Smau Milano 2014 Massimo Maggiore

of 22 /22
"CLOUD COMPUTING E DATI: RESPONSABILITÀ, TITOLARITÀ E RISCHI”

Embed Size (px)

description

CLOUD COMPUTING E DATI: RESPONSABILITÀ, TITOLARITÀ E RISCHI

Transcript of Smau Milano 2014 Massimo Maggiore

  • 1. "CLOUD COMPUTING E DATI: RESPONSABILIT, TITOLARIT E RISCHI

2. Chi siamo www.mmlex.it Il dipartimento IT dello studio assiste da diversi anni societ leader nel campo del cloud computing, in particolare cloud vendors ed ha maturato una significativa esperienza in materia di contratti cloud. 3. Di cosa parliamo Cosa si intende per cloud computing? Le sfide del cloud computing Sicurezza Data Privacy 4. Cosa si intende per cloud computing? "Il cloud computing un insieme di servizi ICT accessibili a richiesta e in modalit self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilit delle risorse e dalla misurabilit puntuale dei livelli di performance, in modo da essere consumabili in modalit pay- per-use." [Definizione del National Institute for Standards and Technology (NIST) degli Stati Uniti] "Il cloud computing si ha () quando si utilizzano servizi, o archiviazione, non presso il proprio computer ma altrove in Internet, e non in un unico centro dati ma diffusamente su tutta la rete Internet. L'utente non sa dove si trovino i propri dati o dove siano i servizi che sta utilizzando. Pertanto il cloud computing la posta elettronica basata su web, l'archiviazione on line ed l'esecuzione di software non sul proprio computer ma su Internet." [Definizione fornita da unorganizzazione di consumatori nel corso dello studio sul cloud computing del Parlamento europeo] 5. Macrodistinzioni nel cloud computing PUBBLICO SaaS Software as a Service PRIVATO PaaS Platform as a Service IaaS Infrastructure as a Service 6. Alcuni brand familiari di Cloud Providers 7. Il CC al centro dellattenzione UE Il cloud computing non ha solo la straordinaria capacit di diventare un potente acceleratore per il completamento del Mercato Unico digitale, ma anche un importante strumento per la crescita e loccupazione. (Pilar del Castillo, relatrice della Commissione ITRE, in sede di approvazione del progetto di Relazione Sfruttare il potenziale del cloud computing in Europa) E negli ultimissimi anni, tra gli altri provvedimenti Proposta di Regolamento concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (25.1.2012) Comunicazione della Commissione Sfruttare il potenziale del cloud computing in Europa(27.9.2012) Proposta di Risoluzione del Parlamento europeo sullo sfruttamento del potenziale del cloud computing in Europa (24.10.2013) Istituzione di un gruppo di esperti incaricato di individuare clausole contrattuali sicure ed eque per i servizi di cloud computing (28.10.2013) Avvio di uno studio comparato sui contratti di cloud computing (14.06.2013) 8. Ma anche in Italia 9. Sicurezza nel cloud Preoccupazione principale per chi acquista servizi cloud Cloud Computing (CC) VS On Premise Computing (OPC) Il CC offre un livello di sicurezza inferiore a quello che si pu ottenere con lOPC? 10. Sicurezza nel cloud POTENZIALI RISCHI (1/2) Astrazione come caratteristica del cloud computing: luso delle risorse IT separato dalla gestione delle risorse IT. RISERVATEZZA/DATA PRIVACY - Intercettazione dei dati in transito - Abuso di privilegi - Insider infedele - Security breaches CANCELLAZIONE DEI DATI NON SICURA E NON COMPLETA INTREGRIT DISPONIBILIT - Distributed Denial of Service - Economic Denial of Service - Disastri naturali 11. Sicurezza nel cloud POTENZIALI RISCHI (2/2) LOCK-IN - Portabilit dei dati/delle applicazioni/interoperabilit