Microsoft Purview Compliance Manager: conformità senza complicazioni
Scopri Microsoft Purview Compliance Manager, lo strumento che può aiutare la propria azienda a rispettare in modo facile i requisiti di conformità
.png)
Microsoft Purview Compliance Manager: una breve introduzione
Microsoft Purview Compliance Manager è lo strumento di valutazione e gestione della conformità normativa incluso in Microsoft Purview. Fornisce un punteggio di conformità aggregato, azioni di miglioramento prioritizzate e template di valutazione precostruiti per oltre 350 normative — GDPR, ISO 27001, SOC 2, PCI-DSS — consentendo ai responsabili compliance di monitorare e documentare lo stato normativo del tenant Microsoft 365 e Azure.
Che cos’è Microsoft Purview Compliance Manager
Utilizzare software di mappatura per pianificare lunghi viaggi verso destinazioni sconosciute è ormai una pratica comune. Si inserisce la posizione di partenza e la destinazione, oltre al momento in cui si vuole partire. Successivamente, il software di mappatura consiglia le rotte ottimali per le diverse opzioni di trasporto e orari della giornata.
Perché un percorso di conformità dovrebbe essere diverso? Anche questo ha un inizio e una fine e ha bisogno di una “mappa digitale” per guidarci verso il nostro obiettivo. In questo scenario, la nostra “mappa digitale” è Compliance Manager.
Microsoft Purview Compliance Manager è uno strumento basato su cloud progettato per semplificare la conformità. La piattaforma analizza il sistema e i processi di un’azienda, identificare eventuali discrepanze e raccomandare azioni correttive.
Compliance Manager contribuisce a semplificare la conformità e ridurre i rischi fornendo:
- Pre-built assessments per standard e normative comuni di settore e regionali o valutazioni personalizzate per soddisfare le esigenze di conformità specifiche (le valutazioni disponibili dipendono dal contratto di licenza).
- Funzionalità del flusso di lavoro che consentono di completare in modo efficiente la valutazione dei rischi tramite un singolo strumento.
- Istruzioni dettagliate su azioni di miglioramento suggerite che possono essere eseguite dall’utente e da Microsoft per garantire la conformità agli standard e alle normative più rilevanti per l’organizzazione. Per le azioni gestite da Microsoft, verranno visualizzati i dettagli di implementazione e i risultati del controllo.
- Un compliance score basato sul rischio, che aiuta a comprendere il proprio profilo di conformità misurando lo stato di avanzamento delle azioni di miglioramento.
Microsoft Purview Compliance Manager: Data Protection Baseline
Compliance Manager supporta l’integrazione multicloud con Microsoft Azure, Google Cloud Platform (GCP) e Amazon Web Services (AWS) tramite Microsoft Defender for Cloud. Questo garantisce che le valutazioni di conformità siano complete e riflettano lo stato di tutti i servizi che vengono utilizzati, offrendo una visione olistica del proprio stato di conformità.
Compliance Manager supporta l’intero ciclo di vita della conformità, dalla valutazione iniziale alla gestione continua. Vediamo nella tabella qui sotto come può aiutarci in ogni passaggio:
| Fase | Funzionalità |
|---|---|
| Progettazione | - Modelli di valutazione preconfigurati o personalizzati - Definizione dei rischi di sicurezza delle informazioni utilizzando il compliance score - Mappatura dei controlli comuni tra regolamenti e valutazioni multiple |
| Implementazione | - Indicazioni su azioni di miglioramento consigliate per l’implementazione dei controlli - Chiara assegnazione della responsabilità per le azioni di miglioramento (gestito da Microsoft e dall’organizzazione) - Punteggi basati sui rischi per aiutare a dare priorità alle attività - Report e dashboard per misurare i progressi nel completamento delle azioni di miglioramento - Assegnazione delle attività di miglioramento ad altri utenti - Esportazione e importazione delle azioni di miglioramento per lavorare offline |
| Gestione e mantenimento | - Aggiornamenti regolari sui cambiamenti di normative e certificazioni - Reportistica per gli auditor - Revisione continua, monitoraggio e manutenzione della posizione di conformità - Testing automatico e monitoraggio continuo per molte azioni di miglioramento |
Compliance Manager fornisce una vista completa dei dati in tutta l’azienda, eseguendo la scansione di fonti di dati come database, file e applicazioni e identificando i punti di dati soggetti a requisiti di conformità. Successivamente, fornisce una comprensione dettagliata dei dati, inclusi chi li possiede, chi ha accesso a essi e come vengono utilizzati.
