{"id":902,"date":"2013-09-19T16:23:40","date_gmt":"2013-09-19T15:23:40","guid":{"rendered":"http:\/\/blog.solution.it\/?p=902"},"modified":"2021-05-19T07:33:05","modified_gmt":"2021-05-19T06:33:05","slug":"privacy-e-sicurezza-nel-cloud","status":"publish","type":"post","link":"https:\/\/blog.solution.it\/?p=902","title":{"rendered":"Privacy e sicurezza nel Cloud"},"content":{"rendered":"

Privacy e sicurezza nel Cloud, cosa tenere presente quando si sceglie un servizio<\/strong><\/p>\n

di Paolo Giardini
\nDirettore OPSI \u2013 Osservatorio Privacy e Sicurezza Informatica<\/p>\n

Introduzione<\/strong><\/p>\n

Girovagando su Youtube mi sono imbattuto in un video realizzato da Enter The Cloud<\/em> nel quale viene posta, ad un certo numero di persone incontrate per strada, una semplice domanda: \u201cSapete cosa \u00e8 il cloud computing\u201d? (1)
\nI risultati, almeno per i sostenitori del Cloud Computing, sono quanto meno deludenti.
\nSu 130 intervistati, l’83% non sa cosa sia il cloud. L’8% lo associa ad iCloud e solo il 5% ne fa un uso aziendale, utilizzando principalmente\u00a0 servizi di storage (il 4%).
\nBeh, direte voi, se prendi le persone per strada, ci potrebbe anche stare che il Cloud non sia un qualcosa di particolarmente diffuso.
\nGiusto. Me lo sono detto anch’io e sono quindi andato a prendere l’ultimo\u00a0 rapporto sullo stato del cloud computing in Italia (2)\u00a0 pubblicato a febbraio di quest’anno sempre da Enter The Cloud (3).
\nIl rapporto \u00e8 stato realizzato analizzando le risposte di un campione di 1000 professionisti IT che hanno compilato un questionario di 15 domande. Si tratta dunque di un campione significativo di persone questa volta non prese \u201cdalla strada\u201d ma che potremmo dire, \u201channo le mani in pasta\u201d.
\nEbbene, fra i risultati ottenuti\u00a0 saltano agli occhi soprattutto due questioni: la prima, \u00e8 che il Cloud Computing ancora non ha fatto breccia nelle strategie delle aziende italiane (4); la seconda \u00e8 il motivo addotto per spiegare questa riluttanza, ovvero\u00a0 i problemi legati alla privacy ed alla sicurezza dei dati nella nuvola.
\nDa questi dati si\u00a0 deduce che quello che manca sia una conoscenza di base della tecnologia cloud e delle possibili problematiche che la sua introduzione in azienda potrebbe comportare. Come sempre, la \u201cnon conoscenza\u201d porta ad un rifiuto a priori, o comunque ad una certa diffidenza.
\nCon questo articolo cercheremo\u00a0 di chiarire\u00a0 le idee su alcuni degli\u00a0 aspetti fondamentali del Cloud Computing che devono essere presi in considerazione al\u00a0 momento di progettare\u00a0 una transizione verso servizi cloud. In particolare prenderemo in considerazione gli aspetti relativi a privacy e sicurezza dei dati conservati ed elaborati nella nuvola.
\n
\n Cosa si intende con Cloud?<\/strong><\/p>\n

Cerchiamo ora di capire che cosa intenda con Cloud.
\nLa leggenda vuole (e magari \u00e8 pure vero) che il nome \u201ccloud\u201d derivi dal simbolo della \u201cnuvoletta\u201d utilizzato nei diagrammi di flusso e negli schemi\u00a0 di rete per indicare \u201cinternet\u201d.
\nUna definizione davvero semplicistica \u00e8 infatti quella che definisce il Cloud come\u00a0 qualunque servizio offerto via internet.
\nSe ci pensiamo un attimo, in questa definizione rientrerebbe qualunque data center,\u00a0 sito web, servizio di posta elettronica e quant’altro sia accessibile tramite una connessione Internet.\u00a0 In realt\u00e0 un \u201ccloud vero\u201d impiega un mix di varie tecnologie che vanno al di l\u00e0 della macchina virtuale in hosting o del sito ubicato\u00a0 in un server web multi dominio. Non essendo questo l’argomento che ci interessa sviluppare\u00a0 lascio agli eventuali interessati il compito di effettuare le proprie ricerche.<\/p>\n

