Cloud computing, sicurezza e compliance: la fine dell illusione del perimetro Resistere al cambiamento o affrontare la sfida? Autore: Sergio Fumagalli
Myself n n n Vice President di ZEROPIU Spa 10+ anni di attività su Privacy Issues Dal 2007 membro della Oracle Community for Security ZEROPIU Spa u Security system integrator e service provider u Abilitazione, gestione e sicurezza delle identità digitali dal 99 sergio.fumagalli@zeropiu.com CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 2
Una fonte importante Oracle community for security CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 3
Cloud: gestire il cambiamento. Cloud, mobile, virtualizzazione, smartphone, tablet, social media: facce di un unico trend Attualità Project Il cambiamento Manager? è cambiato Non è determinato dalle aziende ma dai consumatori E spinto da e genera nuove abitudini e stili di vita personali Determina un nuovo paradigma di produttività e nuovi modelli di business E irreversibile Il cambiamento è veloce Cosa interessa tutto ciò ad un Ruolo Interlocutori Il cloud non riguarda un futuro remoto. E trascinato da altre innovazioni: internet, smartphones, mobile computing, social media. Se non entra nel budget IT entrerà in quello del MKTG: Vincoli Sicurezza, dati, identità digitali, privacy, rete, outsourcing, utenti, BYOD: chi è responsabile e di cosa? CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 4 Normative
Definizione e parole chiave Cloud computing is a model for enabling (*) Ø convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) Ø that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of: Ø five essential characteristics, Ø three service, and, Ø four deployment models. (*) Fonte: National Institute of Standards and Thecnology (NIST) CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 5
Prospettiva privacy Localizzazione: gli aspetti connessi al luogo i cui i trattamenti sono effettuati ed i dati conservati Sicurezza: quanto si riferisce alla tutela del dato personale nella normativa vigente Diritti e responsabilità: tutte le implicazioni relative alla proprietà del dato personale e all esercizio di tale proprietà Prospettiva sicurezza cambia l oggetto: dati aziendali, interesse aziendale, ulteriori normative applicabili CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 6
Responsabilità Dove finisce il perimetro della responsabilità aziendale? Normativa privacy attuale (UE, Italia) (*): Titolare": del trattamento la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del Titolare del trattamento. La complessità delle relazioni tecniche e commerciali che oggi regolano in molti casi i trattamenti può essere risolta anche grazie al concetto di co-titolarità (insieme ad altri) (*) direttiva 95/46/CE - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Parere 1/2010 CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 7
Responsabilità Co-titolarità e cloud: compliance ma anche security Esempio n. 12: Social network (*) I fornitori di servizi di social network propongono piattaforme di comunicazione on-line che consentono di pubblicare e scambiare informazioni fra utenti. Questi fornitori di servizi sono i responsabili del trattamento dei dati, poiché determinano sia le finalità che gli strumenti dell'elaborazione di tali informazioni. Gli utenti di questi network, caricando dati personali anche di terzi, potrebbero essere considerati responsabili del trattamento nella misura in cui le loro attività non rientrino nell'"esenzione domestica". L'essenziale è garantire, anche in contesti complessi di trattamento di dati personali in cui intervengono vari responsabili, l'osservanza delle norme sulla protezione dei dati e una chiara attribuzione delle responsabilità per possibili violazioni di tali norme. (*) GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Parere 1/2010 CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 8
Responsabilità L evoluzione: il regolamento UE in gestazione (*) Article 24 Joint controllers Where a controller determines the purposes, conditions and means of the processing of personal data jointly with others, the joint controllers shall determine their respective responsibilities for compliance with the obligations under this Regulation, by means of an arrangement between them. Article 26 Processor 4. If a processor processes personal data other than as instructed by the controller, the processor shall be considered to be a controller in respect of that processing and shall be subject to the rules on joint controllers laid down in Article 24. (*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 9
Responsabilità L evoluzione: il regolamento UE in gestazione (*) Article 78 Penalties 5. The supervisory authority shall impose a fine up to 500 000 EUR, or in case of an enterprise up to 1 % of its annual worldwide turnover, to anyone who, intentionally or negligently: (a) (e) does not or not sufficiently determine the respective responsibilities with cocontrollers pursuant to Article 24;. (*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 10
Perimetro, sicurezza, compliance Identificare il perimetro è essenziale CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 11
Perimetro, sicurezza, compliance Identificare il perimetro non sempre è facile CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 12
Perimetro, sicurezza, compliance Cloud, smartphones, mobile computing, social media, internet: Ø Non modificano il perimetro della responsabilità Ø Modificano il perimetro del controllo diretto Impongono di adeguare politiche, contratti, procedure operative e strumenti tecnologici che governano: Ø La sicurezza delle informazioni Ø La compliance alle normative applicabili (privacy, ) Ø Il controllo interno ed esterno CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 13
Perimetro, sicurezza, compliance Cambia l analisi dei rischi: deve essere adeguata al contesto cloud L insieme dei rischi specifici connessi all adozione di soluzioni cloud riguarda: la sicurezza dei dati e dei processi aziendali, la sicurezza dei dati tutelati dalle normative applicabili la corretta applicazione di tali normative nel loro complesso e non solo sotto il profilo della sicurezza. Dovranno essere considerati: Rischi derivanti dalle caratteristiche essenziali del cloud (Resource pooling, on demand, ) Rischi connessi al modello di servizio adottato (Saas, Paas, IaaS) Rischi indotti dal modello di deployment (Public, Private, Hybrid) CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 14
