SECURE FILE TRANSFER – Scopri i settori di mercato di MOVEit!

MOVEiT è la soluzione di Progress per trasferire i dati in modo sicuro, assicurando la conformità e automatizzando facilmente i trasferimenti controllando l’accesso degli utenti.

I settori di mercato di MOVEit

Le aziende di molti settori di mercato beneficiano della soluzione di MOVEiT che fornisce una collaborazione sicura e trasferimenti automatici di file di dati sensibili e funzionalità avanzate di automazione del flusso di lavoro senza la necessità di scripting sia in locale che cloud.

  • Banche, Finanze e Assicurazioni
  • Sanità
  • Pubblica amministrazione centrale e locale
  • GDO e Retail
  • Istruzione, Università e Ricerca
  • Manufacturing
  • Trasporti

 

L’architettura flessibile di MOVEit ti consente di scegliere le funzionalità esatte per soddisfare le esigenze specifiche della tua organizzazione.

Contattaci per saperne di più: commerciale@n4b.it

Read More

GDPR – Trasferimento dei dati all’estero e Garanzie Essenziali Europee – After Schrems II

Sono uscite le sentenze Schrems I e Schrems II. Quindi, oggi, sappi che trasferire dei dati in America – USA – è un po’ come trasportare la droga da un paese all’altro: bisogna stare attenti. O sei autorizzato o altrimenti “ti ingabbiano” (o quasi). Bene. L’EDPB (European Data Protection Board) ha definito quali sono le garanzie essenziali europee da rispettare quando si GDPR – Trasferimento di dati all’estero e Privacy Shield, cioè quando si trasferiscono informazioni sui cittadini europei al di fuori dell’UE.

Cos’è l’EDPB?

È il Comitato europeo per la protezione dei dati. Riunisce le Autorità dei vari Stati membri dell’UE che hanno il compito di tutelare la protezione dei dati personali e la privacy: Garante italiano, Garante francese, tedesco e così via.

Cosa sono le garanzie essenziali europee?

Sono le garanzie che devono essere rispettate per essere sicuri che, nel trasferimento di dati personali all’estero, le ingerenze delle autorità pubbliche di controllo dei paesi terzi – l’FBI e gli altri – “non eccedano quanto necessario e proporzionato in una società democratica e che siano giustificabili per le norme europee”.
In soldoni: che i dati personali di Antonio, di Peppino e di Giulia, se finiscono in un server in California, siano tutelati e che vengano protetti rispettando un livello di sicurezza in linea con quello europeo.
Questo è il quadro. Cosa bisogna fare quando si traferiscono dati all’estero?
Come essere tranquilli che il paese terzo rispetti le garanzie essenziali europee?
Ne hanno parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, Andrea Chiozzi, CEO di Privacylab e Christopher Schmidt, Avvocato e DPO, che ha lavorato anche per l’Autorità garante per la protezione dei dati dell’Assia. Ecco un estratto della LIVE……

Oggi, trasferire dati in USA è considerato “non sicuro”

Andrea Chiozzi: La Corte di giustizia europea è uscita con la sua sentenza: la Schrems II. Secondo me per l’80% ha deciso col buon senso, ma io ci metto un 20% di sciocchezza, perché – parere mio – è un po’ fuori dal tempo… Però per l’80% la decisione è stata assolutamente corretta: c’era da dare un freno a uno strapotere di alcuni (leggi le multinazionali americane) nel trattamento di dati personali. Questa situazione ha fatto scatenare il panico e ha fatto sì che gli USA siano diventati non sicuri. Il tema, quindi, è di grande attualità. In questo momento, qual è la tua più grande preoccupazione legata al trasferimento dei dati e alla gestione dei dati personali, quando li dobbiamo dare a qualcuno al di fuori dell’UE?

Christopher Schmidt: È diventato tutto talmente complesso che non so più come spiegarlo in modo semplice. Ci sono limiti mentali, tecnici, legali, economici e ho paura che la protezione dei dati non sia compresa, a causa della frammentazione delle fonti pubblicate dalle Autorità e della complessità della materia. Le persone cercano risposte semplici a domande difficili, ma non c’è mai una soluzione semplice.

Andrea Chiozzi: Sono assolutamente d’accordo: si è alzata l’asticella dell’attenzione e non sempre la stessa soluzione è applicabile a tutti i contesti. Ognuno deve guardare quello che fa effettivamente e scegliere la sua strada. Ora, con la sentenza Schrems II, essendo gli USA uno Stato non sicuro, secondo te, l’unica soluzione che abbiamo per poter trasferire dei dati in America è basarci sull’art. 49 o vedi uno scenario più ampio di questo?

Christopher Schmidt: Non c’è solo l’articolo 49 del GDPR. Si possono applicare anche altri metodi e usare altri strumenti. Per esempio, l’art 45 e l’art 46, che aiutano ad analizzare e mappare i propri trasferimenti. Si possono usare le Standard Security Clauses, le clausole tipo, ad esempio, e adottare se possibile un codice di condotta.

Standard Security Clauses e trasferimento di dati all’estero. Occhio che non ci sono solo gli USA…

Andrea Chiozzi: È cambiato qualcosa sulle Standard Security Clauses? Pensi siano ancora un buon punto di partenza? Per esempio, io adesso sto consigliando così: se vuoi trasferire il dato in una struttura che sta in America e ha i server in America, pensaci due volte…
Christopher Schmidt: Il primo passo è chiedersi: di quali paesi stiamo parlando? Per esempio, se si tratta del Canada, va bene. Siamo tranquilli. Per ora c’è una decisione di adeguatezza. Anche per il Regno Unito c’è, ma solo fino a fine aprile 2021, dopo non sapremo se il livello è adeguato. Le Standard Security Clauses sono importanti, ma basarci solo su queste clausole tipo non basta. Ci serve soprattutto una valutazione d’impatto del trasferimento. Quali conseguenze ci sono se i dati vengono trasferiti in un paese terzo? Può esserci un rischio? Per esempio, può esserci un rischio talmente grande – perché le misure sono incompatibili con le regole europee – che il trasferimento non è proprio possibile. E se si decide di fare il trasferimento usando misure ulteriori, va documentato.

Andrea Chiozzi: Sono d’accordo sul fatto di essere consapevoli e di dare evidenza del passaggio che si è fatto. Oggi dire “I dati devo darli a Google, per forza…Come faccio a non darglieli?” non va più bene né per le grandi strutture, né per le piccole. Non è semplice, ma l’importante è dare evidenza e sapere a chi stiamo dando i dati (Leggi il contributo GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2. )
Non basta guardare se il fornitore sul suo portale web dice “Io sono a norma GDPR” per essere sicuri che sia a norma. MailChimp, per esempio, è uno di quelli che dice di essere a norma ma, secondo me, è lontano dall’esserlo, in questo momento. E l’Autorità garante tedesca si è espressa da poco proprio su MailChimp, dichiarando illegittimo il trasferimento dei dati in USA.

Christopher Schmidt: Mostrare che stiamo facendo progressi è importante. Ma non siamo noi, le imprese e i privati, che hanno bisogno di usare, per esempio, un servizio di videoconferenza, a decidere. Al momento, dato che in Europa non ci sono servizi alternativi, dobbiamo per forza servirci di quelli realizzati da fornitori nei paesi terzi. Sono le Autorità a verificare se i paesi terzi – USA e Cina per esempio – rispettano le garanzie essenziali europee e per questo ci vorrà un po’ di tempo.

