SlideShare a Scribd company logo

Il Cloud computing nel 2012 - il know aziendale è al sicuro

Download as PPTX, PDF
Massimo Chirivì
Massimo Chirivì

Smau 2012 - Bari, 15 febbraio 2012

Technology
1 of 23
Il Cloud Computing nel 2012 Il know aziendale è al sicuro? Massimo Chirivì – 15/02/2012 - BARI
L’impegno per l’innovazione • Consulente ICT dal 1995 • Al servizio delle aziende per lavoro • Al servizio della P.A. per hobby e passione dal 1998 Associazioni • AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica • AICA - Associazione Italiana per il calcolo automatico • Federazione Italiana Privacy • ISSA - Information Systems Security Association • CLUSIT - Associazione Italiana per la Sicurezza Informatica 2
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 200 soci in esperti in Italia tutto il mondo 3
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche 4
Cloud Computing 5
Tipologie di Cloud Computing : Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo. SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider) PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi, librerie IaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo. 6
Criticità e rischi del Cloud Computing • Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri. • Limiti della rete Internet. • Conformità a standard/normative. • Dove sono i miei dati? • Chi tiene i miei dati? • Sotto quale giurisdizione? • Sono protetti? Sicurezza Commerciale / Legale CLOUD Privacy 7
I principi generali sulla Sicurezza Informatica Le risorse Per l’HW consiste in: informatiche e le elaborazione corretta informazioni sono dei dati,livello accessibili agli adeguato delle utenti autorizzati nel prestazioni, corretto momento in cui servono Disponibilità Integrità instradamento dei dati. Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo. Sicurezza Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate. 8
Log Management 9
Cloud Computing – Gli attori Il fornitore dei Colui che seleziona servizi e configura i servizi CLOUD Cliente da far utilizzare dal Fornitore COMPUTING Admin cliente finale Cliente fruitore Colui che utilizza i servizi CLOUD 10
Cloud Computing – Disponibilita’ dei dati Reperibilità Accessibilità Asportabilità Esempi: -Controllo generale del DB. -Interruzione del contratto con il fornitore. -Blocco internet (Egitto) 11
Cloud Computing – Legge da applicare Attenzione al foro competente! Italia o Estero? Europa o Stati Uniti? 12
Cloud Computing - Titolo VII - Trasferimento dei dati all'estero • Art. 42. Trasferimenti all'interno dell'Unione europea 1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni. • Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: • a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1) • b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. • (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. • Art. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza. 13
Cloud Computing - Titolo VII - Trasferimento dei dati all'estero • Art. 43. Trasferimenti consentiti in Paesi terzi 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando: • a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; • b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; • c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21; • d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; • e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; • f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; • g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; • h) [soppressa] (1) • (1) Lettera soppressa dall'art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni". 14
Cloud Computing – Log Management • Chi registra i LOG? • Rispettano la nostra normativa? • Sono disponibili in caso di necessità? 15
Cloud Computing – ATTENZIONE! Alcuni esempi… LIVEDRIVE: • You, and not Livedrive, are responsible for maintaining and protecting all of your files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files. • With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers. GOOGLE APPS: 1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento", "responsabile del trattamento" e "incaricato del trattamento" avranno il significato loro attribuito nella direttiva dell'Unione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati. 16
Cloud Computing – ATTENZIONE! Alcuni esempi… GOOGLE APPS Posizione dei dati. Nell'ambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano. Aruba ed i servizi a spazio illimitato. Esistono? Analizziamo insieme le policy contrattuali. ADRIVE Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrive's equipment. You are responsible for independent backup of Storage Data stored using Adrive's services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrive's services, arising out of or resulting from use of Adrive's services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement. 17
