Microsoft 365 Security platform explained – part 2 – the solutions

[Blog post updated on October 9, 2020 with reference to the new version 8.0 of the Microsoft 365 Security & Compliance – Single Slide]

If you landed here, there’s the high probability that you’ve already read my previous blog post about the strategy behind the Microsoft 365 Security platform, (if this is not the case I strongly recommend to read it before going on) where I shared the layered approach of the Microsoft 365 security and compliance solutions to address the end-to-end stack from the device to the applications, with a very high level overview of suites and licensing levels inside Microsoft 365.

Now it’s time to reveal the full solution set with a more detailed level, the one that would be appreciated by a CISO who is wondering if Microsoft could be able to address most of her/his needs to secure the modern workplace.

First I have to share with you a couple of personal confidences: I’m quite obsessed by taxonomies (I like to give an order to the chaos in the universe :-), maybe because I’m an engineer?? ;-)) and inside Microsoft I’ve always fought for the principle of mastering end-to-end security (again testified by my 2nd post in the far January 2007) regardless any silos, job roles, business divisions, and company incentives.

Security must be applied and so learned end-to-end, in light of the defense in-depth principle, otherwise there isn’t any Security!

These explain why I started in the middle of 2016, well before the arrival of Microsoft 365 (see its announcement on July 2017), to build and share with colleagues and customers the idea of a Microsoft security platform, to highlight the value of several security features and solutions across Microsoft products and their increasing ability to integrate with each other to define a coordinated line of defense.

Additionally, I set the personal goal to use only a single PowerPoint slide to describe it, and this was the first prototype (ver. 0.1), dated in July 2016:


(If you are curious about later versions of this single slide you may find some examples in a previous blog post, when I celebrated 10 years of this blog).

Now you may understand my personal satisfaction when we later announced Microsoft 365 (see its announcement on July 2017): someway I was really looking forward our security strategy!

After almost 3 years of huge Microsoft investments in Security, with direct product development and several acquisitions (mainly looking for innovative Israeli cybersecurity companies…), the “single slide” personal goal I set in 2016 has become a daunting challenge!!

Here is a snapshot of one of the latest efforts, specifically the October 2018 version v.5.0 (which it is not the latest, see below for updates!) just built after the Ignite 2018 announcements:


I have to say (with a bit of deep pride :-)) that out of dozens of PowerPoint slides I may use to pitch the value of our new Microsoft 365 Security platform, this is the single one slide that everyone wants to take-away as soon as possible, preferably right at the end of meeting!

Last month I updated it at the February 2019 version v.6.1 and you can now download it from the downloads page of this blog: this version has been enhanced with short description screentips and hyperlinks to the technical documentation by simply hovering and clicking with your mouse pointer over the single solution when viewing the slide in presentation mode.

March 21, 2019 update: slide version is now v.6.3 with latest announcements.

January 9, 2020 update: slide version is now v.7.0 with plenty of new additions & improvements. With this version I started to add detail slides (currently 9) to enlarge sections, improve font readability and simplify hyperlinking to technical documentation for every product / solution.

October 8, 2020 update: slide version is now v.8.0 with several updates, mainly about changes in the Microsoft 365 E5 Compliance bundle and announcements at Microsoft Ignite 2020.

I hope you can find it useful to map how Microsoft 365 can cover almost any end-to-end security and compliance needs to secure the Modern Workplace!

Of course you can expect I will build something similar for other Microsoft Security technologies , so stay tuned!

Ciao!

Feliciano

L’impegno di Microsoft a supporto della compliance GDPR: nuova serie di blog post

[This blog post has been republished as-is on February 2019]

A partire da questo blog post parte una nuova serie di appuntamenti in cui conto di accompagnarvi nella comprensione delle numerose possibilità offerte dalle tecnologie/prodotti/soluzioni Microsoft di supportare i clienti nel loro percorso, mi auguro già avviato da tempo , di adeguamento alla nuova normativa Privacy, la ormai ben nota General Data Protection Regulation (GDPR) (permettete che usi d’ora in avanti l’acronimo inglese per la consistenza con la maggior parte delle risorse presenti sull’argomento) che, per quanto già in vigore, verrà applicata a decorrere dal prossimo 25 maggio 2018, stessa data in cui sarà di fatto abrogata l’attuale direttiva europea 95/46/CE.

Manca quindi poco meno di un anno a tale data, è tanto o è poco per riuscire ad arrivare preparati a tale scadenza che, stando alle dichiarazioni lette finora, sembra destinata a non subire rinvii?

La mia personale percezione sulla base delle interazioni avute finora con i clienti è che si sia già in generale ritardo… soprattutto in considerazione degli impatti organizzativi e di processo, la cui valutazione di fatto precede la declinazione tecnologica, le cui trasformazioni non saranno facilmente attuabili nel tempo che rimane.

