INFN wiki

User Tools

Site Tools

Trace: Webmail Roundcube: modifica dell'indirizzo mittente MacOsX Mail: modifica dell'indirizzo mittente
cn:ccr:windows:fono:2025-01-24

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
cn:ccr:windows:fono:2025-01-24 [2025/01/24 13:00] brunengo@infn.itcn:ccr:windows:fono:2025-01-24 [2025/01/25 09:09] (current) brunengo@infn.it
Line 1: Line 1:
 +===== Fono 24 gennaio 2025 =====
 +
 +==== Aggiornamento attivita' di assessment AGIC ====
 +
 +Report prima fase.\\
 +  * Debolezze della nostra configurazione (generali, sharepoint, teams): abbiamo imparato qualcosa?
 +  * Definizione di policy: abbiamo elementi che ci permettano di definirne?
 +  * Questioni su cui chiedere approfondimemnti?
 +
 +Non abbiamo imparato molto, l'azione della azienda se non sollecitata non e' particolarmente incisiva.\\
 +Il nostro ambiente prevede collaborazioni molto aperte e attivita' riservate. La piattaforma non sembra permettere configurazioni ad hoc per singolo sito di Sharepoint o per singolo Team.\\
 +La questione rilevante e' la possibilita' di confinare la condivisione di file per policy, piu' che per best practice.
 +
 +Prima di poter definire policy o best practice e' necessario approfondire le possibilita'.
 +
 +L'obiettivo e' di individuare, se possibile, gli strumenti che permettono di realizzare ambienti protetti per garantire la riservatezza. I configuratori non lo permettono. Probabile la necessita' di interagire con Microsoft per capire se esistono strumenti.\\
 +Il workshop di questa mattina potrebbe dare indicazioni al riguardo.
 +
 +
 +Seconda fase.\\
 +  * Tempistiche
 +  * Obiettivi (e quindi domande da fare)
 +
 +Per preparare la seconda fase e' importante dare indicazioni alla azienda su quelle che sono le nostre criticita', altrimenti faranno il compitino.\\
 +Temi da sottoporre alla attenzione: raggruppamento dei device secondo la struttura per poter delegare l'amministrazione degli stessi (policy, visualizzazione allarmi, azioni). Il meccanismo utilizzato ora (tag) permette di operare a livello di EDR ma non di Intune.
 +
 +Daniele ricorda che il programma prevede creazione di policy avanzate, formazione, esempi, e per la terza fase un progetto pilota.
 +
 +
 +==== Stato ed evoluzione dispiegamento EDR ====
 +
 +Attivita' connessa alla seconda fase dell'assessment.\\
 +Situazione del deploy in lento aumento. Siamo gia' oltre ai numeri di Kaspersky e Trend Micro, ma ancora lontani (<15%).
 +
 +Problemi con i Mac dovuti a policy rimaste attive dopo i primi test, hanno creato problemi per l'accesso a certi siti (NovaPA).
 +Riaggiustate le policy, sembra a posto.\\
 +Ancora da fare e' una policy ben fatta su Windows, sistema operativo che fornisce molte possibilita'.
 +
 +L'analisi delle segnalazioni e' fatta da Alessandro, che in base al suo giudizio inoltra al responsabile locale o allo CSIRT.
 +
 +Problemi:
 +  * ancora molti device da includere: il problema non e' la complessita', l'onboard e' semplice
 +  * la configurazione e' globale, le TAG servono solo parzialmente. Problemi anche nella segnalazione via mail: i security group non sono utilizzati dall'allarmistica
 +  * Alessandro e' da solo a gestire la piattaforma e la reazione ai problemi
 +
 +Opportuno sollecitare l'on boarding nella mailing list.\\
 +Verificare se le mail di allarme siano "inviate" o "depositate" nel folder di Exchange.\\
 +Necessario coinvolgere le strutture per l'analisi dei problemi, ma va individuata la configurazione migliore per la delega.
 +
 +
 +==== Posta elettronica su Exchange ====
 +
 +Si parte con una valutazione della piattaforma come soluzione di posta centralizzata dell'Ente.\\
 +Valutazione tecnica, economica, di riservatezza.
 +
 +Tecnica:
 +  * numero di caselle (10000, 3500 dip, 6500 altri): il tenant le supporta (3300 A5, 9900 A1).