Cloud Computing – Vantaggi e benefici. • la capacità di diminuire i costi di start-up di un sistema; • la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di carico tramite la capacità di scalare tipica delle infrastrutture cloud; • la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio (logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione; • la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX). Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo: • la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi; • la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti modificati; • il rapido ed efficiente provisioning e deprovisioning delle risorse; • l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione dei centri di elaborazione. • soluzioni di sicurezza superiori ai propri standard interni; • organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne; • servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più ristretti. 18
Cloud Computing – Problematiche e preoccupazioni. • LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o, addirittura, impossibile. • Transfer Back (E’ possibile riportare il servizio in HOUSE) • Perdita della governance • Multi-tenant model (condivisione delle risorse con altri attori) 19
Cloud Computing – Risk Assessment Che tipo di danno si verrebbe a creare se: • l’asset in valutazione diventasse di pubblico dominio? • un dipendente del fornitore di servizi cloud avesse accesso all’asset in valutazione? • il processo o la funzione fossero fraudolentemente manipolati da un attaccante esterno? • il processo o la funzione non fornissero i risultati attesi? • le informazioni/i dati fossero modificati in maniera non autorizzata? • l’asset in valutazione non fosse disponibile per un dato periodo di tempo? 20
Cloud Computing – Gestione dell’infrastruttura Accessi. –– la classificazione delle tipologie di Virtualizzazione. Servizi. accesso; –– l’utilizzo di componenti integrativi di –– l’individuazione delle tipologie di –– l’individuazione di ruoli da assegnare alle sicurezza; risorse; risorse con particolare attenzione –– l’utilizzo di controlli di sicurezza –– l’individuazione dei servizi che nell’assegnazione dei esterni per la protezione delle devono essere attivi su ogni tipologia di privilegi di amministrazione e di accesso alle interfacce di amministrazione; risorsa; interfacce di gestione; –– l’utilizzo dei controlli di sicurezza –– la realizzazione di un Patch –– la definizione delle caratteristiche di delle piattaforme di virtualizzazione per Management Program; sicurezza delle diverse tipologie di canali di la gestione del traffico che attraversa i –– l’utilizzo di strumenti automatizzati di comunicazione; “backplane”; discovery; –– l’utilizzazione di protocolli sicuri di –– la creazione di zone sicure basate –– l’effettuazione di Vulnerability comunicazione; sul tipo di utilizzo delle risorse. Assessment periodici. –– l’applicazione del principio di “least privilege”; –– la definizione di standard per la gestione Spazi fisici. degli accessi basati sul ruolo. Personale. –– la definizione di un piano di sicurezza –– la puntuale definizione dei ruoli anche in fisica; relazione ai temi relativi alla protezione dei –– la definizione di aree a diversa Rete. dati personali; criticità; –– la scelta di un’adeguata topologia di rete; –– l’applicazione dei concetti di “need to –– l’implementazione di contromisure –– l’applicazione dei concetti di “Defence in know”; fisiche per la prevenzione di accessi depth”; –– la definizione delle procedure operative da non autorizzati; –– la segmentazione attraverso apparati di applicare; –– l’adeguata gestione degli accessi del sicurezza; –– l’adeguata formazione di tutte le figure personale esterno; –– la documentazione delle scelte effettuate; previste; –– l’adeguata protezione da minacce di –– la revisione periodica o su base necessità –– la realizzazione di un piano di audit. natura fisica. dell’intero progetto. 21
Cloud Computing – Le Sfide • L’evoluzione normativa • Il Cyber Crime • La portabilità dei dati – LOCK IN • l’approccio transnazionale • le best practice 22
Confrontiamoci! Informazioni • www.massimochirivi.net • info@massimochirivi.net • Facebook • Skype: mchirivi • Linkedin • Sito smau – www.smau.it • Sito AIPSI -- www.aipsi.org 23

