Cloud computing, sicurezza e compliance: la fine dell'illusione del perimetro - Resistere al cambiamento o affrontare la sfida? Autore: Sergio ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cloud computing,
sicurezza e compliance:
la fine dell’illusione del
perimetro
Resistere al cambiamento o affrontare la sfida?
Autore: Sergio Fumagalli
Myself
n Vice President di ZEROPIU Spa
n 10+ anni di attività su Privacy Issues
n Dal 2007 membro della Oracle Community for Security
ZEROPIU Spa
u Security system integrator e service provider
u Abilitazione, gestione e sicurezza delle identità digitali
dal ‘99
sergio.fumagalli@zeropiu.com
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 2
Una fonte importante
Oracle community for security
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 3
Cloud: gestire il cambiamento.
Cloud, mobile,
virtualizzazione,
smartphone, tablet,
social media: facce di
un unico trend Il cambiamento è veloce
Cosa interessa tutto ciò ad un • Il cloud non riguarda un futuro
remoto.
• E’ trascinato da altre
Project Manager? innovazioni: internet,
Il cambiamento è cambiato smartphones, mobile
• Non è determinato dalle aziende computing, social media.
ma dai consumatori • Se non entra nel budget IT
• E’ spinto da e genera nuove entrerà in quello del MKTG:
abitudini e stili di vita personali Vincoli
Ruolo
• Determina un nuovo paradigma Sicurezza, dati,
di produttività e nuovi modelli di identità digitali, privacy,
business
Normative
rete, outsourcing,
Attualità • E’ irreversibile utenti, BYOD: chi è
Interlocutori responsabile e di
cosa?
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 4
Definizione e parole chiave
“Cloud computing is a model for enabling (*)
Ø convenient, on-demand network access to a shared pool of configurable
computing resources (e.g., networks, servers, storage, applications, and services)
Ø that can be rapidly provisioned and released with minimal management effort or
service provider interaction.
This cloud model promotes
availability and is composed of:
Ø five essential characteristics,
Ø three service, and,
Ø four deployment models.”
(*) Fonte: National Institute of Standards and Thecnology (NIST)
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 5
Prospettiva privacy
Localizzazione:
• gli aspetti connessi al luogo i
cui i trattamenti sono effettuati
ed i dati conservati
Sicurezza:
• quanto si riferisce alla tutela
del dato personale nella
normativa vigente
Diritti e responsabilità:
• tutte le implicazioni relative alla
proprietà del dato personale e
all’esercizio di tale proprietà
Prospettiva “sicurezza” – cambia l’oggetto:
dati aziendali, interesse aziendale, ulteriori normative applicabili
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 6
Responsabilità
Dove finisce il perimetro della
responsabilità aziendale?
• Normativa privacy attuale (UE, Italia) (*):
“Titolare": del trattamento la persona fisica o giuridica, l'autorità pubblica, il
servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le
finalità e gli strumenti del trattamento di dati personali.
“Responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica,
il servizio o qualsiasi altro organismo che elabora dati personali per conto del
Titolare del trattamento.
• La complessità delle relazioni tecniche e commerciali che oggi regolano
in molti casi i trattamenti può essere risolta anche grazie al concetto di
co-titolarità (insieme ad altri)
(*) direttiva 95/46/CE - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Parere 1/2010
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 7
Responsabilità
Co-titolarità e cloud: compliance ma
anche security
Esempio n. 12: Social network (*)
I fornitori di servizi di social network propongono piattaforme di comunicazione on-line che
consentono di pubblicare e scambiare informazioni fra utenti. Questi fornitori di servizi sono i
responsabili del trattamento dei dati, poiché determinano sia le finalità che gli strumenti
dell'elaborazione di tali informazioni. Gli utenti di questi network, caricando dati personali
anche di terzi, potrebbero essere considerati responsabili del trattamento nella misura in cui
le loro attività non rientrino nell'"esenzione domestica".
“L'essenziale è garantire, anche in contesti complessi di trattamento di
dati personali in cui intervengono vari responsabili, l'osservanza delle
norme sulla protezione dei dati e una chiara attribuzione delle
responsabilità per possibili violazioni di tali norme.”