Informativa chiara, semplice e trasparente SEMPRE, anche quando comunichi che c’è un trasferimento di dati all’estero

Andrea Chiozzi: Ritieni che debbano essere cambiate anche le informative agli interessati? Nell’informativa dobbiamo dire, ovviamente, che c’è un trasferimento di dati all’estero. Ma secondo te dobbiamo inserire anche la base giuridica? Perché, in Italia, a mio parere, alcuni consulenti nell’informativa stanno iniziando ad elencare in maniera pericolosa – non dico sbagliata, ma pericolosa – qual è l’articolo che ti permette di fare il trasferimento. Quando oggi potrebbe essere un articolo del Regolamento, domani un altro e così via. E dopo i titolari sono sempre costretti a cambiare le informative… Secondo te, nell’informativa, basta dire: “Guarda, trasferisco questi dati all’estero, se vuoi altre informazioni, me le chiedi”. Oppure bisogna mettere tutto nell’informativa?
Christopher Schmidt: Se dai 40 pagine all’interessato e dici “leggitela” è tutto facile… Ma io penso alla trasparenza. Penso all’interessato che si scarica un’applicazione e si deve leggere 40 pagine senza capire nulla e che finisce per chiedersi ”Cosa volete dirmi?” Bisogna semplificare le cose, senza promettere il mondo, dicendo da noi è tutto sicuro, non succederà nulla, tutto va bene… L’informativa deve essere breve, chiara, senza semplificare troppo e adattata al contesto: sulla App c’è poco spazio, sul sito web ce n’è di più, il testo va adattato al mezzo e al contesto. Poi diamo la possibilità di approfondire. Attenzione, però, che in molti casi, le misure tecniche usate per tutelare i dati sono protette. Non puoi parlare delle misure tecniche che sono state implementate. Attenzione a questi dettagli. Ed è importante aggiornarla spesso.

Un settore in cui si multa tanto sono proprio le informative: attenzione a farle comprensibili, semplici e oneste. 

Quali sono i rischi per chi trasferisce dati all’esterno? 
Cerchi esempi, casi concreti di aziende, informazioni su piattaforme, tools e strumenti?
Ascolta l’intervista completa su Raise.

Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE : BLOG Privacylab – Di Andrea Chiozzi – CEO Privacylab
Articolo tratto dall’intervento di Christopher Schmidt su RAISE Academy.
Adattamento: N4B SRL – Distributore Privacylab
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Trasferimento di dati all’estero e Privacy Shield

La Corte di Giustizia Europea ha annullato la decisione della Commissione Europea che dichiarava adeguato l’accordo Privacy Shield per i trasferimenti di dati tra Unione Europea e Stati Uniti. E adesso cosa deve fare chi usa Google, Amazon e tutti i servizi con server americani? Perché trattare dati e inviarli a fornitori USA, oggi, vuol dire fare un trasferimento di dati all’estero senza avere la base giuridica.

Questo argomento è stato al centro della LIVE di Raise Academy di Privacylab che ha visto protagonisti Andrea Chiozzi CEO di Privacylab, l’Avvocato Luca Bolognini Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC ed il Dottor Luigi Montuori Dirigente del Servizio relazioni comunitarie e internazionali presso l’Autorità Garante per la protezione dei dati personali.

Di seguito un estratto della LIVE….

È caduto il Privacy Shield. E adesso?

Andrea Chiozzi: Qual è in questo momento la vostra più grande preoccupazione legata alla decisione della Corte di Giustizia Europea?

Avvocato Bolognini: A me preoccupano le ricadute operative per aziende, enti, professionisti e semplici utenti privati dei servizi, che rischiano di veder disattivare funzionalità comode, utili e in alcuni casi abilitanti l’esercizio dei diritti e delle libertà, se la sentenza della Corte di Giustizia Schrems II viene interpretata in maniera molto rigida. Appena letta la sentenza, anche io sono saltato sulla sedia. Poi, quando sono uscite le FAQ dello European Data Protection Board, ho tirato un sospiro di sollievo, perché ho trovato quella proporzionalità e quella ragionevolezza che mi aspettavo. Perché sono saltato sulla sedia? Be’ io penso che si possa criticare una sentenza della Corte di Giustizia sul piano giuridico e sono felice, occupandomi di questa materia, quando questi temi vengono trattati dal massimo organo giurisdizionale dell’Unione Europea. Di primo acchito, però, ho visto nelle pieghe di quella sentenza e delle sue motivazioni, forse una qualche sproporzione nel peso dato al diritto della protezione dei dati, rispetto al bilanciamento con altri diritti e libertà personali. Anche le istituzioni europee hanno il dovere di procedere e di decidere sempre rispettando il principio di proporzionalità. Ce lo dice l’articolo 5 del Trattato sull’UE e l’articolo 52 della Carta dei diritti fondamentali dell’Unione Europea.

Quindi, anche la Corte di Giustizia dell’UE, nel formulare un giudizio, dovrebbe considerare le conseguenze di ciò che la propria decisione può comportare sulla tutela di altri diritti e libertà fondamentali ed inviolabili, penso alla libertà di espressione, tra le tante. Mi è sembrato che in quella decisione, la Corte abbia guardato un po’ troppo al perimetro della protezione dei dati personali e non troppo bilanciando con altri diritti e libertà. Per il resto, la Corte di Giustizia fa il mestiere di chi interpreta e applica di diritto dell’Unione Europea, che è scritto in maniera forse migliorabile in certi punti. Non è certo responsabilità della Corte nell’interpretare il diritto esistente.
Senza proporzionalità e gradualità, rischiamo di fare lo switch-off di servizi che sono essenziali per la nostra produzione, per i nostri uffici, ma anche per l’esercizio di altri diritti degli utenti. Quindi una soluzione tranciante non mi pare la strada giusta e non mi pare neanche nello spirito dei trattati.
Dottor Montuori: Nel 2016, dopo la prima decisione che riguardava il Safe Harbor, ho avuto il piacere e l’onore di ascoltare il giudice che aveva preso la decisione che aveva generato il panico nelle lobby delle ambasciate americane in tutti gli USA e le preoccupazioni degli organismi confindustriali. Erano tutti preoccupati per le ripercussioni della decisione. Le ripercussioni non riguardavano solo le aziende USA, ma anche le nostre. Mi colpì quello che ci disse “Non crediate che non abbia ricevuto pressioni. Ho ben presente le preoccupazioni. Ma sono un giudice. Io devo prendere decisioni e fare valutazioni. Dovevo decidere se il Safe Harbor fosse in linea o meno con quanto previsto nei trattati. E non avevo dubbi che quei parametri fossero violati al 100%, quindi non potevo fare un passo indietro. Io faccio il giudice.” Quindi, di fatto, non è solo la Corte di Giustizia che fa il suo lavoro. Il problema è quello che viene fatto a monte.

Base giuridica e clausole contrattuali

Andrea Chiozzi: Ho assistito a semplificazioni selvagge su come affrontare il Privacy Shield che vanno dal “fregatene, tanto non è cambiato nulla” al “Bene gli USA sono considerati uno Stato non sicuro, quindi blocchiamo tutto!”. Ai sensi del GDPR, per fare un trasferimento, dobbiamo considerare le condizioni poste dall’articolo 49? O la situazione è più complessa? Potete darci qualche indicazione generale?

Dottor Montuori: Come ha fatto del male, la Corte di Giustizia con la sentenza sul Privacy Shield ha fatto anche del bene: ha detto che le clausole contrattuali standard vanno bene. Poi ha detto: nonostante il Privacy Shield, esiste ancora la legislazione degli USA che comunque non dà quelle garanzie richieste ai nostri dati, nel momento in cui arrivano in America e sono trattati da soggetti titolari del trattamento come società di telecomunicazionisocietà che gestiscono internet e posta elettronica. Per questi soggetti la normativa USA prevede delle deroghe nei diritti e quindi, per fini di sicurezza nazionalelo Stato può acquisire le informazioni personali in modo molto libero. È per questo motivo che il Privacy Shield non vale, ma tutto il resto sì.

Quindi la palla torna ai titolari del trattamento e alle autorità garanti. E cosa devono fare i titolari del trattamento? Per prima cosa devono verificare qual era la base giuridica che usavano nel momento in cui trasferivano dati verso gli USA e vedere se lo facevano in base al Privacy Shield.
Se è così, adesso non hanno la base giuridica. Quindi non possono usarla e devono vedere se ce ne sono altre.

Le clausole contrattuali standard sono tuttora valide: nel momento in cui uso le Standard Security Clauses (SSC) e voglio trasferire dati negli USA, il fatto che la normativa USA non sia in linea non mi pregiudica il fatto che io possa usarle.