Recommended

La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingAndrea Rossetti
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy ❖✔
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe Paternò
SMAU
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
Oracle, sicurezza in sanità. TBIZ2011
Oracle, sicurezza in sanità. TBIZ2011Oracle, sicurezza in sanità. TBIZ2011
Oracle, sicurezza in sanità. TBIZ2011TechnologyBIZ
 

Recommended

La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingAndrea Rossetti
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy ❖✔
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe Paternò
SMAU
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
Oracle, sicurezza in sanità. TBIZ2011
Oracle, sicurezza in sanità. TBIZ2011Oracle, sicurezza in sanità. TBIZ2011
Oracle, sicurezza in sanità. TBIZ2011TechnologyBIZ
 
Training sme
Training smeTraining sme
Training smeLessMore
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
Massimo Chirivì
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSI
Massimo Chirivì
 
Osservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico AcquatiOsservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico Acquati
Think! The Innovation Knowledge Foundation
 
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
pmicamp
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
Massimo Chirivì
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
Massimo Chirivì
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Denodo
 
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
 
Cloud computing
Cloud computingCloud computing
Cloud computing
CianuroSbobbatello
 
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleCloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvole
AmmLibera AL
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaCloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaClouditalia Telecomunicazioni
 
Cloud e big data
Cloud e big dataCloud e big data
Cloud e big data
Manuel Boscolo
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
SMAU
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
aspy
 
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Denodo
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ?
Lucio Gamba
 
Il Cloud è sicuro ?
Il Cloud è sicuro ?Il Cloud è sicuro ?
Il Cloud è sicuro ?
Clouditalia Telecomunicazioni
 

More Related Content

Viewers also liked

Training sme
Training smeTraining sme
Training smeLessMore
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
Massimo Chirivì
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSI
Massimo Chirivì
 
Osservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico AcquatiOsservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico Acquati
Think! The Innovation Knowledge Foundation
 
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
pmicamp
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
Massimo Chirivì
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
Massimo Chirivì
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 

Viewers also liked (9)

Training sme
Training smeTraining sme
Training sme
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSI
 
Osservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico AcquatiOsservatorio ict per il Non Profit - Enrico Acquati
Osservatorio ict per il Non Profit - Enrico Acquati
 
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
Pmi e innovazione : Presentazione La crisi: un'opportunità per cambiare il mo...
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 

Similar to Il Cloud computing nel 2012 - il know aziendale è al sicuro

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Denodo
 
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
 
Cloud computing
Cloud computingCloud computing
Cloud computing
CianuroSbobbatello
 
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleCloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvole
AmmLibera AL
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaCloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaClouditalia Telecomunicazioni
 
Cloud e big data
Cloud e big dataCloud e big data
Cloud e big data
Manuel Boscolo
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
SMAU
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
aspy
 
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Denodo
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ?
Lucio Gamba
 
Il Cloud è sicuro ?
Il Cloud è sicuro ?Il Cloud è sicuro ?
Il Cloud è sicuro ?
Clouditalia Telecomunicazioni
 
Ma il Cloud è sicuro?
Ma il Cloud è sicuro?Ma il Cloud è sicuro?
Ma il Cloud è sicuro?
festival ICT 2016
 
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
Claudio Pontili
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Gerard Baholli
 
La cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idricheLa cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idriche
Servizi a rete
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
CSI Piemonte
 
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
walk2talk srl
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
 

Similar to Il Cloud computing nel 2012 - il know aziendale è al sicuro (20)

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
 
Open Security
Open SecurityOpen Security
Open Security
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvoleCloud computing: Proteggere i dati per non cadere dalle nuvole
Cloud computing: Proteggere i dati per non cadere dalle nuvole
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
 
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - ClouditaliaCloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
Cloud in action "Un ambiente sostenibile" - Alessandro Anzilotti - Clouditalia
 
Cloud e big data
Cloud e big dataCloud e big data
Cloud e big data
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
 
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ?
 
Il Cloud è sicuro ?
Il Cloud è sicuro ?Il Cloud è sicuro ?
Il Cloud è sicuro ?
 
Ma il Cloud è sicuro?
Ma il Cloud è sicuro?Ma il Cloud è sicuro?
Ma il Cloud è sicuro?
 
