takeITeasy

1

takeITeasyBusiness Strategia Norme

Persone Informazioni Processi

ApplicazioniInfrastrutturaStrumenti

http://gruppo-takeiteasy@blogspot.com

Innovazione a 360°: ottieni il massimo dal tuo business

Gli investimenti IT non sono più un azzardo.

takeITeasy

è anche su

presenta

webITeasy“Seminari in pillole sul web”

http://gruppo-takeiteasy@blogspot.com

Cloud Computing: opportunità nella “nuvola” per

le PMI takeITeasy

Relatori:• Gabriella Molinelli – Networking & Security Consulting

srl• Stefano Bendandi – Studio Legale Bendandi• Massimiliano Pian – Nicolini & Commercialisti Associati

Relatori:• Gabriella Molinelli – Networking & Security Consulting

srl• Stefano Bendandi – Studio Legale Bendandi• Massimiliano Pian – Nicolini & Commercialisti Associati

takeITeasy

http://gruppo-takeiteasy@blogspot.com

Indice1. Introduzione

1.1 Cenni storici

1.2 Gli ultimi anni

2. Qualche elemento in più2.1. Definizioni

2.2. I vantaggi della “nuvola”

2.3. Cosa si dice…

2.4. Ambiti di applicazione

3. Punti di attenzione3.1. Aspetti generali

3.2. Sicurezza dei dati

3.3. Aspetti legali

3.4. Contratto

4. Conclusioni

3

takeITeasy

http://gruppo-takeiteasy@blogspot.com

1.1. Cenni “storici”

L’evoluzione della tecnologia nel campo della connettività e la necessità di trovare nuovi servizi per le imprese, hanno portato

negli ultimi anni ad un radicale cambiamento nell’offerta di servizi, piattaforme, prodotti ed infrastrutture informatiche.

4

1. Introduzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

1.1. Cenni “storici”

Modalità di acquisto

tradizionale

&

5

HW SW

Investimento diretto dell’impresa

Anni ’90 Application

Service ProviderCanone di noleggio

annuale

1. Introduzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

1.2. Gli ultimi anni

Evoluzione della tecnologia Innovazione dell’offerta

Nuovo modello di business

6

1. Introduzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

1.2. Gli ultimi anni L’esempio del mercato della musica

Evoluzione della tecnologia Innovazione dell’offerta

Nuovo modello di business

7

1. Introduzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

1.2. Gli ultimi anni

Il Cloud ha aperto nuove possibilità per le imprese di dotarsi di strumenti ed infrastrutture IT

Cloud Computing da Prodotto a Servizio

SaaS(IaaS)(PaaS)

8

1. Introduzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

2.1. Definizioni (da Wikipedia)

Cloud computing (in italiano nuvola informatica): indica un insieme di tecnologie che permettono di memorizzare/archiviare e/o elaborare dati (tramite CPU o software) grazie all'utilizzo di risorse hardware e software distribuite e virtualizzate in Rete.

Software as a Service: dove un produttore di software sviluppa, opera (direttamente o tramite terze parti) e gestisce un'applicazione web che mette a disposizione dei propri clienti via internet.

9

2. Qualche elemento in più

takeITeasy

http://gruppo-takeiteasy@blogspot.com

2.2. I vantaggi della “nuvola”

L’utilizzo di servizi in CLOUD consente di cogliere alcuni vantaggi importanti: ridurre gli investimenti IT per l’impresa, variabilizzare i costi, rendendoli certi, ridurre la necessità di investire in competenze interne per la

gestione dell’infrastruttura e l’aggiornamento del software.

Vi sono, inoltre, altre caratteristiche “tecniche” che rendono l’offerta appetibile: disponibilità ovunque rapidità di implementazione facilità di utilizzo aggiornamento costante del software scalabilità della soluzione

10

2. Qualche elemento in più

takeITeasy

http://gruppo-takeiteasy@blogspot.com

2.3. Cosa si dice…

Il treno SaaS piace sempre di più alle aziende (07/07/2011)

Gartner non ha dubbi. Il software-as-a-service è il treno sul quale sempre più aziende stanno salendo. Il mercato SaaS, afferma la nota società di ricerca e consulenza, crescerà nel 2011 a livello mondiale del 20,7%, toccando un valore complessivo di 12,1 miliardi di dollari, e continuerà la sua inarrestabile ascesa superando i 21 miliardi di giro d’affari nel 2015.

