Questi contenuti sono stati aggiornati l'ultima volta a settembre 2022 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google possono variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.
La massima priorità di Google è mantenere un ambiente sicuro e protetto per i dati dei clienti. Per proteggere i dati dei clienti, eseguiamo un'operazione di sicurezza delle informazioni leader del settore che combina processi rigorosi, un team di esperti di risposta agli incidenti e un'infrastruttura a più livelli per la sicurezza delle informazioni e la privacy. Questo documento spiega il nostro solido approccio alla gestione e alla risposta agli incidenti relativi ai dati in Google Cloud.
L'Addendum per il trattamento dei dati Cloud definisce un incidente relativo ai dati come "una violazione della sicurezza di Google che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentali o illegittimi ai Dati del cliente sui sistemi gestiti o controllati in altro modo da Google". Sebbene adottiamo misure per far fronte a minacce prevedibili a dati e sistemi, gli incidenti relativi ai dati non includono tentativi o attività non andati a buon fine che compromettono la sicurezza dei dati del cliente. Ad esempio, gli incidenti relativi ai dati non sono tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.
La risposta agli incidenti è un aspetto chiave del nostro programma generale di sicurezza e privacy. Abbiamo un processo rigoroso per la gestione degli incidenti relativi ai dati. Questo processo specifica azioni, riassegnazioni, mitigazione, risoluzione e notifica di qualsiasi incidente potenziale che abbia un impatto su riservatezza, integrità o disponibilità dei dati dei clienti.
Per scoprire di più su come proteggiamo Google Cloud, consulta la pagina Panoramica sulla progettazione della sicurezza dell'infrastruttura e la pagina relativa alla sicurezza di Google Cloud.
Risposta agli incidenti relativi ai dati
Il nostro programma di risposta agli incidenti è gestito da team di esperti in risposta agli incidenti che si occupano di numerose funzioni specializzate per garantire che ogni risposta sia ben adattata alle sfide presentate da ogni incidente. A seconda della natura dell'incidente, il team di risposta professionale può includere esperti dei seguenti team:
- Gestione degli incidenti relativi al cloud
- Progettazione dei prodotti
- Site Reliability Engineering
- Sicurezza e privacy del cloud
- Digital forensics
- Indagini globali
- Rilevamento dei segnali
- Consulenza su sicurezza, privacy e prodotti
- Affidabilità e sicurezza
- Tecnologia di contrasto ai comportamenti illeciti
- Assistenza clienti Google Cloud
Gli esperti di questi team sono coinvolti in vari modi. Ad esempio, gli incidenti commander coordinano la risposta agli incidenti e, se necessario, il team di digital forensics esegue indagini forensi e monitora gli attacchi in corso. I tecnici di prodotto lavorano per limitare l'impatto sui clienti e forniscono soluzioni per risolvere i prodotti interessati. Il consulente collabora con i membri del team competente per la sicurezza e la privacy per implementare la strategia di Google in materia di raccolta delle prove, collaborare con le forze dell'ordine e gli enti regolatori governativi, nonché fornire consulenze su questioni e requisiti legali. L'assistenza clienti risponde alle domande dei clienti e alle richieste di ulteriori informazioni e assistenza.
Organizzazione del team
Quando dichiariamo un incidente, designiamo un incident commander che coordini la risposta e la risoluzione degli incidenti. L'incident commander seleziona specialisti dai diversi team e forma un team di risposta. L'incident commander delega a questi esperti la responsabilità della gestione dei diversi aspetti dell'incidente e lo gestisce dal momento della dichiarazione fino alla chiusura. Il seguente diagramma illustra questa organizzazione di vari ruoli e le relative responsabilità durante la risposta agli incidenti.
