Il Cloud computing nel 2012 - il know aziendale è al sicuro

1,853 views

Published on

Smau 2012 - Bari, 15 febbraio 2012

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,853
On SlideShare
0
From Embeds
0
Number of Embeds
647
Actions
Shares
0
Downloads
44
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Il Cloud computing nel 2012 - il know aziendale è al sicuro

  1. 1. Il Cloud Computing nel 2012 Il know aziendale è al sicuro?Massimo Chirivì – 15/02/2012 - BARI
  2. 2. L’impegno per l’innovazione• Consulente ICT dal 1995• Al servizio delle aziende per lavoro• Al servizio della P.A. per hobby e passione dal 1998 Associazioni• AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica• AICA - Associazione Italiana per il calcolo automatico• Federazione Italiana Privacy• ISSA - Information Systems Security Association• CLUSIT - Associazione Italiana per la Sicurezza Informatica 2
  3. 3. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 200 soci in esperti in Italia tutto il mondo 3
  4. 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi:• Organizzazione di forum educativi• Redazione di documenti e pubblicazioni specializzate• Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali)• Riferimento per la ricerca di professionisti di sicurezza IT• Interazione con altre organizzazioni professionali• Rilascio di attestati e certificazioni specifiche 4
  5. 5. Cloud Computing 5
  6. 6. Tipologie di Cloud Computing : Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo.SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spessoattraverso un server web. Questo acronimo condivide in parte la filosofia di un termineoggi in disuso ASP (Application Service Provider)PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su unapiattaforma software che può essere costituita da diversi servizi, programmi, librerieIaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questotipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolodistribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente neha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo. 6
  7. 7. Criticità e rischi del Cloud Computing• Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri.• Limiti della rete Internet.• Conformità a standard/normative.• Dove sono i miei dati?• Chi tiene i miei dati?• Sotto quale giurisdizione?• Sono protetti? Sicurezza Commerciale / Legale CLOUD Privacy 7
  8. 8. I principi generali sulla Sicurezza Informatica Le risorse Per l’HW consiste in: informatiche e le elaborazione corretta informazioni sono dei dati,livello accessibili agli adeguato delleutenti autorizzati nel prestazioni, corretto momento in cui servono Disponibilità Integrità instradamento dei dati. Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo. Sicurezza Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate. 8
  9. 9. Log Management 9
  10. 10. Cloud Computing – Gli attoriIl fornitore dei Colui che seleziona servizi e configura i servizi CLOUD Cliente da far utilizzare dal FornitoreCOMPUTING Admin cliente finale Cliente fruitore Colui che utilizza i servizi CLOUD 10
  11. 11. Cloud Computing – Disponibilita’ dei dati Reperibilità Accessibilità Asportabilità Esempi: -Controllo generale del DB. -Interruzione del contratto con il fornitore. -Blocco internet (Egitto) 11
  12. 12. Cloud Computing – Legge da applicare Attenzione al foro competente! Italia o Estero? Europa o Stati Uniti? 12
  13. 13. Cloud Computing - Titolo VII - Trasferimento dei dati allestero• Art. 42. Trasferimenti allinterno dellUnione europea 1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dellUnione europea, fatta salva ladozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.• Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente allUnione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dellinteressato:• a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nellambito di società appartenenti a un medesimo gruppo. Linteressato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine allinosservanza delle garanzie medesime;(1)• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente allUnione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.• (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.• Art. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente allUnione europea, è vietato quando lordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza. 13
  14. 14. Cloud Computing - Titolo VII - Trasferimento dei dati allestero• Art. 43. Trasferimenti consentiti in Paesi terzi 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente allUnione europea è consentito quando:• a) linteressato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;• b) è necessario per lesecuzione di obblighi derivanti da un contratto del quale è parte linteressato o per adempiere, prima della conclusione del contratto, a specifiche richieste dellinteressato, ovvero per la conclusione o per lesecuzione di un contratto stipulato a favore dellinteressato;• c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;• d) è necessario per la salvaguardia della vita o dellincolumità fisica di un terzo. Se la medesima finalità riguarda linteressato e questultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora linteressato. Si applica la disposizione di cui allarticolo 82, comma 2;• e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;• f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con losservanza delle norme che regolano la materia;• g) è necessario, in conformità ai rispettivi codici di deontologia di cui allallegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dellarticolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;• h) [soppressa] (1)• (1) Lettera soppressa dallart. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni". 14