Quindi io titolare cosa devo fare? Devo vedere se le circostanze, il tipo di dati che tratto, le modalità con cui faccio il trasferimento, le misure che posso introdurre, possono rendere legittimo questo trasferimento.

Cosa abbiamo fatto come Garante. Abbiamo pubblicato subito un documento con dei chiarimenti, e poi abbiamo detto: guardate che poi ci riuniremo per ulteriori chiarimenti.

Andrea Chiozzi: Le Standard Security Clauses restano valide quindi e se sì, in che modo?

Avvocato Bolognini: Restano valide e non c’è dubbio. Il problema è che la valutazione viene rilanciata nelle mani delle autorità e nell’accountability dei titolari. Sono d’accordo col Dottor Montuori e credo che si possa fare qualcosa nella farcitura delle appendici.
Mi spiego. I provider USA possono essere controllati dallo Stato USA e sarebbe assurdo pensare che quello che non è riuscito a fare il Privacy Shield – un grande accordo governativo – potrebbe farlo un semplice contrattino tra le parti. Ma con quelle che ho chiamato farciture si potrebbe includere nell’appendice delle SSC, per esempio, la previsione di particolari tipi di misure tecniche che tolgano dalla disponibilità del provider l’accessibilità dei dati in chiaro.
Dottor Montuori: Non esistono solo gli USA e l’UE. Cosa succede al di fuori dell’UE? Già da oggi come facciamo quando trasferiamo dati che non hanno ottenuto il riconoscimento di adeguatezza della Commissione Europea? Al di là dell’adeguatezza del Paese terzo, abbiamo anche altri strumenti:
  • le clausole contrattuali tipo, che sono anch’esse adottate dalla Commissione Europea: clausole tipo di protezione dei dati che vengono incorporate in questi contratti, stipulati tra titolare o responsabile che sta in UE ed esporta il dato, ed il titolare o responsabile, che è un importatore e sta nel paese extra-UE. Devono contenere garanzie adeguate, essere vincolanti e azionabili dagli interessati, evitando di richiedere delle autorizzazioni nazionali. Quindi sono utilizzabili immediatamente purché non vengano modificate.
  • Poi c’è uno strumento in Italia poco usato, ma che lo è molto fuori dall’UE: le norme vincolanti d’impresa (Binding Corporate Rules, BCR) disciplinate dall’art 47 del Regolamento, approvate dall’Autorità nazionale competente, che regolano i flussi interni ad un gruppo multinazionale di imprese, cioè i flussi interni al gruppo a livello mondiale. Devono essere norme vincolanti e prevedere diritti azionabili da parte degli interessati.

E le web agency: cosa devono fare?

Andrea Chiozzi: Abbiamo una situazione dove tante piccole aziende, che erogano servizi di comunicazione digitale, utilizzano strumenti che trattano dati di persone fisiche su server americani: web agency che fanno siti web, usano il Pixel di Facebook per recuperare e gestire dati personali per conto di un titolare che magari vende online. Come devono procedere? Devono comunicare al titolare che sta usando strumenti in America in modo che decida cosa fare? Come possono lavorare? Usare solo provider europei?

Avvocato Bolognini: Le situazioni che menzioni sono particolari, ma frequentissime. Riguardano la millefoglie delle subforniture. Finché il mio rapporto giuridico è diretto col provider extra UE mi porrò io questi problemi. Stringerò clausole standard e misure ulteriori. È vero che spesso la filiera si allunga. Per esempio, è il caso della web agency italiana o della software house, che si avvale di un Cloud extra UE. Resta sempre al titolare del trattamento la responsabilità. E dire “non lo sapevo” non è abbastanza né sufficiente, perché deve indagare ed esigere di sapere chi sono i subfornitori di tutte le componentistiche del servizio. Tuttavia, l’art 28 del GDPR prevede una forma di responsabilizzazione anche in capo al responsabile del trattamento e dei sub responsabili del trattamento. Il responsabile del trattamento deve segnalare al titolare del trattamento se ci sono elementi che possono rivelarsi in contrasto con la normativa o se le sue istruzioni non sono conformi con gli obblighi del trattamento.

È vero che sono adempimenti che incombono soprattutto sul titolare, ma un responsabile del trattamento professionalmente e sistematicamente impegnato, non può dire “non sapevo di dover segnalare al titolare” oppure “nel contratto di servizio, il titolare non mi ha chiesto espressamente di segnalare queste cose.” È prevista comunque una perizia, una diligenza nei comportamenti, che non può esimerlo dal fatto di dire che c’è un trasferimento di dati all’estero. È previsto che siano proattivi in questo senso. Quindi: massima responsabilizzazione del titolare del trattamento ma responsabilizzazione anche dei fornitori.

FONTE : BLOG Privacylab – Di Andrea Chiozzi – CEO Privacylab
Articolo tratto dall’intervento dell’Avvocato Luca Bolognini e del Dottor Luigi Montuori su RAISE Academy.
Adattamento: N4B SRL – Distributore Privacylab
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

SICUREZZA IT – Comprensione della crittografia PGP

PGP (Pretty Good Privacy) è un programma di crittografia utilizzato per inviare informazioni altamente sensibili su Internet. Si basa su una combinazione di metodi di crittografia a chiave pubblica e metodi di crittografia più tradizionali per proteggersi dagli aggressori. Generalmente la crittografia PGP, insieme ad  altre forme di protezione dei dati, può essere una parte preziosa della strategia di sicurezza dei tuoi clienti.

Agli albori della crittografia, un utente creava un codice o una chiave e la utilizzava per crittografare le informazioni sensibili che stava cercando di inviare. La stessa chiave utilizzata per crittografare la chiave è stata utilizzata anche per decrittografarla. L’uso di una chiave per crittografare e decrittografare è noto come crittografia tradizionale a chiave simmetrica. È fantastico, tranne che per un fattore non così piccolo: puoi inviare il messaggio crittografato, ma affinché il destinatario capisca il messaggio ha bisogno della chiave. È qui che entra in gioco il rischio. Una chiave in transito è in balia degli aggressori che cercano di intercettare il messaggio, impadronirsi della chiave e, successivamente, ottenere l’accesso a dati e informazioni altamente sensibili.

Cos’è una chiave di crittografia PGP?

Se ti stai chiedendo cosa sia una chiave PGP, in effetti, è più di una singola chiave: è un termine usato per descrivere una coppia di chiavi pubbliche e private che lavorano insieme per crittografare e decrittografare le informazioni. 

PGP è stato sviluppato da Phil Zimmerman nel 1991. Phil, un attivista antinucleare, credeva che il mondo avesse bisogno di un modo migliore per archiviare e inviare informazioni sensibili. Ha lanciato PGP come servizio gratuito e ha rapidamente guadagnato attenzione e popolarità.

Il modo in cui funziona PGP è che la crittografia si basa principalmente su una forma di crittografia a chiave pubblica. La crittografia a chiave pubblica richiede l’uso di due chiavi, una chiave pubblica e una chiave privata, ed è considerata un approccio di crittografia asimmetrica. 

  • Le chiavi pubbliche sono valori numerici di grandi dimensioni utilizzati per crittografare e-mail, testi e file. 
  • Le chiavi private sono algoritmi utilizzati per decrittografare tali informazioni.

Per dirla semplicemente, un utente crea una chiave pubblica e la condivide con chi vuole. Questa chiave non deve essere un segreto. In effetti, un utente può persino pubblicare apertamente la propria chiave pubblica, consentendo a chiunque di accedere alla propria chiave e utilizzarla per inviare loro informazioni. 

È la chiave privata che deve essere protetta. Un utente sfrutta la chiave privata per decrittografare le informazioni che sono state crittografate utilizzando la propria chiave pubblica. Nessun altro dovrebbe avere accesso alla propria chiave privata tranne che per loro.

Esistono diversi algoritmi di crittografia a chiave pubblica ampiamente approvati. I programmi PGP utilizzano i due algoritmi più popolari che prendono il nome rispettivamente dai loro investitori e inventori.

