La migrazione a Microsoft 365 \u00e8 uno dei progetti IT pi\u00f9 frequenti nelle PMI svizzere. E-mail, gestione documentale, collaborazione \u2013 tutto da un unico fornitore, tutto nel cloud. Ma con il passaggio a M365 nasce un pericoloso malinteso: molte aziende credono che Microsoft si occupi della sicurezza. Questo \u00e8 vero solo in parte.<\/p>\n
Microsoft gestisce l’infrastruttura dietro Microsoft 365: data center, reti, sicurezza della piattaforma, sicurezza fisica. Di questo \u00e8 responsabile Microsoft, che investe miliardi in quest’area.<\/p>\n
Tuttavia, la configurazione, la gestione degli utenti, il controllo degli accessi e la protezione dei vostri dati<\/strong> sono responsabilit\u00e0 vostra. Microsoft lo chiama \u00abShared Responsibility Model\u00bb \u2013 responsabilit\u00e0 condivisa. In pratica significa:<\/p>\n Concretamente significa: se un aggressore accede al vostro account M365 con credenziali rubate, non \u00e8 un problema di Microsoft. Se documenti sensibili sono accessibili pubblicamente a causa di una condivisione SharePoint mal configurata, la responsabilit\u00e0 \u00e8 vostra. E se un collaboratore perde il proprio account senza MFA, non \u00e8 Microsoft a rispondere.<\/p>\n Dalla pratica, gli esperti di sicurezza conoscono una serie di errori di configurazione che ricorrono costantemente negli ambienti M365 delle PMI. Molti di questi sono impostazioni predefinite mai adattate.<\/p>\n L’MFA \u00e8 la singola misura di sicurezza pi\u00f9 importante per gli account cloud. Microsoft indica che l’MFA previene oltre il 99 percento delle compromissioni automatizzate degli account. Eppure, in molti tenant PMI l’MFA non \u00e8 attivata per tutti gli utenti.<\/p>\n Le scuse pi\u00f9 comuni: \u00ab\u00c8 troppo complicato\u00bb, \u00abNon funziona con la nostra stampante\u00bb, \u00abLa direzione non lo vuole\u00bb. Il risultato: una password rubata \u00e8 sufficiente per accedere a tutte le e-mail, i documenti e le chat Teams di un collaboratore.<\/p>\n Raccomandazione:<\/strong> attivate l’MFA per tutti<\/strong> gli utenti, senza eccezioni. Utilizzate l’app Microsoft Authenticator o chiavi di sicurezza FIDO2 invece degli SMS.<\/p>\n I protocolli di autenticazione legacy come POP3, IMAP e SMTP Basic Auth non supportano l’MFA. Gli aggressori sfruttano specificamente questi protocolli per aggirare l’MFA. Anche se l’MFA \u00e8 attivata per l’accesso normale, un aggressore pu\u00f2 accedere alla casella di posta tramite IMAP con una password rubata.<\/p>\n Microsoft ha progressivamente disattivato la Basic Authentication per Exchange Online, ma in molti tenant sono configurate eccezioni \u2013 spesso per dispositivi o applicazioni pi\u00f9 vecchi che non supportano la Modern Authentication.<\/p>\n Raccomandazione:<\/strong> bloccate completamente l’autenticazione legacy tramite Conditional Access Policies. Identificate prima i dispositivi e le applicazioni che utilizzano ancora protocolli legacy e aggiornateli.<\/p>\n In molti tenant PMI, troppi utenti hanno il ruolo di \u00abGlobal Administrator\u00bb. Ogni account di amministratore globale \u00e8 un bersaglio estremamente attraente per gli aggressori. Nel caso peggiore, la compromissione di un singolo account \u00e8 sufficiente per prendere il controllo dell’intero ambiente M365.<\/p>\n Problemi tipici:<\/p>\n Raccomandazione:<\/strong> riducete i Global Admin a un massimo di due o tre account di emergenza (Break-Glass Account). Utilizzate l’amministrazione basata sui ruoli: un amministratore Exchange non ha bisogno dei diritti SharePoint. Attivate il Privileged Identity Management (PIM) per concedere diritti di amministratore solo quando necessario e per un periodo limitato.<\/p>\n SharePoint Online e OneDrive for Business sono potenti strumenti di collaborazione. Ma la configurazione predefinita \u00e8 spesso troppo permissiva:<\/p>\n Raccomandazione:<\/strong> limitate le condivisioni esterne agli utenti autenticati. Disattivate i link \u00abAnyone\u00bb o limitatene la validit\u00e0 nel tempo. Verificate regolarmente chi ha accesso a quali siti SharePoint.