Consapevolmente Cloud

Il trend di sviluppo del mercato dei servizi cloud è inarrestabile.

Le principali motivazioni sono individuabili nel risparmio sui costi e nei benefici gestionali realizzabili con questi servizi nelle organizzazioni di tutti settori e di tutte le dimensioni, del settore privato e della PA.

Conseguire tali vantaggi non è tuttavia una facile passeggiata, ma richiede, come in tutte le iniziative aziendali che presentano significativi impatti sull’organizzazione e sulle tecnologie, una focalizzazione particolare dei decision makers aziendali sugli aspetti "potenzialmente critici" dei Servizi Cloud: sicurezza, conformità e contratti.

In questo libro li trattiamo estensivamente.

Perché questo libro?

I servizi cloud sono erogati tramite Internet e, pertanto, particolarmente esposti ad attacchi.

Oggigiorno più che mai le aziende hanno bisogno di fare le cose bene. Ma fare bene è complesso perché la disciplina cloud è relativamente giovane, la cultura professionale acerba e il tema, che è intrinsecamente complesso, va affrontato olisticamente.

Abbiamo preparato questa pubblicazione perché c’è bisogno di un confronto, estensivo, multi-professionale e vendor agnostico sulle cose da fare e in Community ci sono questi elementi e la disponibilità a metterli in campo. Infatti a questa pubblicazione hanno contribuito 55 persone (esperti di sicurezza, consulenza legale, tecnologica e organizzativa, clienti e fornitori di cloud) con un lavoro di 9 mesi e concediamo il nostro lavoro con una licenza molto aperta (https://creativecommons.org/licenses/by-sa/4.0/)

A chi si rivolge?

Crediamo che questa pubblicazione possa costituire un utile riferimento professionale per le persone interessate a diverso titolo al Cloud, fra le quali:



Autori, contributori e ringraziamenti



  • Alfa Group
  • Aiea
  • AreaEtica
  • Aruba
  • Assintel
  • BIP
  • Codd&ampDate
  • Consal
  • ISC2
  • Oracle
  • Microsoft
  • P4I
  • Pluribus One
  • Protivi
  • Replay - Spike
  • RSM
  • Seeweb
  • Sernet
  • Sinergy - Lutech
  • Studio Stefanelli
  • Swascan
  • TIG

Editor e teamleader

Luca Bechelli CLUSIT Direttivo Clusit; Security Consultant
Fabrizio Bulgarelli RSM Società di Revisione e Organizzazione Contabile S.p.A. Partner, Head of Risk Advisory Service
Francesca Gatti AUSED Segretario generale
Andrea Longhi ConsAL Consulente Direzionale
Roberto Obialero CLUSIT Consiglio Direttivo; Cybersecurity & Data Protection Advisor
Riccardo Ranza Consulente ICT e Security
Elena Vaciago The Innovation Group Associate Research Manager
Alessandro Vallega P4I Coordinatore Community for Security

Autori

Davide Ariu Pluribus One CEO and Senior Security Consultant
Antonio Baldassarra CEO Seeweb
Manfredi Blasucci Auchan IT Security Manager
Gianluca Bocci Poste Italiane Corporate Affairs, Tutela Aziendale
Angelo Bosis Oracle Cloud Platform Solution Engineering Director
Fabio Bucciarelli Sinergy SpA, Lutech Group Senior Security Advisor
Giancarlo Butti Europrivacy Internal Auditor
Dario Carnelli Codd&Date Suisse Advisory
Marco Ceccon Sinergy SpA, Lutech Group Advisory Practice Manager
Matteo Emilio Corsi Aruba Group Chief Information Security Officer
Mauro Costantini Oracle EMEA Cloud Technologist
Fabio Cucciniello Bracco Imaging IT Infrastructure Manager
Domenico Cuoccio InnovaPuglia Responsabile Ufficio Qualità e Sicurezza dei Sistemi Informativi
Angelo D’Andrea Responsabile ICT Architecture, Security e Systems Management di SEA
Giovanni Ferraris Reply - Spike Senior Consultant
Ambrogio Ferretti A2A Senior IT Auditor
Enrico Ferretti Managing Director Protiviti
Stefano Foroni Area Etica Partner
Cesare Gallotti Consulente di sicurezza delle informazioni, qualità e privacy
Giovanni Battista Gallus Studio legale Array Avvocato
Luigi Gentile Security Reply Senior Security Consultant
Alessandro Giovanrosa WindTre Contract Governance
Carlo Guastone Sernet spa Vicepresidente Business Development
Pierguido Iezzi Swascan CyberSecurity Strategy Director e Co Founder
Francesco Iorfida BIP Manager
Annamaria Italiano Partners4Innovation
Michele Magri Michael Slim International Investigation Security & Intelligence; ACFE Trainer
Giuseppe Mantese ODCEC Milano Commissione Informatica ODCEC Milano
Andrea Mariotti EY Associate Partner Cybersecurity & Digital Protection
Francesco Marrazzo EY Manager Cybersecurity & Digital Protection
Matteo Mattei Oracle Industry Business Solution Architect
Carlo Mauceli Microsoft Chief Technology Officer
Mikhail Mendelevich Protiviti Manager
Paola Meroni Vodafone Automotive Information Security Expert
Paolo Ottolino Atos Italia SpA Cybersecurity Architect
Gian Fabio Palmerini Salini Impregilo Information & Cyber Security Manager
Paolo Panza ICT Professional
Franco Picchioni Eni gas e luce Head of Cyber Security
Natale Prampolini AIEA Business & Technology Adviser
Andrea Provini Bracco Imaging Global CIO, Presidente AUSED
Ugo Salvi Saipem Head of Digital
Fabio Saulli Alfagroup Senior Security Consultant - CISA
Nicola Sotira Poste Italiane Responsabile CERT di Poste Italiane
Silvia Stefanelli Studio Legale Stefanelli & Stefanelli Avvocato
Francesco Summa EY Manager Cybersecurity & Digital Protection
Stefano Tagliabue Telecom Italia Public and Regulatory Affairs; Privacy
Valerio Vertua Cloud Security Alliance Italy Chapter Legal & Privacy Director