  • Diffie – Hellman (DH) – DH è stato uno dei primi algoritmi a chiave pubblica ed è stato originariamente utilizzato dall’agenzia di intelligence britannica nel 1969, ma non è diventato un algoritmo pubblicato fino al 1975.
  • Rivest – Shamir – Adleman (RSA) – Nel 1977,  gli scienziati informatici del MIT Ron Rivest, Adi Shamir e Leonard Adleman hanno annunciato RSA.

L’inizio di OpenPGP

L’efficacia e la popolarità di PGP lo hanno portato a ottenere un’attenzione negativa da parte del governo degli Stati Uniti. Perché? Poiché PGP non ha solo preso piede con gli americani, si è anche diffuso in paesi di tutto il mondo. Il governo credeva che PGP fosse un potente software crittografico che dovrebbe essere trattato come una forma di equipaggiamento militare, richiedendo quindi una licenza per essere esportato.

Con così tanti occhi sul programma, le questioni relative alle licenze e ai brevetti cominciarono ad abbondare: l’uso dell’algoritmo RSA era un argomento particolarmente caldo. C’erano anche molte aziende che volevano sviluppare il proprio software compatibile con PGP. Zimmerman pose fine a tutto questo nel 1997 quando chiese alla Internet Engineering Task Force (IETF) di trasformare PGP in uno standard Internet definito. Hanno accettato e OpenPGP è nato, consentendo così a chiunque di implementare la metodologia di crittografia PGP nel proprio software.

Come funzionano le chiavi PGP?

Sebbene la crittografia a chiave pubblica sia la spina dorsale di PGP, il programma si basa anche sulla tradizionale crittografia a chiave simmetrica, hashing, compressione e firme digitali. Quindi come funziona PGP nel suo complesso? Il processo è simile a questo:

  1. Compressione: il testo in chiaro è grande e occupa una quantità non necessaria di tempo di trasmissione del modem e spazio su disco. Un programma PGP comprimerà il testo in chiaro dell’utente per rendere l’intero processo più efficiente. Ciò riduce anche i modelli trovati nel testo in chiaro, rendendo più difficile la decifrazione per gli hacker.
  2. Chiave di sessione:  una chiave di sessione è una chiave una tantum utilizzata per crittografare il testo in chiaro compresso. Il testo in chiaro crittografato è noto come testo cifrato. Le chiavi di sessione si basano sulla crittografia tradizionale a chiave simmetrica per crittografare il messaggio grazie alla sua velocità ed efficienza.
  3. Crittografia a chiave pubblica:  questa chiave di sessione, utilizzata per crittografare l’intero messaggio, viene quindi crittografata dal software PGP utilizzando la chiave pubblica del destinatario Successivamente, la chiave di sessione crittografata con chiave pubblica e il testo cifrato vengono inviati al destinatario.
  4. Decrittografia della chiave privata:  il software PGP del destinatario fa affidamento sulla chiave privata per decrittografare la chiave di sessione, quindi utilizza la chiave di sessione decrittografata per decrittografare il testo cifrato. Una volta decrittografati, il destinatario può leggere chiaramente le informazioni sensibili inviategli.

Ci sono alcuni modi per portare PGP un ulteriore passo avanti per coloro che cercano di aggiungere ulteriori livelli di sicurezza:

  • Firme digitali:  pensa alle firme digitali come firme tradizionali più difficili da falsificare. Per creare una firma digitale, una funzione hash deve prima prendere il tuo testo normale e comprimerlo in un digest del messaggio. Il digest viene quindi crittografato con la chiave privata del mittente. Questo digest crittografato con chiave privata è la “firma digitale” e può essere inviato insieme al messaggio crittografato. Il destinatario può quindi utilizzare la chiave pubblica del mittente per decrittografare la firma digitale e verificare che il mittente sia chi dice di essere.
  • Certificati digitali:  un certificato digitale contiene la chiave pubblica del titolare del certificato e altre informazioni di identificazione, inclusa la firma digitale. Si tratta di credenziali di terze parti e verifica la credibilità del titolare del certificato per confermare che una chiave pubblica è collegata alla persona che pensi che sia.

Come ottengo la mia chiave pubblica PGP?

Per ottenere una chiave pubblica PGP devi prima scaricare il software PGP. La PGP Corporation originale di Zimmerman è ora di proprietà di Symantec. Esistono diversi prodotti Symantec sul mercato che utilizzano pratiche di crittografia PGP. Questi prodotti sono dotati di una varietà di campane e fischietti e un cartellino del prezzo.

La buona notizia è che non sei limitato ai prodotti Symantec se desideri un’esperienza PGP autentica. Dalla nascita dello  standard OpenPGP  di cui abbiamo discusso in precedenza, sono arrivati ​​sul mercato numerosi prodotti che sfruttano PGP. GNU Privacy Guard (GPG) è di gran lunga l’opzione gratuita più comune e completa disponibile.

Per ottenere la tua chiave pubblica devi prima selezionare quale programma PGP vuoi scaricare. Ogni programma avrà il proprio processo, ma in generale seguirai questo breve tutorial su PGP:

  1. Scarica un programma PGP sul tuo PC o Mac per iniziare.
  2. Quindi fare clic su “genera nuova coppia di chiavi” per aprire la funzione di generazione delle chiavi.
  3. Quando viene richiesto di selezionare “tipo di chiave”, scegliere l’impostazione predefinita del programma: le opzioni saranno HD o RSA, i due tipi più comuni di metodi di crittografia a chiave pubblica.
  4. Ti verrà quindi chiesto di aggiungere la tua email e una passphrase. Una passphrase è una password composta da numeri, lettere e caratteri. Più lunga è la passphrase, più è sicura. Tieni presente che hai la possibilità di modificare questa passphrase in qualsiasi momento.
  5. Una volta inviata la passphrase, il programma inizierà a generare la coppia di chiavi. Durante questo processo, il programma potrebbe chiederti di fare clic con il mouse e i tasti in modo casuale. L’obiettivo è creare entropia, una forma di casualità che può aiutare il software a rendere la tua chiave più sicura.
  6. Le tue chiavi saranno pronte in pochi secondi. Il software PGP aggiungerà queste chiavi ai tuoi portachiavi. I portachiavi sono file che si trovano sul tuo disco rigido. Dovresti avere un portachiavi per la tua chiave privata e un altro portachiavi per la tua chiave pubblica.

Ora che hai la tua chiave pubblica, come condividerla con altri in modo che possano inviarti informazioni sensibili? Ci sono alcuni modi per farlo. Uno è inviarlo direttamente tramite e-mail. Per fare ciò, apri semplicemente il tuo programma PGP ed esporta la chiave e allegala come file o copiala e incollala nel corpo della tua email.

Puoi anche caricare la tua chiave su uno o entrambi i due server di chiavi PGP pubblici: il server PGP e il server MIT. Per fare ciò, apri il tuo programma PGP e seleziona la tua chiave. Quindi trova il menu del server e premi “Invia a”. Ti verrà quindi chiesto di selezionare PGP o MIT. Scegli il server su cui desideri caricare la tua chiave. Ricorda: chiunque può accedere alla tua chiave pubblica quando è pubblicata su un server pubblico, ma va bene così. In effetti, questo è effettivamente il punto del server. Ciò che conta è che tu mantenga la tua chiave privata al sicuro in ogni momento.

Oltre a condividere la tua chiave con altri, è buona norma aggiungere le chiavi pubbliche delle persone a cui invii dati sensibili nel tuo portachiavi. Per fare ciò, importa la chiave, sia che ti sia stata inviata direttamente o che l’hai trovata su uno dei server pubblici, e salvala nel tuo portachiavi (ricorda, questo è semplicemente un file contenente chiavi pubbliche).

Come si crittografa un file utilizzando PGP?