Cloud computing: mercato a quota 68,3 mld nel 2010. In crescita l'adozione nelle aziende (25/06/2010)

Il SaaS non spaventa più (22/09/11)

Le aziende si affidano al SaaS (12/04/10)

Esperienze italiane di SaaS. Il cloud si fa concreto (16/02/11)

Cloud computing: la “nuvola” non è solo una moda, ma la soluzione per migliorare la competitività (11/05/11)

11

2. Qualche elemento in più

takeITeasy

http://gruppo-takeiteasy@blogspot.com

2.4. Ambiti di applicazione

12

2. Qualche elemento in più

Infrastrutture di telecomunicazioni

Servizi di sicurezza dei sistemi

Ottimizzazione dell’utilizzo della banda trasmissiva

Videoconferenze

Sistemi gestionali

Piattaforme di sviluppo grafico

Servizi di archiviazione

………

takeITeasy

http://gruppo-takeiteasy@blogspot.com

2.4. Ambiti di applicazione: alcuni esempi

13

Data Center in cloud Antivirus, anti malware, phishing , email reputation, Data Loss Prevention,

… Web Content Filtering WAN Optimization Solution Webex, Meeting on line, Skype, … Contabilità in server farm, servizi di logistica, controlli produzione, … CAD, Katia, 3D, ….. Dropbox, Google+, ….

2. Qualche elemento in più

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.1. Aspetti generali

Esistono però alcuni aspetti, considerati fattori critici, la cui analisi preventiva è necessaria al fine di avere piena consapevolezza di cosa significa usufruire di servizi in CLOUD, per poter coglierne appieno i vantaggi.

In particolare, i punti di attenzione si possono classificare in tre macro-aree:

• definizione degli standard di rete e di infrastruttura relativi alla sicurezza dei dati;

• vincoli normativi e di legge relativi al trattamento dei dati personali ed alla proprietà intellettuale;

• definizione degli aspetti contrattuali e negoziali che regolano il rapporto tra il fornitore del servizio e l’azienda.

+14

+

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.2 Sicurezza dei dati

Inoltre, l’adozione di servizi CLOUD può portare ad ulteriori benefici, tra i quali, la possibilità di fruire di:

soluzioni di sicurezza superiori ai propri standard interni;

organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne;

servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più ristretti.

Infatti, i fornitori di servizi cloud possono fare leva sulle economie di scala per riuscire a realizzare soluzioni molto più evolute e performanti rispetto a quelle che sono implementabili, a parità di investimenti, da più soggetti su una molteplicità di realizzazioni di minori dimensioni.

15

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.2 Sicurezza dei dati

Dal punto di vista degli aspetti legali e normativi, utilizzare un servizio in Cloud come il SaaS significa condividere, conservare ed utilizzare propri dati ed applicazioni su server di proprietà o gestiti da terzi, ai quali si può accedere attraverso Internet. Il fornitore terzo deve, perciò, adottare tutte le misure di sicurezza tecniche, fisiche ed organizzative idonee a tutelare:

Riservatezza Integrità Disponibilità

16

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.2 Sicurezza dei dati

17

3. Punti di attenzione

Il cloud computing offre la possibilità di gestire in remoto tutti i dati, siano essi aziendali che privati.

ATTENZIONE

La responsabilità della corretta gestione dei dati dipende:

sia da parte di chi li affida in custodia sia da parte di chi ne acquisisce la custodia

Se la RISERVATEZZA, l’INTEGRITA’ e la DISPONIBILITA’ dei dati sono necessità assolute, occorre valutare attentamente che l‘operatore che offre servizi in cloud sia in grado di garantire la bontà del servizio reso, rendendo note anche le relative caratteristiche tecniche, le competenze IT del personale preposto, l’aggiornamento tecnologico e normativo.

