Questi contenuti sono stati aggiornati l'ultima volta a settembre 2022 e rappresentano lo status quo del momento in cui sono stati scritti. Criteri e sistemi di sicurezza di Google possono variare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.
La massima priorità di Google è mantenere un ambiente sicuro e protetto per i dati dei clienti. Per proteggere i dati dei clienti, eseguiamo un'operazione di sicurezza delle informazioni leader del settore che combina procedure rigorose, un team di risposta agli incidenti e un'infrastruttura di sicurezza e privacy a più livelli. Questo documento spiega il nostro principio di gestione e risposta agli incidenti relativi ai dati in Google Cloud.
L'Addendum per il trattamento dei dati Cloud definisce un incidente relativo ai dati come "una violazione della sicurezza di Google che comporta la distruzione accidentale o illegittima, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati dei clienti su sistemi gestiti o controllati in altro modo da Google". Sebbene adottiamo misure per affrontare minacce prevedibili rispetto a dati e sistemi, gli incidenti non includono i tentativi di sicurezza o le attività che non compromettono i dati dei clienti. Ad esempio, gli incidenti relativi ai dati non sono tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.
La risposta agli incidenti è un aspetto chiave del nostro programma generale di sicurezza e privacy. Abbiamo una procedura rigorosa per la gestione degli incidenti relativi ai dati. Questo processo specifica le azioni, le escalation, la mitigazione, la risoluzione e la notifica di potenziali incidenti che incidono sulla riservatezza, sull'integrità o sulla disponibilità dei dati dei clienti.
Per scoprire di più su come proteggiamo Google Cloud, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura e la sicurezza di Google Cloud.
Risposta agli incidenti relativi ai dati
Il nostro programma di risposta agli incidenti è gestito da team di esperti incaricati di rispondere a molti incidenti per garantire che ogni risposta sia adattata alle sfide presentate da ogni incidente. A seconda della natura dell'incidente, il team di risposta professionale può includere esperti dei seguenti team:
- Gestione degli incidenti relativi al cloud
- Progettazione dei prodotti
- Site Reliability Engineering
- Sicurezza e privacy del cloud
- Digital forensics
- Indagini globali
- Rilevamento dei segnali
- Consulenza su sicurezza, privacy e prodotti
- Affidabilità e sicurezza
- Tecnologia di contrasto ai comportamenti illeciti
- Assistenza clienti Google Cloud
Gli esperti di questi team lavorano in vari modi. Ad esempio, gli comandanti di incidente coordinano la risposta agli incidenti e, quando necessario, il team di forense digitale esegue indagini forensi e monitora gli attacchi in corso. I tecnici di prodotto lavorano per limitare l'impatto sui clienti e fornire soluzioni per correggere i prodotti interessati. Counsel collabora con i membri del team competente per la sicurezza e la privacy per implementare la strategia di Google sulla raccolta delle prove, coinvolgere le forze dell'ordine e le autorità di regolamentazione e fornire consulenza su questioni legali e requisiti. L'assistenza clienti risponde alle richieste e alle richieste dei clienti per ulteriori informazioni e assistenza.
Organizzazione del team
Quando dichiariamo un incidente, designiamo un comandante dell'incidente che coordina la risposta e la risoluzione dell'incidente. L'comandante dell'incidente seleziona esperti di diversi team e forma un team di risposta. Il comandante dell'incidente delega la responsabilità della gestione dei diversi aspetti dell'incidente a questi esperti e gestisce l'incidente dal momento della dichiarazione alla chiusura. Il seguente diagramma mostra questa organizzazione con vari ruoli e le loro responsabilità durante la risposta agli incidenti.