Oltre a fornire una vista completa dei dati, Purview Compliance Manager aiuta anche le organizzazioni a identificare e mitigare i rischi associati all’uso dei dati. Fornisce approfondimenti e raccomandazioni azionabili su come affrontare i rischi legati alle informazioni sensibili.
Compliance Manager assegna punti per aver completato azioni di miglioramento (improvement actions) per rispettare regolamenti, standard o politiche e combina questi punti in un punteggio complessivo di conformità. Ogni azione ha un impatto variabile sul punteggio, a seconda dei potenziali rischi coinvolti. Questo aiuta a dare priorità alle azioni su cui concentrarsi per migliorare la posizione complessiva di conformità dell’organizzazione.
Al primo utilizzo Compliance Manager fornisce un punteggio iniziale basato sulla Microsoft data protection baseline, che è un insieme di controlli che include i principali regolamenti e standard per la protezione dei dati e la governance generale dei dati.
Questa baseline è un insieme di controlli che include i principali regolamenti e standard di protezione e governance dei dati, tra cui NIST CSF, ISO 27001, FedRAMP e GDPR.
Gli elementi chiave di Microsoft Purview Compliance Manager
Compliance Manager usa diversi elementi e dati per gestire le attività di conformità. Quando lo si usa per assegnare, testare e monitorare le attività di conformità, è utile avere una conoscenza di base di quelli che sono gli elementi chiave, che sono rispettivamente: controlli, valutazioni, normative e azioni di miglioramento.
In questa sezione andremo quindi a vederli un po’ più da vicino per capire cosa sono e come operano all’interno del Compliance Manager.
Controlli
Un controllo è un requisito di una regola, standard o di un criterio. Definisce come valutare e gestire la configurazione di sistema, il processo organizzativo e le persone responsabili della soddisfazione di uno specifico requisito di una regola, di uno standard o di un criterio.
Compliance Manager tiene traccia dei tipi di controlli seguenti:
- Microsoft managed controls: controlli per i servizi cloud Microsoft, dove Microsoft è responsabile dell’implementazione
- Your managed controls: a volte definiti customer managed controls, questi sono controlli implementati e gestiti dall’organizzazione
- Shared controls: si tratta di controlli di cui l’organizzazione e Microsoft condividono la responsabilità dell’implementazione
Microsoft Purview Compliance Manager: Control mapping
Valutazioni
Una valutazione consiste nel raggruppamento di controlli da un regolamento, uno standard o un criterio specifico. Completare le azioni che rientrano in una valutazione permette di soddisfare i requisiti di uno standard, di una regola o di una legge.
Ad esempio, è possibile avere una valutazione che, quando si completano tutte le azioni al suo interno, consente di allineare le impostazioni di Microsoft 365 ai requisiti ISO 27001.
Le valutazioni hanno diversi componenti:
- Servizi nell’ambito: il set specifico di servizi Microsoft applicabile alla valutazione
- Microsoft managed controls: controlli per i servizi cloud Microsoft, implementati da Microsoft per conto dell’utente
- Your controls: a volte definiti controlli gestiti dal cliente, questi sono controlli implementati e gestiti dall’organizzazione
- Shared controls: si tratta di controlli che l’organizzazione e Microsoft condividono la responsabilità dell’implementazione
- Assessment score: mostra i progressi nel raggiungimento dei punti totali possibili dalle azioni all’interno della valutazione gestite dall’organizzazione e da Microsoft
Normative
Compliance Manager fornisce modelli per oltre 360 normative che consentono di creare rapidamente valutazioni.