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.2 Sicurezza dei dati

Oggi il maggiore dei “rischi emergenti” è il rischio che arriva dal mondo virtuale, che è un rischio reale, in rapida crescita e percepito anche ai livelli più alti del management.

Anche i sistemi più raffinati possono andare in crisi se non adeguatamente supportati dal “fattore H” (human factor): non c’è ancora abbastanza attenzione al fattore umano, al rispetto delle procedure, alla regolamentazione dell’accesso alle informazioni, così come trascurata appare a volte la formazione delle persone.

L’approccio sinergico e la gestione del rischio integrato permetterebbero di armonizzare ed ottimizzare meglio i diversi strumenti di governo del rischio

18

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.2 Sicurezza dei dati

19

3. Punti di attenzione

Per attivare i servizi in cloud, occorre tenere conto di: disponibilità di banda larga tipologia di accesso (connessioni crittografate, protezione accesso

con credenziali di autenticazione, …) verifica delle procedure necessarie (per esempio nomina del AdS

e modalità di storage/controllo dei dati in cloud, …)

modalità di backup, in caso di indisponibilità dei dati

Cloud Computing = trasferimento su Internet delle attività informatiche

Modello “just in time” delle risorse aziendali

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3. Aspetti legali: quadro di riferimento

D.lgs. 196/03 Codice in materia di protezione dei dati personali

ISO27001 Standard internazionale per la definizione dei requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni

PCI DSS (Payment Card Industry - Data Security Standard) Standard internazionale di sicurezza per tutte le aziende che memorizzano, elaborano o trasmettono numeri di carte di credito.

Direttiva 95/46CE Costituisce il testo di riferimento, a livello europeo, in materia di protezione dei dati personali.

20

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali

Chi intende avvalersi della tecnologia cloud deve esigere il rispetto di garanzie appropriate, per i seguenti motivi:

1) tutelare le informazioni relative al proprio business per via del loro valore e rispettare gli obblighi di conformità ( compliance) posti da leggi (es. T.U privacy) o da standard di settore (es. ISO 27001, PCI-DSS)

2) bilanciare la "vulnerabilità" della perdita di controllo insita nell'affidamento ad un servizio esternalizzato, soprattutto nel caso di software

In poche parole l'azienda titolare non è mai del tutto esonerata dalla responsabilità di proteggere adeguatamente i propri dati ed informazioni, per il semplice fatto di avvalersi di servizi IT esternalizzati ! Piuttosto, alla sua responsabilità si affianca quella del fornitore dei servizi, quale custode dei dati.

21

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali

L'impossibilità di liberarsi da una responsabilità e la necessità di gestire adeguatamente i rischi , "impone" all'azienda di essere diligente:

1) nella scelta del fornitore che deve essere in possesso dei requisiti quantitativi (es. dimensioni, capitale sociale, solidità finanziaria) e qualitativi (es. reputazione, possesso di certificazioni specifiche del mondo IT, adeguatezza delle infrastrutture, ecc...) idonei

2) nella valutazione e/o negoziazione del contratto di servizio e dei suoi eventuali parametri tecnici (SLA)

Il contratto gioca un ruolo cruciale nel garantire che i servizi in cloud siano bilanciati ed adeguati alle esigenze di continuità operativa dell'azienda e di protezione delle proprie risorse !

22

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: cosa dice il Garante

Ponderare prioritariamente rischi e benefici dei servizi offerti Effettuare una verifica in ordine all’affidabilità del fornitore Privilegiare i servizi che favoriscono la portabilità dei dati Assicurarsi la disponibilità dei dati in caso di necessità Selezionare i dati da inserire nel cloud Non perdere di vista i dati Informarsi su dove risiederanno, concretamente, i dati Attenzione alle clausole contrattuali Verificare le politiche di persistenza dei dati legate alla loro

conservazione Esigere e adottare opportune cautele per tutelare la

confidenzialità dei dati Formare adeguatamente il personale

23

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: dati personali

Nell'ambito degli obblighi di protezione dei dati personali che incombono sul titolare, si inseriscono alcuni aspetti critici :

1) la necessità di nominare il fornitore come responsabile esterno del trattamento, relativamente ai dati affidati alla sua custodia

2) la garanzia da parte del fornitore di rispettare le misure di sicurezza minime ed idonee, con possibilità da parte del titolare di esercitare i controlli

3) l'esistenza di procedure che agevolino l'esercizio dei diritti da parte degli interessati (soprattutto per quanto riguarda le garanzie di cancellazione)

4) l'impossibilità di trattare i dati per finalità diverse da quelle acconsentite dagli interessati

5) l'esistenza di chiare indicazioni sull'ubicazione fisica dei dati, da cui può dipendere la legge applicabile o l'autorità competente a dirimere controversie

24

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: dove sono i dati?