Processo di risposta agli incidenti relativi ai dati
Ogni incidente relativo ai dati è unico e l'obiettivo del processo di risposta agli incidenti relativi ai dati è proteggere i dati dei clienti, ripristinare il normale servizio il più rapidamente possibile e soddisfare i requisiti di conformità sia normativi che contrattuali. La seguente tabella descrive i passaggi principali nel programma di risposta agli incidenti di Google.
| Passaggio incidente | Obiettivo | Descrizione |
|---|---|---|
| Identificazione | Rilevamento | I processi automatici e manuali rilevano potenziali vulnerabilità e incidenti. |
| Segnalazione | I processi automatizzati e manuali segnalano il problema al team di risposta agli incidenti. | |
| Coordinamento | Classifica | Si verificano le seguenti attività:
|
| Coinvolgimento del team addetto alle risposte | Si verificano le seguenti attività:
|
|
| Risoluzione | Indagine | Si verificano le seguenti attività:
|
| Contenimento e recupero | Il responsabile operativo completa immediatamente quanto segue:
|
|
| Comunicazione | Si verificano le seguenti attività:
|
|
| Chiusura | Lezioni apprese | Si verificano le seguenti attività:
|
| Miglioramento continuo | Sviluppo del programma | Vengono mantenuti i team, la formazione, i processi, le risorse e gli strumenti necessari. |
| Prevenzione | I team migliorano il programma di risposta agli incidenti sulla base delle lezioni apprese. |
Le sezioni seguenti descrivono ogni passaggio in modo più dettagliato.
Identificazione
L'identificazione tempestiva e accurata degli incidenti è la chiave per una gestione efficace degli incidenti. L'obiettivo della fase di identificazione è monitorare gli eventi di sicurezza per rilevare e creare report su potenziali incidenti relativi ai dati.
Il team di rilevamento degli incidenti utilizza strumenti di rilevamento, segnali e meccanismi di allarme avanzati che forniscono un'indicazione tempestiva di potenziali incidenti. Le nostre fonti di rilevamento di incidenti includono:
Analisi automatizzata della rete e dei log di sistema:l'analisi automatica del traffico di rete e dell'accesso al sistema consente di identificare attività sospette, illecite o non autorizzate, per poi riassegnare il problema al personale di sicurezza.
Test: il team per la sicurezza ricerca attivamente le minacce alla sicurezza utilizzando test di penetrazione, misure di controllo qualità (QA), rilevamento delle intrusioni e analisi della sicurezza del software.
Revisioni interne del codice:la revisione del codice sorgente rileva vulnerabilità nascoste o difetti di progettazione e verifica l'implementazione dei controlli di sicurezza chiave.
Strumenti e processi specifici di prodotto: vengono utilizzati strumenti automatizzati specifici per la funzione del team, ove possibile, per migliorare la nostra capacità di rilevare incidenti a livello di prodotto.
Rilevamento di anomalie nell'utilizzo: utilizziamo molti livelli di sistemi di machine learning per distinguere tra attività utente sicure e anomale su browser, dispositivi, accessi alle applicazioni e altri eventi di utilizzo.
Avvisi di sicurezza dei servizi di data center e sui luoghi di lavoro: gli avvisi di sicurezza nei data center eseguono un'analisi volta a rilevare incidenti che potrebbero influire sull'infrastruttura.
Dipendenti Google:un dipendente Google rileva un'anomalia e la segnala.
Programma a premi per la vulnerabilità di Google: le potenziali vulnerabilità tecniche nelle estensioni del browser di proprietà di Google e nelle applicazioni web e per dispositivi mobili che influiscono sulla riservatezza o sull'integrità dei dati degli utenti vengono talvolta segnalate da ricercatori esterni specializzati nella sicurezza.
Coordinamento
Quando viene segnalato un incidente, chi risponde alla chiamata esamina e valuta la natura del rapporto sull'incidente per determinare se rappresenta un potenziale incidente relativo ai dati e avvia il nostro processo di risposta agli incidenti.