Sintesi dell'intero libro



Sezione I "Introduzione"

Per chi abbiamo scritto questo libro

Fino ad alcuni anni fa quando si accennava al Cloud si parlava più delle giustificazioni per «evitarlo» che dei vantaggi nell’«adottarlo». Dal 2012 si è assistito ad un radicale cambiamento di paradigma: Il focus non più sulle minacce ma sulle opportunità. Il trend di sviluppo del mercato dei servizi cloud è ormai inarrestabile, dal risparmio sui costi alle revenues addizionali realizzabili con questi servizi, nelle organizzazioni di tutti settori e di tutte le dimensioni, del settore privato e della PA. La società di ricerca Forrester ha predetto che entro il 2018 oltre il 50% delle grandi organizzazioni globali utilizzerà almeno una piattaforma pubblica in Cloud per abilitare i propri processi di trasformazione digitale e per rispondere al meglio ai propri clienti. La tipologia dei Servizi Cloud impone peraltro l'obbligo di focalizzare l’attenzione dei decison makers aziendali su alcuni aspetti dei servizi Cloud che devono essere attentamente valutati, in particolare sicurezza, conformità e contratti. Si è pertanto sentita l’opportunità, da parte di Oracle Community for Security, di realizzare un documento che possa costituire un concreto aiuto alle aziende che adottano o pensano di adottare servizi Cloud, e a tutte le figure professionali coinvolte, a vario titolo, nei Servizi Cloud. Il Cloud può interessare più tipologie di persone:

● Il management dell’organizzazione che già utilizza o pensa di valutare in futuro l’adozione dei servizi cloud

● Il management della funzione aziendale Sistemi informativi, che, d’intesa con il Vertice aziendale, deve valutare le opportunità e i rischi del cloud

● I buyer dedicati alla negoziazione contrattuale con i fornitori

● Gli specialisti ICT che operano in azienda, per i quali l’opzione cloud costituisce un’importante e ineludibile alternativa tecnico-economica da approfondire

● Il management e gli esperti di Security

● Il management, gli uomini di marketing e gli specialisti ICT che operano presso i fornitori dei servizi cloud che devono individuare le motivazioni reali che possono indurre il management e gli specialisti ICT dell’organizzazione a scegliere l’opzione cloud

● Il consulente di direzione per i quali l’opzione cloud può rappresentare un’importante componente di advisory da proporre alle aziende clienti

● I docenti del “sistema formativo” (Università, Associazioni professionali, Scuole di formazione, etc), che non possono esimersi dalla conoscenza della tematica Cloud, nelle sue diverse componenti tecnologiche, organizzative, economiche, contrattuali e di Compliance

I vantaggi del Cloud

Le potenziali criticità considerate, che inizialmente avevano frenato lo sviluppo del mercato in alcuni settori, sono state progressivamente superate, ma devono in ogni caso essere attentamente valutate per consentire di “rinforzare” la fiducia del mercato sui servizi cloud, e per poter realizzare i notevoli vantaggi che comporta l’adozione di servizi Cloud: risparmio, costi variabili, minori investimenti in capitale; maggiore velocità ed agilità del business; accesso a servizi ICT di ultima generazione.

Caratteristiche dei modelli Cloud

Le caratteristiche essenziali dei Servizi Cloud sono: Self-service su richiesta, Ampio accesso in rete, Condivisione delle risorse, Elasticità rapida, Servizio misurato. I Modelli di servizio presenti nel Cloud sono SaaS / Software as-a-service, PaaS / Platform as-a-service, IaaS / Infrastructure as-a-service. I Modelli di distribuzione consistono in Public Cloud / cloud pubblico, Private Cloud / cloud privato, Community Cloud, Hybrid Cloud / cloud ibrido.