Per poter analizzare con un minimo di consapevolezza le problematiche intrinseche nell’adozione del Cloud Computing \u00e8 necessario dare alcune definizioni, per forza di cose molto semplificate, che ci serviranno in seguito per poter orientare la nostra scelta verso il servizio che pi\u00f9 si adatti alle nostre esigenze.
\nInnanzi tutto va detto che di Cloud Computing ne esistono vari tipi. Una probabilmente incompleta lista comprende:
\nPrivate Cloud. L’infrastruttura \u00e8 localizzata presso l’utente che ne dispone totalmente e la gestisce in piena autonomia, in proprio o tramite terzi, sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilit\u00e0,…). In questo caso i dati restano presso la struttura dell’utente, quindi in teoria godono di maggiore controllo e protezione. E’ la tipologia verso la quale \u00e8\u00a0 orientata la maggioranza degli intervistati nel rapporto sullo stato del Cloud Computing in Italia.
\nPublic Cloud. L’infrastruttura, di propriet\u00e0 di un fornitore, mette a disposizione dei clienti (multipli) i propri servizi tramite internet. Il controllo dei dati viene in parte ceduto dal cliente al gestore del cloud.
\nCommunity Cloud. \u00c9 una via di mezzo fra il public cloud ed il private cloud. Un gruppo di stakeolders decide di mettere in comune risorse ed investimenti per creare un cloud a loro stessi riservato. Ad esempio, nella Pubblica Amministrazione,\u00a0 un gruppo di Comuni potrebbe decidere di creare un proprio data center con tecnologie cloud al quale appoggiarsi per le proprie esigenze. In tal modo, con\u00a0 un investimento condiviso, si avrebbero\u00a0 maggiori risorse a disposizione ed i dati rimarrebbero totalmente nella disponibilit\u00e0 di ciascun Titolare.<\/p>\n

Esistono anche altri tipo di cloud definiti \u201cibridi\u201d nei quali le soluzioni pubbliche e private sono utilizzate insieme per fornire i servizi richiesti.<\/p>\n

Ciascun tipo di cloud pu\u00f2 fornire vari modelli di servizi. Si potrebbe dire che i servizi cloud sono rappresentabili\u00a0 come una specie di pila.
\nAl livello pi\u00f9 alto sono situati i \u201cSoftware as a Service\u201d (SaaS). Sono messe a disposizione degli utenti le applicazioni, per esempio mail, suite per ufficio, ecc.
\nNel livello intermedio sono situati servizi indicati come \u201cPlatform as a Service\u201d (PaaS) che mettono a disposizione degli utenti sistemi e servizi (per esempio database, identity manager, ecc.) per lo sviluppo di applicazioni che potrebbero essere\u00a0 destinate ad un utilizzo interno oppure andare a far parte di servizi offerti ad altri utenti.
\nAl livello pi\u00f9 basso,\u00a0 troviamo i servizi definiti \u201cInfrastructure as a Service\u201d (IaaS) tramite i quali vengono messi a disposizione sistemi virtualizzati HW e SW (server, sistemi per il backup, per il networking,\u00a0 ecc.).<\/p>\n