Dopo la conferma, l'intervistato passa l'incidente a un incident commander che valuta la natura dell'incidente e implementa un approccio coordinato alla risposta. In questa fase, la risposta include il completamento della valutazione della classificazione dell'incidente, la modifica della gravità, se necessario, e l'attivazione del team di risposta agli incidenti appropriato con responsabili operativi e tecnici adeguati che esaminano i fatti e identificano le aree chiave che richiedono un'indagine. Designiamo un lead di prodotto e un lead legale per poter prendere decisioni chiave relative alla risposta. L'incident commander assegna la responsabilità delle indagini e vengono raccolti i fatti.
Molti aspetti della nostra risposta dipendono dalla valutazione della gravità, che si basa su fatti chiave raccolti e analizzati dal team di risposta agli incidenti. Questi fatti chiave includono:
Potenziale danno a clienti, terze parti e Google
Natura dell'incidente (ad esempio se i dati sono stati potenzialmente distrutti, consultati o non sono disponibili)
Tipo di dati che potrebbero essere interessati
Impatto dell'incidente sulla capacità dei nostri clienti di utilizzare il servizio
Stato dell'incidente (ad esempio se è isolato, continuo o contenuto)
L'incident commander e altri lead rivalutano periodicamente questi fattori durante lo sforzo di risposta man mano che nuove informazioni si evolvono per garantire che alla nostra risposta vengano assegnate le risorse e l'urgenza appropriate. Agli eventi che presentano l'impatto più critico viene assegnata la massima gravità. Viene nominato un responsabile delle comunicazioni per sviluppare un piano di comunicazione con gli altri responsabili.
Risoluzione
Nella fase di risoluzione, l'attenzione si concentra sull'analisi della causa principale, sulla limitazione dell'impatto dell'incidente, sulla risoluzione dei rischi immediati per la sicurezza (se presenti), sull'implementazione delle correzioni necessarie nell'ambito della correzione e sul recupero di sistemi, dati e servizi interessati.
Se possibile, i dati interessati vengono ripristinati allo stato originale. A seconda di ciò che è ragionevole e necessario in un determinato incidente, potremmo adottare una serie di misure diverse per risolverlo. Ad esempio, potrebbe essere necessaria un'indagine tecnica o forense per ricostruire la causa principale di un problema o per identificare un eventuale impatto sui dati dei clienti. Potremmo tentare di recuperare copie dei dati dalle nostre copie di backup se i dati vengono modificati o distrutti in modo improprio.
Un aspetto chiave della correzione è la notifica ai clienti quando gli incidenti hanno un impatto sui loro dati. I fatti chiave vengono valutati nel corso di tutto l'incidente per determinare se quest'ultimo ha interessato i dati dei clienti. Se la notifica ai clienti è appropriata, il comandante dell'incidente avvia il processo di notifica. Il responsabile delle comunicazioni sviluppa un piano di comunicazione con input dei lead legali e di prodotto, informa le persone interessate e supporta le richieste dei clienti dopo la notifica con l'aiuto dell'assistenza clienti.
Ci impegniamo a fornire notifiche rapide, chiare e accurate contenenti i dettagli noti dell'incidente relativo ai dati, le misure che abbiamo intrapreso per mitigare i potenziali rischi e le azioni che consigliamo ai clienti di intraprendere per risolvere l'incidente. Facciamo del nostro meglio per fornire un quadro chiaro dell'incidente in modo che i clienti possano valutare e adempiere ai propri obblighi di notifica.
Chiusura
Dopo la corretta correzione e risoluzione di un incidente relativo ai dati, il team di risposta agli incidenti valuta le lezioni apprese dall'incidente. Quando l'incidente solleva problemi critici, l'incident commander potrebbe avviare un'analisi post mortem. Durante questo processo, il team di risposta agli incidenti esamina le cause dell'incidente e la nostra risposta e identifica le aree chiave per il miglioramento. In alcuni casi, ciò potrebbe richiedere la discussione con diversi team di prodotto, di progettazione e operativi, nonché con attività di miglioramento del prodotto. Se è necessario un lavoro di follow-up, il team di risposta agli incidenti sviluppa un piano d'azione per completarlo e assegna ai project manager la guida delle attività a lungo termine. L'incidente è stato chiuso al termine delle attività di correzione.
