scegliere i servizi cloud: il metodo di approccio e il rischio cloud

Scegliere i servizi cloud: il

metodo di approccio e il rischio cyber

Luca Moroni – Via Virtuosa

Vicenza – 10/11/2017

Coordinatore Gruppi di lavoro ISACA VENICE

✔ Quaderno n.1: Vulnerability Assessment e Penetration Test: Linee

guida per l’utente di verifiche di terze parti sulla sicurezza ICT.

✔ Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza

delle Aziende nei Settori Critici del Nord Est: Scenario e Linee guida per

l’autovalutazione

Gruppo di traduzone ISACA VENICE

✔ Proteggere i dispositivi Mobili

Editore del White Paper Cyber Risk Exposure e Cyber Insurance

Laureato in Informatica (1989. Milano), Certificato CISA, ISO 27001 e ITIL V3

ed altre certificazioni tecniche

Focalizzato sulla Cybersecurity dal 2000 e speaker sul tema in seminari in

Italia e all’estero

Fondatore della Startup Innovativa Via Virtuosa focalizzata nello scouting e

promozione delle massime competenza sui temi della Cybersecurity e dell’ IT

Governance nel Nord Est.

Luca Moroni

Chi sono

Questa mattina..

SFSC

ON

20

17

-B

oze

n –

10

/11

/20

17

Che cosa è il Cloud?

Aruba S.p.A. Ponte San Pietro (Bergamo). Global Cloud Data Center

Software as a Service (SaaS): utilizzo di programmi

in remoto via Internet

Platform as a Service (PaaS): utilizzo di una

piattaforma fatta di servizi e programmi in remoto

Infrastructure as a Service (IaaS): utilizzo di

hardware remoto

Tipi di Cloud

Mercato

Veloce da attivare

Lavori ovunque e su

ogni device

Costa poco o è Gratis

Scalabilità della

infrastruttura

Accesso a grandi

capacità di calcolo

Aggiornamento

CLOUD SI o NO?

Perdita del controllo dei dati

Lock-In del fornitore

Contratti sfavorevoli

Sbilanciamento verso

l’esterno

Totale trasparenza

Cambio condizioni

Aderenza alle leggi

SI NO

L’apparenza

Campagna Genialcloud

NO

La Realtà: dovrai controllare di più

• Rapidità di reperimento di risorse

• Riduzione dei costi

• Accessibilità ovunque

• Demandare in parte la sicurezza

• Aggiornamento

Perché SI

Cosa ci metti nel cloud dipende da te

SI NO

Sicurezza della infrastruttura

Il cloud come opportunità di semplificazione…. Feliciano Intini – Microsoft – Giugno 2017

SI

• Perdita del controllo dei dati

• Lock-In del fornitore

• Contratti sfavorevoli

• Sbilanciamento verso l’esterno

• Obbligo di aggiornare

• Totale trasparenza

• Cambio condizioni

• Aderenza alle leggi

Perché NO

Cloud e Sicurezza dei dati non vanno d’accordo

Domande da porsi quando si usano sistemi in cloud:

1. dove finiscono i dati?

2. quali sono le restrizioni di lettura e scrittura dei file?

3. chi possiede l’accesso ai file?

I miei dati nel computer di un’altro

NO

• Lock-in

• Perdita di Governance

• Conformità

• Mancato isolamento

• Insider malevolo presso il cloud provider – Abuso di ruoli

con privilegi elevati

• Ordine di comparizione o di produzione in giudizio e

acquisizione delle prove elettroniche nel processo (c.d. e-

discovery)

• Rischi derivanti dal cambio di giurisdizione

• Rischi per la protezione dei dati

• Gestione della rete (ad esempio, congestione / mala

connessione / utilizzo non ottimale della rete)

I Rischi più critici

CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013

• Mancano formati standard dei dati e interfacce verso i

servizi che possano garantire la portabilità di dati,

applicazioni e servizi.

• Difficoltoso per il cliente migrare da un fornitore a un altro, o

riportare indietro dati e servizi verso un ambiente IT interno.

