INFN wiki

Report prima fase.

• Debolezze della nostra configurazione (generali, sharepoint, teams): abbiamo imparato qualcosa?
• Definizione di policy: abbiamo elementi che ci permettano di definirne?
• Questioni su cui chiedere approfondimemnti?

Non abbiamo imparato molto, l'azione della azienda se non sollecitata non e' particolarmente incisiva.
Il nostro ambiente prevede collaborazioni molto aperte e attivita' riservate. La piattaforma non sembra permettere configurazioni ad hoc per singolo sito di Sharepoint o per singolo Team.
La questione rilevante e' la possibilita' di confinare la condivisione di file per policy, piu' che per best practice.

Prima di poter definire policy o best practice e' necessario approfondire le possibilita'.

L'obiettivo e' di individuare, se possibile, gli strumenti che permettono di realizzare ambienti protetti per garantire la riservatezza. I configuratori non lo permettono. Probabile la necessita' di interagire con Microsoft per capire se esistono strumenti.
Il workshop di questa mattina potrebbe dare indicazioni al riguardo.

Seconda fase.

• Tempistiche
• Obiettivi (e quindi domande da fare)

Per preparare la seconda fase e' importante dare indicazioni alla azienda su quelle che sono le nostre criticita', altrimenti faranno il compitino.
Temi da sottoporre alla attenzione: raggruppamento dei device secondo la struttura per poter delegare l'amministrazione degli stessi (policy, visualizzazione allarmi, azioni). Il meccanismo utilizzato ora (tag) permette di operare a livello di EDR ma non di Intune.

Daniele ricorda che il programma prevede creazione di policy avanzate, formazione, esempi, e per la terza fase un progetto pilota.

Attivita' connessa alla seconda fase dell'assessment.
Situazione del deploy in lento aumento. Siamo gia' oltre ai numeri di Kaspersky e Trend Micro, ma ancora lontani (<15%).

Problemi con i Mac dovuti a policy rimaste attive dopo i primi test, hanno creato problemi per l'accesso a certi siti (NovaPA). Riaggiustate le policy, sembra a posto.
Ancora da fare e' una policy ben fatta su Windows, sistema operativo che fornisce molte possibilita'.

L'analisi delle segnalazioni e' fatta da Alessandro, che in base al suo giudizio inoltra al responsabile locale o allo CSIRT.

Problemi:

• ancora molti device da includere: il problema non e' la complessita', l'onboard e' semplice
• la configurazione e' globale, le TAG servono solo parzialmente. Problemi anche nella segnalazione via mail: i security group non sono utilizzati dall'allarmistica
• Alessandro e' da solo a gestire la piattaforma e la reazione ai problemi

Opportuno sollecitare l'on boarding nella mailing list.
Verificare se le mail di allarme siano "inviate" o "depositate" nel folder di Exchange.
Necessario coinvolgere le strutture per l'analisi dei problemi, ma va individuata la configurazione migliore per la delega.

Si parte con una valutazione della piattaforma come soluzione di posta centralizzata dell'Ente.
Valutazione tecnica, economica, di riservatezza.

Tecnica:

• numero di caselle (10000, 3500 dip, 6500 altri): il tenant le supporta (3300 A5, 9900 A1).
• quota: le caselle hanno 100 GB/A5 e 50 GB/A1. Idoneo.
• spazio disco: previsti ! 200 TB di spazio necessario. Valutare disponibilita', impatto e costi teorici.
• funzionalita': individuare limitazioni dlle licenze A1
• 2FA: test per vedere se funzional la nostra, limiti nell'utilizzo di client/app
• accesso: elenco di client ed app supportate, limiti per le utenze A1 (in particolare outlook app, verificare)
• backup: sufficiente la retention di default? Quanto e'? Individuare procedura recovery mail/cartelle.
• eventuali altri requisiti da indagare col gruppo mailing

Economica:

• valutazione del costo reale per la migrazione delle utenze INFN (spazio, licenze)
• valutazione del costo ipotetico se si dovesse acquistare lo storage
• valutazione dell'aumento di costo per un incremento del 5%/anno delle utenze A5 e A1?
• costi di migrazione? si deve acquistare un servizio o esiste una procedura automatizzata in autonomia?

Riservatezza:
la posta dell'ente contiene potenzialmente dati riservati, personali e anche particolari. E' quindi necessario procedere con

• DPIA (vedi dopo)
• potenziali perdite di riservatezza legate a copilot (vedi dopo)

Altri elementi che devono essere valutati sono i seguenti:
necessita' di manpower per la gestione
piano di migrazione
piano di phaseout

Si procede con l'analisi tecnica e economica, per eventuali dubbi si chiede al supporto Microsoft.
Poi si interagisce con il gruppo mailing per raffinare l'analisi tecnica (auspicio di individuare persone interessate a collaborare sulla piattaforma).
Quindi si fa un incontro tecnico con microsoft.

Urgente fare un incontro con Microsoft per chiarire la gestione dei dati personali sulla piattaforma. Lo chiama Alessandro.
Necessario anche un incontro con il DPO per far partire la DPIA: appena terminata l'attivita' di assessment con AGIC.

Necessario acquisire informazioni su:

• confinamento delle informazioni che Copilot acquisisce
• gestione delle informazioni (in particolare la cancellazione)

Acquisire know-how (eventualmente interagendo con il supporto).

Si decide di utilizzare il team degli admin per mantenere un foglio excel con l'eleno delle richieste pagate dal richiedente.

Si decide di mettere nella stessa area dati un repo delle informazioni statistiche sullo storico delle assegnazioni delle licenze. Se si trova il modo di automatizzare e' meglio, ma comunque cominciare a salvare i dati ogni 6 mesi.

Necessario creare un'area di lavoro per: documentazione interna: agenda riunioni, minute, policy, dati statistici, licenze, how-to admin, best practices utenti.

L'area di lavoro gia' esiste: team O365 INFN Admin.
Mettiamo la documentazione li'.

1. Proseguire l'attivita' di assessment con AGIC [admin]
2. Rinnovare l'invito a fare l'onboarding dei device su MS EDR [Alessandro T.]
3. Stilare un piano di lavoro organico sul mailing e procedere con l'attivita' [Alessandro B., Daniele e Antonella]
4. Chiamare riunione con Microsoft per analizzare a fondo la compliance con il GDPR [Alessandro B.]
5. Questione Copilot: acquisire informazioni e poi chiamare una riunione tecnica con MS per chiarire tutti i dubbi [Daniele, Antonella]
6. Creare foglio excel con l'elenco dettagliato delle licenze erogate e chi paga [Daniele e/o Antonella]
7. Avviare DPIA (dopo la fine dell'assessment) [Alessandro B., admin]