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
GARANTE DELLA PRIVACY - Cloud computing proteggere i dati per non cadere dall...
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
La cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idricheLa cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idriche
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
 
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 

More from Massimo Chirivì

Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019
Massimo Chirivì
 
DHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniDHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioni
Massimo Chirivì
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Massimo Chirivì
 
Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR Year
Massimo Chirivì
 
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Massimo Chirivì
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
Massimo Chirivì
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
Massimo Chirivì
 
Adolescenti salentini e social network
Adolescenti salentini e social networkAdolescenti salentini e social network
Adolescenti salentini e social network
Massimo Chirivì
 
SMAU 2011 Bari
SMAU 2011 BariSMAU 2011 Bari
SMAU 2011 Bari
Massimo Chirivì
 

More from Massimo Chirivì (9)

Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019
 
DHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniDHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioni
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR Year
 
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
 
Adolescenti salentini e social network
Adolescenti salentini e social networkAdolescenti salentini e social network
Adolescenti salentini e social network
 
SMAU 2011 Bari
SMAU 2011 BariSMAU 2011 Bari
SMAU 2011 Bari
 

Il Cloud computing nel 2012 - il know aziendale è al sicuro

  • 1. Il Cloud Computing nel 2012 Il know aziendale è al sicuro? Massimo Chirivì – 15/02/2012 - BARI
  • 2. L’impegno per l’innovazione • Consulente ICT dal 1995 • Al servizio delle aziende per lavoro • Al servizio della P.A. per hobby e passione dal 1998 Associazioni • AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica • AICA - Associazione Italiana per il calcolo automatico • Federazione Italiana Privacy • ISSA - Information Systems Security Association • CLUSIT - Associazione Italiana per la Sicurezza Informatica 2
  • 3. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 200 soci in esperti in Italia tutto il mondo 3
  • 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche 4
  • 6. Tipologie di Cloud Computing : Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo. SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider) PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi, librerie IaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo. 6
  • 7. Criticità e rischi del Cloud Computing • Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri. • Limiti della rete Internet. • Conformità a standard/normative. • Dove sono i miei dati? • Chi tiene i miei dati? • Sotto quale giurisdizione? • Sono protetti? Sicurezza Commerciale / Legale CLOUD Privacy 7
  • 8. I principi generali sulla Sicurezza Informatica Le risorse Per l’HW consiste in: informatiche e le elaborazione corretta informazioni sono dei dati,livello accessibili agli adeguato delle utenti autorizzati nel prestazioni, corretto momento in cui servono Disponibilità Integrità instradamento dei dati. Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo. Sicurezza Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate. 8
  • 10. Cloud Computing – Gli attori Il fornitore dei Colui che seleziona servizi e configura i servizi CLOUD Cliente da far utilizzare dal Fornitore COMPUTING Admin cliente finale Cliente fruitore Colui che utilizza i servizi CLOUD 10
  • 11. Cloud Computing – Disponibilita’ dei dati Reperibilità Accessibilità Asportabilità Esempi: -Controllo generale del DB. -Interruzione del contratto con il fornitore. -Blocco internet (Egitto) 11
  • 12. Cloud Computing – Legge da applicare Attenzione al foro competente! Italia o Estero? Europa o Stati Uniti? 12
  • 13. Cloud Computing - Titolo VII - Trasferimento dei dati all'estero • Art. 42. Trasferimenti all'interno dell'Unione europea 1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni. • Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: • a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1) • b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. • (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. • Art. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza. 13
  • 14. Cloud Computing - Titolo VII - Trasferimento dei dati all'estero • Art. 43. Trasferimenti consentiti in Paesi terzi 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando: • a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; • b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; • c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21; • d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; • e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; • f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; • g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; • h) [soppressa] (1) • (1) Lettera soppressa dall'art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni". 14
  • 15. Cloud Computing – Log Management • Chi registra i LOG? • Rispettano la nostra normativa? • Sono disponibili in caso di necessità? 15