La possibilità di accesso via Internet fornita dalle architetture Cloud non vincola alla definizione specifica di un luogo fisico dove sono residenti i dati.

Tale aspetto, che non ha rilevanza dal punto di vista tecnologico, impone, invece, alcune considerazioni dal punto di vista giuridico.

?

?

? ?

?

25

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: dove sono i dati?

Ambito UE

Extra UE

Direttiva 95/46/CE: consente la libera circolazione dei dati personali fra gli Stati membri dell’Unione Europea

Situazione più complessa e meno definita: è consentito se la Commissione Europea constata che un Paese extra UE garantisce un livello di protezione dei dati adeguato.Nei confronti degli USA è stato siglato l’accordo “Safe Harbour”, che autorizza imprese statunitensi a trattare dati di soggetti UE, a fronte della sottoscrizione di alcuni principi fondamentali circa la sicurezza, l’integrità e la disponibilità dei dati. In Italia il d.lgs. 196/03 disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato

26

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: titolarità delle informazioni

Le informazioni di business gestite attraverso i sistemi in cloud possono essere di natura riservata, strategica o anche critica ai fini della operatività aziendale.

E' opportuno che vi siano clausole contrattuali a garanzia e riconoscimento della titolarità delle informazioni (es. clausole di riservatezza, di salvaguardia o rivendicazione dei diritti di proprietà intellettuale, propri o di terzi affiliati); questo implica la possibilità di negoziare parti del relativo contratto.

Altro aspetto da considerare è quello relativo all'utilizzo dei cd. metadati (dati di funzionamento e fruizione del servizio) per finalità secondarie, come le ricerche di mercato e l'invio di messaggi di marketing promozionali.

27

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.3 Aspetti legali: cessazione

Gli eventi che causano la cessazione del rapporto (es. recesso unilaterale, risoluzione del contratto, fallimento del fornitore) possono creare incertezza ai fini della regolare continuità del business e condizioni di vulnerabilità per i dati.

Devono essere appositamente regolamentati nel contratto insieme ad altri aspetti, quali:

• la restituzione di una copia dei dati (possibilmente in un formato utilizzabile per l'importazione in altri sistemi)

• la garanzia di ottenere una completa cancellazione dei dati dai sistemi in cloud (prestando attenzione agli eventuali vincoli imposti dalla normativa locale, cui il fornitore è soggetto)

28

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.4 Contratto

Dal punto di vista della gestione, utilizzare un SaaS significa delegare ad un terzo la gestione dell’infrastruttura, delle applicazione e dei dati della propria azienda: l’azienda diventa “semplicemente” utente dei dati (che rimangono ovviamente di sua proprietà) e fruitrice di un servizio che consente alle proprie risorse di operare per la normale esecuzione delle attività quotidiane (es: acquisizione ordini, fatturazione, movimentazioni di magazzino, pagamenti, incassi, …)

Interessi del fornitore

Interessi del cliente

29

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.4 Contratto Riduzione costi per essere più competitivo Massimizzazione dell’efficienza operativa Scarico responsabilità sul cliente Definizione procedure di comunicazione e livelli di

servizio standardizzati Ostacolare il cambio di fornitore da parte del cliente

Interessi del fornitore

Interessi del cliente

Garantirsi un livello di servizio eccellente, anche per la gestione dei “picchi” o delle criticità

Garantirsi flessibilità operativa nel modificare i propri processi, facendo adeguare il fornitore in tempi rapidi

Garantirsi la qualità delle risorse del fornitore Assicurarsi la possibilità di potere cambiare fornitore a

impatto zero

30

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.4 Contratto

Il cuore del contenuto operativo di un contratto di servizi in CLOUD è rappresentato dagli SLA:

Service Level Agreement

Direttamente mutuati da altri contratti del tipo “outsourcing”, gli SLA rappresentano in modo esplicito obblighi e diritti dei due contraenti nelle modalità di erogazione del servizio.