Rischi del Cloud e mitigazioni

L’utilizzo di servizi Cloud, siano essi SaaS, IaaS o PaaS, espone l’organizzazione a vecchi e nuovi rischi che devono necessariamente essere compresi e valutati dall’organizzazione per poter predisporre le opportune misure di mitigazione. I rischi relativi all’utilizzo del Cloud non sono esclusivamente tecnologici, ma ricadono anche in ambito di conformità e contrattuale. Nella Sezione I/Rischi del Cloud e mitigazioni è riportato un catalogo dei maggiori rischi relativi ai servizi Cloud, suddivisi in 12 macro categorie, e un set di attività di mitigazioni orientato alla creazione di uno standard per la gestione del rischio Cloud. Tale catalogo, realizzato dalla Associazione CSA riporta sia in cosa consistono i differenti rischi tecnologici, sia quali dovrebbero essere i punti di attenzione su cui le organizzazioni dovrebbero concentrarsi.

Se non fai le cose per bene

A fronte della ormai pervasiva adozione di tecnologie infrastrutturali ed applicative Cloud sono aumentati gli episodi di attacchi e conseguenti violazioni che hanno avuto come oggetto i fornitori di tali servizi tecnologici. La stampa ha divulgato, soprattutto negli ultimi anni, storie di attacchi informatici ai danni di aziende enterprise e piccole media imprese utilizzando vettori e modalità sempre nuovi e avanzati. Nella Sezione II/Se non fai le cose per bene è riportata una Tabella che elenca i principali incidenti di sicurezza di pubblico dominio registrati a partire dal mese di giugno 2017, e che hanno interessato anche alcuni Cloud Service Provider leader di mercato a livello internazionale. Le cause di una violazione informatica possono essere di vario genere e la responsabilità può essere sia dell’utente finale come del Cloud Service Provider. I clienti finali dovranno conoscere sempre più nel dettaglio come funzionano le tecnologie IaaS, PaaS e SaaS e raggiungere quel grado di conoscenza di dettaglio che si è oramai raggiunto nel mondo on-premises tradizionale. I Cloud Service Provider dovranno continuamente definire e verificare i processi e le tecnologie utilizzate nell’erogazione dei servizi , assicurarsi che il personale sia addestrato ai compiti assegnati e che ci sia una costante verifica dell’interazione tra processi persone e tecnologie.

Evoluzione dei mestieri in conseguenza al Cloud

Il nuovo paradigma Cloud non potrà non influire sulle professioni dedicate all’ICT, in particolare sui ruoli diChief Information Security Officer - CISO,Chief Information Officer – CIO e Chief Security Officer - CSO, ruoli aziendali che verranno ridisegnati sulla base dello sviluppo delle tecnologie Cloud e si assisterà sempre più, nei prossimi anni, al fiorire di competenze tecnico-manageriali differenti, al fine di poter gestire con efficacia i cambiamenti indotti dal Cloud minimizzando i rischi aziendali relativi allo sviluppo del business e alla sicurezza delle informazioni.

Sezione II “Sicurezza delle informazioni”

Caratteristiche di security relative al Cloud

Quando si parla di sicurezza nel Cloud, bisogna considerare le modalità con le quali si usufruisce del Cloud (IaaS, PaaS, SaaS) in quanto le componenti di processi, persone e tecnologie possono assumere una importanza diversa sulla base della tipologia di servizio. Per quento riguarda le competenze necessarie nell'organizzazione cliente di servizi cloud, in caso di IaaS (Infrastructure as-a-service) il personale IT dovrà essere istruito soprattutto su tematiche relative alla sicurezza relativa alla virtualizzazione e alle infrastrutture di rete; in caso di servizi di tipo PaaS (Platform as-a-service) il personale IT dovrà essere istruito su tematiche relative allo sviluppo sicuro di applicazioni in ambiente Cloud; in caso di servizi SaaS (Software as-a-service), invece, si fa più affidamento ai livelli di sicurezza di ciò che è stato sviluppato dal fornitore. La definizione e l’erogazione di piani di sensibilizzazione del personale dell’organizzazione cliente, IT e Utenti, sono di fondamentale importanza per proteggere l’organizzazione da minacce cyber presenti nei servizi cloud. Per quanto relativo alle Tecnologie, si dovranno affrontare le tematiche di autenticazione e autorizzazione, gestione e monitoraggio, reporting e verifica al fine di proteggere e monitorare l'accesso alle informazioni presenti in Cloud. Per quanto relativo ai Processi, il focus è sulla Governance e sull’Operation dei servizi Cloud.

Shared Responsibility Model

Si stanno sperimentando sul mercato nuove fattispecie contrattuali per i Servizi cloud, identificate come Shared Responsibility Model, che si articola nelle seguenti macro-componenti: Attori Responsabili, Domini di Controllo, Livello di Maturità. In pratica si condividono fra cliente e fornitore ruoli e responsabilità degli stessi nella erogazione dei servizi.