Una volta che hai la tua coppia di chiavi, puoi iniziare a inviare e ricevere file crittografati. Ciò comporterà lo stesso processo che abbiamo descritto sopra:

  • Il testo normale è compresso
  • Viene generata una chiave di sessione una tantum
  • La chiave di sessione trasforma il messaggio di posta elettronica in testo cifrato
  • La chiave di sessione è crittografata con la chiave pubblica del destinatario
  • Il testo cifrato e la chiave di sessione crittografata vengono inviati al destinatario

Sembra complicato, ma un software PGP farà il lavoro per te. I passaggi esatti che intraprendi variano a seconda del tuo software PGP, ma dovrebbero assomigliare a questo:

  1. Inizia creando il messaggio che desideri crittografare.
  2. Una volta terminato, posiziona il cursore nel corpo dell’e-mail e apri il software PGP dalla barra degli strumenti.
  3. Nel menu del software PGP, seleziona “Finestra corrente” e quindi “Crittografa”.
  4. Ti verrà ora chiesto di selezionare la chiave pubblica della persona a cui desideri inviare la tua email: se hai salvato la sua chiave pubblica nel tuo portachiavi pubblico, dovrebbe essere qui.
  5. Successivamente inserirai la tua passphrase e premi “OK”, consentendo così al programma di trasformare il tuo messaggio in testo cifrato all’interno del corpo della tua email. Tutto quello che devi fare ora è premere “Invia”.

Il processo di decrittografia è simile, solo che questa volta stai utilizzando la tua chiave privata per decrittografare un messaggio che è stato crittografato da un mittente con la tua chiave pubblica. Ecco uno schema approssimativo del processo di decrittazione:

  1. Evidenzia il testo cifrato all’interno dell’email che hai ricevuto.
  2. Apri il tuo software PCP dalla barra degli strumenti.
  3. Nel menu del software PGP, seleziona “Finestra corrente” e quindi “Decrittografa”.
  4. Inserisci la tua passphrase quando richiesto e premi “OK”. Il testo decrittografato apparirà nella tua email.

Anche se non puoi vedere fisicamente i calcoli interni del tuo software PCP, stai certo che sta implementando chiavi di sessione, pubbliche e private per proteggere i tuoi messaggi.

PGP mi proteggerà dagli hacker?

La combinazione unica di PGP di crittografia a chiave pubblica, metodi di crittografia tradizionali, firme digitali e certificati aiuta a salvaguardare le informazioni sensibili inviate su Internet. Ma nonostante i suoi migliori sforzi, ci sono ancora opportunità per gli hacker.

La transazione dei metadati (indirizzo e-mail, riga dell’oggetto, dimensione del messaggio) è una delle principali aree di preoccupazione. Questi metadati vengono trasferiti come testo normale e possono essere utilizzati dagli hacker per analizzare le informazioni sul software di crittografia e identificare il destinatario/mittente, consentendo loro di eseguire attacchi mirati su qualsiasi punto debole del sistema che scoprono. C’è anche la possibilità che le chiavi private siano rubate. Con una chiave privata rubata in mano, un hacker può decrittografare i file sensibili inviati al proprietario della chiave privata.

Per gli MSP che desiderano proteggere i propri clienti da violazioni della sicurezza, l’implementazione di un software di monitoraggio delle minacce può essere d’aiuto. Questi strumenti sono progettati per sorvegliare le reti gestite e possono aiutarti a monitorare le minacce, rispondere a esse e generare rapporti che ti aiutano a rimanere conforme ai più recenti standard di sicurezza. 

Scopri le soluzioni N-ABLE e le loro funzioni

Contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG

Traduzione ed Adattamento: N4B SRL – N-ABLE Authorised Distributor

 

Read More

N-ABLE HEAD NERDS – Dovresti avere un team di automazione?

Negli ultimi mesi, ho avuto l’opportunità di prendere parte a diversi webcast, riunioni di gruppi responsabili tecnici e gestori di pannelli di automazione. Da quegli eventi sono scaturite alcune grandi discussioni, quindi ho pensato di scrivere una serie di articoli per condividere i punti principali di quelle discussioni. Spero che li troverai utili mentre lavori per far crescere la tua attività.

Nel primo di questi, esaminerò se è necessario investire in un team di automazione, un dipendente a tempo pieno per lavorare sull’automazione, o semplicemente dedicare alcune ore alla settimana o al mese a un tecnico per costruire politiche di automazione.

Per iniziare, scegliere come investire nell’automazione non è un processo valido per tutti. Ho visto fornitori di servizi gestiti (MSP) di grandi dimensioni creare un team di automazione completo quasi dall’oggi al domani. Ho anche visto MSP dedicare un’ora al mese all’automazione per vedere se vale la pena investire più risorse.

Come determini se ne vale la pena per te?

Vale sempre la pena dedicare un po ‘di tempo all’automazione. Investire un’ora per riparare autonomamente una pulizia del disco su laptop e workstation può rimuovere diverse chiamate a settimana, risparmiando più di un’ora a settimana di tempo per i tecnici. In alternativa, se addebiti tutti i tuoi servizi, puoi automatizzare il processo di pulizia quando il cliente chiama, consentendoti di fornire un valore affidabile ai tuoi clienti senza dover fare tutto a mano ogni volta.

Quindi, indipendentemente dalle dimensioni, in genere consiglio di dedicare uno dei tuoi tecnici all’automazione per alcune ore alla settimana per iniziare. Invitali a concentrarsi sull’automazione di alcuni degli elementi più comuni che fai su base ricorrente, come gli elementi dell’elenco di controllo, le richieste comuni dei clienti, le build del PC, l’onboarding degli utenti, ecc. e inizia a investire sempre più tempo.

Sentiti libero di chiedere aiuto quando inizi. Se sei un cliente N-ABLE, puoi porre domande durante l’orario d’ufficio dell’automazione, partecipare a un bootcamp o guardare un corso di automazione registrato presso l’ MSP Institute . In alternativa, puoi andare sui forum del Success Center di N-ABLE e chiedere aiuto lì.

Una volta iniziato, non perdere lo slancio. Investire sempre più tempo. Vedrai quanto tempo puoi risparmiare e quanto valore ti darà.

Se hai creato una politica di automazione e desideri condividerla con la comunità, non esitare a scrivermi a marcandre.tanguay@solarwinds.com .

Come sempre, non dimenticare di consultare il ricettario di automazione su https://success.n-able.com/cookbooks/ se sei interessato ad altre politiche di automazione, controlli degli script e servizi personalizzati.

FONTE: N-ABLE BLOG di Marc-Andre Tanguay*

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE

*Marc-Andre Tanguay è il capo nerd dell’automazione. Puoi seguirlo su Twitter all’indirizzo  @automation_nerd .

Read More

N-ABLE N-CENTRAL – Scopri le funzioni per la gestione delle patch per MSP

Per gli MSP la scelta e l’utilizzo di uno strumento di gestione delle patch è fondamentale.

In N-ABLE N-central 10, un product manager di patch ha guidato una riprogettazione del sistema di gestione delle patch N-central in un sistema basato su procedure guidate di facile utilizzo. Qui, tutti i livelli precedentemente necessari sono stati consolidati in una procedura guidata. Questo lavoro ha permesso ai nostri partner di applicare patch ai loro sistemi in modo efficace ed efficiente, senza dover dedicare molto tempo all’apprendimento o perdere un passaggio critico.

Ciò ha garantito che le configurazioni delle patch, le finestre di manutenzione, le approvazioni e il monitoraggio fossero alloggiate insieme e funzionassero in modo sincrono. È stato un enorme cambiamento nel sistema N-central ed è stato subito dopo che SolarWinds ha acquisito la soluzione N-central, quindi è stata anche una delle prime volte in cui abbiamo iniziato a utilizzare lo sviluppo UX per creare un’interfaccia utente intuitiva che i partner apprezzano.

Grazie all’utilizzo della Dashboard di N-Central gli MSP possono:

Distribuire automaticamente le patch in ambienti complessi e diversificati

Supportare i clienti con reti complesse può essere difficile per gli MSP a causa dell’enorme numero di  endpoint e delle potenziali vulnerabilità. Anche con un alto livello di visibilità, la gestione manuale delle patch è un processo che richiede tempo. Le solide capacità di automazione all’interno di N-ABLEN-Central ® lo rendono uno strumento efficiente per la gestione delle patch.