(*) GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Parere 1/2010
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 8
Responsabilità
L’evoluzione: il regolamento UE in
gestazione (*)
Article 24 Joint controllers
Where a controller determines the purposes, conditions and means of the
processing of personal data jointly with others, the joint controllers shall
determine their respective responsibilities for compliance with the
obligations under this Regulation, … by means of an arrangement between
them.
Article 26 Processor
…
4. If a processor processes personal data other than as instructed by the
controller, the processor shall be considered to be a controller in respect of
that processing and shall be subject to the rules on joint controllers laid down in
Article 24.
(*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 9
Responsabilità
L’evoluzione: il regolamento UE in
gestazione (*)
Article 78 Penalties
…
5. The supervisory authority shall impose a fine up to 500 000 EUR, or in case of
an enterprise up to 1 % of its annual worldwide turnover, to anyone who,
intentionally or negligently:
(a) …
…
(e) does not or not sufficiently determine the respective responsibilities with co-
controllers pursuant to Article 24;
.
(*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 10Perimetro, sicurezza, compliance
Identificare il perimetro è essenziale
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 11Perimetro, sicurezza, compliance
Identificare il perimetro
non sempre è facile
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 12Perimetro, sicurezza, compliance
Cloud, smartphones, mobile computing, social
media, internet:
Ø Non modificano il perimetro della responsabilità
Ø Modificano il perimetro del controllo diretto
Impongono di adeguare politiche,
contratti, procedure operative e
strumenti tecnologici che governano:
Ø La sicurezza delle informazioni
Ø La compliance alle normative applicabili
(privacy, …)
Ø Il controllo interno ed esterno
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 13Perimetro, sicurezza, compliance
Cambia l’analisi dei rischi: deve
essere adeguata al contesto cloud
L’insieme dei rischi specifici connessi all’adozione di
soluzioni cloud riguarda:
• la sicurezza dei dati e dei processi aziendali,
• la sicurezza dei dati tutelati dalle normative
applicabili
• la corretta applicazione di tali normative nel loro
complesso e non solo sotto il profilo della sicurezza.
Dovranno essere considerati:
• Rischi derivanti dalle caratteristiche essenziali del cloud (Resource pooling,
on demand, …)
• Rischi connessi al modello di servizio adottato (Saas, Paas, IaaS)
• Rischi indotti dal modello di deployment (Public, Private, Hybrid)
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 14Perimetro, sicurezza, compliance
Nuovi rischi
Un cloud supplier, clausola contrattuale:
“we strive to keep your content secure, but cannot
guarantee that we will be successful at doing so,
given the nature of the internet”
“Discovering an exploit in a web application portal that contains the data for
100 companies is much more interesting, in most cases, than hacking a web
application that houses data for one single company. Similarly, attacking the
storage network of backups for many large companies will yield more data than a
storage network that backs up data for just one organization (*).”
(*) Diana Kelley and SecurityCurve 2011 - How Data-Centric Protection Increases Security in Cloud Computing and Virtualization
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 15Perimetro, sicurezza, compliance
Cloud computing: delegare a terzi.
Cosa pretendere dal fornitore.
Article 26 Processor (*)
1. … the controller shall choose a processor
providing sufficient guarantees to … ensure the
protection of the rights of the data subject, in
particular in respect of the technical security
measures and organizational measures …
(*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 16Perimetro, sicurezza, compliance
Cloud computing: delegare a terzi.
Cosa pretendere dal fornitore.
Article 26 Processor (*)
…
2. The carrying out of processing by a processor shall be governed by a contract binding the
processor … and stipulating …that the processor shall:
a) act only on instructions from the controller, …;
b) employ only staff who have committed themselves to confidentiality …;
c) take all required measures pursuant to Article 30;
d) enlist another processor only with the prior permission of the controller;
e) …create in agreement with the controller the necessary technical and organisational
requirements for the fulfilment of the controller’s obligation …;
f) assist the controller in ensuring compliance with … Articles 30 to 34;
g) hand over all results to the controller after the end of the processing …;
h) make available to the controller and the supervisory authority all information necessary
to control compliance ….
(*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 17Perimetro, sicurezza, compliance
Cloud computing: delegare a terzi.
Cosa pretendere dal fornitore.