Verifica della sicurezza nei Servizi Cloud

Sono suggerite le Verifiche della sicurezza relativa ai Servizi Cloud erogati dal Provider, a cura del committenteprima della stipula del Contratto e durante la erogazione del servizio, prevedendo anche controlli di sicurezza relativi alle attività da svolgere a cura del committente

Crittografia

Sono indicate le implicazioni della crittografia dei dati sui Servizi cloud, la cui presenza è particolarmente richiesta, in ottemperanza al Quadro normativo, da banche, assicurazioni, ospedali ed enti governativi che devono soddisfare i requisiti di integrità e riservatezza dei dati critici. In termini di conformità normativa, si consideri che per il regolamento europeo sulla protezione dei dati personali (GDPR), il titolare e il responsabile del trattamento dei dati hanno il compito di ridurre i rischi relativi ai trattamenti mediante l’attuazione di idonee contromisure. La crittografia è una delle misure suggerite e esplicitamente indicate. In questi casi le tecnologie di crittografia possono venire in aiuto alle organizzazioni perché aggiungono uno strato di sicurezza che affronta proprio quelle esigenze, garantendo la protezione delle informazioni sia durante il loro transito verso il Cloud sia durante la loro memorizzazione ed elaborazione nel Cloud.

Gestione delle Identità e degli Accessi

Sono indicati i suggerimenti relativi alla corretta impostazione del Sistema di Identity Management, già di per sè complesso (provisioning delle identità, gestione del ciclo di vita delle utenze, accessi ai sistemi ed alle applicazioni, implicazioni organizzative e di governance), che diventa ancora più critico quando viene esteso ad applicazioni e infrastrutture Cloud, in quanto la gestione delle identità non è più completamente in mano all’organizzazione, ma coinvolge anche i fornitori di servizi Cloud. Infatti i servizi Cloud sono generalmente raggiungibili via Internet e uno dei maggiori rischi è oggi il furto di credenziali, soprattutto di quelle degli utenti dotati di privilegi amministrativi, motivo per cui, per un utilizzo aziendale di servizi cloud, si ritiene che la modalità di autenticazione tradizionale, attraverso username e password, non è più sufficiente a garantire la sicurezza dei dati.

Shadow IT

L’offerta crescente di servizi Cloud in modalità SaaS ha contribuito notevolmente all’espansione e alla diffusione del fenomeno dello shadow IT , cioè l’acquisto di servizi informatici effettuati direttamente dalle unità organizzative di business, senza coinvolgere la funzione addetta all’IT, scelta attuata per la difficoltà delle strutture IT in alcune organizzazioni nello stare al passo con le esigenze delle strutture di business. Possono quindi essere sottovalutate le possibili implicazioni derivanti dal posizionare dati in contenitori non sempre controllati o controllabili dal punto di vista delle garanzie di sicurezza necessarie in rapporto alla tipologia di informazioni che trattano. Sono quindi da considerare i rischi legati agli aspetti di conformità, alla maggiore esposizione alla violazione e alla perdita di dati, così come alle possibili inefficienze nei processi di gestione.

Intelligenza artificiale e Machine learning

Dal punto di vista della sicurezza, un’infrastruttura Cloud presenta peculiarità e tratti distintivi rispetto ad altri beni da proteggere. Al riguardo si stanno sperimentando nuovi approcci basati sull’ Intelligenza artificiale e sul Machine learning, che offrono un grado di flessibilità senz'altro superiore ad un rigido sistema basato su regole, come già illustrato nel documento 2017 della Community sul continuous monitoring. Questo significa ad esempio garantire la sicurezza dei dati e delle applicazioni tramite delle policy che non soffochino eccessivamente le esigenze del business, potendo disporre di significative moli di dati da analizzare , ad esempio .i log degli host; i log dell'attività di rete; i log delle applicazioni; i log di accesso alle API (Application program interface) di terze parti; i log di continuous integration/deployment delle applicazioni per ogni ciclo di build e release. A questi si possono facilmente aggiungere ulteriori dati, a seconda delle caratteristiche del Cloud in esame. L’introduzione e l’adozione di queste tecnologie e soluzioni devono essere accompagnate da considerazioni in merito alle competenze presenti in organizzazione e alla scelta delle soluzioni più semplici da usare e che richiedono minor intervento umano.

Sezione III “Contratti”

Introduzione sui contratti

Deve essere riservata una rilevante attenzione nella stipula del contratto, ed è più che giustificato il tempo che gli viene dedicato.