La soluzione N-grado N-central consente di visualizzare le reti dei clienti e gestire le patch da un unico dashboard. Il modulo di gestione delle patch trova le patch di software Microsoft e di terze parti e le installa automaticamente non appena diventano disponibili.

Gli MSP possono anche configurare regole per approvare o negare automaticamente determinate patch. Questo aiuta ad accelerare la gestione delle patch, permettendoti di concentrarti su operazioni più complesse.

Controllare lo stato delle patch sui siti dei clienti

Gli MSP dovrebbero documentare tutto ciò che fanno, ma questa best practice può essere impegnativa quando i tecnici applicano patch a vari endpoint e server, in più siti dei clienti, nel corso di un solo giorno.

La robusta reportistica all’interno di N-grado N-central consente agli MSP di controllare l’integrità dello stato delle patch tra diversi clienti. Report manager genera automaticamente report per attività ripetitive, inclusa l’applicazione di patch, e consente di personalizzare i report in base alle esigenze. Questi rapporti possono aiutare a garantire che nulla scivoli via e possono anche essere utili in caso di controlli o violazioni della sicurezza.

Contribuire a proteggere le reti dei clienti con gli strumenti di gestione delle patch

Una gestione efficace delle patch consiste nel tenere conto delle vulnerabilità del software e nell’aiutare a proteggere le reti dei clienti. La gestione delle patch in N-grado N-central aiuta gli MSP a rimanere aggiornati sugli aggiornamenti.

La gestione delle patch rilascia gli aggiornamenti separatamente dalla piattaforma N-central più ampia per garantire che gli MSP possano reagire rapidamente agli aggiornamenti Microsoft. Questo motore di patch leggero e indipendente significa anche che i tecnici non devono perdere tempo nell’aggiornamento dell’intero ambiente: le patch mirate possono essere rilasciate quando necessario.

N-grado N-central include anche patch integrate per reti offline senza richiedere agli MSP di aprire le porte del firewall a Windows Update. Allo stesso modo, lo strumento di gestione delle patch consente un flusso di lavoro organizzato per gli aggiornamenti cumulativi e solo per la sicurezza di Windows 10, inclusa la logica avanzata per gli aggiornamenti sostituiti. Ottimizzando questi vari processi di gestione delle patch, N-central lascia meno spazio per errori e vulnerabilità che i malintenzionati potrebbero tentare di sfruttare.

Ottenere l’accesso agli ultimi aggiornamenti senza la necessità di strumenti di terze parti

La gestione delle patch è un processo continuo. Man mano che il software si evolve, è necessario distribuire rapidamente nuove patch per affrontare le vulnerabilità non appena vengono identificate. Se moltiplicato per numerosi clienti, dozzine di software e applicazioni e migliaia di endpoint e server, rimanere aggiornati sugli ultimi aggiornamenti può diventare rapidamente difficile per gli MSP. Fortunatamente, gli strumenti di gestione delle patch possono aiutarti a tenerti aggiornato.

N-grado N-central è autoriparante, il che significa che monitora automaticamente Windows Update e aiuta a garantire che i tuoi dispositivi funzionino e siano pronti per gli aggiornamenti. Facilitando in modo proattivo la guarigione, gli MSP possono risparmiare tempo sui controlli manuali e passare direttamente alla distribuzione delle patch più recenti.

Non solo N-grado N-central aiuterà a mantenere aggiornati i dispositivi dei clienti, ma lo strumento rende il test di nuove patch indolore. Consentendo ai tecnici di distribuire prima le patch più recenti ai gruppi di test e di valutare se l’aggiornamento debba essere inviato ai dispositivi di produzione, questo strumento aiuta a garantire prestazioni ottimali per i dispositivi.

Scopri i vantaggi e le funzioni di N-ABLE N-Central, se desideri migliorare la protezione dei sistemi IT dei tuoi clienti, inizia con una prova gratuita di 30 giorni di N-ABLE N-Central  e contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG E SITO WEB N-ABLE – Contributo di Jason Murphy – N-central Automation Nerd di N-grado. Puoi seguirlo su Twitter su @ncentral_nerd o su reddit su u / ncentral_nerd

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE

Read More

SERVIZI MSP – L’importanza del Patch Management – N-ABLE N-Central

Per gli MSP la gestione delle patch è molto importante e per garantire un livello di servizio adeguato la scelta di uno strumento di gestione efficace ed efficiente diventa fondamentale. Ma quali sono i vantaggi di una gestione strutturata ed automatizzata attraverso un tool di patch management????

Vediamo di rispondere ad alcune domande fondamentali

Cos’è la gestione delle patch?

La gestione delle patch è una sottosezione della gestione dei sistemi che comprende test, installazione, monitoraggio e gestione di patch e aggiornamenti su un sistema informatico.

Nessun software è perfetto, quindi gli sviluppatori spesso rilasciano patch software o modifiche al codice ai programmi esistenti per correggere eventuali bug, difetti o vulnerabilità. L’applicazione di patch a un pezzo di software è relativamente semplice, ma diventa più impegnativa nelle reti complesse in cui potrebbe essere necessario applicare patch a molti dispositivi contemporaneamente. Gli strumenti di gestione delle patch aiutano a rendere questo processo più semplice e veloce.

Le tipiche attività di gestione delle patch includono:

  • Tenere il passo con le patch disponibili.
  • Determinare se le patch disponibili saranno appropriate per il sistema in questione.
  • Assicurandosi che le patch siano installate correttamente.
  • Test delle patch dopo l’installazione.
  • Documentazione delle configurazioni e delle patch richieste.

Come funziona la gestione delle patch?

Nei sistemi autonomi, il processo di gestione delle patch è semplice. Innanzitutto, il sistema operativo o le applicazioni su quel sistema eseguiranno periodicamente una scansione automatica per vedere se sono disponibili patch. Se vengono trovate nuove patch, queste verranno generalmente scaricate e installate automaticamente.

Nelle grandi aziende o negli ambienti aziendali, la gestione delle patch è leggermente diversa. La maggior parte delle aziende desidera mantenere la coerenza della versione del software nei propri sistemi e sarebbe un uso inefficiente della larghezza di banda per ogni computer all’interno della rete scaricare la stessa patch. Pertanto, molti amministratori IT optano per la gestione centralizzata delle patch.

Durante questo processo, un server di gestione delle patch centralizzato scarica una patch per conto dell’intera azienda e la distribuisce ai computer interessati.

Perché il software di gestione delle patch è importante?

Il software di gestione delle patch è importante per gli MSP perché aiuta a proteggere i propri clienti dai rischi per la sicurezza informatica. Bug e difetti di sistema possono creare vulnerabilità del software che gli hacker sfruttano per accedere a informazioni sensibili. L’applicazione di patch al software risolve questi problemi e riduce il rischio di attacchi informatici per i tuoi clienti.

Anche la gestione delle patch è importante perché aiuta a garantire che il software funzioni correttamente. Quando il software non ha patch o non è aggiornato, può causare rallentamenti che influiscono negativamente sull’esperienza dell’utente finale. Sulla stessa linea, l’applicazione di patch spesso aggiunge nuove funzionalità al software e consente di tenere il passo con le ultime innovazioni.

Quali sono alcune sfide comuni con la gestione delle patch?

Il problema più comune con la gestione delle patch è una patch “bacata”. Proprio come nessun software è perfetto, anche le patch a volte possono contenere errori. Occasionalmente, una patch introdurrà nuovi problemi in un sistema che prima non c’erano. Inoltre, a volte i sistemi disparati non ricevono le patch contemporaneamente.

Il software di gestione delle patch può aiutare con entrambi i problemi. Gli strumenti di gestione delle patch possono testare le patch prima della distribuzione per assicurarsi che non abbiano un impatto negativo sull’ambiente IT. Inoltre, l’utilizzo di un software di gestione delle patch per facilitare la gestione centralizzata delle patch automatizza l’applicazione delle patch e aiuta a garantire che tutto ciò che è connesso alla rete venga aggiornato in modo tempestivo.

