Ignite 2017: gli annunci a supporto della compliance GDPR

[This blog post has been republished as-is on February 2019]

L’avvio lunedì della nostra conferenza annuale dedicata ai clienti Enterprise e alla community degli IT Professional, il Microsoft Ignite 2017, mi fornisce l’occasione di ripartire con slancio nella condivisione dei temi CyberSecurity, Privacy e Compliance su piattaforma Microsoft, con l’impegno a fornirvi almeno un post a settimana (ora l’ho scritto e non posso più tirarmi indietro…).

Nonostante le numerose novità in ambito Security possano tutte essere considerate di supporto alla compliance GDPR, inizierò in questo post con la condivisione degli annunci specifici di risorse in questo ambito:

New Microsoft 365 features to accelerate GDPR compliance : ve ne sottolineo solo alcune…

  • Annuncio del “Compliance Manager“: questa è probabilmente la notizia più attesa di cui vi avevo dato già un’anticipazione nel mio post precedente. Abbiamo annunciato l’arrivo in novembre della preview gratuita della soluzione tipo GRC (Governance, Risk and Compliance) che permetterà di:
    • Realizzare risk assessment in tempo reale sui Microsoft cloud services
    • Acquisire informazioni utili sullo stato della configurazione di tali servizi online per poter intervenire per migliorare la protezione dei dati
    • Semplificare i processi di compliance tramite strumenti nativi di gestione dei controlli e strumenti di reporting che producano report pronti da condividere in caso di audit/ispezioni
    • Le normative/standard che saranno inizialmente oggetto di questa soluzione sono la GDPR, le principali ISO (ISO 27001 e ISO 27018) e le principali NIST (credo a partire dalla NIST 800-53).
    • Maggior dettagli al post Manage Your Compliance from One Place – Announcing Compliance Manager Preview Program
  • General Availability del servizio di “Customer Encryption“: è quello che indicavamo come Bring-Your-Own-Key (BYOK) per fornire al cliente il controllo delle chiavi di cifratura che i servizi Office 365 usano per l’encryption at-rest.
  • Microsoft’s Information Protection: annuncio dell’impegno in corso ad unificare le diverse soluzioni di Information Protection (CLP = Classification, Labeling & Protection) attraverso tutta la piattaforma Microsoft per abilitare una consistente ed integrata capacità di utilizzo della stessa modalità di CLP in tutti i prodotti Microsoft.
  • & a lot more su cui ritornerò nei miei post successivi…
  • Segnalo infine il nuovo whitepaper Accelerate your GDPR compliance journey with Microsoft 365

Windows resources to help support your GDPR compliance

Sono in particolare due nuovi whitepaper:

Infine ricordo il mio post che agirà da sommario di tutti i post a tema GDPR:

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

L’impegno di Microsoft a supporto della compliance GDPR: nuova serie di blog post

[This blog post has been republished as-is on February 2019]

A partire da questo blog post parte una nuova serie di appuntamenti in cui conto di accompagnarvi nella comprensione delle numerose possibilità offerte dalle tecnologie/prodotti/soluzioni Microsoft di supportare i clienti nel loro percorso, mi auguro già avviato da tempo , di adeguamento alla nuova normativa Privacy, la ormai ben nota General Data Protection Regulation (GDPR) (permettete che usi d’ora in avanti l’acronimo inglese per la consistenza con la maggior parte delle risorse presenti sull’argomento) che, per quanto già in vigore, verrà applicata a decorrere dal prossimo 25 maggio 2018, stessa data in cui sarà di fatto abrogata l’attuale direttiva europea 95/46/CE.

Manca quindi poco meno di un anno a tale data, è tanto o è poco per riuscire ad arrivare preparati a tale scadenza che, stando alle dichiarazioni lette finora, sembra destinata a non subire rinvii?

La mia personale percezione sulla base delle interazioni avute finora con i clienti è che si sia già in generale ritardo… soprattutto in considerazione degli impatti organizzativi e di processo, la cui valutazione di fatto precede la declinazione tecnologica, le cui trasformazioni non saranno facilmente attuabili nel tempo che rimane.

Di certo la tecnologia necessaria per supportare il processo di conformità non è il primo aspetto da valutare, ma in questa serie di blog post vorrei riuscire nell’intento di dimostrarvi quanto possa supportare e semplificare anche le trasformazioni organizzative e di processo: è quella che oggi chiamiamo “digital transformation“, e la GDPR ci offre un’ottima occasione di applicarla per innovare l’infrastruttura IT in modo da ottenere non solo delle tutele da rischi di non conformità (e quindi per evitare le sanzioni che sappiamo essere molto salate) ma anche per rendere l’azienda più snella e agile, più capace di reagire velocemente ai cambiamenti del mercato e quindi più in grado di accelerare lo sviluppo del proprio business.