Perimetro, sicurezza, compliance Nuovi rischi Un cloud supplier, clausola contrattuale: we strive to keep your content secure, but cannot guarantee that we will be successful at doing so, given the nature of the internet Discovering an exploit in a web application portal that contains the data for 100 companies is much more interesting, in most cases, than hacking a web application that houses data for one single company. Similarly, attacking the storage network of backups for many large companies will yield more data than a storage network that backs up data for just one organization (*). (*) Diana Kelley and SecurityCurve 2011 - How Data-Centric Protection Increases Security in Cloud Computing and Virtualization CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 15
Perimetro, sicurezza, compliance Cloud computing: delegare a terzi. Cosa pretendere dal fornitore. Article 26 Processor (*) 1. the controller shall choose a processor providing sufficient guarantees to ensure the protection of the rights of the data subject, in particular in respect of the technical security measures and organizational measures (*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 16
Perimetro, sicurezza, compliance Cloud computing: delegare a terzi. Cosa pretendere dal fornitore. Article 26 Processor (*) 2. The carrying out of processing by a processor shall be governed by a contract binding the processor and stipulating that the processor shall: a) act only on instructions from the controller, ; b) employ only staff who have committed themselves to confidentiality ; c) take all required measures pursuant to Article 30; d) enlist another processor only with the prior permission of the controller; e) create in agreement with the controller the necessary technical and organisational requirements for the fulfilment of the controller s obligation ; f) assist the controller in ensuring compliance with Articles 30 to 34; g) hand over all results to the controller after the end of the processing ; h) make available to the controller and the supervisory authority all information necessary to control compliance. (*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 17
Perimetro, sicurezza, compliance Cloud computing: delegare a terzi. Cosa pretendere dal fornitore. Article 30 Security of processing (*) 1. The controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected, having regard to the state of the art and the costs of their implementation. 2. The controller and the processor shall, following an evaluation of the risks, take the measures referred to in paragraph 1 to protect personal data against accidental or unlawful destruction or accidental loss and to prevent any unlawful forms of processing, in particular any unauthorised disclosure, dissemination or access, or alteration of personal data. Article 31 Notification of a personal data breach to the supervisory authority (*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 18
Perimetro, sicurezza, compliance Cloud computing: delegare a terzi. Cosa richiedere alla propria organizzazione. Tematiche di maggior attenzione: Governance Gestione delle identità e dei ruoli Sicurezza del dato Gestione del contratto Controllo & Audit CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 19
Perimetro, sicurezza, compliance Cloud computing: delegare a terzi. Cosa richiedere alla propria organizzazione. 1. Utilizzare solo reti e protocolli sicuri per la trasmissione dati con il provider. 2. Criptare almeno il dato a riposo nel database dell infrastruttura del provider e rimuovere la chiave di criptazione dalla disponibilità del cloud provider 3. Richiedere al provider forme di autenticazione federata e predisporre adeguati sistemi di autenticazione per sfruttare questa opzione 4. Identity provisioning per automatizzare le operazioni relative alla rimozione di utenti non più autorizzati.e alle variazioni dei profili 5. Capacità di intelligence sui log e sul tracciamento delle attività operative per individuare i potenziali incidenti di sicurezza. 6. Capacità di reagire velocemente a qualsiasi evento di sicurezza, secondo protocolli predefiniti e, per quanto possibile, innescati automaticamente CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 20
Cloud e IT: un nuovo mindsetting Operation: da gestire un reparto operativo a gestire un fornitore Sviluppo: applicazioni per un ambiente ostile Project management: una pluralità di attori CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 21
Catene di cloud e catene di fornitura Sei sicuro di non utilizzare già il cloud computing? Cliente Servizi applicati vi Servizi operativi Fornitore diretto Applicaz ione Servizio Saas Fornitore indiretto Iaas Paas Saas E necessario che il primo fornitore di servizi in cloud riveli al cliente titolare i terzi fornitori e i luoghi del trattamento relativo a questi i terzi fornitori accettino di essere designati responsabili del trattamento dal cliente titolare i terzi fornitori assumano nei confronti del cliente titolare le stesse obbligazioni del primo fornitore siano adempiute le disposizioni in materia di trasferimento dei dati personali all estero eventualmente applicabili. CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 22
Gli aspetti contrattuali Ø Ø Ø Ø Ø Ø Ø responsabilità del cloud provider e importanza dei Service Level Agreement Spesso il servizio viene fornito senza alcuna garanzia di un certo livello di performance. proprietà dei dati e dei contenuti Indicare le procedure e le modalità per la restituzione, all atto della cessazione del rapporto, dei dati e dei documenti di titolarità degli utenti Tutelare i diritti di terzi modifiche delle condizioni d uso del servizio Tale facoltà del fornitore deve essere subordinata ad un congruo preavviso con diritto di recesso. limiti al recesso del provider e termine del contratto Prevedere le operazioni da compiere al termine del contratto per migrare ad altra piattaforma cloud condizione di auditabilità. Obblighi di audit e controllo a cui il cliente è soggetto per procedure interne o norme di legge. vessatorietà delle clausole e recepimento della normativa italiana procedure di notifica degli incidenti di sicurezza CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 23
Luoghi del trattamento La normativa privacy UE e nazionale regolamenta l esportazione di dati fuori dalla UE E solo un problema di compliance? CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 24
Cloud e amministratori di sistema CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 25
Misure di sicurezza CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 26
Grazie per l attenzione CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 27