Asimmetria del potere negoziale del rapporto contrattuale

La vera peculiarità di tale tipologia di contratto è la circostanza che l’utente non determina in alcun modo i contenuti ed il livello del servizio che acquista, ma può solo scegliere tra i diversi soggetti che offrono il servizio sul mercato. In sostanza l’autonomia contrattuale del soggetto che stipula attiene non tanto alla possibilità di decidere i contenuti del contratto quanto alla possibilità di scegliere tra i diversi contratti ed i diversi contraenti sul mercato . Ne deriva dunque che il principio di autonomia contrattuale dell’utente risulta rispettato solo se il fornitore rispetti pienamente il principio di trasparenza contrattuale: tale principio, permettendo all’utente una analisi della clausole unilateralmente predisposte dal fornitore, gli consente di capire le eventuali differenze ed operare quindi una scelta consapevole.

Struttura e contenuti del contratto

Al di là degli aspetti più propriamente giuridico-legali il contratto dovrebbe quantomeno comprendere contenuti relativi a:

● definizione puntuale del servizio e del suo perimetro;

● ruoli e responsabilità dei contraenti, in particolare gli aspetti organizzativi derivanti dallo Shared Responsibility Model, gestione delle catene di fornitura;

● modalità di erogazione del servizio, cioè la sua gestione manageriale;

● modalità di gestione operativa, cioè il controllo del servizio, sia esso immediato (monitoring) sia esso differito (logging, auditing), la gestione degli incidenti;

livelli di servizio prestazionali (SLA) e key performance indicators (KPI), loro modalità di misurazione, sanzioni associate nel caso di loro mancato rispetto, forensics;

conformità a best practices, normative e standard de jure e de facto, nonché certificazioni richieste;

● gestione della terminazione del contratto;

● (eventualmente) regole per la modifica del contratto stesso.

Elementi contrattuali di maggior rilievo

Gli elementi contrattuali da prevedere devono poter gestire le differenti fasi di utilizzo del servizio Cloud dalla sua adozione, l’esercizio della soluzione Cloud, fino alla sua eventuale dismissione.

Diritto di Audit

Il Reg. Ue 2016/679 (GDPR), art. 28, stabilisce il diritto da parte del titolare di effettuare audit nei confronti dei responsabili allo scopo di garantirsi il rispetto dei principi di tutela del dati. Inoltre, in base all’art. 28 comma 4 tale diritto si estende automaticamente anche nei confronti dei subfornitori/sub responsabili. Tenuto conto che sotto il profilo della protezione dei dati il provider di Cloud riveste senza dubbio il ruolo di responsabile ex art. 28, appare pacifico che oggi, indipendentemente dalle previsioni contrattuali e dalla “forza contrattuale” delle parti, il titolare è, giuridicamente, posto nella condizione di effettuare un audit relativo alla protezione dei dati. Il titolare può anche prendere in considerazione come elemento di valutazione la presenza di certificazioni conseguite dal responsabile.

Digital forensics nel Cloud

L’attività ispettiva condotta dalle Pubbliche Autorità sia in ambito amministrativo sia in ambito penale con riferimento ai documenti a rilevanza tributaria e/o legale di un’impresa, archiviati e conservati in ambienti Cloud, può presentare aspetti significativi di complessità e di relativa novità, poiché le procedure tradizionali e consolidate da seguire per le attività ispettive non sono applicabili nell’ambito Cloud. Al riguardo si rimanda alla lettura della Sezione III/Digital forensics nel Cloud, che approfondisce una materia che presenta ancora molti aspetti di indeterminatezza.

Filiere di fornitura

Il ricorso a filiere di fornitura, costituisce una delle caratteristiche principali e connaturate all’offerta di servizi Cloud . Con riferimento ai servizi che hanno ad oggetto il trattamento di dati personali, la materia del subappalto è stata resa più trasparente e controllabile grazie alle previsioni introdotte dal nuovo Regolamento Generale sulla protezione dei dati (Regolamento UE 2016/679. Alla luce di quanto disposto dall’art. 28 del Regolamento, infatti, il Cloud provider – che tipicamente agisce quale responsabile del trattamento – non potrà avvalersi di ulteriori sub-responsabili senza prima aver ricevuto apposita autorizzazione scritta in tal senso da parte del cliente.

Comunicazione dei data breach

Il GDPR, ha generalizzato l’obbligo di notificazione all’Autorità Garante delle violazioni di sicurezza che riguardino dati personali. In ordine alla gestione pratica dei data breach, è imprescindibilepredisporre, in ossequio al principio di accountability, idonei sistemi e processi di individuazione e di immediato contenimento delle violazioni. Il Cloud Service Provider deve affrontare i profili della notificazione) dei data breach sotto due prospettive differenti, poiché assume quasi invariabilmente sia la veste di titolare del trattamento, che di responsabile ex art. 28 del GDPR. Il responsabile (nel caso concreto il Cloud Service Provider) deve, una volta venuto a conoscenza della violazione, comunicare la stessa ”senza ingiustificato ritardo” al titolare o ai titolari i cui trattamenti siano stati oggetto della violazione. E’ quindi importantissimo che il data protection agreement ex art. 28 GDPR contenga delle norme che regolino in maniera precisa e puntuale gli aspetti relativi alle violazioni di dati personali.

