Privacy e sicurezza nel cloud

410 views
340 views

Published on

Cloud, privacy e sicurezza. Cosa tenere presente al momento di scegliere un servizio

Published in: Devices & Hardware
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
410
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
41
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Privacy e sicurezza nel cloud

  1. 1. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPaolo GiardiniSTUDIO GIARDINIEucip Certified Informatics ProfessionalDirettore OPSI – Osservatorio Privacy e Sicurezza InformaticaCentro di Competenza Open Source Regione UmbriaGNU/LUG PerugiaAIP – OPSI – AIPSI - CLUSIT ISSA - FORMEZPrivacy e sicurezza nel cloud.Cosa tenere presentequando si sceglie un servizio
  2. 2. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaChi sono? ;-)● Direttore Osservatorio Privacy Sicurezza Informatica● Privacy Officer Associazione Informatici Professionisti● Consulente per la sicurezza delle informazioni● Membro comitato esecutivo CCOS Regione Umbria● Socio Fondatore GNU/LUG Perugia● Partecipo a varie associazioni e community: Sikurezza.org,Italian Linux Society, CLUSIT, Information Systems SecurityAssociation, Associazione Italiana Professionisti SicurezzaInformatica, Giuristi Telematici, Hackers Corner, ...● Ideatore ed organizzatore dellhacker game “Cracca al Tesoro”
  3. 3. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaDi cosa parleremo● Chiariamoci alcune idee sul “cloud computing”● ...Tutto oro quello che luccica?● Parliamo di Privacy● e anche di Sicurezza● Le cose da considerare al momento dellascelta di un servizio cloud● Conclusioni (che invece sono un inizio)
  4. 4. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCosa si intende con “Cloud”?Immagine tratta da Wikipedia
  5. 5. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud, ovvero: ...● Una definizione semplicistica è: qualunqueservizio offerto via internet● In questa definizione rientrerebbe qualunqueData Center!
  6. 6. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud, ovvero: nuvola!● Il nome deriva dal simbolo della “nuvoletta”usato nei diagrammi di flusso per indicare“internet”● In realtà un cloud “vero” impiega un “mix” divarie tecnologie al fine di offrire riconosciutivantaggi agli utentiInternet!
  7. 7. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaTipi di cloud● Private cloud– Linfrastruttura è localizzata presso lutente che ne dispone totalmentee la gestisce in piena autonomia, in proprio o tramite terzi,sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,...)– I dati restano presso la struttura dellutente● Public cloud– Linfrastruttura di proprietà di un fornitore mette a disposizione deiclienti (multipli) i propri servizi tramite internet– Il controllo dei dati è in parte ceduto al gestore del cloud● Altri cloud– Soluzioni miste (hybrid cloud) o condivise (community cloud)
  8. 8. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaModelli di servizi Cloud● Software as a Service (SaaS)– Sono messe a disposizioneapplicazioni (es. Mail, suite per ufficio...)● Platform as a Service (PaaS)– Sistemi e servizi per lo sviluppo diapplicazioni (da rivendere)● Infrastructure as a Service (IaaS)– Vengono messi a disposizione sistemivirtualizzati HW e SW (server, sistemi per ilbackup..)
  9. 9. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaModelli di servizi CloudImmagine tratta da Wikipedia
  10. 10. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informaticaalcuni servizi che sfruttano il cloud
  11. 11. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaOpinioni diverse● Per alcuni è un innegabile vantaggio● Per altri è un nuovo nome inventato dal marketingper servizi già conosciuti● E pur vero che alcuni fornitori potrebberospacciare per “cloud” il vecchio servizio di datacenter● Un “cloud vero” può effettivamente offrire vantaggiimportanti, se il progetto è ben pensato!
  12. 12. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcuni vantaggi del Cloud● Riduzione dei costi per limplementazionedella infrastruttura● Minore richiesta di risorse interne perpersonale specializzato● Scalabilità della soluzione al crescere delleesigenze● Indipendenza dalla locazione geograficadellutente● Riduzione dei costi di gestione emanutenzione
  13. 13. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcune problematiche● Minore controllo sui dati, essendo localizzati presso le strutture delprovider (dove?)● Dipendenza da terze parti (il provider), difficoltà nella migrazione einteroperabilità (tecnologie proprietarie)● Privacy e confidenzialità dei dati riservati (perdita della riservatezza dei dati,distruzione, furto di informazioni sensibili, ad esempio brevetti, contabilità, contratti,.. )● Sicurezza (sicurezza presso il provider, hijacking delle comunicazioni, sicurezzapresso lutente, affidabilità operatori, ...)● Compliance Normativa e contrattuale (norme privacy europee, clausolecontrattuali con clienti, certificazioni – p.e. PCI DSS - Payment Card Industry DataSecurity Standard)● Contratto con il provider (gestione dei dati nel cloud, uptime e disponibilità,migrazione, assistenza, ...)● Infrastruttura lato client (connessione sempre disponibile, veloce ed affidabile,sicura... ADSL!?)