  • 16. Cloud Computing – ATTENZIONE! Alcuni esempi… LIVEDRIVE: • You, and not Livedrive, are responsible for maintaining and protecting all of your files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files. • With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers. GOOGLE APPS: 1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento", "responsabile del trattamento" e "incaricato del trattamento" avranno il significato loro attribuito nella direttiva dell'Unione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati. 16
  • 17. Cloud Computing – ATTENZIONE! Alcuni esempi… GOOGLE APPS Posizione dei dati. Nell'ambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano. Aruba ed i servizi a spazio illimitato. Esistono? Analizziamo insieme le policy contrattuali. ADRIVE Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrive's equipment. You are responsible for independent backup of Storage Data stored using Adrive's services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrive's services, arising out of or resulting from use of Adrive's services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement. 17
  • 18. Cloud Computing – Vantaggi e benefici. • la capacità di diminuire i costi di start-up di un sistema; • la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di carico tramite la capacità di scalare tipica delle infrastrutture cloud; • la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio (logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione; • la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX). Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo: • la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi; • la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti modificati; • il rapido ed efficiente provisioning e deprovisioning delle risorse; • l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione dei centri di elaborazione. • soluzioni di sicurezza superiori ai propri standard interni; • organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne; • servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più ristretti. 18
  • 19. Cloud Computing – Problematiche e preoccupazioni. • LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o, addirittura, impossibile. • Transfer Back (E’ possibile riportare il servizio in HOUSE) • Perdita della governance • Multi-tenant model (condivisione delle risorse con altri attori) 19
  • 20. Cloud Computing – Risk Assessment Che tipo di danno si verrebbe a creare se: • l’asset in valutazione diventasse di pubblico dominio? • un dipendente del fornitore di servizi cloud avesse accesso all’asset in valutazione? • il processo o la funzione fossero fraudolentemente manipolati da un attaccante esterno? • il processo o la funzione non fornissero i risultati attesi? • le informazioni/i dati fossero modificati in maniera non autorizzata? • l’asset in valutazione non fosse disponibile per un dato periodo di tempo? 20
  • 21. Cloud Computing – Gestione dell’infrastruttura Accessi. –– la classificazione delle tipologie di Virtualizzazione. Servizi. accesso; –– l’utilizzo di componenti integrativi di –– l’individuazione delle tipologie di –– l’individuazione di ruoli da assegnare alle sicurezza; risorse; risorse con particolare attenzione –– l’utilizzo di controlli di sicurezza –– l’individuazione dei servizi che nell’assegnazione dei esterni per la protezione delle devono essere attivi su ogni tipologia di privilegi di amministrazione e di accesso alle interfacce di amministrazione; risorsa; interfacce di gestione; –– l’utilizzo dei controlli di sicurezza –– la realizzazione di un Patch –– la definizione delle caratteristiche di delle piattaforme di virtualizzazione per Management Program; sicurezza delle diverse tipologie di canali di la gestione del traffico che attraversa i –– l’utilizzo di strumenti automatizzati di comunicazione; “backplane”; discovery; –– l’utilizzazione di protocolli sicuri di –– la creazione di zone sicure basate –– l’effettuazione di Vulnerability comunicazione; sul tipo di utilizzo delle risorse. Assessment periodici. –– l’applicazione del principio di “least privilege”; –– la definizione di standard per la gestione Spazi fisici. degli accessi basati sul ruolo. Personale. –– la definizione di un piano di sicurezza –– la puntuale definizione dei ruoli anche in fisica; relazione ai temi relativi alla protezione dei –– la definizione di aree a diversa Rete. dati personali; criticità; –– la scelta di un’adeguata topologia di rete; –– l’applicazione dei concetti di “need to –– l’implementazione di contromisure –– l’applicazione dei concetti di “Defence in know”; fisiche per la prevenzione di accessi depth”; –– la definizione delle procedure operative da non autorizzati; –– la segmentazione attraverso apparati di applicare; –– l’adeguata gestione degli accessi del sicurezza; –– l’adeguata formazione di tutte le figure personale esterno; –– la documentazione delle scelte effettuate; previste; –– l’adeguata protezione da minacce di –– la revisione periodica o su base necessità –– la realizzazione di un piano di audit. natura fisica. dell’intero progetto. 21
  • 22. Cloud Computing – Le Sfide • L’evoluzione normativa • Il Cyber Crime • La portabilità dei dati – LOCK IN • l’approccio transnazionale • le best practice 22
  • 23. Confrontiamoci! Informazioni • www.massimochirivi.net • info@massimochirivi.net • Facebook • Skype: mchirivi • Linkedin • Sito smau – www.smau.it • Sito AIPSI -- www.aipsi.org 23