Processo di risposta agli incidenti relativi ai dati
Ogni incidente relativo ai dati è univoco e l'obiettivo del processo di risposta agli incidenti relativi ai dati è proteggere i dati dei clienti, ripristinare il servizio normale il più rapidamente possibile e soddisfare i requisiti di conformità sia normativi che contrattuali. La tabella seguente descrive i passaggi principali nel programma di risposta agli incidenti di Google.
| Passaggio incidente | Obiettivo | Descrizione |
|---|---|---|
| Identificazione | Rilevamento | I processi automatizzati e manuali rilevano potenziali vulnerabilità e incidenti. |
| Segnalazione | I processi automatici e manuali segnalano il problema al team addetto alla risposta agli incidenti. | |
| Coordinamento | Classificazione | Si verificano le seguenti attività:
|
| Coinvolgimento del team di risposta | Si verificano le seguenti attività:
|
|
| Risoluzione | Indagine | Si verificano le seguenti attività:
|
| Contenimento e recupero | Il responsabile operativo completa immediatamente i seguenti passaggi:
|
|
| comunicazione | Si verificano le seguenti attività:
|
|
| Chiusura | Lezioni apprese | Si verificano le seguenti attività:
|
| Miglioramento continuo | Sviluppo di programmi | I team, la formazione, i processi, le risorse e gli strumenti necessari vengono mantenuti. |
| Prevenzione | I team migliorano il programma di risposta agli incidenti in base alle lezioni apprese. |
Le sezioni seguenti descrivono ogni passaggio in modo più dettagliato.
Identificazione
L'identificazione tempestiva e accurata degli incidenti è fondamentale per una gestione efficace degli incidenti. L'obiettivo della fase di identificazione è monitorare gli eventi di sicurezza per rilevare e creare report su potenziali incidenti relativi ai dati.
Il team di rilevamento degli incidenti utilizza strumenti di rilevamento, indicatori e meccanismi di avviso avanzati che forniscono un'indicazione tempestiva dei potenziali incidenti. Le nostre fonti di rilevamento di incidenti includono:
Analisi automatizzata dei log di rete e di sistema: l'analisi automatica del traffico di rete e dell'accesso al sistema consente di identificare attività sospette, illecite o non autorizzate e riassegnare la richiesta al personale di sicurezza.
Test: il team di sicurezza cerca attivamente le minacce alla sicurezza utilizzando test di penetrazione, misure di controllo qualità (QA), rilevamento delle intrusioni e revisioni della sicurezza del software.
Revisioni del codice interno:l'analisi del codice sorgente rileva le vulnerabilità nascoste, la progettazione di difetti e verifica se sono stati implementati i controlli di sicurezza chiave.
Strumenti e processi specifici di un prodotto: se possibile, vengono utilizzati strumenti automatizzati specifici per la funzione del team, per migliorare la nostra capacità di rilevare incidenti a livello di prodotto.
Rilevamento di anomalie di utilizzo: utilizziamo molti livelli di sistemi di machine learning per differenziare tra attività utente sicure e anomale tra browser, dispositivi, accessi ad applicazioni e altri eventi di utilizzo.
Avvisi di sicurezza per i servizi di data center e luoghi di lavoro: gli avvisi di sicurezza nei data center eseguono la scansione per rilevare eventuali incidenti che potrebbero interessare la nostra infrastruttura.
Dipendenti Google: un dipendente Google rileva un'anomalia e la segnala
Programma di ricompensa per la vulnerabilità di Google: a volte i potenziali ricercatori di sicurezza esterni segnalano potenziali vulnerabilità tecniche nelle estensioni del browser, nelle app web e per dispositivi mobili di proprietà di Google che influiscono sulla riservatezza o sull'integrità dei dati utente
Coordinamento
Quando viene segnalato un incidente, chi risponde alla chiamata esamina e valuta la natura del rapporto sull'incidente per determinare se rappresenta un potenziale incidente di dati e avvia il nostro processo di risposta agli incidenti.