Di certo la tecnologia necessaria per supportare il processo di conformità non è il primo aspetto da valutare, ma in questa serie di blog post vorrei riuscire nell’intento di dimostrarvi quanto possa supportare e semplificare anche le trasformazioni organizzative e di processo: è quella che oggi chiamiamo “digital transformation“, e la GDPR ci offre un’ottima occasione di applicarla per innovare l’infrastruttura IT in modo da ottenere non solo delle tutele da rischi di non conformità (e quindi per evitare le sanzioni che sappiamo essere molto salate) ma anche per rendere l’azienda più snella e agile, più capace di reagire velocemente ai cambiamenti del mercato e quindi più in grado di accelerare lo sviluppo del proprio business.

Faccio un esempio pratico: le soluzioni di Data Loss Prevention (DLP), che avranno un ruolo primario nelle tecnologie a supporto della compliance GDPR, hanno fatto fatica a decollare finora per il significativo impatto su processi, organizzazioni ed esperienza utente che ne hanno scoraggiato l’adozione di massa da parte dei clienti ed estesa a tutto l’ambito aziendale. E se riuscissi a farvi apprezzare quanto le soluzioni di Information Protection & Data Management di Microsoft si stiano evolvendo per offrirvi una esperienza di classificazione, labeling e protezione attraverso tutto il ciclo di vita del dato e integrata sia negli strumenti d’uso quotidiani di produttività personale che nelle soluzioni aziendali di trattamento del dato stesso? Quanto questo potrebbe finalmente sbloccare la “democratizzazione” del DLP come funzionalità nativa dell’infrastruttura digitale dell’azienda (permettendo anche di indirizzare i principi di “privacy by design” e “privacy by default” finalmente indicati come requisiti dal nuovo regolamento)?

Punto di partenza nella condivisione di questo impegno di Microsoft a supporto del vostro processo di adeguamento alla GDPR è quello di aiutarvi a comprendere i tre ruoli che Microsoft può ricoprire in tale percorso, come condivisi dal nostro stesso Chief Privacy Officer, Brendon Lynch, nel suo blog post “Get GDPR compliant with the Microsoft Cloud“:

  1. in quanto fornitore di soluzioni cloud, che determinano ai fini dei ruoli privacy il ruolo di Microsoft quale responsabile del trattamento (data processor), Microsoft è chiamata direttamente a dare prova nei suoi contratti della conformità alla GDPR, intesa nella capacità di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento, a partire dalla data di applicazione del 25 maggio 2018. A dimostrazione dell’impegno di voler primeggiare su questo fronte, Microsoft è stato il primo tra i maggiori cloud service provider a rendere disponibile una specifica estensione contrattuale che dichiara l’impegno verso tale obiettivo, come trovate pubblicamente documentato in questo blog post dello scorso 17 aprile 2017 “Earning your trust with contractual commitments to the GDPR“.
  2. Fornitore di tecnologia abilitante: l’intero insieme delle tecnologie/prodotti/soluzioni Microsoft, fornite tramite soluzioni cloud, ibride o tradizionali on-premise, può essere di supporto alle varie fasi tipiche del percorso di adeguamento alla GDPR che Microsoft individua nelle seguenti, come da blog post di Julia White “Accelerate your GDPR compliance with the Microsoft Cloud“:
    Come potrete immaginare, sarà questo l’ambito che mi permetterà di fare una serie potenzialmente molto numerosa di blog post di dettaglio, partendo dalla condivisione delle potenzialità della nuova Microsoft Security platform (di cui vi accennavo nel mio post di inizio anno “NonSoloSecurity reloaded“), ma non limitandomi solo a quelle, come potrete cogliere dalla lunga lista di tecnologie abilitanti elencate nel portale GDPR. L’aspetto particolarmente interessante sarà quello di documentarvi la rapida evoluzione delle soluzioni Microsoft per indirizzare al meglio le attività richieste dall’adeguamento alla GDPR: un esempio? Fate caso allo snapshot che ha mostrato Julia White nel suo post e che rappresenta la prossima dashboard in arrivo in questo anno, immagino sarà disponibile nel portale di amministrazione di tutti i tenant cloud di Microsoft, personalmente la considero una vera chicca!

  3. Microsoft stessa, in quanto azienda con i suoi dipendenti (<100.000) e come fornitore di beni e servizi a cittadini dell’Unione Europea (+200 servizi online), e quindi nel ruolo di titolare del trattamento (data controller) verso queste stesse tipologie di interessati (data subject) è chiamata alla compliance GDPR: proprio per tale complessità, il percorso che Microsoft stessa percorrerà, con le priorità e le criticità, potrà essere un utile strumento di aiuto se condiviso con i clienti, immagino nella forma di risorse (whitepaper e video) di best practice e How Microsoft does IT (IT Showcase).

