Privacy e sicurezza nel cloud.

Documenti analoghi
Gartner Group definisce il Cloud

C Cloud computing Cloud storage. Prof. Maurizio Naldi

Implementare policy di sicurezza

PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO)

I contratti cloud: cosa chiedere, come scegliere

Cloud computing: aspetti giuridici

Introduzione al Cloud Computing

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Come un criminale prepara un attacco e come una azienda può fare prevenzione

La platea dopo la lettura del titolo del mio intervento

CLOUD E... DARK CLOUDS

Cloud Service Broker

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

Una rassegna dei sistemi operativi per il Cloud Computing

Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy

L outsourcing e il cloud computing nelle recenti disposizioni di vigilanza prudenziale per le banche di Banca d Italia

Ottimizzare l IT. Interesse verso il cloud. Cloud computing. Ottimizzare l'it 16/04/2010. Assyrus Srl 1. Cloud Computing

XaaS, anything as a Service, la nuova frontiera dell IT

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

CLOUD COMPUTING: PRIVACY E SICUREZZA. ANALISI DELLE CRITICITA APPLICATIVE

w w w. n e w s o f t s r l. i t Soluzione Proposta

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Continuando a Navigare sulle Nuvole...

Stefano Mainetti Fondazione Politecnico di Milano

Privacy e Pubblica Amministrazione

CLOUD COMPUTING introduzione all'ict as a service. Giuseppe Scalici (AICQ Sicilia - Nucleo Open Source)

Cloud Computing Stato dell arte, Opportunità e rischi

Che cos'è il cloud computing? e cosa può fare per la mia azienda

LE RETI: STRUMENTO AZIENDALE

Politica per la Sicurezza

La CASSAFORTE DIGITALE per

CloudComputing: scenari di mercato, trend e opportunità

COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

Prospettive di sviluppo di servizi

Privacy & Data protection. Diritto nuove tecnologie. Codice degli appalti. Decreto 231/2001

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

Il trattamento dei dati personali nei servizi di cloud computing localizzati all'estero. Torino, 11 aprile 2011

Comprendere il Cloud Computing. Maggio, 2013

Il Partner di riferimento per i progetti informatici

Il Partner di riferimento per i progetti informatici

presenta Via Santa Sofia, Milano T.: Fax.: E.:

JOB - Amministrazione del personale. La soluzione Sistemi per il professionista delle paghe.

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Troppe Informazioni = Poca Sicurezza?

Cloud & imprese innovative

La conservazione digitale tra obblighi e opportunità

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA

Il Cloud Computing nel mondo dei servizi: prospettive per Banche e PA

IT Cloud Service. Semplice - accessibile - sicuro - economico

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

FORMAZIONE PRIVACY 2015

LA SMATERIALIZZAZIONE DEI DOCUMENTI FISCALI

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing. I dati nella nuvola : aspetti legali e contrattuali. Avv.

UTILIZZO DELL INFORMATICA NELLA PROFESSIONE ASPETTI TECNICI E LEGALI

Data Center Telecom Italia

La soluzione software per Avvocati e Studi legali

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

CLOUD A 360. Agilità per districarsi tra i problemi. Velocità nel reagire al cambiamento. Elasticità per adattarsi ai diversi contesti

LA MIGRAZIONE IN SEMPLICI STEP. Il moving di una macchina Linux sul Cloud Server Seeweb

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012

LA SICUREZZA NEGLI AMBIENTI CLOUD

Sicurezza dei dati e dell informazione all epoca del cloud: gli aspetti pratici

CitySoftware PROTOCOLLO. Info-Mark srl

Software per Helpdesk

Cloud: alcuni aspetti di sicurezza dei dati TRUST AND CLOUD COMPUTING. Università degli Studi di Trento Facoltà di scienze Dipartimento di Matematica


CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

Usare il Cloud in sicurezza: spunti tecnici

Migrare a OpenOffice.org

Aziendalista un nuovo modo di essere Commercialista.

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

NUBE81. il software che aspettavi ora c'è. Gestionale Cloud Sicurezza Lavoro. Web Cloud Mobile

centro di cura autosufficiente insieme di mondi entrocontenuti e autonomi limitato livello di relazione e interazione con l esterno

la GESTIONE AZIENDALE software on-line

SOLUZIONI E SERVIZI ICT

Il Cloud Computing Privato per il settore bancario e assicurativo

L importanza di una corretta impostazione delle politiche di sicurezza

Cloud Hosting HSP (Hardware Service Provision) Per il tuo Dealer Management System

Master in Europrogettazione

Caratteristiche e funzionalità del cloud computing. Marco Barbi Flavio Bonfatti Laboratorio Softech ICT Università di Modena e Reggio Emilia

Dal Cloud Computing. rischi e opportunità per la PA. Cloud Computing e PA. Flavia Marzano 1