Con quale frequenza devo installare le patch in un ambiente aziendale?

La frequenza con cui si installano le patch in un ambiente aziendale dipende da ciò che funziona meglio per l’organizzazione in questione. Alcuni MSP preferiranno mettere da parte alcuni giorni ogni due mesi circa per riparare tutto in una volta, mentre altri preferiscono eseguirli in batch ogni poche settimane. Ci vorranno alcuni tentativi ed errori per trovare la pianificazione delle patch che abbia senso per i tuoi clienti e la tua azienda.

Indipendentemente dalla frequenza di patch, assicurati di testare la patch prima di distribuirla nella rete del cliente. Quando sei soddisfatto di una patch, puoi utilizzare il software di gestione delle patch per automatizzare la distribuzione delle patch per rendere il processo più semplice e veloce.

Quali sono alcune best practice per la gestione delle patch?

Quando si tratta di gestione delle patch, ci sono alcune linee guida da seguire. Nel miglior modo possibile, prova a fare quanto segue:

  1. Fai un inventario completo e accurato delle infrastrutture dei tuoi clienti per assicurarti che nessun dispositivo o software venga dimenticato.
  2. Standardizza dispositivi e applicazioni ogni volta che puoi. La configurazione, l’hardware e i sistemi operativi standardizzati rendono la gestione delle patch molto più semplice e veloce.
  3. Scansiona e monitora regolarmente  i tuoi sistemi .
  4. Distribuisci le patch durante le ore non di punta in modo che non rallentino le reti o rendano inutilizzabili determinati programmi durante l’orario lavorativo.
  5. Documenta tutto ciò che accade prima, durante e dopo il rilascio di una patch. Strumenti di gestione delle patch con solide capacità di reporting aiuteranno in questo.
  6. Predisporre un piano per cosa fare se una patch distribuita causa problemi o se una vulnerabilità non viene applicata e causa una violazione della sicurezza.

Cosa rende N-ABLE N-Central un ottimo strumento di gestione delle patch?

N-grado N-Central è una potente piattaforma all-in-one di monitoraggio e gestione remota che aiuta gli MSP a controllare le reti dei propri clienti e massimizzare l’efficienza in diversi modi, inclusa la gestione delle patch.

Una solida automazione consente di distribuire facilmente le patch in ambienti complessi su più siti, indipendentemente da dove si trovino i clienti. N-ABLE N-Central aiuta a garantire che i tuoi dispositivi siano pronti per essere aggiornati con gli ultimi aggiornamenti. Lo strumento consente inoltre di distribuire patch per applicazioni di terze parti come Adobe e Java. Il report manager del programma semplifica la gestione dei report in modo da fornire frequenti controlli sullo stato delle patch per i clienti.

N-ABLE N-Central offre agli MSP gli strumenti di cui hanno bisogno per mantenere le reti dei loro clienti aggiornate e sicure. Se sei un MSP e vuoi scoprire tutte le funzioni di N-ABLE N-Central registrati per una trial gratuita di 30 giorni e contattaci per saperne di più: commerciale@n4b.it

FONTE: SITO WEB N-ABLE

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE

Read More

SICUREZZA IT – Sicurezza a più livelli nel 2021, prima parte: il panorama attuale

Gli MSP hanno il compito di proteggere i propri clienti dalle minacce informatiche. Anche se non sei principalmente nel settore della sicurezza, le PMI spesso non fanno la distinzione: spesso presumono che tu gestisca tutto ciò che è IT, inclusa la sicurezza.

I criminali informatici spesso innovano i loro mestieri, condividono le conoscenze con altri criminali e persino noleggiano servizi di malware sofisticati. Ciò significa che dovrai tenere il passo con gli strumenti di sicurezza più recenti per assicurarti di ridurre adeguatamente i rischi per la sicurezza.

In questo blog e nel successivo della serie, tratteremo alcune tendenze del crimine informatico e offriremo un modello di sicurezza a più livelli che puoi utilizzare per proteggere i dati dei tuoi clienti.

Tendenze degli attacchi informatici

Come accennato, i criminali informatici spesso innovano. Mentre molte minacce utilizzano metodi più vecchi e collaudati, alcuni hacker e criminali hanno spostato il crimine informatico in avanti creando nuovi attacchi o creando variazioni su standard precedenti.

Detto questo, diamo una rapida occhiata ad alcuni sviluppi:

  • Ransomware: i criminali informatici utilizzano ancora il ransomware tradizionale per crittografare macchine e dati. Ma con l’attacco ransomware Maze, abbiamo visto i criminali informatici minacciare di violare e rilasciare dati se le vittime non avessero pagato un riscatto. Ciò esercita un’ulteriore pressione sulle vittime affinché paghino.
  • Vettori di attacco: sebbene la posta elettronica rimanga uno dei principali vettori di attacco, abbiamo visto i criminali spostarsi sempre più verso attacchi che utilizzano porte aperte rivolte a Internet, in particolare il protocollo desktop remoto (RDP). Questo cambiamento ha preceduto la pandemia, ma è stato particolarmente devastante poiché le organizzazioni sono passate sempre più al lavoro a distanza.
  • Attacchi senza file: la maggior parte dei programmi antivirus sono progettati per analizzare solo i file. Per contrastare questo problema, i criminali informatici hanno sempre più utilizzato attacchi senza file che vengono eseguiti nella memoria di sistema in modo che i programmi AV non possano rilevarli. Un attacco senza file può sfruttare strumenti di amministrazione pre-approvati dalla maggior parte dei sistemi come PsExec o PowerShell per ottenere persistenza o causare danni.
  • Attacchi agli MSP: infine, abbiamo visto che il crimine informatico si rivolge sempre più a MSP, fornitori di servizi IT e fornitori di sicurezza. I criminali sanno che se compromettono un MSP, spesso possono accedere ai dati di più aziende. Di conseguenza, gli MSP devono prestare sempre maggiore attenzione alla propria sicurezza interna. In alcuni casi, gli MSP potrebbero voler assumere un MSSP esterno per controllare la loro rete interna o eseguire test periodici di penna per ridurre ulteriormente il rischio.

Il tema alla base della maggior parte di questi è che i criminali informatici hanno trovato sempre più modi per aggirare le difese. Ad esempio, Maze ransomware rende il backup e il ripristino discutibili, quindi dovrai concentrarti maggiormente sulla prevenzione del ransomware che sul ripristino (sebbene il backup e il ripristino siano ancora estremamente importanti, soprattutto per il ransomware tradizionale che comprende ancora la maggior parte degli attacchi). Gli attacchi senza file cercano di aggirare l’AV e spesso utilizzano strumenti amministrativi pre-approvati, quindi i programmi antivirus tradizionali potrebbero non essere in grado di rilevare questi attacchi.

La linea di fondo è questa: il livello di sicurezza continua a salire………..

Attacchi in più fasi

Un’altra tendenza importante da menzionare riguarda l’uso di attacchi in più fasi. L’esempio dell’intera catena di attacchi per il ransomware Ryuk può davvero aiutare a illustrare l’importanza di più livelli di sicurezza per potenziali clienti o clienti esitanti. Per riassumere brevemente, la maggior parte degli attacchi attraversa più livelli per essere efficace. Tuttavia, il vantaggio è che questo ti offre più opportunità per prevenire, fermare o recuperare da un attacco.

Ad esempio, un attacco comune potrebbe iniziare a livello di Internet con un’e-mail dannosa. Qui, una buona soluzione per la sicurezza della posta elettronica può tentare di filtrare le e-mail dannose. Se passa oltre, richiede che un utente faccia clic sul collegamento dannoso e, si spera, la formazione sulla sicurezza gli ricorderà di pensarci due volte prima di fare clic su un collegamento dannoso. Se il controllo non funziona, potresti fare in modo che una soluzione di rilevamento e risposta degli endpoint (EDR) annoti il ​​comportamento dannoso dal file scaricato, quindi intraprenda rapidamente un’azione per tuo conto.

