SlideShare a Scribd company logo

Privacy e sicurezza nel cloud

A
aspy

Cloud, privacy e sicurezza. Cosa tenere presente al momento di scegliere un servizio

Devices & Hardware
1 of 25
Download to read offline
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Paolo Giardini STUDIO GIARDINI Eucip Certified Informatics Professional Direttore OPSI – Osservatorio Privacy e Sicurezza Informatica Centro di Competenza Open Source Regione Umbria GNU/LUG Perugia AIP – OPSI – AIPSI - CLUSIT ISSA - FORMEZ Privacy e sicurezza nel cloud. Cosa tenere presente quando si sceglie un servizio
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Chi sono? ;-) ● Direttore Osservatorio Privacy Sicurezza Informatica ● Privacy Officer Associazione Informatici Professionisti ● Consulente per la sicurezza delle informazioni ● Membro comitato esecutivo CCOS Regione Umbria ● Socio Fondatore GNU/LUG Perugia ● Partecipo a varie associazioni e community: Sikurezza.org, Italian Linux Society, CLUSIT, Information Systems Security Association, Associazione Italiana Professionisti Sicurezza Informatica, Giuristi Telematici, Hackers Corner, ... ● Ideatore ed organizzatore dell'hacker game “Cracca al Tesoro”
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Di cosa parleremo ● Chiariamoci alcune idee sul “cloud computing” ● ...Tutto oro quello che luccica? ● Parliamo di Privacy ● e anche di Sicurezza ● Le cose da considerare al momento della scelta di un servizio cloud ● Conclusioni (che invece sono un inizio)
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cosa si intende con “Cloud”? Immagine tratta da Wikipedia
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud, ovvero: ... ● Una definizione semplicistica è: qualunque servizio offerto via internet ● In questa definizione rientrerebbe qualunque Data Center!
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud, ovvero: nuvola! ● Il nome deriva dal simbolo della “nuvoletta” usato nei diagrammi di flusso per indicare “internet” ● In realtà un cloud “vero” impiega un “mix” di varie tecnologie al fine di offrire riconosciuti vantaggi agli utenti Internet!
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Tipi di cloud ● Private cloud – L'infrastruttura è localizzata presso l'utente che ne dispone totalmente e la gestisce in piena autonomia, in proprio o tramite terzi, sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,...) – I dati restano presso la struttura dell'utente ● Public cloud – L'infrastruttura di proprietà di un fornitore mette a disposizione dei clienti (multipli) i propri servizi tramite internet – Il controllo dei dati è in parte ceduto al gestore del cloud ● Altri cloud – Soluzioni miste (hybrid cloud) o condivise (community cloud)
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Modelli di servizi Cloud ● Software as a Service (SaaS) – Sono messe a disposizione applicazioni (es. Mail, suite per ufficio...) ● Platform as a Service (PaaS) – Sistemi e servizi per lo sviluppo di applicazioni (da rivendere) ● Infrastructure as a Service (IaaS) – Vengono messi a disposizione sistemi virtualizzati HW e SW (server, sistemi per il backup..)
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Modelli di servizi Cloud Immagine tratta da Wikipedia
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica alcuni servizi che sfruttano il cloud
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Opinioni diverse ● Per alcuni è un innegabile vantaggio ● Per altri è un nuovo nome inventato dal marketing per servizi già conosciuti ● E' pur vero che alcuni fornitori potrebbero spacciare per “cloud” il vecchio servizio di data center ● Un “cloud vero” può effettivamente offrire vantaggi importanti, se il progetto è ben pensato!
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcuni vantaggi del Cloud ● Riduzione dei costi per l'implementazione della infrastruttura ● Minore richiesta di risorse interne per personale specializzato ● Scalabilità della soluzione al crescere delle esigenze ● Indipendenza dalla locazione geografica dell'utente ● Riduzione dei costi di gestione e manutenzione
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcune problematiche ● Minore controllo sui dati, essendo localizzati presso le strutture del provider (dove?) ● Dipendenza da terze parti (il provider), difficoltà nella migrazione e interoperabilità (tecnologie proprietarie) ● Privacy e confidenzialità dei dati riservati (perdita della riservatezza dei dati, distruzione, furto di informazioni sensibili, ad esempio brevetti, contabilità, contratti,.. ) ● Sicurezza (sicurezza presso il provider, hijacking delle comunicazioni, sicurezza presso l'utente, affidabilità operatori, ...) ● Compliance Normativa e contrattuale (norme privacy europee, clausole contrattuali con clienti, certificazioni – p.e. PCI DSS - Payment Card Industry Data Security Standard) ● Contratto con il provider (gestione dei dati nel cloud, uptime e disponibilità, migrazione, assistenza, ...) ● Infrastruttura lato client (connessione sempre disponibile, veloce ed affidabile, sicura... ADSL!?)