Cloud e Privacy<\/strong><\/p>\n

Nelle nostre valutazioni\u00a0 per\u00a0 la scelta del\u00a0 servizio cloud si deve tenere ben presente il fatto che\u00a0 ciascuno del modelli di servizio indicati pu\u00f2 introdurre specifiche\u00a0 problematiche e\u00a0 vulnerabilit\u00e0. Pu\u00f2 essere d’aiuto individuare alcune categorie di questioni da valutare, ad esempio privacy, sicurezza, compliance (normativa, certficazioni, contrattuale), ed infrastruttura.
\nDal punto di vista della Privacy, o meglio, della protezione dei dati personali, \u00e8 evidente\u00a0 che l’utilizzo di servizi cloud comporta un minore controllo sui dati, essendo questi\u00a0 localizzati presso le strutture del provider.\u00a0 \u201cDove sono fisicamente i miei dati\u201d \u00e8 una delle domande alle quali \u00e8 pi\u00f9 difficile rispondere ed \u00e8 una delle cose che \u00e8 necessario conoscere, visti anche gli obblighi di legge in materia di protezione dei dati personali.
\nAlcuni esempi di\u00a0 domande a cui dovremo\u00a0 dare risposta sono: che tipo di dati andr\u00f2 a trattare, o meglio\u00a0 \u201candr\u00f2 a trasferire sul cloud\u201d? Sono dati personali? Ed in tal caso, sono dati sensibili? Dove saranno effettivamente localizzati? Su sistemi all’interno dell’Unione Europea? Fuori Europa? Ed in tal caso, il paese ospitante ha una legislazione equivalente a quella europea in merito alla protezione\u00a0 dei dati personali o vi sono particolari accordi in tal senso (vedi ad esempio Safe Harbor\u00a0 fra Europa e USA)?
\nUn altro punto da tenere presente in funzione dell’adeguamento alla normativa sulla privacy \u00e8 relativo alla identificazione di chi fisicamente avr\u00e0 accesso anche potenziale, ad esempio per manutenzione dei sistemi,\u00a0 ai dati personali conservati sul cloud.
\nIn base alla normativa l’azienda che gestisce il cloud deve essere nominata Responsabile Esterno del trattamento. Ho la possibilit\u00e0 di farlo? In quale modo potr\u00f2 esercitare l’obbligo di controllo previsto dalla normativa sulla protezione dei dati personali?
\nQuesti ed altri importanti punti sono sono raccolti ed esaminati\u00a0 nel vademecum\u00a0 sul Cloud Computing del Garante Privacy (5), nel quale si fa cenno anche al nuovo regolamento europeo che presumibilmente entrer\u00e0 in vigore nel 2014 e andr\u00e0 a sostituire l’attuale normativa (6).<\/p>\n

Cloud e sicurezza<\/strong><\/p>\n

Parlando di sicurezza va detto chiaramente che l’introduzione del Cloud Computing nella propria organizzazione non elimina tutti i problemi; infatti le problematiche locali, ad esempio la sicurezza dei client, rimangono tali e quali. Inoltre, come abbiamo visto prima, vengono\u00a0\u00a0\u00a0 introdotti\u00a0 nuovi livelli di infrastruttura con le loro specifiche problematiche che devono essere tenute di conto.
\nPer fare un esempio, basti pensare che il Cloud Computing \u00e8\u00a0 solo l’affitto un servizio,\u00a0 l’infrastruttura sulla quale questo servizio viene eseguito\u00a0 \u00e8 condivisa,\u00a0 a vari livelli, con altri clienti. Un approfondimento su questo tema lo si pu\u00f2 trovare nel rapporto 2013 di Cloud Security Alliance (7) che presenta le nove maggiori minacce per il Cloud Computing.
\nLa cosa che si nota scorrendo la lista redatta da CSA \u00e8 che\u00a0 non sono elencate\u00a0 solo le minacce\u00a0 portate dai\u00a0 criminali informatici ma anche quelle dovute a problemi legati alle tecnologie impiegate, alle modalit\u00e0 operative da parte dei provider, agli errori umani.
\nE’ dunque necessario definire ed applicare valide Policy di sicurezza e formare in proposito i propri collaboratori.<\/p>\n

