Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
-
Upload
luca-moroni-cisa-itil -
Category
Presentations & Public Speaking
-
view
36 -
download
1
Transcript of Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi cloud: il
metodo di approccio e il rischio cyber
Luca Moroni – Via Virtuosa
Vicenza – 10/11/2017
Coordinatore Gruppi di lavoro ISACA VENICE
✔ Quaderno n.1: Vulnerability Assessment e Penetration Test: Linee
guida per l’utente di verifiche di terze parti sulla sicurezza ICT.
✔ Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza
delle Aziende nei Settori Critici del Nord Est: Scenario e Linee guida per
l’autovalutazione
Gruppo di traduzone ISACA VENICE
✔ Proteggere i dispositivi Mobili
Editore del White Paper Cyber Risk Exposure e Cyber Insurance
Laureato in Informatica (1989. Milano), Certificato CISA, ISO 27001 e ITIL V3
ed altre certificazioni tecniche
Focalizzato sulla Cybersecurity dal 2000 e speaker sul tema in seminari in
Italia e all’estero
Fondatore della Startup Innovativa Via Virtuosa focalizzata nello scouting e
promozione delle massime competenza sui temi della Cybersecurity e dell’ IT
Governance nel Nord Est.
Luca Moroni
Chi sono
Questa mattina..
SFSC
ON
20
17
-B
oze
n –
10
/11
/20
17
Che cosa è il Cloud?
Aruba S.p.A. Ponte San Pietro (Bergamo). Global Cloud Data Center
Software as a Service (SaaS): utilizzo di programmi
in remoto via Internet
Platform as a Service (PaaS): utilizzo di una
piattaforma fatta di servizi e programmi in remoto
Infrastructure as a Service (IaaS): utilizzo di
hardware remoto
Tipi di Cloud
Mercato
Veloce da attivare
Lavori ovunque e su
ogni device
Costa poco o è Gratis
Scalabilità della
infrastruttura
Accesso a grandi
capacità di calcolo
Aggiornamento
CLOUD SI o NO?
Perdita del controllo dei dati
Lock-In del fornitore
Contratti sfavorevoli
Sbilanciamento verso
l’esterno
Totale trasparenza
Cambio condizioni
Aderenza alle leggi
SI NO
L’apparenza
Campagna Genialcloud
NO
La Realtà: dovrai controllare di più
• Rapidità di reperimento di risorse
• Riduzione dei costi
• Accessibilità ovunque
• Demandare in parte la sicurezza
• Aggiornamento
Perché SI
Cosa ci metti nel cloud dipende da te
SI NO
Sicurezza della infrastruttura
Il cloud come opportunità di semplificazione…. Feliciano Intini – Microsoft – Giugno 2017
SI
• Perdita del controllo dei dati
• Lock-In del fornitore
• Contratti sfavorevoli
• Sbilanciamento verso l’esterno
• Obbligo di aggiornare
• Totale trasparenza
• Cambio condizioni
• Aderenza alle leggi
Perché NO
Cloud e Sicurezza dei dati non vanno d’accordo
Domande da porsi quando si usano sistemi in cloud:
1. dove finiscono i dati?
2. quali sono le restrizioni di lettura e scrittura dei file?
3. chi possiede l’accesso ai file?
I miei dati nel computer di un’altro
NO
• Lock-in
• Perdita di Governance
• Conformità
• Mancato isolamento
• Insider malevolo presso il cloud provider – Abuso di ruoli
con privilegi elevati
• Ordine di comparizione o di produzione in giudizio e
acquisizione delle prove elettroniche nel processo (c.d. e-
discovery)
• Rischi derivanti dal cambio di giurisdizione
• Rischi per la protezione dei dati
• Gestione della rete (ad esempio, congestione / mala
connessione / utilizzo non ottimale della rete)
I Rischi più critici
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
• Mancano formati standard dei dati e interfacce verso i
servizi che possano garantire la portabilità di dati,
applicazioni e servizi.
• Difficoltoso per il cliente migrare da un fornitore a un altro, o
riportare indietro dati e servizi verso un ambiente IT interno.
