2. Chi siamo
www.mmlex.it
Il dipartimento IT dello studio assiste da diversi anni società
leader nel campo del cloud computing, in particolare
cloud vendors ed ha maturato una significativa
esperienza in materia di contratti cloud.
3. Di cosa parliamo
• Cosa si intende per cloud computing?
Le sfide del cloud computing
Sicurezza Data Privacy
4. Cosa si intende per cloud computing?
• "Il cloud computing è un insieme di servizi ICT accessibili a
richiesta e in modalità self-service tramite tecnologie Internet,
basati su risorse condivise, caratterizzati da rapida scalabilità
delle risorse e dalla misurabilità puntuale dei livelli di
performance, in modo da essere consumabili in modalità pay-
per-use." [Definizione del National Institute for Standards and
Technology (NIST) degli Stati Uniti]
• "Il cloud computing si ha (…) quando si utilizzano servizi, o
archiviazione, non presso il proprio computer ma altrove in
Internet, e non in un unico centro dati ma diffusamente su tutta
la rete Internet. L'utente non sa dove si trovino i propri dati o dove
siano i servizi che sta utilizzando. Pertanto il cloud computing è la
posta elettronica basata su web, è l'archiviazione on line ed è
l'esecuzione di software non sul proprio computer ma su Internet."
[Definizione fornita da un’organizzazione di consumatori nel corso dello
studio sul cloud computing del Parlamento europeo]
5. Macrodistinzioni nel cloud computing
PUBBLICO
SaaS
Software as
a Service
PRIVATO
PaaS
Platform as a
Service
IaaS
Infrastructure
as a Service
7. Il CC al centro dell’attenzione UE
“Il cloud computing non ha solo la straordinaria capacità di
diventare un potente acceleratore per il completamento del
Mercato Unico digitale, ma è anche un importante strumento
per la crescita e l’occupazione.”
(Pilar del Castillo, relatrice della Commissione ITRE, in sede di approvazione del
progetto di Relazione “Sfruttare il potenziale del cloud computing in Europa”)
E negli ultimissimi anni, tra gli altri provvedimenti…
•Proposta di Regolamento concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali e la libera circolazione di tali
dati (25.1.2012)
•Comunicazione della Commissione “Sfruttare il potenziale del cloud
computing in Europa”(27.9.2012)
•Proposta di Risoluzione del Parlamento europeo sullo sfruttamento del
potenziale del cloud computing in Europa (24.10.2013)
•Istituzione di un gruppo di esperti incaricato di individuare clausole
contrattuali sicure ed eque per i servizi di cloud computing (28.10.2013)
• Avvio di uno studio comparato sui contratti di cloud computing
(14.06.2013)
9. Sicurezza nel cloud
• Preoccupazione principale per chi acquista servizi
cloud
• Cloud Computing (CC) VS On Premise Computing (OPC)
• Il CC offre un livello di sicurezza inferiore a quello che si
può ottenere con l’OPC?
10. Sicurezza nel cloud
POTENZIALI RISCHI (1/2)
«Astrazione» come caratteristica del cloud computing: l’uso delle risorse
IT è separato dalla gestione delle risorse IT.