Vediamo alcuni dei modelli principali più importanti supportati da Compliance Manager nella tabella riassuntiva qui sotto:
| Normativa | Descrizione |
|---|---|
| ISO 27001 | Norma internazionale che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Aiuta le organizzazioni a gestire la sicurezza delle informazioni in modo sistematico e continuo, proteggendo la riservatezza, l’integrità e la disponibilità delle informazioni. |
| GDPR | Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE stabilisce le norme per la protezione dei dati personali, inclusi i diritti degli utenti, i doveri delle organizzazioni, e le responsabilità in caso di violazioni. Si applica a tutte le organizzazioni che trattano i dati personali dei cittadini UE. |
| NIST CSF | Il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) è un framework che fornisce linee guida per gestire e ridurre i rischi cibernetici. È composto da cinque funzioni principali: identificare, proteggere, rilevare, rispondere e recuperare. È usato principalmente per la gestione dei rischi di sicurezza informatica nelle organizzazioni. |
| FedRAMP | Il Federal Risk and Authorization Management Program (FedRAMP) è un programma di certificazione che stabilisce un processo standardizzato per l’autorizzazione e la supervisione della sicurezza dei servizi cloud che trattano informazioni sensibili per il governo federale degli Stati Uniti. Garantisce che i servizi cloud rispettino gli standard di sicurezza. |
| ISO 27018 | ISO 27018 è una norma che fornisce linee guida per la protezione dei dati personali nel cloud. Si concentra sul trattamento dei dati personali nei servizi di cloud computing, aiutando le organizzazioni a rispettare la privacy e la protezione dei dati personali degli utenti. |
| HIPAA | Health Insurance Portability and Accountability Act (HIPAA) è una legge degli Stati Uniti che stabilisce gli standard per la protezione delle informazioni sanitarie personali. Protegge la privacy dei dati sanitari e garantisce che le informazioni mediche siano trattate in modo sicuro. |
| PCI DSS | Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti di sicurezza progettati per garantire che tutte le aziende che trattano carte di pagamento proteggano i dati dei titolari delle carte. Include misure per prevenire frodi e violazioni dei dati. |
| NIS2 | La Direttiva NIS2 dell’Unione Europea migliora la sicurezza delle reti e dei sistemi informativi, stabilendo obblighi per la protezione delle infrastrutture critiche. Si concentra su settori vitali come l’energia, i trasporti, la salute e l’ICT, e mira a rafforzare la resilienza cibernetica a livello europeo. |
Azioni di miglioramento
Le azioni di miglioramento consentono di centralizzare le attività di conformità. Ogni azione di miglioramento fornisce indicazioni consigliate che consentono di allinearsi alle normative e agli standard di protezione dei dati.
Le azioni possono essere assegnate agli utenti dell’organizzazione per eseguire operazioni di implementazione e test. È anche possibile archiviare le prove, le note e gli aggiornamenti dello stato dei record all’interno dell’azione di miglioramento.
Microsoft Purview Compliance Manager: Control assessment
Uno sguardo alle dashboard di Microsoft Purview Compliance Manager
Sappiamo a cosa serve e quali sono gli elementi fondamentali alla base del suo funzionamento. Ora non ci resta che esplorare la sua pagina principale per familiarizzare con l’interfaccia.
Iniziare con Compliance Manager è semplice e ci basterà effettuare l’accesso al portale Microsoft Purview e trovare Compliance Manager nel menu delle soluzioni di conformità.
Dopodiché, se non lo abbiamo mai utilizzato, dovremo semplicemente seguire le istruzioni per configurare Compliance Manager e iniziare a creare valutazioni. Tutto in modo semplice e guidato.
Compliance Manager dispone di diversi dashboard in cui possiamo visualizzare i progressi delle nostre valutazioni. La scheda Overview****di Compliance Manager mostra un riepilogo di tutte le valutazioni, includendo:
- Overall compliance score
- Points achieved rispetto al totale possibile
- Microsoft-managed points rispetto al totale possibile
- Key improvement actions
- Solutions impacting the score
- Compliance score breakdown
La panoramica aiuta a monitorare i propri progressi nel tempo. Più azioni di miglioramento si implementano, più alto sarà il nostro punteggio.
La panoramica è utile se si sta lavorando su una sola valutazione, ma se gestiamo più valutazioni e vogliamo vedere i progressi di una specifica, possiamo selezionarla dalla scheda Assessments per accedere alla pagina dei progressi.
Un’attività utile è la revisione delle azioni di miglioramento, per identificare eventuali azioni che non rientrano nell’ambito della propria responsabilità. Se le si contrassegna come “fuori ambito”, verranno rimosse dal report, riducendo il punteggio complessivo.
Possiamo monitorare i nostri progressi nel tempo e dare priorità alle azioni di miglioramento con il highest risk score.
Microsoft Purview Compliance Manager: Regulatory assessment
Monitoraggio degli aggiornamenti normativi
Microsoft monitora le normative e gli standard per identificare eventuali modifiche che influenzano le azioni di miglioramento. Le modifiche vengono segnalate come “Aggiornamento in sospeso”, in modo da poterle esaminare e aggiornare di conseguenza. Inoltre, le valutazioni vengono aggiornate quando cambiano le funzionalità dei software Microsoft.
Le modifiche in sospeso sono visibili sia nella scheda Assessments che nella scheda Azioni di miglioramento.