Dipendenza = Lock-in
Lock-in
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
Lock-in
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
Con l'utilizzo di infrastrutture cloud, il cliente cede
necessariamente il controllo al Cloud Provider (CP) su una
quantità di aspetti che si ripercuotono sulla sicurezza. Allo
stesso tempo, gli SLA possono non offrire un impegno a
fornire tali servizi da parte del cloud provider, lasciando così una lacuna nelle misure di difesa per la sicurezza.
Perdita di Governance
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
Perdita di Governance
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
• Grande differenza nei rapporti contrattuali tra il
cloud provider e il cliente
• Potere negoziale del cliente è praticamente nullo
• Solo i clienti più grandi possono avere delle
deroghe rispetto allo standard.
• Valutazione di impatto sui processi aziendali.
• Rischi connessi ad indisponibilità,
malfunzionamenti del servizio o violazioni
accidentali o volontarie dei dati trattati
• Contratti molto complessi e divisi in più parti
Problemi nei contratti
If we discontinue a Service, where reasonably possible, we will give you reasonable advance notice and a chance to get information out of that Service (Google Terms of Service)
• The recipient will ensure that Confidential Information are used only to fulfil obligations under the Agreement while ensuring reasonable care to keep it confidential
• If the Agreement is terminated…upon request, each party will use commercially reasonable efforts to return or destroy all Confidential Information of the other party.(Google Platform Terms of Service)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
https://en.softonic.com/articles/amazon-cloud-has-been-hacked-two-companies-have-been-affected
Il mancato raggiungimento degli SLA - su base mensile - è compensato con crediti di servizio (SLA for Microsoft Online
Services 5/2017)
Gli SLA possono essere modificati nel corso del contratto e in tal caso è facoltà del Cliente di recedere 30 gg entro la pubblicazione della modifica (SLA Aruba)
Google, legge applicabile dello Stato della California (USA)- Foro Competente: Santa Clara, California(Google Cloud Platform Terms of Service)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
https://www.key4biz.it/privacy-shield-ok-della-commissione-ue-lo-scudo-ue-usa-va-migliorato/202955/
…legge applicabile dello Stato….
Telecom non garantisce operazioni prive di interruzioni o errori. Il Richiedente conosce le caratteristiche della Piattaforma e del Software e accetta il rischio relativo alla funzionalità della Piattaforma rispetto alle proprie necessità
• Telecom garantisce un livello di professionalità adeguato
• Non risponde per danni da attacchi informatici
• Fatti salvi i casi di dolo o colpa grave di Telecom o dei suoi subfornitori, Telecom non si assume nessuna responsabilità per i danni diretti o indiretti subiti dal Richiedente o da terzi, in dipendenza dall’uso o mancato uso del Servizio o da quanto messo a disposizione da Telecom stessa
(Condizioni Generali di contratto per i servizi infrastrutturali ITC)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
http://www.bolognatoday.it/cronaca/wind-no-internet-connessione-problemi-modem-nokia.html/
…accetta il rischio…
• Utilizziamo le informazioni raccolte da tutti i nostri servizi per poterli fornire, gestire, proteggere e migliorare, per svilupparne di nuovi e per proteggere Google e i suoi utenti
• Google tratta le informazioni personali sui suoi server in diversi Paesi in tutto il mondo. Potremmo trattare informazioni personali su un server sito in un Paese diverso da quello in cui si trova l’utente
• Forniamo informazioni personali ai nostri affiliati o ad altre aziende o persone fidate affinché le trattino per noi in base alle nostre istruzioni e nel rispetto delle nostre Norme sulla privacy
(Norme sulla privacy Google 17.04.2017)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
…per proteggere…
Ma come faccio a scegliere
SI NO
Fare una valutazione rispetto al proprio business
Puoi dare una valutazione oggettiva
Il cloud è una opportunità di business
ma comporta dei rischi
• In cloud vanno le commodity e i servizi accessori• Valutare oggettivamente il Cloud Provider• L’abbattimento dei costi di HW e SW si controbilancia con
la necessità di controllare• Preferire chi deve adeguarsi alle nostre stesse leggi in
ambito EU• Elaborare una strategia di rientro tecnologico (non solo
legale)• Misurare la qualità del servizio che viene erogato
Conclusioni
Domande