  15. 15. Cloud Computing – Log Management• Chi registra i LOG?• Rispettano la nostra normativa?• Sono disponibili in caso di necessità? 15
  16. 16. Cloud Computing – ATTENZIONE! Alcuni esempi…LIVEDRIVE:• You, and not Livedrive, are responsible for maintaining and protecting all of your files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files.• With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers.GOOGLE APPS:1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento", "responsabile del trattamento" e "incaricato del trattamento" avranno il significato loro attribuito nella direttiva dellUnione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati. 16
  17. 17. Cloud Computing – ATTENZIONE! Alcuni esempi…GOOGLE APPSPosizione dei dati. Nellambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano.Aruba ed i servizi a spazio illimitato.Esistono? Analizziamo insieme le policy contrattuali.ADRIVEMaintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrives equipment. You are responsible for independent backup of Storage Data stored using Adrives services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrives services, arising out of or resulting from use of Adrives services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement. 17
  18. 18. Cloud Computing – Vantaggi e benefici.• la capacità di diminuire i costi di start-up di un sistema;• la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di carico tramite la capacità di scalare tipica delle infrastrutture cloud;• la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio (logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione;• la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX).Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo:• la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi;• la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti modificati;• il rapido ed efficiente provisioning e deprovisioning delle risorse;• l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione dei centri di elaborazione.• soluzioni di sicurezza superiori ai propri standard interni;• organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne;• servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più ristretti. 18
  19. 19. Cloud Computing – Problematiche e preoccupazioni.• LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o, addirittura, impossibile.• Transfer Back (E’ possibile riportare il servizio in HOUSE)• Perdita della governance• Multi-tenant model (condivisione delle risorse con altri attori) 19
  20. 20. Cloud Computing – Risk AssessmentChe tipo di danno si verrebbe a creare se:• l’asset in valutazione diventasse di pubblico dominio?• un dipendente del fornitore di servizi cloud avesse accesso all’asset in valutazione?• il processo o la funzione fossero fraudolentemente manipolati da un attaccante esterno?• il processo o la funzione non fornissero i risultati attesi?• le informazioni/i dati fossero modificati in maniera non autorizzata?• l’asset in valutazione non fosse disponibile per un dato periodo di tempo? 20
  21. 21. Cloud Computing – Gestione dell’infrastruttura Accessi. –– la classificazione delle tipologie diVirtualizzazione. Servizi. accesso;–– l’utilizzo di componenti integrativi di –– l’individuazione delle tipologie di –– l’individuazione di ruoli da assegnare allesicurezza; risorse; risorse con particolare attenzione–– l’utilizzo di controlli di sicurezza –– l’individuazione dei servizi che nell’assegnazione deiesterni per la protezione delle devono essere attivi su ogni tipologia di privilegi di amministrazione e di accesso alleinterfacce di amministrazione; risorsa; interfacce di gestione;–– l’utilizzo dei controlli di sicurezza –– la realizzazione di un Patch –– la definizione delle caratteristiche didelle piattaforme di virtualizzazione per Management Program; sicurezza delle diverse tipologie di canali dila gestione del traffico che attraversa i –– l’utilizzo di strumenti automatizzati di comunicazione;“backplane”; discovery; –– l’utilizzazione di protocolli sicuri di–– la creazione di zone sicure basate –– l’effettuazione di Vulnerability comunicazione;sul tipo di utilizzo delle risorse. Assessment periodici. –– l’applicazione del principio di “least privilege”; –– la definizione di standard per la gestione Spazi fisici. degli accessi basati sul ruolo.Personale. –– la definizione di un piano di sicurezza–– la puntuale definizione dei ruoli anche in fisica;relazione ai temi relativi alla protezione dei –– la definizione di aree a diversa Rete.dati personali; criticità; –– la scelta di un’adeguata topologia di rete;–– l’applicazione dei concetti di “need to –– l’implementazione di contromisure –– l’applicazione dei concetti di “Defence inknow”; fisiche per la prevenzione di accessi depth”;–– la definizione delle procedure operative da non autorizzati; –– la segmentazione attraverso apparati diapplicare; –– l’adeguata gestione degli accessi del sicurezza;–– l’adeguata formazione di tutte le figure personale esterno; –– la documentazione delle scelte effettuate;previste; –– l’adeguata protezione da minacce di –– la revisione periodica o su base necessità–– la realizzazione di un piano di audit. natura fisica. dell’intero progetto. 21
  22. 22. Cloud Computing – Le Sfide• L’evoluzione normativa• Il Cyber Crime• La portabilità dei dati – LOCK IN• l’approccio transnazionale• le best practice 22
  23. 23. Confrontiamoci! Informazioni• www.massimochirivi.net• info@massimochirivi.net• Facebook• Skype: mchirivi• Linkedin• Sito smau – www.smau.it• Sito AIPSI -- www.aipsi.org 23

×