Il Cloud Computing nel 2012

Massimo Chirivì – 15/02/2012 - BARI

Il know aziendale è al sicuro?

2

L’impegno per l’innovazione

• Consulente ICT dal 1995 • Al servizio delle aziende per lavoro• Al servizio della P.A. per hobby e passione dal 1998

Associazioni• AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica• AICA - Associazione Italiana per il calcolo automatico• Federazione Italiana Privacy• ISSA - Information Systems Security Association• CLUSIT - Associazione Italiana per la Sicurezza Informatica

3

AIPSI – Associazione Italiana Professionisti Sicurezza Informatica

AIPSI Capitolo Italiano di ISSA

Associazione di singoli

professionisti

Oltre 10.000 esperti in tutto

il mondo

200 soci in Italia

4

Obiettivi:

• Organizzazione di forum educativi• Redazione di documenti e pubblicazioni

specializzate• Interscambio di esperienze fra i professionisti del

settore (nazionali e internazionali)• Riferimento per la ricerca di professionisti di

sicurezza IT• Interazione con altre organizzazioni professionali• Rilascio di attestati e certificazioni specifiche

AIPSI – Associazione Italiana Professionisti Sicurezza Informatica

5

Cloud Computing

6

Tipologie di Cloud Computing :

SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider)

PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi, librerie

IaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo.

Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo.

7

Criticità e rischi del Cloud Computing

• Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri.

• Limiti della rete Internet. • Conformità a standard/normative.• Dove sono i miei dati?• Chi tiene i miei dati?• Sotto quale giurisdizione?• Sono protetti?

Sicurezza

Privacy

Commerciale / Legale

CLOUD

8

I principi generali sulla Sicurezza Informatica

DisponibilitàDisponibilità Integrità

Sicurezza

Le risorse informatiche e le informazioni sono

accessibili agli utenti autorizzati nel

momento in cui servono

Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate.

Per l’HW consiste in: elaborazione corretta dei dati,livello adeguato delle prestazioni, corretto instradamento dei dati.Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo.

9

Log Management

Registrazione degli accessi

Identificazione sistemi da monitorare

Analisi dei rischi

Attuazione misure di raccolta,

conservazione e cancellazione

Attuazione delle misure volte ad

assicurare completezza, inalterabilità e

verifica dell’integrità

10

Cloud Computing – Gli attori

FornitoreFornitoreClienteAdmin

Cliente fruitore

Il fornitore dei servizi CLOUD

COMPUTING

Colui che seleziona e configura i servizi da far utilizzare dal cliente finale

Colui che utilizza i servizi CLOUD

11

Cloud Computing – Disponibilita’ dei dati

Reperibilità Accessibilità Asportabilità

Esempi:- Controllo generale del DB.- Interruzione del contratto con il fornitore.- Blocco internet (Egitto)

12

Cloud Computing – Legge da applicare

Attenzione al foro competente!

Italia o Estero?Europa o Stati Uniti?

13

Cloud Computing - Titolo VII - Trasferimento dei dati all'estero

• Art. 42. Trasferimenti all'interno dell'Unione europea1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.

• Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato:

• a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1)

• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

• (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.

• Art. 45. Trasferimenti vietati1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

14

• Art. 43. Trasferimenti consentiti in Paesi terzi1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:

• a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;• b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della

conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;

• c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;

• d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;

• e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

• f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;

• g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

• h) [soppressa] (1)

• (1) Lettera soppressa dall'art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni".

Cloud Computing - Titolo VII - Trasferimento dei dati all'estero

15

• Chi registra i LOG?• Rispettano la nostra normativa?• Sono disponibili in caso di necessità?

Cloud Computing – Log Management

16

Cloud Computing – ATTENZIONE! Alcuni esempi…

LIVEDRIVE:• You, and not Livedrive, are responsible for maintaining and protecting all of your

files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files.

• With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers.

GOOGLE APPS:

1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento", "responsabile del trattamento" e "incaricato del trattamento" avranno il significato loro attribuito nella direttiva dell'Unione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati.

17

GOOGLE APPS

Posizione dei dati. Nell'ambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano.

Aruba ed i servizi a spazio illimitato.