Dipendenza = Lock-in

Lock-in


Lock-in


Con l'utilizzo di infrastrutture cloud, il cliente cede

necessariamente il controllo al Cloud Provider (CP) su una

quantità di aspetti che si ripercuotono sulla sicurezza. Allo

stesso tempo, gli SLA possono non offrire un impegno a

fornire tali servizi da parte del cloud provider, lasciando così una lacuna nelle misure di difesa per la sicurezza.

Perdita di Governance


Perdita di Governance


• Grande differenza nei rapporti contrattuali tra il

cloud provider e il cliente

• Potere negoziale del cliente è praticamente nullo

• Solo i clienti più grandi possono avere delle

deroghe rispetto allo standard.

• Valutazione di impatto sui processi aziendali.

• Rischi connessi ad indisponibilità,

malfunzionamenti del servizio o violazioni

accidentali o volontarie dei dati trattati

• Contratti molto complessi e divisi in più parti

Problemi nei contratti

If we discontinue a Service, where reasonably possible, we will give you reasonable advance notice and a chance to get information out of that Service (Google Terms of Service)

• The recipient will ensure that Confidential Information are used only to fulfil obligations under the Agreement while ensuring reasonable care to keep it confidential

• If the Agreement is terminated…upon request, each party will use commercially reasonable efforts to return or destroy all Confidential Information of the other party.(Google Platform Terms of Service)


CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17

https://en.softonic.com/articles/amazon-cloud-has-been-hacked-two-companies-have-been-affected

Il mancato raggiungimento degli SLA - su base mensile - è compensato con crediti di servizio (SLA for Microsoft Online

Services 5/2017)

Gli SLA possono essere modificati nel corso del contratto e in tal caso è facoltà del Cliente di recedere 30 gg entro la pubblicazione della modifica (SLA Aruba)

Google, legge applicabile dello Stato della California (USA)- Foro Competente: Santa Clara, California(Google Cloud Platform Terms of Service)



https://www.key4biz.it/privacy-shield-ok-della-commissione-ue-lo-scudo-ue-usa-va-migliorato/202955/

…legge applicabile dello Stato….

Telecom non garantisce operazioni prive di interruzioni o errori. Il Richiedente conosce le caratteristiche della Piattaforma e del Software e accetta il rischio relativo alla funzionalità della Piattaforma rispetto alle proprie necessità

• Telecom garantisce un livello di professionalità adeguato

• Non risponde per danni da attacchi informatici

• Fatti salvi i casi di dolo o colpa grave di Telecom o dei suoi subfornitori, Telecom non si assume nessuna responsabilità per i danni diretti o indiretti subiti dal Richiedente o da terzi, in dipendenza dall’uso o mancato uso del Servizio o da quanto messo a disposizione da Telecom stessa

(Condizioni Generali di contratto per i servizi infrastrutturali ITC)



http://www.bolognatoday.it/cronaca/wind-no-internet-connessione-problemi-modem-nokia.html/

…accetta il rischio…

• Utilizziamo le informazioni raccolte da tutti i nostri servizi per poterli fornire, gestire, proteggere e migliorare, per svilupparne di nuovi e per proteggere Google e i suoi utenti

• Google tratta le informazioni personali sui suoi server in diversi Paesi in tutto il mondo. Potremmo trattare informazioni personali su un server sito in un Paese diverso da quello in cui si trova l’utente

• Forniamo informazioni personali ai nostri affiliati o ad altre aziende o persone fidate affinché le trattino per noi in base alle nostre istruzioni e nel rispetto delle nostre Norme sulla privacy

(Norme sulla privacy Google 17.04.2017)



…per proteggere…

Ma come faccio a scegliere

SI NO

Fare una valutazione rispetto al proprio business

Puoi dare una valutazione oggettiva

Il cloud è una opportunità di business

ma comporta dei rischi

• In cloud vanno le commodity e i servizi accessori• Valutare oggettivamente il Cloud Provider• L’abbattimento dei costi di HW e SW si controbilancia con

la necessità di controllare• Preferire chi deve adeguarsi alle nostre stesse leggi in

ambito EU• Elaborare una strategia di rientro tecnologico (non solo

legale)• Misurare la qualità del servizio che viene erogato

Conclusioni

Domande

[email protected]

mailto:[email protected]

scegliere i servizi cloud: il metodo di approccio e il rischio cloud

Presentations & Public Speaking