Privacy e sicurezza nel cloud
Upcoming SlideShare
Loading in...5
×
 

Privacy e sicurezza nel cloud

on

  • 274 views

Cloud, privacy e sicurezza. Cosa tenere presente al momento di scegliere un servizio

Cloud, privacy e sicurezza. Cosa tenere presente al momento di scegliere un servizio

Statistics

Views

Total Views
274
Views on SlideShare
274
Embed Views
0

Actions

Likes
0
Downloads
18
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Privacy e sicurezza nel cloud Privacy e sicurezza nel cloud Presentation Transcript

  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPaolo GiardiniSTUDIO GIARDINIEucip Certified Informatics ProfessionalDirettore OPSI – Osservatorio Privacy e Sicurezza InformaticaCentro di Competenza Open Source Regione UmbriaGNU/LUG PerugiaAIP – OPSI – AIPSI - CLUSIT ISSA - FORMEZPrivacy e sicurezza nel cloud.Cosa tenere presentequando si sceglie un servizio
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaChi sono? ;-)● Direttore Osservatorio Privacy Sicurezza Informatica● Privacy Officer Associazione Informatici Professionisti● Consulente per la sicurezza delle informazioni● Membro comitato esecutivo CCOS Regione Umbria● Socio Fondatore GNU/LUG Perugia● Partecipo a varie associazioni e community: Sikurezza.org,Italian Linux Society, CLUSIT, Information Systems SecurityAssociation, Associazione Italiana Professionisti SicurezzaInformatica, Giuristi Telematici, Hackers Corner, ...● Ideatore ed organizzatore dellhacker game “Cracca al Tesoro”
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaDi cosa parleremo● Chiariamoci alcune idee sul “cloud computing”● ...Tutto oro quello che luccica?● Parliamo di Privacy● e anche di Sicurezza● Le cose da considerare al momento dellascelta di un servizio cloud● Conclusioni (che invece sono un inizio)
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCosa si intende con “Cloud”?Immagine tratta da Wikipedia
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud, ovvero: ...● Una definizione semplicistica è: qualunqueservizio offerto via internet● In questa definizione rientrerebbe qualunqueData Center!
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud, ovvero: nuvola!● Il nome deriva dal simbolo della “nuvoletta”usato nei diagrammi di flusso per indicare“internet”● In realtà un cloud “vero” impiega un “mix” divarie tecnologie al fine di offrire riconosciutivantaggi agli utentiInternet!
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaTipi di cloud● Private cloud– Linfrastruttura è localizzata presso lutente che ne dispone totalmentee la gestisce in piena autonomia, in proprio o tramite terzi,sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,...)– I dati restano presso la struttura dellutente● Public cloud– Linfrastruttura di proprietà di un fornitore mette a disposizione deiclienti (multipli) i propri servizi tramite internet– Il controllo dei dati è in parte ceduto al gestore del cloud● Altri cloud– Soluzioni miste (hybrid cloud) o condivise (community cloud)
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaModelli di servizi Cloud● Software as a Service (SaaS)– Sono messe a disposizioneapplicazioni (es. Mail, suite per ufficio...)● Platform as a Service (PaaS)– Sistemi e servizi per lo sviluppo diapplicazioni (da rivendere)● Infrastructure as a Service (IaaS)– Vengono messi a disposizione sistemivirtualizzati HW e SW (server, sistemi per ilbackup..)
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaModelli di servizi CloudImmagine tratta da Wikipedia
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informaticaalcuni servizi che sfruttano il cloud
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaOpinioni diverse● Per alcuni è un innegabile vantaggio● Per altri è un nuovo nome inventato dal marketingper servizi già conosciuti● E pur vero che alcuni fornitori potrebberospacciare per “cloud” il vecchio servizio di datacenter● Un “cloud vero” può effettivamente offrire vantaggiimportanti, se il progetto è ben pensato!
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcuni vantaggi del Cloud● Riduzione dei costi per limplementazionedella infrastruttura● Minore richiesta di risorse interne perpersonale specializzato● Scalabilità della soluzione al crescere delleesigenze● Indipendenza dalla locazione geograficadellutente● Riduzione dei costi di gestione emanutenzione
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcune problematiche● Minore controllo sui dati, essendo localizzati presso le strutture delprovider (dove?)● Dipendenza da terze parti (il provider), difficoltà nella migrazione einteroperabilità (tecnologie proprietarie)● Privacy e confidenzialità dei dati riservati (perdita della riservatezza dei dati,distruzione, furto di informazioni sensibili, ad esempio brevetti, contabilità, contratti,.. )● Sicurezza (sicurezza presso il provider, hijacking delle comunicazioni, sicurezzapresso lutente, affidabilità operatori, ...)● Compliance Normativa e contrattuale (norme privacy europee, clausolecontrattuali con clienti, certificazioni – p.e. PCI DSS - Payment Card Industry DataSecurity Standard)● Contratto con il provider (gestione dei dati nel cloud, uptime e disponibilità,migrazione, assistenza, ...)● Infrastruttura lato client (connessione sempre disponibile, veloce ed affidabile,sicura... ADSL!?)