Clausole penali e SLA

Un contratto di servizio Cloud deve includere necessariamente misure della qualità del servizio erogato, le penali qualora si riscontrino perdite di performance del servizio e le clausole che permettano la rinegoziazione delle condizioni contrattuali qualora entrambe le parti o anche una di esse riscontri gravi negligenze o danni ai propri obiettivi di business. La presenza di misure quantitative, calcolate in modo condiviso con processi automatici, qualifica il servizio fornito dal Cloud provider permettendo alle parti di poter dialogare, confrontarsi facendo convergere i propri obiettivi. In presenza di contenziosi le parti potranno utilizzare le informazioni raccolte per quantificare i danni subiti dal cliente o i costi aggiuntivi a carico del Cloud provider. Questo può avvenire se esiste un modello di controllo che permetta sia l’attivazione di penali e il loro eventuale reintegro, garantendo e forzando la corretta misura della qualità del servizio erogato. E’ pertanto fondamentale definire appositi SLA (Service Level agreement) e PKI (Process Key Indicator) relativi alla Sicurezza delle informazioni presso il Cloud Service Provider e presso il Committente. Tali indicatori, oltre che essere una leva gestionale importante per il Vertice aziendale, presentano sempre più forte rilevanza per gli Stakeholders dell’organizzazione e per le Autorità di controllo.

Sezione IV “Conformità”

La conformità negli ultimi anni

Negli ultimi anni, abbiamo assistito ad un incremento delle regole europee (in prevalenza Regolamenti e non Direttive, come nel caso di GDPR) e nazionali che le aziende devono seguire. Fra le principali caratteristiche del nuovo quadro normativo la necessità di fronteggiare l’aumento degli incidenti di sicurezza informatica , la tutela degli interessi di soggetti terzi, la comunanza di misure di sicurezza per la protezione dei beni valide per soggetti terzi e per l’organizzazione, lo sviluppo del mercato unico digitale , per la libera circolazione di beni, persone e servizi e per la protezione del mercato, la presenza di Norme con un elevato livello di astrazione, per favorire trasparenza e durata nel tempo delle normative. Itemi più ricorrenti delle nuove normative riguardano laAnalisi del rischio, laResponsabilizzazione (accountability), le Valutazioni di terze parti, i Trasferimenti di dati all’estero, le Filiere di fornitura e il Diritto di audit.

Analisi del Rischio

L’analisi dei rischi è l’attività con la quale si quantificano i rischi in un determinato ambito al fine di valutare se tali rischi rientrino in livelli di tollerabilità o se necessario definire le contromisure necessarie a ridurre gli stessi ad un livello considerato accettabile. La definizione più utilizzata nelle metodologie di analisi dei rischi identifica il rischio come prodotto fra impatto [danno] e probabilità che un evento pericoloso si realizzi . Sono numerose le recenti normative che richiedono un approccio alla conformità basato su una valutazione del rischio, motivo per cui le organizzazioni stanno seguendo la tendenza di effettuare un’analisi dei rischi e considerarla esaustiva per tutte le normative. Questo è ovviamente un grave errore in quanto i beni per i quali si sta valutando il rischio cambiano; pertanto la metodologia può essere la stessa (anche al fine di poter comparare i risultati delle analisi) ma le minacce, gli impatti e le possibili contromisure devono essere contestualizzate rispetto al rischio che si sta valutando.

Trasferimento dei dati all'estero

Relativamente ai Trasferimento dei dati all'estero, la vigente normativa sulla protezione dei dati personali (Regolamento UE 679/2016 o “GDPR”) distingue essenzialmente due casi: i trasferimenti verso Paesi appartenenti all’Unione Europea o alla European Economic Area e quelli verso Paesi non appartenenti alla UE . Nel primo caso (Paesi UE), il GDPR non pone limitazioni né divieti al trasferimento di dati personali, per cui non sono previsti ulteriori adempimenti rispetto a quelli applicabili ai trattamenti effettuati in uno Stato membro (ad esempio la designazione a responsabile del trattamento nei confronti di un fornitore). Il trasferimento di dati personali verso Paesi non appartenenti alla UE o alla EEA, invece, è consentito solo in presenza di adeguate garanzie riportate nel Sezione IV/ Trasferimento dei dati all’estero. Un caso particolare è rappresentato dai trasferimenti di dati personali dalla UE verso gli USA. Al riguardo la Commissione Europea ed il Governo USA hanno elaborato il Privacy Shield Framework, che sostituisce il precedente accordo del 2000 denominato “Safe Harbor”, non più applicabile, in quanto dichiarato invalido da parte della Corte di Giustizia Europea.