BUSINESS CONTINUITY RISCHI DI GIURISDIZIONE LEGATI ALLA LOCALIZZAZIONE DEI DATA CENTER RISCHI DI PROPRIET INTELLETTUALE 12. Verifica della sicurezza nel cloud Cos un Penetration Test Servizio volto a raggiungere uno specifico goal (e.g., furto dati database) Rivolto alle aziende che dispongono della postura di sicurezza desiderata Approccio black box con verifica di percorribilit per specifici scenari dattacco 13. Secure Network pioniera nella ricerca della virtualization security Nel 2010 abbiamo presentato VASTO (Virtualized ASsessment TOolkit) durante il Black Hat USA (Las Vegas, Nevada) VASTO il primo toolkit per il pentesting di infrastrutture virtualizzate Focus su soluzioni VMware e Citrix Disponiamo di una metodologia unica grazie a 5+ anni di ricerca Virtual Infrastructure Penetration Testing 14. Attacco alle VM dellinfrastruttura Attacco allinfrastruttura di management (e.g., vCenter) Attacco client-side agli amministratori Attacco agli hypervisor (e.g., ESX/ESXi) 15. Chi controlla cosa nel cloud? Fonte: Cloud Security Alliance 16. Sicurezza nel cloud BENEFICI PER LA SICUREZZA Il CC pu migliorare la sicurezza e la resilienza dei sistemi [ENISA Report 2012] La sicurezza trae beneficio dalle economie di scala: - PLURALIT DI LOCALIZZAZIONE/REDUNANCY - MIGLIORI TEMPI DI RISPOSTA AGLI INCIDENTI - GESTIONE DELLE MINACCE Sicurezza come differenziatore di mercato Aggiornamenti pi tempestivi ed efficaci Rapida scalabilit delle risorse Audit e SLAs favoriscono una migliore gestione del rischio Concentrazione delle risorse 17. Sicurezza nel cloud QUALI LE RISPOSTE LEGALI? Non esistono misure minime imposte dalla legge (eccetto la Data Privacy e la Direttiva NIS) Regolamentazione di natura puramente contrattuale ma: you can outsource responsability not accountability PRIMA DEL CONTRATTO Know your vendor Verifica incrociata con security check-list interna 18. Sicurezza nel cloud IL CONTRATTO DI SERVIZI NEL CLOUD Check-list clausole contratto: Definire i Dati del Cliente e la titolarit dei medesimi; Trasparenza su localizzazione Data Centers ed eventuali subfornitori; Regolamentazione dei diritti di propriet intellettuale; Trasparenza su misure di sicurezza adottate dal cloud provider: controlli di sicurezza; procedure di sicurezza e loging; rilevazione delle interruzioni; gestione incidenti; Notifica dei data security breaches; autenticazioni degli utenti; security logs; sicurezza fisica; backup. 19. Sicurezza nel cloud IL CONTRATTO DI SERVIZI NEL CLOUD Check-list clausole contratto (cont.): Certificazioni sulle procedure di controllo: ISO 27001 certification; SSAE 16 SOC reports; Safe Harbour certifications; Trustee Privacy seal; PCI. Clausola di conformit agli industry standards/best practices (?); SLAS Diritti di audit da parte del cliente Disaster Recovery/Business Continuity Plan Restituzione di dati del cliente Post Termination assistance 20. Protezione dei dati (1) VERSO UN MODELLO DI PRIVACY BY DESIGN Cosa si intende? - un modello che opera " by default " Opinion dellArticle 29 Working Party - La necessit di un audit ex ante da parte dei cloud customers Proposta di Regolamento sul trattamento dei dati personali - Extraterritorialit del diritto UE 21. Protezione dei dati (2) TRASFERIMENTO DEI DATI se il vendor allinterno dellUnione europea? - n.b. extraterritorialit del diritto UE secondo la citata proposta di Regolamento e se fuori? Interazione con le regole nazionali - Un esempio pratico: la figura dellAmministratore di Sistema 22. Grazie per lattenzione! [email protected] [email protected] [email protected]