Miglioramento continuo
In Google, facciamo tutto il possibile per imparare da ogni incidente e attuare misure preventive per evitare incidenti futuri.
Le informazioni strategiche derivanti dall'analisi degli incidenti ci consentono di migliorare strumenti, formazione, processi, programma generale di sicurezza e protezione dei dati, criteri di sicurezza e iniziative di risposta. Le informazioni chiave che apprendiamo facilitano inoltre la priorità degli sforzi tecnici e la creazione di prodotti migliori.
I professionisti della sicurezza e della privacy migliorano il nostro programma esaminando i piani di sicurezza per tutte le reti, i sistemi e i servizi e fornendo servizi di consulenza specifici del progetto ai team di prodotto e di progettazione. I professionisti della sicurezza e della privacy implementano il machine learning, l'analisi dei dati e altre nuove tecniche per monitorare le attività sospette sulle nostre reti, affrontare le minacce alla sicurezza delle informazioni, eseguire valutazioni e controlli di sicurezza di routine e coinvolgere esperti esterni per condurre regolari valutazioni della sicurezza. Inoltre, Project Zero mira a prevenire attacchi mirati segnalando i bug ai fornitori di software e archiviandoli in un database esterno.
Conduciamo regolarmente campagne di formazione e sensibilizzazione per promuovere l'innovazione in materia di sicurezza e privacy dei dati. Il personale dedicato alla risposta agli incidenti è formato in analisi forense e nella gestione delle prove, compreso l'uso di strumenti di terze parti e proprietari. Vengono eseguiti test dei processi e delle procedure di risposta agli incidenti per aree chiave come i sistemi che archiviano le informazioni sensibili dei clienti. Questi test prendono in considerazione una serie di scenari, tra cui minacce interne e vulnerabilità dei software, e ci aiutano a prepararci meglio agli incidenti relativi alla sicurezza e alla privacy.
I nostri processi vengono testati regolarmente nell'ambito dei nostri programmi ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 e FedRAMP per fornire ai nostri clienti ed enti regolatori verifiche indipendenti dei nostri controlli di sicurezza, privacy e conformità. Per un elenco delle certificazioni di terze parti per Google Cloud, consulta il Centro risorse per la conformità.
Riepilogo
La protezione dei dati è fondamentale per la nostra attività. Investiamo costantemente nel nostro programma di sicurezza generale, nelle nostre risorse e nelle nostre competenze. Questo consente ai nostri clienti di fare affidamento su di noi per rispondere in modo efficace in caso di incidente, proteggere i dati dei clienti e mantenere l'elevata affidabilità che i clienti si aspettano da un servizio Google.
Il nostro programma di risposta agli incidenti di altissimo livello offre queste funzioni chiave:
Un processo basato su tecniche leader del settore per la risoluzione degli incidenti e raffinato per operare in modo efficiente su scala Google.
Sistemi di monitoraggio, analisi dei dati e servizi di machine learning all'avanguardia per rilevare e contenere in modo proattivo gli incidenti.
Esperti in materia che possono rispondere a incidenti relativi ai dati di qualsiasi tipo o entità.
Un processo maturo per avvisare tempestivamente i clienti interessati, in linea con gli impegni di Google nei Termini di servizio e nei contratti con i clienti.
Passaggi successivi
Per saperne di più su come proteggiamo la nostra infrastruttura, leggi Creazione di sistemi sicuri e affidabili (libro O'Reilly).
Per scoprire di più su come implementare la sicurezza per i carichi di lavoro dei clienti in Google Cloud, consulta il progetto delle basi aziendali e il framework dell'architettura.