FATTURAZIONE ELETTRONICA la soluzione cloud di OLIVETTI

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Master in Europrogettazione

Il Cloud Computing: uno strumento per migliorare il business

REGOLE NELL APPLICAZIONE DEL CLOUD COMPUTING NELLA SANITA DIGITALE. Paolo Barichello Roma 16 Maggio 2012

Gestione in qualità degli strumenti di misura

DESCRIZIONE DEL PROCESSO. CHE COSA C'E' DI NUOVO NELL' IT? Giugno 2010 (Agriturismo La Razza ) 1

Cloud Computing Stato dell arte, Opportunità e rischi

CATALOGO SEMINARI COFINANZIATI DA FONDOPROFESSIONI Anno 2014/2015 (in corso di accreditamento)

EdiSoftware S.r.l. La Soluzione che stavi cercando EdiSoftware EdiSoftware gruppo di esperti Soluzione Gestionale Soluzione Gestionale

ASSIDELTA BROKER S.R.L.

Le fattispecie di riuso

L amministratore di sistema. di Michele Iaselli

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

PROGRAMMA CORSI PRIVACY 2013

Transcript:

Paolo Giardini STUDIO GIARDINI Eucip Certified Informatics Professional Direttore OPSI Osservatorio Privacy e Sicurezza Informatica Centro di Competenza Open Source Regione Umbria GNU/LUG Perugia AIP OPSI AIPSI - CLUSIT ISSA - FORMEZ Privacy e sicurezza nel cloud. Cosa tenere presente quando si sceglie un servizio

Chi sono? ;-) Direttore Osservatorio Privacy Sicurezza Informatica Privacy Officer Associazione Informatici Professionisti Consulente per la sicurezza delle informazioni Membro comitato esecutivo CCOS Regione Umbria Socio Fondatore GNU/LUG Perugia Partecipo a varie associazioni e community: Sikurezza.org, Italian Linux Society, CLUSIT, Information Systems Security Association, Associazione Italiana Professionisti Sicurezza Informatica, Giuristi Telematici, Hackers Corner,... Ideatore ed organizzatore dell'hacker game Cracca al Tesoro

Di cosa parleremo Chiariamoci alcune idee sul cloud computing...tutto oro quello che luccica? Parliamo di Privacy e anche di Sicurezza Le cose da considerare al momento della scelta di un servizio cloud Conclusioni (che invece sono un inizio)

Cosa si intende con Cloud? Immagine tratta da Wikipedia

Cloud, ovvero:... Una definizione semplicistica è: qualunque servizio offerto via internet In questa definizione rientrerebbe qualunque Data Center!

Cloud, ovvero: nuvola! Il nome deriva dal simbolo della nuvoletta usato nei diagrammi di flusso per indicare internet In realtà un cloud vero impiega un mix di varie tecnologie al fine di offrire riconosciuti vantaggi agli utenti Internet!

Tipi di cloud Private cloud L'infrastruttura è localizzata presso l'utente che ne dispone totalmente e la gestisce in piena autonomia, in proprio o tramite terzi, sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,...) I dati restano presso la struttura dell'utente Public cloud L'infrastruttura di proprietà di un fornitore mette a disposizione dei clienti (multipli) i propri servizi tramite internet Il controllo dei dati è in parte ceduto al gestore del cloud Altri cloud Soluzioni miste (hybrid cloud) o condivise (community cloud)

Modelli di servizi Cloud Software as a Service (SaaS) Sono messe a disposizione applicazioni (es. Mail, suite per ufficio...) Platform as a Service (PaaS) Sistemi e servizi per lo sviluppo di applicazioni (da rivendere) Infrastructure as a Service (IaaS) Vengono messi a disposizione sistemi virtualizzati HW e SW (server, sistemi per il backup..)

Modelli di servizi Cloud Immagine tratta da Wikipedia

alcuni servizi che sfruttano il cloud

Opinioni diverse Per alcuni è un innegabile vantaggio Per altri è un nuovo nome inventato dal marketing per servizi già conosciuti E' pur vero che alcuni fornitori potrebbero spacciare per cloud il vecchio servizio di data center Un cloud vero può effettivamente offrire vantaggi importanti, se il progetto è ben pensato!

Alcuni vantaggi del Cloud Riduzione dei costi per l'implementazione della infrastruttura Minore richiesta di risorse interne per personale specializzato Scalabilità della soluzione al crescere delle esigenze Indipendenza dalla locazione geografica dell'utente Riduzione dei costi di gestione e manutenzione

Alcune problematiche Minore controllo sui dati, essendo localizzati presso le strutture del provider (dove?) Dipendenza da terze parti (il provider), difficoltà nella migrazione e interoperabilità (tecnologie proprietarie) Privacy e confidenzialità dei dati riservati (perdita della riservatezza dei dati, distruzione, furto di informazioni sensibili, ad esempio brevetti, contabilità, contratti,.. ) Sicurezza (sicurezza presso il provider, hijacking delle comunicazioni, sicurezza presso l'utente, affidabilità operatori,...) Compliance Normativa e contrattuale (norme privacy europee, clausole contrattuali con clienti, certificazioni p.e. PCI DSS - Payment Card Industry Data Security Standard) Contratto con il provider (gestione dei dati nel cloud, uptime e disponibilità, migrazione, assistenza,...) Infrastruttura lato client (connessione sempre disponibile, veloce ed affidabile, sicura... ADSL!?)