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Privacy e Cloud ● Che tipo di dati andrò a trattare? (ovvero: quali tipi di dati andrò a trasferire sul cloud)? – Sono dati personali? – Sono dati sensibili? ● Dove saranno effettivamente localizzati? – Su sistemi all'interno dell'Unione Europea? – Fuori Europa? Il paese ospitante ha una normativa equivalente a quella Europea o vi sono particolari accordi (Es. Safe Harbor con gli USA)? ● Chi avrà la possibilità di trattare I miei dati? – Posso nominarlo Responsabile Esterno del trattamento? – In quale modo potrò esercitare l'obbligo di controllo previsto dalla normativa sulla Protezione dei Dati Personali (privacy)?
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Privacy e Cloud ● Il vademecum del Garante Privacy focalizza alcuni punti da tenere presenti al momento di decidere sull'utilizzo di servizi cloud ● Con il nuovo Regolamento Europeo arrivano novità importanti – Privacy by design – Privacy Impact Assessment – Data Protection Officer
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud e sicurezza ● L'adozione di sistemi cloud nella propria organizzazione non elimina i problemi di sicurezza – Le problematiche di sicurezza “locali” rimangono tali e quali – Vengono invece aggiunti nuovi livelli da tenere in considerazione
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Livelli di (in)Sicurezza cloud ● Potete acquistare un servizio Public Cloud, ma non l'infrastruttura, ed almeno parte di essa è condivisa con altri (multi-tenancy) ● Ricordate i tre livelli di servizi cloud?
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Livelli di (in)Sicurezza cloud ● Per ognuno di essi sono possibili specifiche vulnerabilità relative al fattore di condivisione di risorse HW, applicazioni, connessioni, librerie, database,... Fonte:CloudSecurityAllianceItaly
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Non solo “hackers” CSA (Cloud Security Alliance) ha pubblicato in febbraio un rapporto nel quale si evidenziano le 9 maggiori minacce per la sicurezza del cloud computing 1.Data Breaches 2.Data Loss 3.Account Hijacking 4.Insecure APIs 5.Malicious Insiders 6.Abuse of Cloud Services 7.Insufficient Due Diligence 8.Shared Technology Issues 9.Denial of Service
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcune delle domande da porsi ● La propria infrastruttura è adeguata? ● La connessione Internet supporta il carico previsto? ● Quali possibilità ho in caso di fault locale per continuare a lavorare? ● Gli operatori sono adeguatamente formati? ● Quali modalità di ripristino in caso di fault del provider? (attacchi informatici, disastri naturali, fallimento...)
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Contratti cloud – E' difficile poter contrattare clausole particolari specie se si è una piccola azienda – Esaminare bene il contratto, obblighi e garanzie – Selezionare più fornitori che offrano il servizio richiesto e confrontare non solo i costi – A proposito: attenzione ai costi nascosti!
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Clausole contrattuali – SLA, Service Level Agreement – Gelocalizzazione dei dati – Garanzia di accesso e di riservatezza – Cancellazione sicura dei dati – Responsabilità e modalità di backup e disaster recovery – Modalità di audit e di valutazione delle certificazioni – Possibilità e supporto a migrazione ed interoperabilità – Distruzione dei dati dopo la cessazione del rapporto – E' il caso di pensare ad una assicurazione? (trasferimento del rischio) – Che di pensate di penali per eventuali inadempienze? – Individuare eventuali terzi che partecipino alla fornitura del servizio
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Riepiloghiamo! ● Esistono vari livelli di problematiche da affrontare – Sicurezza locale → non cambia molto. Va curata particolarmente la formazione degli operatori – Compliance privacy → si devono valutare normative e altri obblighi in rapporto ai dati trattati – Comunicazioni → deve essere garantita la sicurezza e la affidabilità delle connessioni – Sicurezza lato cloud → valutare bene il fornitore, si dovrà lavorare sulla parte contrattuale
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Conclusioni ● Esistono molte soluzioni possibili sul mercato ● L'importante è effettuare una buona analisi preventiva sui dati da trattare e sulle necessità ● E' necessario definire ed applicare delle valide policy di sicurezza ● Scegliere un prodotto valutando anche le policy e le clausole contrattuali e non solo il lato economico ● Valutare se richiedere specifiche clausole
Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica GRAZIE PER L'ATTENZIONE paolo.giardini@solution.it Link di approfondimento sull'argomento https://en.wikipedia.org/wiki/Cloud_computing – http://www.garanteprivacy.it http://www.cloudsecurityalliance.it - http://opsi.aipnet.it - http://www.aipnet.it http://www.solution.it http://blog.solution.it - http://www.enterthecloud.it QuestolavorovienerilasciatoconlicenzaCreativeCommonsby-nc-nd

