maggiori informazioni su Decreto Legge

Gestire al meglio lo Smart Working per aumentare la produttività nella tua organizzazione

Lo smart Working, il lavoro 4.0, oggi è una realtà che pratichiamo in maniera del tutto naturale. Anche noi di Infoservice ci affacciamo a questo nuovo modo di lavorare e collaborare. Sulla scia delle grandi aziende come Ferrovie dello Stato, Microsoft, Fastweb Già adesso sono più di 250mila, nel solo lavoro subordinato, i lavoratori che godono di discrezionalità nella definizione delle modalità di lavoro in termini di luogo, orario e strumenti utilizzati, e rappresentano circa il 7% del totale di impiegati, quadri e dirigenti.

La situazione è ormai chiara: “Dati alla mano, lo Smart Working aumenta la produttività dei dipendenti dal 15 al 20%, riduce drasticamente l’assenteismo e migliora il clima aziendale” (Gregorio Fogliani, presidente di Qui! Group).

Evidente che non possiamo pensare di tirarci indietro e come aziende dobbiamo apprendere le tecnologie a sostegno di questa realtà in rapido divenire, accompagnare l’impiego delle risorse. Lo smart working è un nuovo modo per organizzare il lavoro ed ogni organizzazione può studiare delle diverse modalità di attuazione. Flessibilità orari, libertà di lavorare da casa o da altri luoghi e soprattutto uso intelligente della tecnologia…

Nel farlo noi, lo proponiamo alle altre aziende nell’ottica di fare rete fra imprese fornendo sempre il meglio ai nostri partner e clienti! Per aumentare la produttività e la flessibilità della tua organizzazione, oggi ti offriamo uno strumento altrettanto flessibile nella sua acquisizione: Office365!

Non vediamo l’ora di condividere con voi una delle più importanti e attuali opportunità per aumentare e sostenere la produttività aziendale. Non aspettare ancora, contattaci subito!