Gli Impatti GDPR

L’introduzione del GDPR introduce numerosi nuovi adempimenti sia lato utenti e clienti dei servizi Cloud, sia da parte dei soggetti fornitori di tali servizi. In particolare il cliente dei servizi Cloud opererà quale titolare o responsabile del trattamento, mentre il fornitore dei servizi opererà di norma quale responsabile o sub-responsabile del trattamento. Nel caso in cui uno dei due soggetti sia collocato al di fuori dell’UE dovrà designare un rappresentante all’interno dell’UE (tale obbligo in precedenza riguardava il solo titolare). Difficilmente, a differenza di quanto accadeva con il D.Lgs 196/03, il fornitore di servizi Cloud potrà operare con un ruolo diverso da quello di responsabile del trattamento. Avere il ruolo di responsabile o sub-responsabile costituisce in realtà un grosso vantaggio per i fornitori di servizi Cloud. Il rapporto tra cliente (titolare o responsabile) e fornitore (responsabile o sub-responsabile) deve basarsi su un contratto. Le condizioni cui deve sottostare un responsabile (o sub-responsabile) di trattamento sono indicate nell’art. 28 del GDPR e comprendono fra gli altri:

● l’adozione di adeguate misure di sicurezza;

● il supporto al titolare in caso di violazione dei dati (data breach);

● il supporto al titolare nel rispondere alle richieste dei soggetti interessati;

● la compilazione di un registro di trattamento per ognuno dei titolari per cui svolge un trattamento.

Compliance NIS

I fornitori di servizi di Cloud computing rientrano fra quelli che sono soggetti al rispetto della Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione , cosiddetta Direttiva NIS e della relativa norma di recepimento nazionale. La normativa impone ai fornitori di servizi di Cloud computing un insieme di obblighi da rispettare in termini di misure tecniche e organizzative che, tenuto conto delle conoscenze più aggiornate in materia, assicurino un livello di sicurezza della rete e del sistema informativo adeguato e proporzionato al rischio . I fornitori di servizi Cloud sono altresì obbligati a notificare al CSIRT nazionale e, per conoscenza, all’autorità competente NIS di riferimento (ossia, in Italia, al Ministero dello sviluppo economico), qualsiasi incidente avente un impatto rilevante sui servizi da loro offerti e senza indebito ritardo.

EBA Cloud Adoption Guidelines

A dicembre 2017 l’EBA (autorità bancaria europea) ha emesso un documento dal titolo “ Final Report Recommendations on outsourcing to Cloud service providers”. In particolare l’uso del Cloud è normato ma non è (ovviamente) vietato. Il tema della localizzazione all’estero, in EU o al di fuori dell’Unione, è trattato all’interno dei fattori di rischio. L’analisi del rischio, l’assessment e l’accountability sono al centro dei requisiti per l’adozione del Cloud, unitamente agli standard di sicurezza da adottare.

Cloud Compliance

Le aziende clienti dei Servizi Cloud dovrebbero inserire accordi sul livello di servizio (SLA) o chiedere ai fornitori di servizi Cloud di soddisfare obiettivi di controllo e indicatori di prestazioni . In ogni caso l'elemento chiave è la fiducia nel Provider , che è un componente fondamentale nel Cloud computing. Una buona regola è quella di selezionare Provider che hanno una storia significativa nel settore dei servizi Cloud e possono fornire solidi riferimenti commerciali. Inoltre è fondamentale esplicitare a livello contrattuale le soluzioni in atto presso il Provider relative alle misure di sicurezza, alle procedure di controllo, alle certificazioni conseguite da provider, ecc.

Sezione V “Best practices e punti di riferimento”

Best practices

A livello generale i riferimenti agli standard internazionali in materia di sicurezza delle informazioni sono essenzialmente due, ovvero l’Information Standards Organization (ISO) ed il National Institute of Standards and Technologies americano (NIST). Il primo, a partire dalla norma di base ISO/IEC 27001 relativa ai “Sistemi di gestione della sicurezza delle informazioni” ha derivato due ulteriori standard ovvero ISO 27017, relativo ai controlli di sicurezza da adottare per i sistemi in Cloud ed ISO 27018, relativo alla protezione delle informazioni personali (PII, ovvero Personal Identifiable Informations nell’accezione internazionale) in tali ambienti. Dal suo canto il NIST ha pubblicato un nutrito gruppo di linee guida in materia contenuto in una decina di pubblicazioni, codificate come “Special Publications”, appartenenti alle serie 500 ed 800, che verranno referenziate nei capitoli successivi. Da segnalare il rilevante apporto specifico alla tematica rappresentato dall’organizzazione internazionale Cloud Security Alliance (CSA) che ha pubblicato il CSA Cloud Control Matrix, ovvero lo schema di riferimento cui si devono adeguare i fornitori di servizi Cloud che intendono sottoporre i servizi offerti alla clientela rispetto alla norma di certificazione CSA STAR. Si rimanda alla lettura del Sezione V della pubblicazione la descrizione delle best practices citate, che presentano per il Cloud Service provider una importante leva di accountability e di qualificazione sul mercato. Si rimanda alla lettura del Sezione V/Best Practices della Pubblicazione la descrizione dei contenuti delle Best Practices citate, che presentano per il Cloud Service provider un importante elemento di accountability ed una leva rilevante di qualificazione del Provider.