In questa mia prima puntata non mi resta che lasciarvi con il riferimento principe da appuntare quale portale di accesso a tutte le risorse che d’ora in avanti Microsoft vi condividerà:

Il semplice e facile da ricordare http://www.microsoft.com/GDPR che reindirizza alla specifica sezione del Microsoft Trust Center, il portale che documenta tutte le risorse a vostra disposizione strutturati secondo i 4 principi del “Trusted Cloud”: security, privacy, transparency e compliance.

In questo portale troverete i link a tutte le risorse di dettaglio già citate, e molte altre tra cui vi segnalo in particolare il webinar GDPR che è stato trasmesso lo scorso 24 maggio 2017.

Sperando che queste serie “Microsoft & GDPR” possa trovare il vostro interesse, userò questo post come indice delle diverse prossime puntate in modo che possiate appuntarlo nei vostri link preferiti :

27-09-2017 Ignite 2017: gli annunci a supporto della compliance GDPR

03-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

30-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 2a parte

 A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)


@NonSoloSecurity
(English only – technical only)


  

NonSoloSecurity reloaded

[This blog post has been republished as-is on February 2019]

10 anni: sì, il blog che state leggendo ha appena compiuto 10 anni ! Come si può facilmente immaginare 10 anni in ambito informatico equivalgono ad almeno 3-4 ere geologiche e quindi ne sono successe di cose nel frattempo… Questo stesso blog, con i suoi 824 post (a ieri), ha vissuto diversi alti e bassi, diversi stop ed altrettante ripartenze, più o meno coincidenti con il mio percorso di crescita professionale attraverso i vari ruoli ricoperti in Microsoft Italia e la relativa possibilità di essere totalmente o solo indirettamente focalizzato sui temi Security.

Ma a dispetto del passare del tempo, di tutto, e di tutti coloro che hanno pensato potesse essere una perdita di tempo occuparsi di Sicurezza, ho cercato di non far spegnere mai la profonda PASSIONE per questi temi nell’attesa di poter tornare presto da un lato ad occuparmene di nuovo come responsabilità primaria, dall’altro, se possibile, di riuscire a ritagliare del tempo personale per rivitalizzare questo blog.

Ecco credo che oggi ci possano finalmente essere le condizioni affinché questo avvenga: sono già 15 mesi che ricopro il ruolo di Technical Specialist delle soluzioni di “Enterprise Mobility and Security” all’interno della divisione di Microsoft Italia che segue i grandi clienti e questo sta implicando la tanto desiderata possibilità di rioccuparmi a tempo pieno dei temi Security, Privacy, Compliance, in particolare applicati ai contesti mobility & cloud.

Detto questo vi starete domandando: ma ha senso rilanciare oggi un blog sulla Sicurezza con particolare focalizzazione sulle tecnologie Microsoft? Ecco, il punto che lega il mio ruolo attuale alla possibilità, e io penso anche opportunità, di rilanciare il blog stia proprio nella rinnovata condizione che mi spinse 10 anni fa ad aprire quello che allora si chiamava solo “Security Blog di Feliciano Intini” poi ribattezzato in “NonSoloSecurity”: siamo di nuovo di fronte ad una tale imponente evoluzione strategica dell’investimento Microsoft sulle tecnologie di sicurezza che credo possa servire aiuto per, spero, farvi apprezzare la rapidissima progressione delle innovazioni e l’utilità delle soluzioni messe a vostra disposizione per proteggere gli asset IT nel contesto moderno caratterizzato dall’uso sempre più diffuso della mobilità e delle tecnologie cloud.

10 anni fa esordivo infatti con questo post “Ciao e benvenuti sul mio nuovo blog!” e il giorno dopo vi proponevo un vero e proprio “Piano dell’opera” per allettarvi sulle numerose tecnologie di sicurezza utili per implementare un modello di Defense In-Depth basato su soluzioni/tecnologie/prodotti Microsoft:

image

Oggi mi ritrovo nella possibilità di rilanciare questo blog per condividervi quanto i diversi investimenti sulle tecnologie di sicurezza stiano permettendo a Microsoft di riproporvi una nuova Security platform:

image

in grado di offrirvi un nuovo set di soluzioni di sicurezza che attraversa i diversi ambiti di protezione, a partire dall’endpoint, passando per l’infrastruttura e includendo le soluzioni applicative:

image

Se tanto è cambiato nella capacità di Microsoft di comunicare le innovazioni tecnologiche (siti, blog, canali twitter), temo possa esserci ancora bisogno di un pizzico di aiuto per orientarvi nell’onda anomala di novità, specialmente quando fanno capo a diversi gruppi di prodotto: eccomi qua!

Spero ritroverete utile tornare o iniziare a seguirmi, sia tramite il blog e relativo feed RSS, che tramite i due canali twitter che vi riporto in firma.

A presto!

Feliciano

@felicianointini (mostly in Italian – technical & non technical tweets)

@NonSoloSecurity (English only – technical only)