Faccio un esempio pratico: le soluzioni di Data Loss Prevention (DLP), che avranno un ruolo primario nelle tecnologie a supporto della compliance GDPR, hanno fatto fatica a decollare finora per il significativo impatto su processi, organizzazioni ed esperienza utente che ne hanno scoraggiato l’adozione di massa da parte dei clienti ed estesa a tutto l’ambito aziendale. E se riuscissi a farvi apprezzare quanto le soluzioni di Information Protection & Data Management di Microsoft si stiano evolvendo per offrirvi una esperienza di classificazione, labeling e protezione attraverso tutto il ciclo di vita del dato e integrata sia negli strumenti d’uso quotidiani di produttività personale che nelle soluzioni aziendali di trattamento del dato stesso? Quanto questo potrebbe finalmente sbloccare la “democratizzazione” del DLP come funzionalità nativa dell’infrastruttura digitale dell’azienda (permettendo anche di indirizzare i principi di “privacy by design” e “privacy by default” finalmente indicati come requisiti dal nuovo regolamento)?

Punto di partenza nella condivisione di questo impegno di Microsoft a supporto del vostro processo di adeguamento alla GDPR è quello di aiutarvi a comprendere i tre ruoli che Microsoft può ricoprire in tale percorso, come condivisi dal nostro stesso Chief Privacy Officer, Brendon Lynch, nel suo blog post “Get GDPR compliant with the Microsoft Cloud“:

  1. in quanto fornitore di soluzioni cloud, che determinano ai fini dei ruoli privacy il ruolo di Microsoft quale responsabile del trattamento (data processor), Microsoft è chiamata direttamente a dare prova nei suoi contratti della conformità alla GDPR, intesa nella capacità di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento, a partire dalla data di applicazione del 25 maggio 2018. A dimostrazione dell’impegno di voler primeggiare su questo fronte, Microsoft è stato il primo tra i maggiori cloud service provider a rendere disponibile una specifica estensione contrattuale che dichiara l’impegno verso tale obiettivo, come trovate pubblicamente documentato in questo blog post dello scorso 17 aprile 2017 “Earning your trust with contractual commitments to the GDPR“.
  2. Fornitore di tecnologia abilitante: l’intero insieme delle tecnologie/prodotti/soluzioni Microsoft, fornite tramite soluzioni cloud, ibride o tradizionali on-premise, può essere di supporto alle varie fasi tipiche del percorso di adeguamento alla GDPR che Microsoft individua nelle seguenti, come da blog post di Julia White “Accelerate your GDPR compliance with the Microsoft Cloud“:
    Come potrete immaginare, sarà questo l’ambito che mi permetterà di fare una serie potenzialmente molto numerosa di blog post di dettaglio, partendo dalla condivisione delle potenzialità della nuova Microsoft Security platform (di cui vi accennavo nel mio post di inizio anno “NonSoloSecurity reloaded“), ma non limitandomi solo a quelle, come potrete cogliere dalla lunga lista di tecnologie abilitanti elencate nel portale GDPR. L’aspetto particolarmente interessante sarà quello di documentarvi la rapida evoluzione delle soluzioni Microsoft per indirizzare al meglio le attività richieste dall’adeguamento alla GDPR: un esempio? Fate caso allo snapshot che ha mostrato Julia White nel suo post e che rappresenta la prossima dashboard in arrivo in questo anno, immagino sarà disponibile nel portale di amministrazione di tutti i tenant cloud di Microsoft, personalmente la considero una vera chicca!

  3. Microsoft stessa, in quanto azienda con i suoi dipendenti (<100.000) e come fornitore di beni e servizi a cittadini dell’Unione Europea (+200 servizi online), e quindi nel ruolo di titolare del trattamento (data controller) verso queste stesse tipologie di interessati (data subject) è chiamata alla compliance GDPR: proprio per tale complessità, il percorso che Microsoft stessa percorrerà, con le priorità e le criticità, potrà essere un utile strumento di aiuto se condiviso con i clienti, immagino nella forma di risorse (whitepaper e video) di best practice e How Microsoft does IT (IT Showcase).

In questa mia prima puntata non mi resta che lasciarvi con il riferimento principe da appuntare quale portale di accesso a tutte le risorse che d’ora in avanti Microsoft vi condividerà:

Il semplice e facile da ricordare http://www.microsoft.com/GDPR che reindirizza alla specifica sezione del Microsoft Trust Center, il portale che documenta tutte le risorse a vostra disposizione strutturati secondo i 4 principi del “Trusted Cloud”: security, privacy, transparency e compliance.

In questo portale troverete i link a tutte le risorse di dettaglio già citate, e molte altre tra cui vi segnalo in particolare il webinar GDPR che è stato trasmesso lo scorso 24 maggio 2017.

Sperando che queste serie “Microsoft & GDPR” possa trovare il vostro interesse, userò questo post come indice delle diverse prossime puntate in modo che possiate appuntarlo nei vostri link preferiti :

27-09-2017 Ignite 2017: gli annunci a supporto della compliance GDPR

03-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

30-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 2a parte

 A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)


@NonSoloSecurity
(English only – technical only)