 +  * quota: le caselle hanno 100 GB/A5 e 50 GB/A1. Idoneo.
 +  * spazio disco: previsti ! 200 TB di spazio necessario. Valutare disponibilita', impatto e costi teorici.
 +  * funzionalita': individuare limitazioni dlle licenze A1
 +  * 2FA: test per vedere se funzional la nostra, limiti nell'utilizzo di client/app
 +  * accesso: elenco di client ed app supportate, limiti per le utenze A1 (in particolare outlook app, verificare)
 +  * backup: sufficiente la retention di default? Quanto e'? Individuare procedura recovery mail/cartelle.
 +  * eventuali altri requisiti da indagare col gruppo mailing
 +
 +Economica:
 +  * valutazione del costo reale per la migrazione delle utenze INFN (spazio, licenze)
 +  * valutazione del costo ipotetico se si dovesse acquistare lo storage
 +  * valutazione dell'aumento di costo per un incremento del 5%/anno delle utenze A5 e A1?
 +  * costi di migrazione? si deve acquistare un servizio o esiste una procedura automatizzata in autonomia?
 +
 +Riservatezza:\\
 +la posta dell'ente contiene potenzialmente dati riservati, personali e anche particolari. E' quindi necessario procedere con
 +  * DPIA (vedi dopo)
 +  * potenziali perdite di riservatezza legate a copilot (vedi dopo)
 +
 +Altri elementi che devono essere valutati sono i seguenti:\\
 +necessita' di manpower per la gestione\\
 +piano di migrazione\\
 +piano di phaseout
 +
 +Si procede con l'analisi tecnica e economica, per eventuali dubbi si chiede al supporto Microsoft.\\
 +Poi si interagisce con il gruppo mailing per raffinare l'analisi tecnica (auspicio di individuare persone interessate a collaborare sulla piattaforma).\\
 +Quindi si fa un incontro tecnico con microsoft.
 + 
 +
 +
 +==== DPIA e trattamento dei dati personali da parte di Telecom/Microsoft ====
 +
 +Urgente fare un incontro con Microsoft per chiarire la gestione dei dati personali sulla piattaforma. Lo chiama Alessandro.\\
 +Necessario anche un incontro con il DPO per far partire la DPIA: appena terminata l'attivita' di assessment con AGIC.
 +
 +
 +==== Copilot ====
 +
 +Necessario acquisire informazioni su:
 +  * confinamento delle informazioni che Copilot acquisisce
 +  * gestione delle informazioni (in particolare la cancellazione)
 +
 +Acquisire know-how (eventualmente interagendo con il supporto).
 +
 +
 +==== Licenze ====
 +
 +Si decide di utilizzare il team degli admin per mantenere un foglio excel con l'eleno delle richieste pagate dal richiedente.
 +
 +Si decide di mettere nella stessa area dati un repo delle informazioni statistiche sullo storico delle assegnazioni delle licenze. Se si trova il modo di automatizzare e' meglio, ma comunque cominciare a salvare i dati ogni 6 mesi.
 +
 +
 +==== Repository informazioni ====
 +
 +Necessario creare un'area di lavoro per: documentazione interna: agenda riunioni, minute, policy, dati statistici, licenze, how-to admin, best practices utenti.
 +
 +L'area di lavoro gia' esiste: team O365 INFN Admin.\\
 +Mettiamo la documentazione li'.
 +
 +
 +==== Varie ed eventuali ====
 +
 +
 +==== Azioni ====
 +
 +  - Proseguire l'attivita' di assessment con AGIC [admin]
 +  - Rinnovare l'invito a fare l'onboarding dei device su MS EDR [Alessandro T.]
 +  - Stilare un piano di lavoro organico sul mailing e procedere con l'attivita' [Alessandro B., Daniele e Antonella]
 +  - Chiamare riunione con Microsoft per analizzare a fondo la compliance con il GDPR [Alessandro B.]
 +  - Questione Copilot: acquisire informazioni e poi chiamare una riunione tecnica con MS per chiarire tutti i dubbi [Daniele, Antonella]
 +  - Creare foglio excel con l'elenco dettagliato delle licenze erogate e chi paga [Daniele e/o Antonella]
 +  - Avviare DPIA (dopo la fine dell'assessment) [Alessandro B., admin]
 +
  
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki