Le 20 domande più frequenti sulla sicurezza di Citrix

Consultate le informazioni chiave e le domande più frequenti sui controlli e le best practice della sicurezza di Citrix.

Sì.

Il Global Security Assurance Framework (GSAF) di Citrix si avvale della suite di controlli di information security riportata all’interno degli standard di settore Industry Standards Organization (ISO) 27001 e 27002, della pubblicazione speciale 800-53 del National Institute of Standards and Technology (NIST) e degli standard del Center for Internet Security (CIS). Il GSAF fornisce un approccio coerente e unificato per proteggere le risorse della società tutelando al contempo gli interessi dell’azienda, degli azionisti, dei clienti e dei dipendenti. Il Comitato di revisione delle policy di Citrix esamina le policy e gli standard del GSAF almeno una volta all’anno. Le policy e gli standard del GSAF di Citrix sono a disposizione di tutti i dipendenti tramite il sito Intranet di Citrix.

I dipendenti devono dichiarare e riconoscere di aver compreso le policy e le procedure del GSAF nonché le potenziali implicazioni del loro mancato rispetto. È responsabilità di ogni dipendente che abbia accesso alle informazioni aziendali e ai sistemi informativi conoscere i comportamenti previsti e svolgere le proprie attività nel rispetto delle aspettative. Il Codice di condotta aziendale e la Policy sull’uso accettabile (Acceptable Use Policy, AUP) di Citrix indicano quali sono i comportamenti previsti per i dipendenti e la condotta ritenuta accettabile.

Per consentire a Citrix di fornire una soluzione cloud coerente, scalabile e sicura ai propri clienti, il programma GSAF viene sottoposto a revisioni, valutazioni e resoconti periodici in merito alla maturità e agli sforzi di sviluppo continuo nonché del miglioramento del programma.

Fonte: Riepilogo del programma GSAF (disponibile nel pacchetto delle prove)

Sì.

Citrix dispone di un report di audit SOC 2 di tipo 2. Può essere scaricato dal Citrix Trust Center sottoscrivendo l’accordo di non divulgazione (https://www.citrix.com/about/legal/security-compliance/soc-2-reports.html).

Citrix ha ottenuto la certificazione ISO 27001, che può essere scaricata senza sottoscrivere l’accordo di non divulgazione (https://www.citrix.com/content/dam/citrix/en_us/documents/about/certification-of-registration.pdf).

I clienti potranno inoltre accedere a ulteriori report di audit di terze parti, ai sensi dell’accordo di non divulgazione, dal Citrix Trust Center (https://www.citrix.com/about/trust-center/).

Tutte le offerte di Citrix Cloud sono ospitate da provider che possiedono audit o certificati SOC 1 (SSAE 16), SOC 2, ISO 27001, ISO 27018, FISMA, DIACAP, FedRAMP, PCI DSS livello 1, ITAR e FIPS 140-2.

Sì.

Citrix si avvale di un Chief Information Security Officer (CISO) a tempo pieno, incaricato di supervisionare l’Organizzazione per la sicurezza globale. Il team per la privacy di Citrix, guidato da un Chief Privacy & Digital Risk Officer, è responsabile della privacy dei dati. Il Gruppo di audit interno di Citrix riferisce direttamente al Consiglio di amministrazione di Citrix per mantenere la propria indipendenza. Questi tre team lavorano insieme per affrontare i problemi di protezione dei dati.

Per ulteriori informazioni sul programma di gestione della privacy di Citrix, consultate l’Informativa sulla privacy di Citrix: https://www.citrix.com/about/legal/privacy.html  

Sì.

Citrix applica una policy che delinea l’approccio alla gestione dell’accesso alle strutture, ai sistemi e ai dati di Citrix. Viene utilizzato un processo formale di provisioning degli accessi utente per assegnare l’accesso in base al principio del privilegio minimo. L’accesso, incluso quello con privilegi, viene concesso in base alla funzione o al ruolo professionale. La separazione dei compiti rientra nel processo generale di creazione di ruoli e funzioni professionali. L’accesso di nuovi utenti, il nuovo accesso di utenti esistenti o le richieste di modifica dell’accesso degli utenti seguono un processo di richiesta formale e vengono tracciati attraverso un sistema di ticketing interno. Prima che venga concesso o modificato, l’accesso viene approvato dalla direzione. Gli account utente seguono schemi di denominazione e requisiti di password predefiniti.

Prima di consentire l’accesso ai sistemi di produzione, Citrix richiede l’autenticazione degli utenti e la verifica dell’identificazione. I parametri della password possono includere, a titolo esemplificativo:

  • Requisito di complessità della password
  • Lunghezza minima della password
  • Requisito di scadenza della password
  • Requisito di validità minima (tempo) della password
  • Memorizzazione della cronologia delle password
  • Requisito del blocco dell’account in funzione del numero di tentativi di inserimento della password non corretti
  • Reimpostazione della password all’accesso iniziale

Gli ID utente univoci sono responsabili delle proprie attività all’interno dei componenti di sistema (sistema operativo, applicazione e database). L’accesso basato sul ruolo limita l’accesso a determinate funzioni, in conformità con il principio di sicurezza del privilegio minimo. Quando necessario, Citrix consente l’utilizzo degli account non utente ai fini degli obiettivi aziendali (account di test o di servizio).

Citrix esegue revisioni trimestrali degli account utente e delle autorizzazioni assegnate per i sistemi chiave. Prima che venga concesso, il nuovo accesso ai sistemi viene esaminato e approvato dalla direzione. L’accesso viene concesso sulla base del principio del privilegio minimo. Come parte del processo di interruzione del rapporto di lavoro, l’accesso dell’utente viene disabilitato/eliminato in modo tempestivo.

Sì.

Citrix dispone di una Policy di gestione degli asset che illustra le modalità di gestione delle risorse hardware e software in Citrix. 

Citrix mantiene un inventario classificato in base ai rischi delle risorse hardware e software di proprietà di Citrix.  Le risorse nell’inventario sono assegnate a un proprietario, associate a regole per l’uso accettabile, etichettate e classificate.  Le risorse sono classificate in termini di requisiti legali, valore, criticità e sensibilità alla divulgazione o modifica non autorizzata.

Ai prodotti che hanno raggiunto il fine vita e non sono più supportati da un fornitore verrà assegnata una data di scadenza. La data di scadenza indica il momento di rimozione del prodotto dalla produzione, e la data viene fissata con un anticipo sufficiente per dare il tempo alla direzione di finanziare e pianificare le sostituzioni.

Citrix ha una policy formale documentata sul ciclo di vita dei dati e dei sistemi, che contiene una matrice di controllo dei dati. Questa matrice definisce i controlli di sicurezza richiesti in base al tipo di dati. La matrice riguarda sia i dati in movimento sia i dati a riposo. La distruzione è affrontata nelle policy di conservazione dei dati e smaltimento dei supporti

Sì.

L’assessment dei rischi e le relative classificazioni sono incluse nel piano di audit interno annuale che comprende sia la conformità sia i rischi operativi che possono avere un impatto su Citrix. Inoltre, vengono identificate le risorse aziendali e le minacce e vulnerabilità potenziali per tali risorse. Gli eventuali risultati vengono mitigati in base al processo di assessment del rischio. Vengono inoltre fornite raccomandazioni per ottimizzare la tutela della riservatezza, dell’integrità e della disponibilità di tali risorse. Questo programma utilizza un approccio collaborativo e qualitativo per identificare e assegnare priorità ai rischi. I dettagli del processo, comprese le tempistiche, sono informazioni riservate di Citrix.

Sì.

Citrix applica una Policy e un Programma di sicurezza fisica e ambientale.

L’accesso fisico alle strutture di Citrix è controllato tramite badge, e le telecamere di sorveglianza monitorano l’attività di accesso. Per accedere alle strutture di Citrix, i visitatori devono essere registrati da un dipendente per ottenere un badge da visitatori, e durante la permanenza devono essere accompagnati dal dipendente stesso. L’accesso amministrativo al sistema di controllo dell’accesso tramite badge, utilizzato per concedere e revocare l’accesso fisico alle strutture di Citrix, è limitato al personale autorizzato.

Viene inoltre controllato l’accesso fisico ai datacenter in servizio di housing. L’accesso al datacenter viene registrato, monitorato e tracciato dal personale di sicurezza tramite videosorveglianza elettronica e CCTV. L’accesso fisico è limitato mediante porte chiuse elettronicamente e aree separate all’interno delle strutture in housing. Solo il personale autorizzato dalla direzione ha accesso alle strutture del datacenter in housing. I visitatori che accedono a un’area protetta devono essere accompagnati da un dipendente. I datacenter sono protetti mediante sistemi di allarme di sicurezza e altre misure di sicurezza, come le procedure di autenticazione correlate all’utente, tra cui le procedure di autenticazione biometrica (ad es. geometria della mano) e/o i documenti di identità elettronici con prossimità correlati di fotografia degli utenti.

Le autorizzazioni di accesso alle strutture dei datacenter in housing di Citrix vengono esaminate ogni sei mesi. Le richieste di modifica dell’accesso risultanti dalla revisione vengono inviate per l’elaborazione al Gruppo di sicurezza o alle strutture in housing. La sicurezza fisica dei datacenter in housing, come la presenza di guardie di sicurezza, l’accesso biometrico, i documenti di accesso elettronici, i materiali antincendio, ecc. sono di responsabilità del datacenter in housing. I controlli dei datacenter in housing vengono rivisti a cadenza regolare.

Sì.

È implementata una struttura di gestione del programma di business continuity che include un team preposto a tempo pieno, con particolare attenzione alla risposta agli incidenti e alla business continuity. Il personale preposto alla business continuity responsabile del programma è certificato e partecipa a conferenze di settore ed eventi che facilitano l’apprendimento continuo della materia. I contatti regionali di Citrix assegnati allo scopo sono incaricati del coordinamento tra il personale di gestione della business continuity e la direzione locale all’interno di ciascuna regione.

Il team centrale preposto alla business continuity è suddiviso in tre team più piccoli, che vengono attivati all’occorrenza e per scopi di pianificazione. La missione del team centrale preposto alla business continuity è quella di fornire una direzione/preparazione generale e di contribuire al ripristino per gli aspetti dell’organizzazione che influiscono sui principi alla base delle attività aziendali di Citrix.

È stata sviluppata una strategia di ripristino per i nostri campus di lavoro a livello globale per tutte le sedi critiche di Citrix. Il ripristino tecnologico per le unità aziendali critiche viene fornito tramite servizi a contratto. È stato creato un centro di comando e controllo per il coordinamento degli eventi.

A cadenza annuale vengono condotti esercizi teorici di simulazione per garantire che i piani siano aggiornati e che il team abbia familiarità con i processi di risposta e ripristino.

Sono state sviluppate strategie di resilienza operativa che utilizzano il datacenter di Citrix negli Stati Uniti occidentali per condurre l’elaborazione della produzione in caso di emergenza o grave interruzione. Citrix gestisce quattro datacenter in tutto il mondo. Tutte le applicazioni aziendali sono ospitate nel datacenter di livello IV aziendale situato a Miami, in Florida, e distribuite agli utenti aziendali di tutto il mondo tramite Citrix Virtual Apps and Desktops. Laddove necessario, i datacenter regionali ospitano una piccola quantità di infrastrutture distribuite e applicazioni regionali che vengono anch’esse distribuite utilizzando Citrix Virtual Apps and Desktops. I dati aziendali critici vengono replicati in tempo reale nel nostro datacenter degli Stati Uniti occidentali. In caso di disastro presso il nostro datacenter aziendale, siamo pronti a eseguire il failover di tutte le applicazioni business-critical e a reindirizzare, senza interruzioni, gli utenti finali verso il nostro ambiente Citrix Virtual Apps and Desktops globale ad alta disponibilità.

A fronte della sua presenza globale, Citrix utilizza il modello “Follow-the-Sun” per aree come il supporto tecnico e l’assistenza clienti. L’utilizzo quotidiano di questo modello ci consente di reindirizzare rapidamente i servizi mission-critical a una sede alternativa.

È stato sviluppato un piano di disaster recovery IT che viene testato su base trimestrale. Negli ultimi anni sono stati condotti esercizi trimestrali del piano di disaster recovery (DR) IT, andando oltre la norma del settore che prevede test annuali. Questi esercizi prevedono il ripristino dei processi produttivi critici utilizzando il datacenter di DR.

Il team responsabile dei test di disaster recovery viene selezionato a rotazione per ogni test trimestrale, garantendo che più membri del personale dispongano di un training adeguato in merito ai nostri processi di ripristino. La gestione delle modifiche è strettamente integrata con il nostro programma di disaster recovery, che genera ambienti duplicati esatti.

Fonte: Panoramica sulla business continuity di Citrix (disponibile nel pacchetto delle prove)

Sì.

A cadenza annuale vengono condotti esercizi teorici di simulazione per garantire che i piani siano aggiornati e che il team abbia familiarità con i processi di risposta e ripristino. Per le unità aziendali critiche situate nel campus di Fort Lauderdale, sono in atto piani di risposta in caso di uragani. Ogni anno vengono condotti test formali di tali piani. Il piano di disaster recovery IT viene testato a cadenza trimestrale.

Sì.

Citrix valuta tutte le risorse e le funzioni aziendali in tempo reale attraverso l’analisi dell’impatto sul business (Business Impact Analysis, BIA). Per convalidare la ripristinabilità degli asset e delle funzioni aziendali, vengono eseguite esercitazioni trimestrali sulla tecnologia ed esercizi annuali sulle funzioni aziendali con il monitoraggio dei problemi fino alla loro risoluzione.  La BIA fornisce le informazioni necessarie per sviluppare piani di disaster recovery e business continuity per ciascuna delle sedi di Citrix a livello globale. Vengono analizzati i risultati dell’analisi BIA e vengono sviluppate strategie di ripristino, garantendo che i tempi di ripristino e gli obiettivi del punto di ripristino siano calcolati in base ai criteri di rischio e impatto.

Sì.

Il piano di risposta agli incidenti di Citrix disciplina la risposta, la documentazione e la segnalazione degli incidenti che interessano le risorse di comunicazione elettronica e computerizzata, come furto, intrusione e uso improprio dei dati. Lo scopo del piano è garantire una rapida risposta a un evento di sicurezza sospetto e l’indagine tempestiva dell’evento al fine di proteggere i nostri clienti, dipendenti e azionisti e la reputazione dell’azienda. Il piano fornisce una guida per garantire che Citrix soddisfi i propri requisiti di notifica e gli obblighi legali nei confronti di persone fisiche, clienti, agenzie governative e altre entità interessate.  

Fonte: Panoramica del piano di risposta agli incidenti di Citrix (disponibile nel pacchetto delle prove)

Sì.

Citrix applica uno Standard di risposta agli incidenti e ha istituito un team di risposta agli incidenti (Incident Response, IR). Il team di IR è guidato dalla Sicurezza con le parti interessate funzionali come membri del team centrale. Il team legale gestisce le comunicazioni relative agli incidenti e il team di comunicazioni interne fa parte del team IR esteso. Il team delle comunicazioni interne coincide con quello delle PR.

Qualora Citrix stabilisca che i dati caricati nell’account del Cliente per finalità di archiviazione, o che i dati nell’ambiente informatico del Cliente a cui Citrix ha accesso al fine di eseguire i Servizi, siano stati soggetti a un Incidente di sicurezza, il Cliente sarà informato entro il periodo di tempo richiesto dalla legge applicabile.

Sì.

I dipendenti Citrix firmano accordi di non divulgazione che identificano gli obblighi di riservatezza di Citrix.

Il training sulla privacy e la sicurezza è previsto al momento dell’assunzione e in seguito a cadenza biennale. I dipendenti devono accettare e dichiarare di aver compreso le policy di garanzia della sicurezza globale di Citrix e le potenziali implicazioni del mancato rispetto delle stesse. È responsabilità di ogni utente che abbia accesso alle informazioni aziendali e ai sistemi informativi conoscere i comportamenti previsti e condurre le proprie attività nel rispetto delle aspettative. 

Il Codice di condotta aziendale e la Policy sull’uso accettabile (Acceptable Use Policy, AUP) di Citrix informano i dipendenti di quali comportamenti e condotte sono attesi e considerati accettabili.  Al termine di ogni corso, è necessario completare un quiz per verificare la comprensione del training.

I dipendenti sono tenuti a seguire periodicamente un training di aggiornamento sulla sicurezza.

Potete consultare il Codice di condotta aziendale di Citrix sul nostro sito web: https://www.citrix.com/content/dam/citrix/en_us/documents/about/code-of-business-conduct.pdf

Sì.

In base alla sensibilità del ruolo professionale, vengono eseguiti vari controlli di verifica sui candidati prima o dopo l’assunzione.

I controlli di verifica sui candidati ai fini dell’assunzione sono effettuati in conformità alle leggi, ai regolamenti e ai principi etici applicabili e sono quindi proporzionali ai requisiti aziendali, alla classificazione delle informazioni a cui sarà consentito l’accesso e ai rischi percepiti.

Sì.

Citrix applica una Policy di gestione delle relazioni con i fornitori, uno Standard di gestione del rischio per i fornitori di Citrix e uno Standard di sicurezza per i fornitori di Citrix. Questi documenti elencano le misure tecniche e organizzative e i controlli di sicurezza che i fornitori e i partner di Citrix sono tenuti ad adottare quando (a) accedono a Citrix, alle Strutture, alle Reti e/o ai Sistemi informatici di Citrix, o (b) accedono, elaborano o archiviano Informazioni riservate di Citrix.

Questi fornitori sono soggetti a revisione annuale attraverso la valutazione dei rapporti di attestazione (se disponibili), l’esecuzione di visite in loco o altre procedure. Vengono identificati i rischi e le eccezioni e ne viene valutato l’impatto.

Per ulteriori informazioni, fate riferimento agli Standard di sicurezza dei fornitori di Citrix: https://www.citrix.com/content/dam/citrix/en_us/documents/about/citrix-supplier-security-standards.pdf

Sì.

Citrix applica una Policy di acquisizione, sviluppo e manutenzione dei sistemi. In relazione a questa policy, Citrix Software Development Lifecycle (SDL) promuove un approccio Secure by Design che include training sulla sicurezza, modellazione delle minacce, revisioni dei progetti, revisioni dei codici e test di penetrazione.

Citrix utilizza una suite di strumenti di test disponibili in commercio e sviluppati internamente. I test del team di sicurezza tecnica includono, a titolo esemplificativo ma non esaustivo, lo sviluppo di exploit, test di rafforzamento delle difese del cloud, fuzzing e revisioni manuali/assistite del codice sorgente. Inoltre, il team tecnico di Citrix prevede un Red Team interno che effettua un assessment del prodotto in relazione agli elenchi dei problemi di sicurezza più comuni CWE-Top-25 e OWASP-Top-10 sulla base della loro applicabilità per l’applicazione di riferimento.

Sì.

Lo standard di gestione delle patch di Citrix descrive il processo di valutazione e applicazione delle patch e sottolinea che le modifiche al software di sistema e al software critico possono richiedere ulteriori test di vulnerabilità per determinare se vi siano esposizioni a rischi. Le patch o le correzioni relative alla sicurezza vengono testate e applicate seguendo il processo di gestione delle modifiche prestabilito (test, accettazione e approvazione finale).

Citrix applica le patch entro 30-45 giorni dalla data di rilascio, incluso il tempo sufficiente per testare la patch e assicurarsi che non vi siano problemi con la versione in oggetto.

In caso di patch di emergenza o di zero-day, la patch viene elaborata come ticket per la gestione delle modifiche di emergenza.

Sì.

Citrix esegue revisioni e assessment interni periodici basati sul rischio oggetto della valutazione. Per svolgere queste attività stipulerà contratti con terze parti indipendenti laddove appropriato e sulla base dei requisiti di standard e certificazioni. Queste revisioni includono assessment dei controlli IT, assessment delle vulnerabilità e test di penetrazione. I risultati vengono esaminati da personale di sicurezza qualificato e corretti in base ai processi di gestione delle vulnerabilità e delle minacce.

Citrix si avvale di consulenti esterni qualificati e di un team interno responsabile dei test di sicurezza per eseguire la modellazione delle minacce, la scansione delle vulnerabilità e i test di penetrazione per i servizi cloud di Citrix.

Ogni singolo servizio cloud Citrix attualmente aderisce al proprio programma di test e valutazione individuale. Il nostro tester di terze parti prepara un attestato separato per ogni servizio

Prima che sia possibile rilasciare una nuova versione, ogni versione dei servizi cloud Citrix richiede assessment della sicurezza da parte del team di testing interno di Citrix. Tutti i risultati pertinenti dell’assessment esterno sono stati corretti o è stato accettato il rischio.

Sì.

Citrix Cloud gestisce l’esposizione esterna agli attacchi utilizzando processi come monitoraggio, automazione e test di sicurezza. I provider di piattaforma del cloud forniscono un notevole numero di funzionalità di sicurezza native, tra cui firewall perimetrali e basati su host, sistemi di rilevamento e prevenzione delle intrusioni, funzionalità anti-DDoS e visibilità centralizzata utilizzando servizi come Azure Security Center. Inoltre, i prodotti, i servizi e i componenti ospitati all’interno dei cloud pubblici inviano i log al sistema di gestione degli eventi e delle informazioni di sicurezza (SIEM) di Citrix, che fornisce funzionalità di avviso e correlazione degli eventi.

I dispositivi firewall per Citrix sono configurati per restringere l’accesso all’ambiente Citrix limitando i tipi di attività e le richieste di servizio che possono essere eseguiti da connessioni esterne.

Le regole del firewall seguono uno standard comprovato che si avvale, tra le altre pratiche principali, dell’approccio basato sul principio del privilegio minimo per le autorizzazioni. L’accesso a entità specifiche all’interno della rete è limitato e le eccezioni sono autorizzate solo quando strettamente necessario e per un breve periodo (inferiore a 24 ore). Le policy di automazione controllano eventuali eccezioni e le rimuovono ogni notte, se necessario.

Sì.

Per poter accedere alla rete in remoto, Citrix richiede l’autenticazione multi-fattore. Inoltre, una simile autenticazione è richiesta per accedere in remoto alle console cloud. Per l’accesso remoto direttamente alle macchine di produzione, all’utente occorrono il file di configurazione VPN, il nome utente e la password di gestione VPN e il nome utente e la password dei sistemi di produzione.