Privacy e Cloud Che tipo di dati andrò a trattare? (ovvero: quali tipi di dati andrò a trasferire sul cloud)? Sono dati personali? Sono dati sensibili? Dove saranno effettivamente localizzati? Su sistemi all'interno dell'unione Europea? Fuori Europa? Il paese ospitante ha una normativa equivalente a quella Europea o vi sono particolari accordi (Es. Safe Harbor con gli USA)? Chi avrà la possibilità di trattare I miei dati? Posso nominarlo Responsabile Esterno del trattamento? In quale modo potrò esercitare l'obbligo di controllo previsto dalla normativa sulla Protezione dei Dati Personali (privacy)?

Privacy e Cloud Il vademecum del Garante Privacy focalizza alcuni punti da tenere presenti al momento di decidere sull'utilizzo di servizi cloud Con il nuovo Regolamento Europeo arrivano novità importanti Privacy by design Privacy Impact Assessment Data Protection Officer

Cloud e sicurezza L'adozione di sistemi cloud nella propria organizzazione non elimina i problemi di sicurezza Le problematiche di sicurezza locali rimangono tali e quali Vengono invece aggiunti nuovi livelli da tenere in considerazione

Livelli di (in)sicurezza cloud Potete acquistare un servizio Public Cloud, ma non l'infrastruttura, ed almeno parte di essa è condivisa con altri (multi-tenancy) Ricordate i tre livelli di servizi cloud?

Livelli di (in)sicurezza cloud Fonte: Cloud Security Alliance Italy Per ognuno di essi sono possibili specifiche vulnerabilità relative al fattore di condivisione di risorse HW, applicazioni, connessioni, librerie, database,...

Non solo hackers CSA (Cloud Security Alliance) ha pubblicato in febbraio un rapporto nel quale si evidenziano le 9 maggiori minacce per la sicurezza del cloud computing 1.Data Breaches 2.Data Loss 3.Account Hijacking 4.Insecure APIs 5.Malicious Insiders 6.Abuse of Cloud Services 7.Insufficient Due Diligence 8.Shared Technology Issues 9.Denial of Service

Alcune delle domande da porsi La propria infrastruttura è adeguata? La connessione Internet supporta il carico previsto? Quali possibilità ho in caso di fault locale per continuare a lavorare? Gli operatori sono adeguatamente formati? Quali modalità di ripristino in caso di fault del provider? (attacchi informatici, disastri naturali, fallimento...)

Contratti cloud E' difficile poter contrattare clausole particolari specie se si è una piccola azienda Esaminare bene il contratto, obblighi e garanzie Selezionare più fornitori che offrano il servizio richiesto e confrontare non solo i costi A proposito: attenzione ai costi nascosti!

Clausole contrattuali SLA, Service Level Agreement Gelocalizzazione dei dati Garanzia di accesso e di riservatezza Cancellazione sicura dei dati Responsabilità e modalità di backup e disaster recovery Modalità di audit e di valutazione delle certificazioni Possibilità e supporto a migrazione ed interoperabilità Distruzione dei dati dopo la cessazione del rapporto E' il caso di pensare ad una assicurazione? (trasferimento del rischio) Che di pensate di penali per eventuali inadempienze? Individuare eventuali terzi che partecipino alla fornitura del servizio

Riepiloghiamo! Esistono vari livelli di problematiche da affrontare Sicurezza locale non cambia molto. Va curata particolarmente la formazione degli operatori Compliance privacy si devono valutare normative e altri obblighi in rapporto ai dati trattati Comunicazioni deve essere garantita la sicurezza e la affidabilità delle connessioni Sicurezza lato cloud valutare bene il fornitore, si dovrà lavorare sulla parte contrattuale

Conclusioni Esistono molte soluzioni possibili sul mercato L'importante è effettuare una buona analisi preventiva sui dati da trattare e sulle necessità E' necessario definire ed applicare delle valide policy di sicurezza Scegliere un prodotto valutando anche le policy e le clausole contrattuali e non solo il lato economico Valutare se richiedere specifiche clausole

GRAZIE PER L'ATTENZIONE Questo lavoro viene rilasciato con licenza Creative Commons by-nc-nd paolo.giardini@solution.it Link di approfondimento sull'argomento https://en.wikipedia.org/wiki/cloud_computing http://www.garanteprivacy.it http://www.cloudsecurityalliance.it - http://opsi.aipnet.it - http://www.aipnet.it http://www.solution.it http://blog.solution.it - http://www.enterthecloud.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back