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPrivacy e Cloud● Che tipo di dati andrò a trattare? (ovvero: quali tipi di dati andrò atrasferire sul cloud)?– Sono dati personali?– Sono dati sensibili?● Dove saranno effettivamente localizzati?– Su sistemi allinterno dellUnione Europea?– Fuori Europa? Il paese ospitante ha una normativa equivalente aquella Europea o vi sono particolari accordi (Es. Safe Harbor congli USA)?● Chi avrà la possibilità di trattare I miei dati?– Posso nominarlo Responsabile Esterno del trattamento?– In quale modo potrò esercitare lobbligo di controllo previsto dallanormativa sulla Protezione dei Dati Personali (privacy)?
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPrivacy e Cloud● Il vademecum del Garante Privacy focalizzaalcuni punti da tenere presenti al momento didecidere sullutilizzo di servizi cloud● Con il nuovo Regolamento Europeo arrivanonovità importanti– Privacy by design– Privacy Impact Assessment– Data Protection Officer
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud e sicurezza● Ladozione di sistemi cloud nella propriaorganizzazione non elimina i problemi disicurezza– Le problematiche di sicurezza “locali” rimangonotali e quali– Vengono invece aggiunti nuovi livelli da tenere inconsiderazione
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaLivelli di (in)Sicurezza cloud● Potete acquistare un servizio Public Cloud, ma nonlinfrastruttura, ed almeno parte di essa è condivisa con altri(multi-tenancy)● Ricordate i tre livelli di servizi cloud?
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaLivelli di (in)Sicurezza cloud● Per ognuno di essi sono possibili specifichevulnerabilità relative al fattore di condivisionedi risorse HW, applicazioni, connessioni,librerie, database,...Fonte:CloudSecurityAllianceItaly
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaNon solo “hackers”CSA (Cloud Security Alliance) ha pubblicato in febbraio unrapporto nel quale si evidenziano le 9 maggiori minacce perla sicurezza del cloud computing1.Data Breaches2.Data Loss3.Account Hijacking4.Insecure APIs5.Malicious Insiders6.Abuse of Cloud Services7.Insufficient Due Diligence8.Shared Technology Issues9.Denial of Service
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcune delle domande da porsi● La propria infrastruttura è adeguata?● La connessione Internet supporta il caricoprevisto?● Quali possibilità ho in caso di fault locale percontinuare a lavorare?● Gli operatori sono adeguatamente formati?● Quali modalità di ripristino in caso di fault delprovider? (attacchi informatici, disastri naturali,fallimento...)
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaContratti cloud– E difficile poter contrattare clausoleparticolari specie se si è una piccolaazienda– Esaminare bene il contratto, obblighi egaranzie– Selezionare più fornitori che offrano ilservizio richiesto e confrontare non solo icosti– A proposito: attenzione ai costi nascosti!
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaClausole contrattuali– SLA, Service Level Agreement– Gelocalizzazione dei dati– Garanzia di accesso e di riservatezza– Cancellazione sicura dei dati– Responsabilità e modalità di backup e disaster recovery– Modalità di audit e di valutazione delle certificazioni– Possibilità e supporto a migrazione ed interoperabilità– Distruzione dei dati dopo la cessazione del rapporto– E il caso di pensare ad una assicurazione? (trasferimento del rischio)– Che di pensate di penali per eventuali inadempienze?– Individuare eventuali terzi che partecipino alla fornitura del servizio
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaRiepiloghiamo!● Esistono vari livelli di problematiche da affrontare– Sicurezza locale → non cambia molto. Va curataparticolarmente la formazione degli operatori– Compliance privacy → si devono valutare normative ealtri obblighi in rapporto ai dati trattati– Comunicazioni → deve essere garantita la sicurezza ela affidabilità delle connessioni– Sicurezza lato cloud → valutare bene il fornitore, sidovrà lavorare sulla parte contrattuale
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaConclusioni● Esistono molte soluzioni possibili sul mercato● Limportante è effettuare una buona analisipreventiva sui dati da trattare e sulle necessità● E necessario definire ed applicare delle validepolicy di sicurezza● Scegliere un prodotto valutando anche le policy ele clausole contrattuali e non solo il lato economico● Valutare se richiedere specifiche clausole
  • Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaGRAZIE PER LATTENZIONEpaolo.giardini@solution.itLink di approfondimento sullargomentohttps://en.wikipedia.org/wiki/Cloud_computing – http://www.garanteprivacy.ithttp://www.cloudsecurityalliance.it - http://opsi.aipnet.it - http://www.aipnet.it http://www.solution.ithttp://blog.solution.it - http://www.enterthecloud.itQuestolavorovienerilasciatoconlicenzaCreativeCommonsby-nc-nd