Dopo la conferma, l'incidente risponde a un comandante che valuta la natura dell'incidente e implementa un approccio coordinato alla risposta. In questa fase, la risposta include il completamento della valutazione della priorità dell'incidente, la modifica della sua gravità, se necessario, e l'attivazione del team di risposta all'incidente richiesto con i responsabili operativi e tecnici appropriati che esaminano i fatti e identificano le aree chiave che richiedono un'indagine. Designiamo un lead di prodotto e un lead legale per poter prendere decisioni chiave relative alla risposta. L'incident commander assegna la responsabilità delle indagini e vengono raccolti i fatti.
Molti aspetti della nostra risposta dipendono dalla valutazione della gravità, che si basa sui fatti chiave raccolti e analizzati dal team di risposta agli incidenti. I dati principali includono:
Potenziale danno a clienti, terze parti e Google
Natura dell'incidente (ad esempio, se i dati sono stati potenzialmente distrutti, consultati o non sono disponibili).
Tipo di dati che potrebbero essere interessati
Impatto dell'incidente sulla capacità dei nostri clienti di utilizzare il servizio
Stato dell'incidente (ad es. se l'incidente è isolato, continua o contenuto)
Il comandante dell'incidente e gli altri lead rivalutano periodicamente questi fattori durante l'impegno di risposta con l'evolversi di nuove informazioni per garantire che alla nostra risposta vengano assegnate le risorse e l'urgenza appropriate. Agli eventi che presentano l'impatto più critico viene assegnata la massima gravità. Un responsabile delle comunicazioni ha il compito di sviluppare un piano di comunicazione con altri lead.
Risoluzione
Nella fase di risoluzione, l'attenzione è concentrata sull'indagine della causa principale, sulla limitazione dell'impatto dell'incidente, sulla risoluzione dei rischi immediati per la sicurezza (se presenti), sull'implementazione delle correzioni necessarie come parte della correzione e sul recupero di sistemi, dati e servizi interessati.
Se possibile, i dati interessati vengono ripristinati allo stato originale. A seconda di ciò che è ragionevole e necessario in un determinato incidente, potremmo adottare una serie di passaggi diversi per risolvere un incidente. Ad esempio, potrebbe essere necessaria un'indagine tecnica o forense per ricostruire la causa principale di un problema o per identificare qualsiasi impatto sui dati dei clienti. Potremmo tentare di recuperare copie dei dati dalle nostre copie di backup nel caso in cui i dati vengano modificati o distrutti in modo improprio.
Un aspetto chiave della risoluzione dei problemi è informare i clienti quando gli incidenti incidono sui loro dati. I fatti chiave vengono valutati durante l'incidente per determinare se l'incidente ha interessato i dati dei clienti. Se è opportuno inviare una notifica ai clienti, la funzione di notifica dell'incidente avvia il processo di notifica. Il responsabile delle comunicazioni sviluppa un piano di comunicazione con i dati del prodotto e i responsabili legali, informa le persone interessate e supporta le richieste dei clienti dopo la notifica con l'aiuto dell'assistenza clienti.
Ci impegniamo a fornire notifiche tempestive, chiare e accurate contenenti i dettagli noti dell'incidente di dati, le misure che abbiamo adottato per ridurre i potenziali rischi e le azioni che consigliamo ai clienti di intraprendere per affrontare l'incidente. Facciamo del nostro meglio per fornire un quadro chiaro dell'incidente in modo che i clienti possano valutare e adempiere ai propri obblighi di notifica.
Chiusura
Dopo la risoluzione e la risoluzione di un incidente relativo ai dati, il team di risposta agli incidenti valuta le lezioni apprese dall'incidente. Quando l'incidente solleva problemi critici, l'incidente Commander potrebbe avviare un'analisi post mortem. Durante questo processo, il team di risposta agli incidenti esamina le cause dell'incidente e la nostra risposta e identifica le aree principali per il miglioramento. In alcuni casi, ciò potrebbe richiedere la discussione con diversi team di prodotto, progettazione e operazioni, nonché interventi di miglioramento del prodotto. Se è necessario un lavoro di follow-up, il team di risposta agli incidenti sviluppa un piano d'azione per completare il lavoro e assegna ai project manager l'impegno a lungo termine. L'incidente è chiuso al termine delle azioni di correzione.
