I termini sicurezza e conformità vengono spesso utilizzati in modo intercambiabile. Tuttavia si tratta di concetti univoci e distinti.

La sicurezza, spesso ritenuta sicurezza delle informazioni, viene comunemente definita come un insieme di controlli tecnici, fisici e amministrativi implementati per fornire riservatezza, integrità e disponibilità. Ad esempio, è possibile proteggere un host bloccando gli account che possono accedervi e i metodi impiegati (SSH, direct console e così via). La conformità, d'altra parte, è un insieme di requisiti necessari per soddisfare i controlli minimi stabiliti da diversi framework normativi che forniscono linee guida limitate su qualsiasi tipo di tecnologia, fornitore o configurazione. Ad esempio, il Payment Card Industry (PCI) ha stabilito delle linee guida per la sicurezza allo scopo di aiutare le organizzazioni a proteggere proattivamente i dati degli account clienti.

La sicurezza riduce il rischio di furto di dati, attacchi informatici o accesso non autorizzato, mentre la conformità è la prova che un controllo della sicurezza è in esecuzione, generalmente all'interno di una linea temporale definita. La sicurezza viene illustrata principalmente nelle decisioni di progettazione ed evidenziata all'interno delle configurazioni tecnologiche. La conformità è incentrata sulla mappatura della correlazione tra i controlli di sicurezza e i requisiti specifici. Una mappatura di conformità fornisce una visualizzazione centralizzata per elencare molti dei controlli di sicurezza necessari. Tali controlli vengono ulteriormente dettagliati includendo le rispettive citazioni di conformità di ciascun controllo di sicurezza come stabilite da un dominio quale NIST, PCI, FedRAMP, HIPAA e così via.

Programmi di sicurezza informatica e conformità efficaci si basano su tre elementi: persone, processi e tecnologia. Un'idea generale erronea è che la tecnologia da sola possa risolvere qualsiasi esigenza legata alla sicurezza informatica. La tecnologia svolge un ruolo rilevante nello sviluppo e nell'esecuzione di un programma di sicurezza delle informazioni. Tuttavia, senza processo e procedure, riconoscimento e formazione, la tecnologia crea vulnerabilità all'interno dell'organizzazione.

Quando si definiscono le strategie di sicurezza e di conformità, occorre considerare quanto segue:

  • Le persone hanno bisogno di informazione e formazione di tipo generale, mentre i dipendenti IT necessitano di una formazione specifica.
  • Il processo definisce in che modo le attività, i ruoli e la documentazione all'interno di un'organizzazione vengono utilizzati per ridurre i rischi. I processi sono efficaci solo se le persone li seguono correttamente.
  • La tecnologia può essere utilizzata per prevenire o ridurre l'impatto del rischio di sicurezza informatica per l'organizzazione. La tecnologia da utilizzare dipende dal livello di accettazione dei rischi all'interno di un'organizzazione.

VMware fornisce i kit di conformità che contengono sia una Guida di controllo che una Guida all'applicabilità dei prodotti, contribuendo a risolvere il divario tra i requisiti di conformità e normativi e le guide all'implementazione. Per ulteriori informazioni, vedere https://core.vmware.com/compliance.

Glossario dei termini di conformità

La conformità introduce termini e definizioni specifici molto importanti da comprendere.

Tabella 1. Termini di conformità
Termine Definizione

CJIS

Divisione Servizi Informativi per la Giustizia Penale (Criminal Justice Information Services). Nel contesto della conformità, il CJIS produce un Criterio di sicurezza per definire come le indagini penali locali, statali e federali e di applicazione della legge debbano adottare misure di sicurezza per proteggere informazioni sensibili quali impronte digitali e background criminali.

DISA STIG

Guida all'implementazione tecnica della sicurezza della Defense Information Systems Agency. L'Agenzia dei sistemi di informazione sulla difesa (DISA) è l'entità responsabile del comportamento di sicurezza dell'infrastruttura IT del Dipartimento della Difesa (DoD). DISA ottiene questo risultato tramite lo sviluppo e l'uso di Guide all'implementazione tecnica della sicurezza, o "STIG".

FedRAMP

Federal Risk and Authorization Management Program. FedRAMP è un programma governativo che offre un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per i prodotti e i servizi cloud.

HIPAA

Health Insurance Portability and Accountability Act. Ammesso dal Congresso nel 1996, HIPAA svolge le seguenti attività:

  • Offre a milioni di lavoratori statunitensi e famiglie la possibilità di trasferire e proseguire la copertura dell'assicurazione sanitaria quando cambiano o perdono il lavoro
  • Riduce le frode e gli abusi nell'assistenza sanitaria
  • Impone standard a livello di settore per le informazioni sull'assistenza sanitaria circa la fatturazione elettronica e altri processi
  • Richiede la protezione e la gestione riservata di informazioni protette sullo stato di salute

Il secondo punto è quello più importante per la documentazione sulla Sicurezza di vSphere.

NCCoE

Centro di Eccellenza Nazionale per la Sicurezza Informatica. Il NCCoE è un'organizzazione governativa degli Stati Uniti che produce e condivide pubblicamente soluzioni ai problemi di sicurezza informatica riscontrati dalle aziende statunitensi. Il centro è formato da un team di persone provenienti da società tecnologiche della sicurezza informatica, altre agenzie federali e accademie volte ad affrontare ogni problematica.

NIST

National Institute of Standards and Technology. Fondato nel 1901, il NIST è un'agenzia federale non normativa all'interno del Dipartimento del commercio degli Stati Uniti. Lo scopo dell'NIST è promuovere l'innovazione statunitense e la competitività industriale avanzando metodi di scienza della misurazione, norme e tecnologia in modo da incrementare la sicurezza economica e migliorare la qualità della vita.

PAG

Product Applicability Guide. Documento che fornisce le linee guida generali per le aziende che stanno prendendo in considerazione soluzioni atte a favorire l'cdi conformità.

PCI DSS

Payment Card Industry Data Security Standard. Una serie di standard di sicurezza progettati per garantire che tutte le società che accettano, elaborano, archiviano o trasmettono informazioni con carta di credito mantengano un ambiente sicuro.

Soluzioni di conformità VVD/VCF

VMware Validated Design/VMware Cloud Foundation. I progetti convalidati VMware forniscono blueprint completi e testati in modo esteso per creare e utilizzare un Software-Defined Data Center. Le soluzioni di conformità VVD/VCF consentono ai clienti di soddisfare i requisiti di conformità richiesti da numerose norme governative e di settore.