Recommended

SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSIMassimo Chirivì
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
La sfida per gli ISP, tra sicurezza e flessibilità
La sfida per gli ISP, tra sicurezza e flessibilitàLa sfida per gli ISP, tra sicurezza e flessibilità
La sfida per gli ISP, tra sicurezza e flessibilitàENTER S.r.l.
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 

Recommended

SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSIMassimo Chirivì
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
La sfida per gli ISP, tra sicurezza e flessibilità
La sfida per gli ISP, tra sicurezza e flessibilitàLa sfida per gli ISP, tra sicurezza e flessibilità
La sfida per gli ISP, tra sicurezza e flessibilitàENTER S.r.l.
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...Fabio Pietrosanti
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013ConsulPartner iSrl
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Sandro Rossetti
 
Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale Gianmarco Beato
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroMassimo Chirivì
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017uninfoit
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliat MicroFocus Italy ❖✔
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011Clever Consulting
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
Analisi articolo 26
Analisi articolo 26Analisi articolo 26
Analisi articolo 26Martina iorio
 
Karen desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analystKaren desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analystKaren Desoto
 
Wep crack
Wep crackWep crack
Wep crackaspy
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Nuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiNuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Democrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo LisiDemocrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo LisiDigital Law Communication
 
Democrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo LisiDemocrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo LisiDigital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 

More Related Content

What's hot

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...Fabio Pietrosanti
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013ConsulPartner iSrl
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Sandro Rossetti
 
Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale Gianmarco Beato
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroMassimo Chirivì
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017uninfoit
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliat MicroFocus Italy ❖✔
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011Clever Consulting
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 

What's hot (13)

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
 
Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale Presentazione Tesi di Laurea Triennale
Presentazione Tesi di Laurea Triennale
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuro
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011Clever Consulting Newsletter > Luglio 2011
Clever Consulting Newsletter > Luglio 2011
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 

Viewers also liked

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
Karen desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analystKaren desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analystKaren Desoto
 
Wep crack
Wep crackWep crack
Wep crackaspy
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Democrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo LisiDemocrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo LisiDigital Law Communication
 
Democrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo LisiDemocrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo LisiDigital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 

Viewers also liked (12)

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
 
Analisi articolo 26
Analisi articolo 26Analisi articolo 26
Analisi articolo 26
 
Karen desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analystKaren desoto’s presence as a legal analyst
Karen desoto’s presence as a legal analyst
 
Wep crack
Wep crackWep crack
Wep crack
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
 
Nuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei DatiNuove professioni digitali_Responsabile del Trattamento dei Dati
Nuove professioni digitali_Responsabile del Trattamento dei Dati
 
Democrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo LisiDemocrazia: dal passato, il futuro - di Giacomo Lisi
Democrazia: dal passato, il futuro - di Giacomo Lisi
 
Democrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo LisiDemocrazia: dal passato, il futuro - intervento di Giacomo Lisi
Democrazia: dal passato, il futuro - intervento di Giacomo Lisi
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 

Similar to Privacy e sicurezza nel cloud

Seeweb - SMAU Padova 2017
Seeweb - SMAU Padova 2017Seeweb - SMAU Padova 2017
Seeweb - SMAU Padova 2017SMAU
 
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...seeweb
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudDenodo
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
"Project Management da mobile" di Luca Cipriani
"Project Management da mobile" di Luca Cipriani"Project Management da mobile" di Luca Cipriani
"Project Management da mobile" di Luca CiprianiToolbox Coworking
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSMAU
 
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleCloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleAmmLibera AL
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSMAU
 
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...Claudio Pontili
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Denodo
 
Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Claudio Tancini
 
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaCloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaClouditalia Telecomunicazioni
 
European Cloud Partnership - contesto e prospettive
European Cloud Partnership - contesto e prospettiveEuropean Cloud Partnership - contesto e prospettive
European Cloud Partnership - contesto e prospettiveDaniele Tatti
 
Smau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSmau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSMAU
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)SMAU
 

Similar to Privacy e sicurezza nel cloud (20)

Seeweb - SMAU Padova 2017
Seeweb - SMAU Padova 2017Seeweb - SMAU Padova 2017
Seeweb - SMAU Padova 2017
 
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...
Il mercato Cloud oggi: trend e occasioni di business, una grande opportunità ...
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
 
"Project Management da mobile" di Luca Cipriani
"Project Management da mobile" di Luca Cipriani"Project Management da mobile" di Luca Cipriani
"Project Management da mobile" di Luca Cipriani
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
 
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleCloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvole
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - Aipsi
 
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
 
Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
 
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaCloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
 
European Cloud Partnership - contesto e prospettive
European Cloud Partnership - contesto e prospettiveEuropean Cloud Partnership - contesto e prospettive
European Cloud Partnership - contesto e prospettive
 
Smau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSmau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco Parretti
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 