Miglioramento continuo
In Google, facciamo tutto il possibile per imparare da ogni incidente e attuare misure preventive per evitare incidenti futuri.
Gli insight strategici derivanti dall'analisi degli incidenti ci consentono di migliorare i nostri strumenti, la formazione, i processi, il programma generale di protezione dei dati e sicurezza della privacy, i criteri di sicurezza e le iniziative di risposta. Gli apprendimenti chiave consentono inoltre di stabilire le priorità per quanto riguarda le iniziative di ingegneria e la creazione di prodotti migliori.
I professionisti della sicurezza e della privacy migliorano il nostro programma rivedendo i nostri piani di sicurezza per tutte le reti, i sistemi e i servizi e fornendo servizi di consulenza specifici per progetto a team di prodotto e tecnici. I professionisti della sicurezza e della privacy implementano il machine learning, l'analisi dei dati e altre nuove tecniche per monitorare attività sospette sulle nostre reti, affrontare le minacce alla sicurezza delle informazioni, eseguire valutazioni e controlli di sicurezza di routine e coinvolgere esperti esterni per condurre valutazioni della sicurezza regolari. Inoltre, Project Zero mira a prevenire attacchi mirati segnalando i bug ai fornitori di software e archiviandoli in un database esterno.
Conduciamo regolarmente campagne di formazione e sensibilizzazione per promuovere l'innovazione in materia di sicurezza e privacy dei dati. Il personale di risposta agli incidenti dedicato è formato in forense e nella gestione di prove, incluso l'utilizzo di strumenti di terze parti e proprietari. Il test dei processi e delle procedure di risposta agli incidenti viene eseguito per aree chiave, come i sistemi che memorizzano le informazioni sensibili dei clienti. Questi test prendono in considerazione una serie di scenari, tra cui minacce interne e vulnerabilità software, e ci aiutano a preparare meglio gli incidenti di sicurezza e privacy.
I nostri processi vengono testati regolarmente nell'ambito dei nostri programmi ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 e FedRAMP per fornire ai nostri clienti e alle autorità di regolamentazione verifiche indipendenti dei nostri controlli di sicurezza, privacy e conformità. Per un elenco delle certificazioni di terze parti per Google Cloud, consulta il Centro risorse per la conformità.
Riepilogo
La protezione dei dati è fondamentale per la nostra attività. Investiamo costantemente nel nostro programma di sicurezza generale, nelle nostre risorse e nella nostra competenza, il che consente ai nostri clienti di fare affidamento su di noi per rispondere in modo efficace in caso di incidente, proteggere i dati dei clienti e mantenere l'elevata affidabilità che i clienti si aspettano da un servizio Google.
Il nostro programma di risposta agli incidenti di altissimo livello svolge queste funzioni chiave:
Un processo basato su tecniche leader del settore per la risoluzione degli incidenti, che ha perfezionato il proprio funzionamento su vasta scala.
Sistemi di monitoraggio, analisi dei dati e servizi di machine learning pionieristici per rilevare e contenere in modo proattivo gli incidenti.
Esperti dedicati in materia che possono rispondere a qualsiasi tipo o dimensione di incidente relativo ai dati.
Una procedura matura per notificare prontamente i clienti interessati, in linea con gli impegni di Google nei termini di servizio e nei contratti con i clienti.
Passaggi successivi
Per scoprire di più su come proteggiamo la nostra infrastruttura, leggi Creare sistemi sicuri e affidabili (prenota O'Reilly).
Per scoprire di più su come implementare la sicurezza per i carichi di lavoro dei clienti in Google Cloud, consulta il progetto base per le piattaforme di sicurezza e il framework dell'architettura.