• RISERVATEZZA/DATA PRIVACY
- Intercettazione dei dati in transito
- Abuso di privilegi
- Insider infedele
- Security breaches
• CANCELLAZIONE DEI DATI NON SICURA E NON COMPLETA
• INTREGRITÀ
• DISPONIBILITÀ
- Distributed Denial of Service
- Economic Denial of Service
- Disastri naturali
11. Sicurezza nel cloud
POTENZIALI RISCHI (2/2)
• LOCK-IN
- Portabilità dei dati/delle applicazioni/interoperabilità
• BUSINESS CONTINUITY
• RISCHI DI GIURISDIZIONE LEGATI ALLA LOCALIZZAZIONE DEI DATA CENTER
• RISCHI DI PROPRIETÀ INTELLETTUALE
12. Verifica della sicurezza nel cloud
Cos’è un Penetration Test
– Servizio volto a raggiungere uno specifico goal (e.g.,
furto dati database)
– Rivolto alle aziende che dispongono della postura di
sicurezza desiderata
– Approccio black box con verifica di percorribilità per
specifici scenari d’attacco
13. • Secure Network è pioniera nella ricerca della virtualization
security
• Nel 2010 abbiamo presentato VASTO (Virtualized ASsessment
TOolkit) durante il Black Hat USA (Las Vegas, Nevada)
– VASTO è il primo toolkit per il pentesting di infrastrutture
virtualizzate
– Focus su soluzioni VMware e Citrix
• Disponiamo di una metodologia unica grazie a 5+ anni di
ricerca
Virtual Infrastructure Penetration Testing
16. Sicurezza nel cloud
BENEFICI PER LA SICUREZZA
• Il CC può migliorare la sicurezza e la resilienza dei sistemi
[ENISA Report 2012]
• La sicurezza trae beneficio dalle economie di scala:
- PLURALITÀ DI LOCALIZZAZIONE/REDUNANCY
- MIGLIORI TEMPI DI RISPOSTA AGLI INCIDENTI
- GESTIONE DELLE MINACCE
• Sicurezza come differenziatore di mercato
• Aggiornamenti più tempestivi ed efficaci
• Rapida scalabilità delle risorse
• Audit e SLA’s favoriscono una migliore gestione del rischio
• Concentrazione delle risorse
17. Sicurezza nel cloud
QUALI LE RISPOSTE LEGALI?
• Non esistono «misure minime» imposte dalla legge (eccetto la
Data Privacy e la Direttiva «NIS»)
• Regolamentazione di natura puramente contrattuale ma:
«you can outsource responsability not accountability»
PRIMA DEL CONTRATTO
• Know your vendor
• Verifica incrociata con security check-list interna
18. Sicurezza nel cloud
IL CONTRATTO DI SERVIZI NEL CLOUD
• Check-list clausole contratto:
– Definire i Dati del Cliente e la titolarità dei medesimi;
– Trasparenza su localizzazione Data Centers ed eventuali subfornitori;
– Regolamentazione dei diritti di proprietà intellettuale;
– Trasparenza su misure di sicurezza adottate dal cloud provider:
• controlli di sicurezza;
• procedure di sicurezza e loging;
• rilevazione delle interruzioni;
• gestione incidenti;
• Notifica dei data security breaches;
• autenticazioni degli utenti;
• security logs;
• sicurezza fisica;
• backup.
19. Sicurezza nel cloud
IL CONTRATTO DI SERVIZI NEL CLOUD
• Check-list clausole contratto (cont.):
− Certificazioni sulle procedure di controllo:
• ISO 27001 certification;
• SSAE 16 SOC reports;
• Safe Harbour certifications;
• Trustee Privacy seal;
• PCI.
– Clausola di conformità agli industry standards/best practices (?);
– SLA’S
– Diritti di audit da parte del cliente
– Disaster Recovery/Business Continuity Plan
– Restituzione di dati del cliente – Post Termination assistance
20. Protezione dei dati (1)
VERSO UN MODELLO DI PRIVACY BY DESIGN
• Cosa si intende?
- un modello che opera " by default "
• Opinion dell’Article 29 Working Party
- La necessità di un audit ex ante da parte dei cloud customers
• Proposta di Regolamento sul trattamento dei dati personali
- Extraterritorialità del diritto UE
21. Protezione dei dati (2)
TRASFERIMENTO DEI DATI
• se il vendor è all’interno dell’Unione europea?
- n.b. extraterritorialità del diritto UE secondo la citata proposta
di Regolamento
• …e se è fuori?
• Interazione con le regole nazionali
- Un esempio pratico: la figura dell’Amministratore di Sistema