Privacy e sicurezza nel cloud

  • 1. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Paolo Giardini STUDIO GIARDINI Eucip Certified Informatics Professional Direttore OPSI – Osservatorio Privacy e Sicurezza Informatica Centro di Competenza Open Source Regione Umbria GNU/LUG Perugia AIP – OPSI – AIPSI - CLUSIT ISSA - FORMEZ Privacy e sicurezza nel cloud. Cosa tenere presente quando si sceglie un servizio
  • 2. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Chi sono? ;-) ● Direttore Osservatorio Privacy Sicurezza Informatica ● Privacy Officer Associazione Informatici Professionisti ● Consulente per la sicurezza delle informazioni ● Membro comitato esecutivo CCOS Regione Umbria ● Socio Fondatore GNU/LUG Perugia ● Partecipo a varie associazioni e community: Sikurezza.org, Italian Linux Society, CLUSIT, Information Systems Security Association, Associazione Italiana Professionisti Sicurezza Informatica, Giuristi Telematici, Hackers Corner, ... ● Ideatore ed organizzatore dell'hacker game “Cracca al Tesoro”
  • 3. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Di cosa parleremo ● Chiariamoci alcune idee sul “cloud computing” ● ...Tutto oro quello che luccica? ● Parliamo di Privacy ● e anche di Sicurezza ● Le cose da considerare al momento della scelta di un servizio cloud ● Conclusioni (che invece sono un inizio)
  • 4. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cosa si intende con “Cloud”? Immagine tratta da Wikipedia
  • 5. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud, ovvero: ... ● Una definizione semplicistica è: qualunque servizio offerto via internet ● In questa definizione rientrerebbe qualunque Data Center!
  • 6. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud, ovvero: nuvola! ● Il nome deriva dal simbolo della “nuvoletta” usato nei diagrammi di flusso per indicare “internet” ● In realtà un cloud “vero” impiega un “mix” di varie tecnologie al fine di offrire riconosciuti vantaggi agli utenti Internet!
  • 7. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Tipi di cloud ● Private cloud – L'infrastruttura è localizzata presso l'utente che ne dispone totalmente e la gestisce in piena autonomia, in proprio o tramite terzi, sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,...) – I dati restano presso la struttura dell'utente ● Public cloud – L'infrastruttura di proprietà di un fornitore mette a disposizione dei clienti (multipli) i propri servizi tramite internet – Il controllo dei dati è in parte ceduto al gestore del cloud ● Altri cloud – Soluzioni miste (hybrid cloud) o condivise (community cloud)
  • 8. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Modelli di servizi Cloud ● Software as a Service (SaaS) – Sono messe a disposizione applicazioni (es. Mail, suite per ufficio...) ● Platform as a Service (PaaS) – Sistemi e servizi per lo sviluppo di applicazioni (da rivendere) ● Infrastructure as a Service (IaaS) – Vengono messi a disposizione sistemi virtualizzati HW e SW (server, sistemi per il backup..)
  • 9. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Modelli di servizi Cloud Immagine tratta da Wikipedia
  • 10. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica alcuni servizi che sfruttano il cloud
  • 11. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Opinioni diverse ● Per alcuni è un innegabile vantaggio ● Per altri è un nuovo nome inventato dal marketing per servizi già conosciuti ● E' pur vero che alcuni fornitori potrebbero spacciare per “cloud” il vecchio servizio di data center ● Un “cloud vero” può effettivamente offrire vantaggi importanti, se il progetto è ben pensato!
  • 12. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcuni vantaggi del Cloud ● Riduzione dei costi per l'implementazione della infrastruttura ● Minore richiesta di risorse interne per personale specializzato ● Scalabilità della soluzione al crescere delle esigenze ● Indipendenza dalla locazione geografica dell'utente ● Riduzione dei costi di gestione e manutenzione
  • 13. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcune problematiche ● Minore controllo sui dati, essendo localizzati presso le strutture del provider (dove?) ● Dipendenza da terze parti (il provider), difficoltà nella migrazione e interoperabilità (tecnologie proprietarie) ● Privacy e confidenzialità dei dati riservati (perdita della riservatezza dei dati, distruzione, furto di informazioni sensibili, ad esempio brevetti, contabilità, contratti,.. ) ● Sicurezza (sicurezza presso il provider, hijacking delle comunicazioni, sicurezza presso l'utente, affidabilità operatori, ...) ● Compliance Normativa e contrattuale (norme privacy europee, clausole contrattuali con clienti, certificazioni – p.e. PCI DSS - Payment Card Industry Data Security Standard) ● Contratto con il provider (gestione dei dati nel cloud, uptime e disponibilità, migrazione, assistenza, ...) ● Infrastruttura lato client (connessione sempre disponibile, veloce ed affidabile, sicura... ADSL!?)