- Nella scheda Assessments, è possibile vedere quali valutazioni hanno aggiornamenti in sospeso. Selezionandone una, puoi rivedere il numero totale di modifiche e accettare l’aggiornamento. È anche possibile esportare i modelli attuali e nuovi per tenerne traccia.
- Nella scheda Improvement actions, è possibile esaminare i dettagli delle modifiche e accettarle.
Monitoraggio del progresso della conformità
Un aspetto fondamentale per qualsiasi certificazione di conformità è il tracciamento dei progressi. Dobbiamo sempre essere aggiornati sui progressi o le potenziali problematiche per poter agire nella maniera più tempestiva possibile.
È possibile impostare alert criteria per ricevere notifiche via e-mail in caso di:
- variazioni del punteggio
- cambiamenti di assegnazione
- aggiornamenti dello stato di implementazione
- test status changes
- compliance evidence changes
Compliance Manager include anche una default alert policy che invia notifiche quando ci sono modifiche al punteggio delle azioni di miglioramento.
Conclusioni
Tenere traccia del proprio allineamento alle normative non è un optional e richiede attenzione, cura e la capacità di poter agire tempestivamente nel caso emergano problematiche che richiedano un intervento immediato e il numero di normative che un business deve rispettare (specialmente se lavora in settori particolarmente sensibili) può risultare difficile da gestire.
Descritto così, questo scenario può sembrare un compito complesso, ma la gestione della compliance aziendale non deve essere una tortura. Strumenti come Microsoft Purview Compliance Manager possono rendere il lavoro di chi si occupa del rispetto della conformità aziendale molto più semplice e gestibile.
Poter tenere sotto controllo tutto da un’unica interfaccia centralizzata, che valuta automaticamente quali sono le azioni da intraprendere e cosa possiamo fare per migliorare il rispetto delle normative è un valido supporto per i professionisti del settore e semplificare e automatizzare processi complessi. Perché non dargli una chance, dunque?
FAQ su Microsoft Purview Compliance Manager
1. Che cos’è Microsoft Purview Compliance Manager?
Microsoft Purview Compliance Manager è uno strumento cloud che aiuta le organizzazioni a gestire la conformità normativa e la protezione dei dati. Fornisce valutazioni preconfigurate basate su standard internazionali e consente di monitorare, misurare e migliorare la postura di conformità attraverso un punteggio basato sul rischio.
2. A cosa serve Microsoft Purview Compliance Manager?
Serve a valutare il livello di conformità rispetto a normative e standard (come ISO 27001, GDPR, NIST, HIPAA), identificare gap di controllo, assegnare azioni di miglioramento e monitorare i progressi nel tempo tramite dashboard e report dedicati.
3. Come funziona il compliance score?
Il compliance score è un punteggio basato sul rischio che misura lo stato di avanzamento delle azioni di miglioramento. Ogni azione completata contribuisce al punteggio complessivo, con un peso diverso a seconda del rischio associato. Questo aiuta a dare priorità alle attività più critiche.
4. Quali normative supporta Compliance Manager?
Compliance Manager offre modelli per oltre 360 normative e standard, tra cui ISO 27001, GDPR, NIST CSF, FedRAMP, ISO 27018, HIPAA, PCI DSS e NIS2. Le valutazioni disponibili dipendono dal tipo di licenza Microsoft attiva.
5. Qual è la differenza tra controlli Microsoft-managed, customer-managed e shared?
I Microsoft-managed controls sono implementati direttamente da Microsoft nei servizi cloud. I customer-managed controls sono implementati e gestiti dall’organizzazione. I shared controls prevedono una responsabilità condivisa tra Microsoft e l’organizzazione.
Scritto da
Emanuele Rossi
Infra & Security · Dev4Side
Dev4Side Software · Microsoft Gold Partner
Hai bisogno di implementare questo nella tua azienda?
I nostri team specializzati hanno completato oltre 200 implementazioni Microsoft in tutta Italia. Contattaci per una valutazione gratuita e senza impegno del tuo progetto.
Articoli correlati
Microsoft Security Awareness Training: tutte le risorse ufficiali
Scopri le risorse ufficiali Microsoft per il Security Awareness Training e come rafforzare la security posture aziendale partendo dai dipendenti.
Microsoft Defender for IoT: che cos’è e come funziona
Una panoramica introduttiva di come Defender for IoT può aiutare la propria azienda a mettere al sicuro le proprie reti industriali ed infrastrutture critiche.
Azure Security Consulting: consulenza per la sicurezza “nelle nuvole”
Scopri perché affidarsi a un servizio di consulenza per la sicurezza del proprio ambiente Azure e a chi rivolgersi