E’ fondamentale che gli SLA siano:

• oggettivi,

• misurabili.

31

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

3.4 Contratto

Data la rilevanza che gli SLA hanno per la verifica degli adempimenti contrattuali di ciascuna delle due parti, questi non possono essere approssimativi o, peggio ancora, non aderenti al contesto in cui il contratto è reso operativo

Pertanto, è opportuno che sia prevista:

• una fase iniziale per definire in modo puntuale e preciso il valore da assegnare a ciascuno degli indicatori di SLA;

• una revisione periodica per riallineare gli indicatori a mutate condizioni operative ed organizzative del fornitore e/o dell’azienda.

32

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

Riassumendo … Sicurezza dei dati

Normativa in materia di protezione dei dati personali

Legge applicabile e foro competente

“Lock-in”

Perdita di governance su dati e servizi

Conformità a standard (es.: ISO 27001 o PCI-DSS) e certificazioni

Risk management

Riservatezza (“multi-tenant model”)

Contrattualistica non sempre adeguata e/o impossibilità di negoziare i termini contrattuali

Mantenimento livelli di servizio adeguati nel tempo

Riflessi di azioni giudiziarie verso altri clienti

Indisponibilità di un servizio o di un provider

33

3. Punti di attenzione

takeITeasy

http://gruppo-takeiteasy@blogspot.com

Servizi in CLOUD: considerazioni finali

L’utilizzo di servizi in CLOUD offre anche alle PMI la possibilità di accedere a strumenti evoluti in grado di migliorare l’efficienza e l’efficacia del proprio business, con l’obiettivo di :

• minimizzare gli investimenti in HW e licenze SW

• minimizzare la necessità di competenze tecnologico-applicative (da costruire e mantenere in azienda o da acquistare all’esterno)

• variabilizzare i costi IT in funzione dell’effettivo utilizzo

• rendere determinabile e programmabile il livello dei costi

• ridurre le necessità di aggiornamenti e “upgrade” tecnologici ed applicativi

34

4. Conclusioni

takeITeasy

http://gruppo-takeiteasy@blogspot.com

Servizi in CLOUD: considerazioni finali

L’utilizzo dei sistemi informativi in modalità “servizio” richiede un’evoluzione nelle competenze e nelle capacità negoziali che pongono l’azienda di fronte al fornitore, rispetto alla normale esperienza di un ufficio acquisti e alle conoscenze tecniche e tecnologiche della funzione IT, abituata ad una gestione “in-house” di hw e sw.

Oggi sono necessarie nuove competenze chiave:

• una figura gestionale in grado di valutare correttamente le esigenze operative e di processo dell’impresa per accedere a servizi e contenuti coerenti con tali esigenze

• una figura IT con elevate competenze in materia di sicurezza, business continuity, accessi ….

• una figura legale specialistica, in grado di assicurare un impianto contrattuale che riduca al minimo i rischi per l’imprenditore e l’impresa.

35

4. Conclusioni

takeITeasy

http://gruppo-takeiteasy@blogspot.com

Competenze specialistiche, ma integrate

36

takeITeasy

Innovazione a 360°: ottieni il massimo dal tuo business

Gli investimenti IT non sono più un azzardo.

Business Strategia Norme

Persone Informazioni Processi

Applicazioni Infrastruttura Strumenti

gestionale I.T. legale

4. Conclusioni

http://gruppo-takeiteasy@blogspot.com

Grazie per l’attenzionetakeITeasy

Per qualsiasi richiesta di ulteriori informazioni potete contattarci alla e-mail

gruppo.takeiteasy@gmail.com

Innovazione a 360°: ottieni il massimo dal tuo business

Gli investimenti IT non sono più un azzardo.

Business Strategia Norme

Persone Informazioni Processi

Applicazioni Infrastruttura Strumenti

takeITeasy

è anche su