  • 14. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Privacy e Cloud ● Che tipo di dati andrò a trattare? (ovvero: quali tipi di dati andrò a trasferire sul cloud)? – Sono dati personali? – Sono dati sensibili? ● Dove saranno effettivamente localizzati? – Su sistemi all'interno dell'Unione Europea? – Fuori Europa? Il paese ospitante ha una normativa equivalente a quella Europea o vi sono particolari accordi (Es. Safe Harbor con gli USA)? ● Chi avrà la possibilità di trattare I miei dati? – Posso nominarlo Responsabile Esterno del trattamento? – In quale modo potrò esercitare l'obbligo di controllo previsto dalla normativa sulla Protezione dei Dati Personali (privacy)?
  • 15. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Privacy e Cloud ● Il vademecum del Garante Privacy focalizza alcuni punti da tenere presenti al momento di decidere sull'utilizzo di servizi cloud ● Con il nuovo Regolamento Europeo arrivano novità importanti – Privacy by design – Privacy Impact Assessment – Data Protection Officer
  • 16. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Cloud e sicurezza ● L'adozione di sistemi cloud nella propria organizzazione non elimina i problemi di sicurezza – Le problematiche di sicurezza “locali” rimangono tali e quali – Vengono invece aggiunti nuovi livelli da tenere in considerazione
  • 17. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Livelli di (in)Sicurezza cloud ● Potete acquistare un servizio Public Cloud, ma non l'infrastruttura, ed almeno parte di essa è condivisa con altri (multi-tenancy) ● Ricordate i tre livelli di servizi cloud?
  • 18. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Livelli di (in)Sicurezza cloud ● Per ognuno di essi sono possibili specifiche vulnerabilità relative al fattore di condivisione di risorse HW, applicazioni, connessioni, librerie, database,... Fonte:CloudSecurityAllianceItaly
  • 19. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Non solo “hackers” CSA (Cloud Security Alliance) ha pubblicato in febbraio un rapporto nel quale si evidenziano le 9 maggiori minacce per la sicurezza del cloud computing 1.Data Breaches 2.Data Loss 3.Account Hijacking 4.Insecure APIs 5.Malicious Insiders 6.Abuse of Cloud Services 7.Insufficient Due Diligence 8.Shared Technology Issues 9.Denial of Service
  • 20. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Alcune delle domande da porsi ● La propria infrastruttura è adeguata? ● La connessione Internet supporta il carico previsto? ● Quali possibilità ho in caso di fault locale per continuare a lavorare? ● Gli operatori sono adeguatamente formati? ● Quali modalità di ripristino in caso di fault del provider? (attacchi informatici, disastri naturali, fallimento...)
  • 21. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Contratti cloud – E' difficile poter contrattare clausole particolari specie se si è una piccola azienda – Esaminare bene il contratto, obblighi e garanzie – Selezionare più fornitori che offrano il servizio richiesto e confrontare non solo i costi – A proposito: attenzione ai costi nascosti!
  • 22. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Clausole contrattuali – SLA, Service Level Agreement – Gelocalizzazione dei dati – Garanzia di accesso e di riservatezza – Cancellazione sicura dei dati – Responsabilità e modalità di backup e disaster recovery – Modalità di audit e di valutazione delle certificazioni – Possibilità e supporto a migrazione ed interoperabilità – Distruzione dei dati dopo la cessazione del rapporto – E' il caso di pensare ad una assicurazione? (trasferimento del rischio) – Che di pensate di penali per eventuali inadempienze? – Individuare eventuali terzi che partecipino alla fornitura del servizio
  • 23. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Riepiloghiamo! ● Esistono vari livelli di problematiche da affrontare – Sicurezza locale → non cambia molto. Va curata particolarmente la formazione degli operatori – Compliance privacy → si devono valutare normative e altri obblighi in rapporto ai dati trattati – Comunicazioni → deve essere garantita la sicurezza e la affidabilità delle connessioni – Sicurezza lato cloud → valutare bene il fornitore, si dovrà lavorare sulla parte contrattuale
  • 24. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica Conclusioni ● Esistono molte soluzioni possibili sul mercato ● L'importante è effettuare una buona analisi preventiva sui dati da trattare e sulle necessità ● E' necessario definire ed applicare delle valide policy di sicurezza ● Scegliere un prodotto valutando anche le policy e le clausole contrattuali e non solo il lato economico ● Valutare se richiedere specifiche clausole
  • 25. Cloud City - Orvieto 4-5 maggio 2013 Paolo Giardini - Direttore Osservatorio Privacy e Sicurezza Informatica GRAZIE PER L'ATTENZIONE paolo.giardini@solution.it Link di approfondimento sull'argomento https://en.wikipedia.org/wiki/Cloud_computing – http://www.garanteprivacy.it http://www.cloudsecurityalliance.it - http://opsi.aipnet.it - http://www.aipnet.it http://www.solution.it http://blog.solution.it - http://www.enterthecloud.it QuestolavorovienerilasciatoconlicenzaCreativeCommonsby-nc-nd