Gli strati di cui hai bisogno

Per iniziare a migliorare la tua posizione di sicurezza, è utile avere una struttura in mente. Simile al modello OSI per il networking, pensare in termini di diversi livelli a cui può verificarsi un elemento di un attacco offre maggiori possibilità di risoluzione dei problemi e, nel caso della sicurezza, di posizionare le giuste difese.

Sebbene ci siano più framework là fuori per concettualizzare gli attacchi, ne presenteremo uno semplice qui.

Vale la pena notare che i dati sono al centro del modello. Nella maggior parte dei casi, questo è ciò a cui mirano i criminali informatici: accedere ai dati e rubarli e rivenderli o crittografarli per un riscatto. Di conseguenza, il tuo obiettivo è fermare gli attacchi il più lontano possibile dai dati.

In altre parole, è importante disporre di protezioni a livello di Internet per bloccare le minacce prima che raggiungano la rete o il dispositivo. In questo modo aumenterai le tue possibilità di proteggere quei dati importantissimi per i tuoi clienti.

Attorno a questi dati, abbiamo cinque livelli: dispositivo, applicazione, persone, rete e Internet. Ogni livello ha livelli di protezione specifici che puoi aggiungere per impedire a un attacco di raggiungere i dati. Noterai anche che la recuperabilità è al di fuori di questo modello: i backup non aiutano necessariamente con la prevenzione, ma sono assolutamente essenziali durante la risposta agli incidenti e il ripristino. Devono far parte di qualsiasi stack di sicurezza.

Qual è il prossimo?

Nella seconda parte di questa serie, tratteremo ciò che effettivamente va in ciascuno di questi livelli. Riceverai consigli pratici per le basi della gestione di ogni livello per i tuoi clienti.

Scopri le funzioni di N-ABLE RMM. Se desideri migliorare la protezione degli endpoint per gli endpoint Windows e Mac dei tuoi clienti, inizia con una prova gratuita di 30 giorni di N-ABLE RMM  e contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE

 

Read More

N-ABLE HEAD NERDS – Service Desk: PSA vs ITSM vs ESM: Parte 2: qual è la soluzione giusta per il tuo MSP?

Nella seconda parte di questa serie di blog, esaminerò le differenze tra le piattaforme PSA, ITSM ed ESM in modo più dettagliato in modo da poter comprendere meglio come possono funzionare per la tua azienda. Se non hai già controllato la prima parte della serie, puoi  leggerla qui .

Ai tempi in cui i servizi gestiti erano un business alle prime armi, le piattaforme di automazione dei servizi professionali (PSA) erano solo per i pesi massimi del settore. Le piccole imprese e le startup non avevano molti strumenti per gestire tutti i loro processi aziendali ad hoc. Ciò significava che in genere dovevano utilizzare una serie di soluzioni diverse per ottenere i risultati desiderati

Gli annunci di servizio pubblico di oggi sono progettati per aiutare gli operatori di servizi professionali a diventare più efficienti. In generale, è un’opzione conveniente per i consulenti IT e gli MSP che hanno appena iniziato. Tuttavia, con l’evolversi della tua attività di servizi gestiti, probabilmente diventerai alcuni degli strumenti più specializzati nella gestione dei servizi IT (ITSM), come la finanza o le vendite e il marketing, ad esempio.

Gli strumenti ITSM sono progettati specificamente per le operazioni IT. Alcuni prodotti selezionati si integrano con gli strumenti finanziari o hanno la propria fatturazione incorporata per tempo e materiale, tariffa fissa e fatture ricorrenti. Tuttavia, spesso questi strumenti ITSM sono ancora progettati per i reparti IT di grandi dimensioni, quindi possono non avere la flessibilità che gli PSA hanno con una soluzione all-in-one, ma hanno anche funzionalità aggiuntive e sono molto più sviluppati. Ad esempio, possono includere ampie capacità di gestione delle modifiche o essere in grado di distinguere tra una richiesta e un incidente, cosa estremamente importante quando si dispone di un  service desk  e di un NOC.

Il self-service è uno sviluppo importante che gli MSP stanno iniziando a utilizzare. Proviene dallo stack ITSM e può essere utilizzato per aiutare con l’onboarding o l’offboarding di clienti e dipendenti, la gestione delle password e per aumentare la velocità di risoluzione.

La gestione dei servizi aziendali (ESM) offre un ulteriore livello di strumenti che PSA e ITSM non offrono, inclusi strumenti per sviluppatori, gestione del portafoglio di progetti, incidenti e risposte di sicurezza, costruttori di app e app aziendali, automazione e orchestrazione, insight basati sull’IA e un solido hub di integrazione per tutti i tuoi strumenti. Inoltre, ESM lascia gli altri nella polvere quando si tratta di eseguire o orchestrare azioni basate sui dati per la tua infrastruttura cloud. Sebbene probabilmente ci siano più punti in comune tra un PSA e un ESM, ESM è in una classe a sé stante.

Come scegliere qual è la piattaforma giusta per la tua attività?

Quando si tratta di scegliere la tecnologia migliore per il tuo MSP, che sia PSA, ITSM o ESM, devi comprendere appieno le esigenze e i piani della tua azienda, così come le attività dei tuoi clienti, per fare la scelta giusta.

Se stai cercando un elemento di differenziazione competitivo o da modernizzare, è essenziale valutare i pro e i contro di ciascuna opzione. Ho parlato con numerosi partner nel corso degli anni e ho notato che la scelta della tecnologia giusta è spesso un processo collaborativo. Di seguito sono riportati alcuni suggerimenti per aiutare il processo decisionale:

  1. Analizza le tue esigenze aziendali Dove sono le lacune e in che modo le tue opzioni affrontano ciascuna di esse?
  2. Scegli la tecnologia che cresce con la tua attività. Non vuoi investire in un PSA solo per superarlo subito dopo.
  3. Pensa con il futuro in mente. Modernizza e rendi la tua azienda a prova di futuro.
  4. Allena la tua squadraLa tecnologia è inutile se i membri del tuo team non sanno come usarla in modo efficace.

In definitiva, se ritieni che la tua tecnologia attuale abbia bisogno di essere modernizzata, ti consiglio di dare un’occhiata ad alcuni fornitori e di fare la tua analisi della concorrenza, potresti essere sorpreso di ciò che trovi. La cosa peggiore che può succedere è che hai fatto la dovuta diligenza, giusto?

Richiedi una Demo di N-ABLE MSP Manager e contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG – Di Jason Murphy – Murphy è l’N-central ®  Automation Nerd di N-grado. Puoi seguirlo su Twitter su  @ncentral_nerd  o su reddit su  u / ncentral_nerd .

 

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE

Read More

PRIVACYLAB – LE NOVITA’ DEL TOOL LINCE ( Gestione Responsabili Esterni)

Cari Rivenditori,
N4B SRL – Distributore Privacylab – è lieta di comunicare che il tool per la gestione della compliance GDPR PrivacyLab ha introdotto due importanti novità all’interno del nuovo strumento LINCE per la gestione dei responsabili esterni.
La prima riguarda gli utenti superuser: è stata rilasciata la possibilità di creare dei template per il questionario, da poter poi riprodurre su tutte le aziende associate al superuser. Questa funzione è molto utile per non dover ricostruire ogni volta i vostri questionari su ogni azienda.
La seconda interessa i singoli campi del questionario: consiste nel poter rendere obbligatoria una domanda e nel decidere l’importanza delle sue risposte.
Se infatti decidete di voler rendere obbligatorio un quesito al vostro responsabile esterno, occorrerà trascinare la barra a lato della domanda fino al massimo (come indicato nell’immagine sotto!).
Se invece volete definire una risposta come fondamentale (e quindi non tenere in considerazione le altre opzioni), è necessario aprire la relativa sezione “Modifica” e poi  selezionare il flag su “Risposta fondamentale” (come indicato nell’immagine sotto!). In questo modo, se il responsabile esterno compilerà il questionario senza selezionare la risposta che avete messo come fondamentale, questa vi verrà segnalata in rosso nella verifica del questionario.
CONTATTACI PER SAPERNE DI PIU’ : commerciale@n4b.it
FONTE: Privacylab
Read More