  14. 14. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPrivacy e Cloud● Che tipo di dati andrò a trattare? (ovvero: quali tipi di dati andrò atrasferire sul cloud)?– Sono dati personali?– Sono dati sensibili?● Dove saranno effettivamente localizzati?– Su sistemi allinterno dellUnione Europea?– Fuori Europa? Il paese ospitante ha una normativa equivalente aquella Europea o vi sono particolari accordi (Es. Safe Harbor congli USA)?● Chi avrà la possibilità di trattare I miei dati?– Posso nominarlo Responsabile Esterno del trattamento?– In quale modo potrò esercitare lobbligo di controllo previsto dallanormativa sulla Protezione dei Dati Personali (privacy)?
  15. 15. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaPrivacy e Cloud● Il vademecum del Garante Privacy focalizzaalcuni punti da tenere presenti al momento didecidere sullutilizzo di servizi cloud● Con il nuovo Regolamento Europeo arrivanonovità importanti– Privacy by design– Privacy Impact Assessment– Data Protection Officer
  16. 16. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaCloud e sicurezza● Ladozione di sistemi cloud nella propriaorganizzazione non elimina i problemi disicurezza– Le problematiche di sicurezza “locali” rimangonotali e quali– Vengono invece aggiunti nuovi livelli da tenere inconsiderazione
  17. 17. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaLivelli di (in)Sicurezza cloud● Potete acquistare un servizio Public Cloud, ma nonlinfrastruttura, ed almeno parte di essa è condivisa con altri(multi-tenancy)● Ricordate i tre livelli di servizi cloud?
  18. 18. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaLivelli di (in)Sicurezza cloud● Per ognuno di essi sono possibili specifichevulnerabilità relative al fattore di condivisionedi risorse HW, applicazioni, connessioni,librerie, database,...Fonte:CloudSecurityAllianceItaly
  19. 19. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaNon solo “hackers”CSA (Cloud Security Alliance) ha pubblicato in febbraio unrapporto nel quale si evidenziano le 9 maggiori minacce perla sicurezza del cloud computing1.Data Breaches2.Data Loss3.Account Hijacking4.Insecure APIs5.Malicious Insiders6.Abuse of Cloud Services7.Insufficient Due Diligence8.Shared Technology Issues9.Denial of Service
  20. 20. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaAlcune delle domande da porsi● La propria infrastruttura è adeguata?● La connessione Internet supporta il caricoprevisto?● Quali possibilità ho in caso di fault locale percontinuare a lavorare?● Gli operatori sono adeguatamente formati?● Quali modalità di ripristino in caso di fault delprovider? (attacchi informatici, disastri naturali,fallimento...)
  21. 21. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaContratti cloud– E difficile poter contrattare clausoleparticolari specie se si è una piccolaazienda– Esaminare bene il contratto, obblighi egaranzie– Selezionare più fornitori che offrano ilservizio richiesto e confrontare non solo icosti– A proposito: attenzione ai costi nascosti!
  22. 22. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaClausole contrattuali– SLA, Service Level Agreement– Gelocalizzazione dei dati– Garanzia di accesso e di riservatezza– Cancellazione sicura dei dati– Responsabilità e modalità di backup e disaster recovery– Modalità di audit e di valutazione delle certificazioni– Possibilità e supporto a migrazione ed interoperabilità– Distruzione dei dati dopo la cessazione del rapporto– E il caso di pensare ad una assicurazione? (trasferimento del rischio)– Che di pensate di penali per eventuali inadempienze?– Individuare eventuali terzi che partecipino alla fornitura del servizio
  23. 23. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaRiepiloghiamo!● Esistono vari livelli di problematiche da affrontare– Sicurezza locale → non cambia molto. Va curataparticolarmente la formazione degli operatori– Compliance privacy → si devono valutare normative ealtri obblighi in rapporto ai dati trattati– Comunicazioni → deve essere garantita la sicurezza ela affidabilità delle connessioni– Sicurezza lato cloud → valutare bene il fornitore, sidovrà lavorare sulla parte contrattuale
  24. 24. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaConclusioni● Esistono molte soluzioni possibili sul mercato● Limportante è effettuare una buona analisipreventiva sui dati da trattare e sulle necessità● E necessario definire ed applicare delle validepolicy di sicurezza● Scegliere un prodotto valutando anche le policy ele clausole contrattuali e non solo il lato economico● Valutare se richiedere specifiche clausole
  25. 25. Cloud City - Orvieto 4-5 maggio 2013Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza InformaticaGRAZIE PER LATTENZIONEpaolo.giardini@solution.itLink di approfondimento sullargomentohttps://en.wikipedia.org/wiki/Cloud_computing – http://www.garanteprivacy.ithttp://www.cloudsecurityalliance.it - http://opsi.aipnet.it - http://www.aipnet.it http://www.solution.ithttp://blog.solution.it - http://www.enterthecloud.itQuestolavorovienerilasciatoconlicenzaCreativeCommonsby-nc-nd

×