Esistono? Analizziamo insieme le policy contrattuali.

ADRIVE

Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrive's equipment. You are responsible for independent backup of Storage Data stored using Adrive's services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrive's services, arising out of or resulting from use of Adrive's services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement.

Cloud Computing – ATTENZIONE! Alcuni esempi…

18

• la capacità di diminuire i costi di start-up di un sistema;• la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di

carico tramite la capacità di scalare tipica delle infrastrutture cloud;• la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio

(logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione;• la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX).

Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo:

• la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi;• la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti

modificati;• il rapido ed efficiente provisioning e deprovisioning delle risorse;• l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione

dei centri di elaborazione.

• soluzioni di sicurezza superiori ai propri standard interni;• organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne;• servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più

ristretti.

Cloud Computing – Vantaggi e benefici.

19

Cloud Computing – Problematiche e preoccupazioni.

• LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o, addirittura, impossibile.

• Transfer Back (E’ possibile riportare il servizio in HOUSE)• Perdita della governance• Multi-tenant model (condivisione delle risorse con altri attori)

20

Che tipo di danno si verrebbe a creare se:

• l’asset in valutazione diventasse di pubblico dominio?• un dipendente del fornitore di servizi cloud avesse accesso all’asset in

valutazione?• il processo o la funzione fossero fraudolentemente manipolati da un attaccante

esterno?• il processo o la funzione non fornissero i risultati attesi?• le informazioni/i dati fossero modificati in maniera non autorizzata?• l’asset in valutazione non fosse disponibile per un dato periodo di tempo?

Cloud Computing – Risk Assessment

21

Cloud Computing – Gestione dell’infrastruttura

Rete. –– la scelta di un’adeguata topologia di rete;–– l’applicazione dei concetti di “Defence in depth”;–– la segmentazione attraverso apparati di sicurezza;–– la documentazione delle scelte effettuate;–– la revisione periodica o su base necessità dell’intero progetto.

Accessi. –– la classificazione delle tipologie di accesso;–– l’individuazione di ruoli da assegnare alle risorse con particolare attenzione nell’assegnazione deiprivilegi di amministrazione e di accesso alle interfacce di gestione;–– la definizione delle caratteristiche di sicurezza delle diverse tipologie di canali di comunicazione;–– l’utilizzazione di protocolli sicuri di comunicazione;–– l’applicazione del principio di “least privilege”;–– la definizione di standard per la gestione degli accessi basati sul ruolo.

Servizi. –– l’individuazione delle tipologie di risorse;–– l’individuazione dei servizi che devono essere attivi su ogni tipologia di risorsa;–– la realizzazione di un Patch Management Program;–– l’utilizzo di strumenti automatizzati di discovery;–– l’effettuazione di Vulnerability Assessment periodici.

Virtualizzazione.–– l’utilizzo di componenti integrativi di sicurezza;–– l’utilizzo di controlli di sicurezza esterni per la protezione delle interfacce di amministrazione;–– l’utilizzo dei controlli di sicurezza delle piattaforme di virtualizzazione per la gestione del traffico che attraversa i “backplane”;–– la creazione di zone sicure basate sul tipo di utilizzo delle risorse.

Spazi fisici.–– la definizione di un piano di sicurezza fisica;–– la definizione di aree a diversa criticità;–– l’implementazione di contromisure fisiche per la prevenzione di accessi non autorizzati;–– l’adeguata gestione degli accessi del personale esterno;–– l’adeguata protezione da minacce di natura fisica.

Personale. –– la puntuale definizione dei ruoli anche in relazione ai temi relativi alla protezione dei dati personali;–– l’applicazione dei concetti di “need to know”;–– la definizione delle procedure operative da applicare;–– l’adeguata formazione di tutte le figure previste;–– la realizzazione di un piano di audit.

22

Cloud Computing – Le Sfide

• L’evoluzione normativa• Il Cyber Crime• La portabilità dei dati – LOCK IN• l’approccio transnazionale• le best practice

23

Confrontiamoci!

Informazioni

• www.massimochirivi.net• info@massimochirivi.net• Facebook• Skype: mchirivi• Linkedin• Sito smau – www.smau.it• Sito AIPSI -- www.aipsi.org