Linee di comunicazione<\/strong><\/p>\n

Siate coscienti che la velocit\u00e0 di accesso ai dati residenti sul cloud non potr\u00e0 essere paragonata a quella di un accesso ad un server locale. Le normali ADSL, per quanto veloci, sono appunto
\n\u201cA-simmetriche\u201d, il che significa che la velocit\u00e0 in upload \u00e8 sensibilmente minore rispetto a quella in download.\u00a0 L’infrastruttura di comunicazione lato client va progettata tenendo presente che per lavorare la connessione dovr\u00e0 essere sempre disponibile oltre che veloce,\u00a0 affidabile e sicura.\u00a0 Potrebbe essere il caso di prevedere una ridondanza di linee o quanto meno una linea di backup. La domanda da porsi potrebbe essere: \u201ccosa succede se va gi\u00f9 la linea internet?\u201d<\/p>\n

Il contratto di servizio<\/strong><\/p>\n

La Contrattualistica \u00e8 una parte importante nel progetto di una migrazione verso il Cloud Computing anche se \u00e8 difficile poter contrattare clausole particolari, specialmente se si \u00e8 una piccola azienda o se intervengono eventuali terzi nella fornitura del servizio.
\nNel contratto dovranno essere previste determinate garanzie. Oltre ai classici parametri di\u00a0 uptime e disponibilit\u00e0\u00a0 saranno necessarie clausole specifiche riguardanti l’adeguamento a normative e standard internazionali o per definire la geolocalizzazione dei propri dati.
\nA questo proposito ricordo che la normativa sulla Privacy prevede\u00a0 la nomina del gestore a Responsabile del trattamento mentre lo standard PCI-DSS\u00a0 (Payment Card Industry Data Security Standard) per i pagamenti con carte di credito prevede l’esecuzione di audit periodici. Potrebbero anche essere necessarie attenzioni particolari a seguito di contratti verso i propri clienti o per il mantenimento di certificazioni.
\nL’utilizzo di tecnologie cloud introduce una dipendenza da terze parti con possibili\u00a0 difficolt\u00e0 nella migrazione e nella interoperabilit\u00e0\u00a0 a causa delle varie tecnologie proprietarie utilizzate dai\u00a0 provider. Il suggerimento \u00e8\u00a0 di contrattualizzare anche le modalit\u00e0 di assistenza e supporto in caso di\u00a0 migrazione ad altri provider o di integrazione con altri sistemi.
\nValutate infine tempi e modalit\u00e0 di ripristino dei dati in caso di disastro, se \u00e8 prevista la possibilit\u00e0 di ricevere una copia fisica dei propri dati e\u00a0 come viene effettuata la cancellazione sicura dei dati, non solo di quelli online ma anche di quelli presenti sui backup.<\/p>\n

Conclusioni<\/strong><\/p>\n

Come abbiamo visto, esistono vari livelli di problematiche da affrontare al momento di progettare una migrazione verso il Cloud Computing. Si va dalla sicurezza locale, con particolare attenzione alla formazione del proprio personale, alla compliance normativa, alle valutazioni\u00a0 sulle linee di comunicazione, alla sicurezza lato cloud.
\nMolto importante \u00e8 la parte relativa alle clausole contrattuali che dovranno regolare la fornitura del servizio cloud ed i servizi accessori. Orientarsi verso la scelta di un prodotto basandosi non solo sulla valutazione del lato economico potrebbe successivamente evitare costi nascosti.
\nEsistono molte soluzioni possibili offerte da svariati fornitori, anche presenti direttamente sul territorio italiano, quindi si possono valutare diverse proposte prima di effettuare la scelta definitiva. L’importante \u00e8 fare una buona analisi preventiva per avere ben chiaro cosa ci serve; cos\u00ec facendo ci sono buone possibilit\u00e0 di non avere brutte sorprese durante il percorso.<\/p>\n

note:<\/p>\n