Article 30 Security of processing (*)
1. The controller and the processor shall implement appropriate technical and organisational
measures to ensure a level of security appropriate to the risks represented by the
processing and the nature of the personal data to be protected, having regard to the state of
the art and the costs of their implementation.
2. The controller and the processor shall, following an evaluation of the risks, take the
measures referred to in paragraph 1 to protect personal data against accidental or unlawful
destruction or accidental loss and to prevent any unlawful forms of processing, in particular
any unauthorised disclosure, dissemination or access, or alteration of personal data.
Article 31 Notification of a personal data breach to the supervisory authority
(*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - General Data Protection Regulation
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 18Perimetro, sicurezza, compliance
Cloud computing: delegare a terzi.
Cosa richiedere alla propria
organizzazione.
Tematiche di maggior attenzione:
• Governance
• Gestione delle identità e dei ruoli
• Sicurezza del dato
• Gestione del contratto
• Controllo & Audit
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 19Perimetro, sicurezza, compliance
Cloud computing: delegare a terzi.
Cosa richiedere alla propria
organizzazione.
1. Utilizzare solo reti e protocolli sicuri per la trasmissione dati con il provider.
2. Criptare almeno il dato a riposo nel database dell’infrastruttura del provider e
rimuovere la chiave di criptazione dalla disponibilità del cloud provider
3. Richiedere al provider forme di autenticazione federata e predisporre adeguati
sistemi di autenticazione per sfruttare questa opzione
4. Identity provisioning per automatizzare le operazioni relative alla rimozione di utenti
non più autorizzati.e alle variazioni dei profili
5. Capacità di intelligence sui log e sul tracciamento delle attività operative per
individuare i potenziali incidenti di sicurezza.
6. Capacità di reagire velocemente a qualsiasi evento di sicurezza, secondo protocolli
predefiniti e, per quanto possibile, innescati automaticamente
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 20Cloud e IT: un nuovo mindsetting
Operation: da gestire un reparto operativo a gestire
un fornitore
Sviluppo: applicazioni per un ambiente ostile
Project management: una pluralità di attori
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 21Catene di cloud e catene di
fornitura
Sei sicuro di non utilizzare già il cloud computing?
E’ necessario che
• il primo fornitore di servizi in
Cliente cloud riveli al cliente titolare i
terzi fornitori e i luoghi del
trattamento relativo a questi
• i terzi fornitori accettino di essere
Servizi Fornitore diretto designati responsabili del
applicati trattamento dal cliente titolare
vi • i terzi fornitori assumano nei
Applicaz
confronti del cliente titolare le
ione Fornitore indiretto stesse obbligazioni del primo
Servizio fornitore
Servizi
operativi Iaas Paas Saas • siano adempiute le disposizioni in
Saas materia di trasferimento dei dati
personali all’estero eventualmente
applicabili.
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 22Gli aspetti contrattuali
Ø responsabilità del cloud provider e importanza dei
Service Level Agreement
§ Spesso il servizio viene fornito senza alcuna garanzia di un
certo livello di performance.
Ø proprietà dei dati e dei contenuti
§ Indicare le procedure e le modalità per la restituzione, all’atto
della cessazione del rapporto, dei dati e dei documenti di
titolarità degli utenti
§ Tutelare i diritti di terzi
Ø modifiche delle condizioni d’uso del servizio
§ Tale facoltà del fornitore deve essere subordinata ad un congruo preavviso con diritto di recesso.
Ø limiti al recesso del provider e termine del contratto
§ Prevedere le operazioni da compiere al termine del contratto per migrare ad altra piattaforma cloud
Ø condizione di auditabilità.
§ Obblighi di audit e controllo a cui il cliente è soggetto per procedure interne o norme di legge.
Ø vessatorietà delle clausole e recepimento della normativa italiana
Ø procedure di notifica degli incidenti di sicurezza
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 23Luoghi del trattamento
La normativa privacy UE e nazionale regolamenta
l’esportazione di dati fuori dalla UE
E’ solo un
problema di
compliance ?
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 24Cloud e amministratori di sistema
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 25Misure di sicurezza
© CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 26Grazie per l’attenzione © CLUSIT 2010 - Cloud computing sicurezza e complance - Sergio Fumagalli 27
Puoi anche leggere