<\/p>\n M365 offre log di audit completi, ma molte PMI non li utilizzano. Senza monitoraggio, le attivit\u00e0 sospette passano inosservate:<\/p>\n Raccomandazione:<\/strong> attivate l’Unified Audit Log. Configurate avvisi per le attivit\u00e0 sospette. Anche senza un sistema SIEM, gli avvisi integrati di M365 possono rilevare molte minacce.<\/p>\n Exchange Online offre Exchange Online Protection (EOP) come protezione di base. Ma la configurazione predefinita spesso non \u00e8 sufficiente:<\/p>\n Raccomandazione:<\/strong> configurate SPF, DKIM e DMARC per tutti i vostri domini. Rafforzate le policy anti-phishing. Bloccate le macro negli allegati e-mail tramite i criteri di gruppo.<\/p>\n La classica scansione delle vulnerabilit\u00e0 si rivolge principalmente ai sistemi on-premise: server, dispositivi di rete, endpoint. Ma in un mondo cloud-first, anche i servizi cloud devono essere inclusi nella strategia di sicurezza.<\/p>\n Anche se la piattaforma M365 stessa viene aggiornata da Microsoft, ci sono aree in cui la scansione esterna rimane rilevante:<\/p>\n Per le PMI che vogliono migliorare la sicurezza del proprio M365, ecco una checklist prioritizzata:<\/p>\n Il passaggio al cloud modifica il panorama delle minacce, ma non rende superflua la gestione delle vulnerabilit\u00e0 \u2013 anzi, il contrario. La superficie d’attacco diventa pi\u00f9 complessa: servizi cloud, sistemi on-premise, connessioni ibride e integrazioni di terze parti devono essere tutti considerati.<\/p>\n ExposIQ supporta le PMI svizzere nel mantenere il controllo. La scansione esterna verifica i vostri sistemi e servizi raggiungibili pubblicamente \u2013 sia on-premise che esposti al cloud. Con oltre 35 motori di scansione e 64’000 CVE, vengono rilevate vulnerabilit\u00e0 in server web, gateway VPN, configurazioni e-mail e altri servizi esposti. Il monitoraggio delle violazioni vi avvisa inoltre quando le credenziali dei vostri collaboratori compaiono in fughe di dati \u2013 una delle cause pi\u00f9 frequenti di compromissione degli account M365.<\/p>\n Hosting svizzero, conforme alla nLPD, a partire da CHF 99 al mese. Perch\u00e9 la migrazione al cloud \u00e8 responsabile solo con una chiara strategia di sicurezza: exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" La migrazione a Microsoft 365 \u00e8 uno dei progetti IT pi\u00f9 frequenti nelle PMI svizzere. E-mail, gestione documentale, collaborazione \u2013 tutto da un unico fornitore, tutto nel cloud. Ma con il passaggio a M365 nasce un pericoloso malinteso: molte aziende credono che Microsoft si occupi della sicurezza. Questo \u00e8 vero solo in parte. Il modello … Leggi tutto<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"microsoft 365 sicurezza cloud pmi","rank_math_title":"Microsoft 365 e sicurezza cloud: cosa dovrebbero verificare le PMI","rank_math_description":"Migrare a M365 non significa che Microsoft gestisce la vostra sicurezza. Responsabilit\u00e0 condivisa, errori comuni e cosa le PMI dovrebbero verificare.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1190","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/comments?post=1190"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1190\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/media?parent=1190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/categories?post=1190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/tags?post=1190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Le vulnerabilit\u00e0 di sicurezza pi\u00f9 comuni negli ambienti M365<\/h2>\n
1. Autenticazione a pi\u00f9 fattori non imposta<\/h3>\n
2. Autenticazione legacy ancora attiva<\/h3>\n
3. Account con privilegi eccessivi<\/h3>\n
\n
4. SharePoint e OneDrive configurati in modo troppo aperto<\/h3>\n
\n
5. Monitoraggio e registrazione mancanti<\/h3>\n
\n
6. Sicurezza e-mail non ottimizzata<\/h3>\n
\n
Sicurezza cloud e scansione delle vulnerabilit\u00e0<\/h2>\n
\n
Una checklist pragmatica per la sicurezza M365<\/h2>\n
\n
ExposIQ per la vostra era cloud<\/h2>\n