Iniziative di standardizzazione europea

Le iniziative di standardizzazione europea sono parte integrante del programma “Unleashing the potential of Cloud computing in Europe”, avviato dalla CE nel 2012, che a sua volta si inserisce nell’ambito della “Digital Single Market Strategy” perseguita dalle istituzioni europee. Fra le iniziative più significative per il mercato dei Servizi Cloud:

● Cloud Service Level Agreements Standardization Guidelines;

● Code of conduct for Cloud Services Providers.

Si rimanda alla lettura del Sezione V/Iniziative di standardizzazione europea della Pubblicazione la descrizione delle Iniziative citate, che presentano per il Cloud Service provider una importante riferimento metodologico in logica di condizioni contrattuali e di trasparenza dei servizi erogati dal Provider.

Contratti quadro di AGID

L’Agenzia per l’Italia Digitale (AgID), in collaborazione con il Team per la Trasformazione Digitale, ha realizzato il sito informativo Cloud.italia.it con lo scopo di rendere pubblica la strategia di adozione del Cloud Computing nella Pubblica Amministrazione (PA) e raccogliere informazioni e strumenti utili alla realizzazione di tale strategia. A partire da lunedì 23/07/2018 è possibile richiedere la qualificazione di Cloud Service Provider per la PA ed accedere al Marketplace dei servizi qualificati, mediante la piattaforma temporanea di qualificazione messa a disposizione da AgID. Si rimanda alla lettura del Sezione V/Contratti quadro di Agid della Pubblicazione la descrizione dei contenuti dei Contratti quadro di AGID, che costituiscono per i Cloud Service Provider che operano per la PA un riferimento imprescindibile.

Codici di condotta Cloud GDPR e CSA Privacy level Agreement

Il tema dei Codici di condotta , previsti dall’art. 40 GDPR, è un tema particolarmente interessante per il Cloud computing. In linea generale, questi servono, infatti, a facilitare l’effettiva applicazione delle disposizioni del GDPR da parte di un gruppo di enti o di persone; nello stesso tempopossono servire a dimostrare, in virtù del principio dell’ accountability, la conformità del trattamento operato dal titolare dei dati o del responsabile in ordine all’esatta individuazione dei rischi connessi ai trattamenti. Si deve, per altro, da subito precisare che, al momento della stesura di queste note, non esiste ancora alcun Codice di condotta approvato. Al riguardo è utile ricordare l’esistenza di interessanti proposte, descritte nel :Sezione V/Codici di condotta della Pubblicazione.

● CISPE: Cloud Infrastructure Service Provider in Europe;

● CSA: Code of Conduct for GDPR Compliance;

● EuCoC: EU Cloud Code of Conduct.

E' possibile misurare?

L’utilizzo di metriche quantitative per qualificare la sicurezza di un servizio erogato da un Cloud provider verso un cliente permette di avere le informazioni necessarie per determinare in modo obiettivo e significativo il raggiungimento dei rispettivi obiettivi di business. Per realizzare l’obiettivo citato è necessario fare riferimento a tre capisaldi:

● Modello di misura;

● Modello di controllo;

● Modello di gestione.

Per approfondimenti si rimanda alla Sezione V/E’ possibile misurare? della Pubblicazione.

Sezione VI "Conclusioni e commenti finali" e appendici

Chiudiamo questa pubblicazione con una sesta sezione e alcune appendici.

La sezione VI ci rammenta, pur nella sua brevità, che il cloud abilita l’innovazione e che al giorno d’oggi non se ne può prescindere. Il cloud infatti permette: servizi di ultima generazione (machine learning, analytics, big data), scalabilità e flessibilità garantiti “on demand”, riduzione dei costi e migliore efficienza e qualità delle attività IT, servizi e infrastrutture di sicurezza realizzati su vasta scala. Pur avendo scritto per decine di pagine di security, compliance e contratti, non vorremmo lasciare al lettore l’impressione che il cloud sia complesso e che sia meglio evitarlo. Semplicemente non era negli obiettivi di questa pubblicazione parlare diffusamente dei benefici ma di dare degli strumenti per adottarlo consapevolmente.

La prima appendice riporta con più dettaglio delle considerazioni sulla sicurezza del cloud e la quarta un maggior dettaglio rispetto ad un possibile sistema con il quale misurare le performance di un cloud provider.
La seconda appendice riporta i testi delle interviste ad alcune aziende utilizzatrici e la terza quelli delle aziende fornitrici. A loro va il nostro sentito ringraziamento per il tempo che ci hanno dedicato.
La pubblicazione si chiude con i nomi delle 54 persone che l’hanno realizzato.

Download

È possibile scaricare il documento (aggiornato a marzo 2019) cliccando sulla copertina del libro, o sul pulsante di download.



Consapevolmente Cloud
Scarica il libro

Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s