Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
1. Scegliere i servizi cloud: il
metodo di approccio e il
rischio cyber
Luca Moroni – Via Virtuosa
Vicenza – 10/11/2017
2. Coordinatore Gruppi di lavoro ISACA VENICE
✔ Quaderno n.1: Vulnerability Assessment e Penetration Test: Linee
guida per l’utente di verifiche di terze parti sulla sicurezza ICT.
✔ Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza
delle Aziende nei Settori Critici del Nord Est: Scenario e Linee guida per
l’autovalutazione
Gruppo di traduzone ISACA VENICE
✔ Proteggere i dispositivi Mobili
Editore del White Paper Cyber Risk Exposure e Cyber Insurance
Laureato in Informatica (1989. Milano), Certificato CISA, ISO 27001 e ITIL V3
ed altre certificazioni tecniche
Focalizzato sulla Cybersecurity dal 2000 e speaker sul tema in seminari in
Italia e all’estero
Fondatore della Startup Innovativa Via Virtuosa focalizzata nello scouting e
promozione delle massime competenza sui temi della Cybersecurity e dell’ IT
Governance nel Nord Est.
Luca Moroni
Chi sono
4. Che cosa è il Cloud?
Aruba S.p.A. Ponte San Pietro (Bergamo). Global Cloud Data Center
5. Software as a Service (SaaS): utilizzo di programmi
in remoto via Internet
Platform as a Service (PaaS): utilizzo di una
piattaforma fatta di servizi e programmi in remoto
Infrastructure as a Service (IaaS): utilizzo di
hardware remoto
Tipi di Cloud
7. Veloce da attivare
Lavori ovunque e su
ogni device
Costa poco o è Gratis
Scalabilità della
infrastruttura
Accesso a grandi
capacità di calcolo
Aggiornamento
CLOUD SI o NO?
Perdita del controllo
dei dati
Lock-In del fornitore
Contratti sfavorevoli
Sbilanciamento verso
l’esterno
Totale trasparenza
Cambio condizioni
Aderenza alle leggi
SI NO
13. • Perdita del controllo dei dati
• Lock-In del fornitore
• Contratti sfavorevoli
• Sbilanciamento verso l’esterno
• Obbligo di aggiornare
• Totale trasparenza
• Cambio condizioni
• Aderenza alle leggi
Perché NO
14. Cloud e Sicurezza dei dati non vanno d’accordo
Domande da porsi quando si usano
sistemi in cloud:
1. dove finiscono i dati?
2. quali sono le restrizioni di lettura e
scrittura dei file?
3. chi possiede l’accesso ai file?
16. • Lock-in
• Perdita di Governance
• Conformità
• Mancato isolamento
• Insider malevolo presso il cloud provider – Abuso di ruoli
con privilegi elevati
• Ordine di comparizione o di produzione in giudizio e
acquisizione delle prove elettroniche nel processo (c.d. e-
discovery)
• Rischi derivanti dal cambio di giurisdizione
• Rischi per la protezione dei dati
• Gestione della rete (ad esempio, congestione / mala
connessione / utilizzo non ottimale della rete)
I Rischi più critici
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
17. • Mancano formati standard dei dati e interfacce verso i
servizi che possano garantire la portabilità di dati,
applicazioni e servizi.
• Difficoltoso per il cliente migrare da un fornitore a un altro, o
riportare indietro dati e servizi verso un ambiente IT interno.
Dipendenza = Lock-in
Lock-in
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
19. Con l'utilizzo di infrastrutture cloud, il cliente cede
necessariamente il controllo al Cloud Provider (CP) su una
quantità di aspetti che si ripercuotono sulla sicurezza. Allo
stesso tempo, gli SLA possono non offrire un impegno a
fornire tali servizi da parte del cloud provider, lasciando così
una lacuna nelle misure di difesa per la sicurezza.
Perdita di Governance
CSA: Benefici, rischi e raccomandazioni per la sicurezza delle informazioni 2013
21. • Grande differenza nei rapporti contrattuali tra il
cloud provider e il cliente
• Potere negoziale del cliente è praticamente nullo
• Solo i clienti più grandi possono avere delle
deroghe rispetto allo standard.
• Valutazione di impatto sui processi aziendali.
• Rischi connessi ad indisponibilità,
malfunzionamenti del servizio o violazioni
accidentali o volontarie dei dati trattati
• Contratti molto complessi e divisi in più parti
Problemi nei contratti
22. If we discontinue a Service, where reasonably possible,
we will give you reasonable advance notice and a chance
to get information out of that Service (Google Terms of Service)
• The recipient will ensure that Confidential Information
are used only to fulfil obligations under the Agreement
while ensuring reasonable care to keep it confidential
• If the Agreement is terminated…upon request, each
party will use commercially reasonable efforts to return
or destroy all Confidential Information of the other party.
(Google Platform Terms of Service)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
24. Il mancato raggiungimento degli SLA - su base mensile - è
compensato con crediti di servizio (SLA for Microsoft Online
Services 5/2017)
Gli SLA possono essere modificati nel corso del contratto
e in tal caso è facoltà del Cliente di recedere 30 gg entro
la pubblicazione della modifica (SLA Aruba)
Google, legge applicabile dello Stato della California
(USA)- Foro Competente: Santa Clara, California
(Google Cloud Platform Terms of Service)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
26. Telecom non garantisce operazioni prive di interruzioni o errori. Il
Richiedente conosce le caratteristiche della Piattaforma e del
Software e accetta il rischio relativo alla funzionalità della
Piattaforma rispetto alle proprie necessità
• Telecom garantisce un livello di professionalità adeguato
• Non risponde per danni da attacchi informatici
• Fatti salvi i casi di dolo o colpa grave di Telecom o dei suoi
subfornitori, Telecom non si assume nessuna responsabilità per i
danni diretti o indiretti subiti dal Richiedente o da terzi, in
dipendenza dall’uso o mancato uso del Servizio o da quanto messo
a disposizione da Telecom stessa
(Condizioni Generali di contratto per i servizi infrastrutturali ITC)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
28. • Utilizziamo le informazioni raccolte da tutti i nostri servizi per
poterli fornire, gestire, proteggere e migliorare, per svilupparne di
nuovi e per proteggere Google e i suoi utenti
• Google tratta le informazioni personali sui suoi server in diversi
Paesi in tutto il mondo. Potremmo trattare informazioni personali
su un server sito in un Paese diverso da quello in cui si trova l’utente
• Forniamo informazioni personali ai nostri affiliati o ad altre
aziende o persone fidate affinché le trattino per noi in base alle
nostre istruzioni e nel rispetto delle nostre Norme sulla privacy
(Norme sulla privacy Google 17.04.2017)
Problemi nei contratti
CONTRATTI CLOUD PER LE AZIENDE avv. Cristina Franchi UNINDUSTRIA TREVISO 12/7/17
33. Il cloud è una opportunità di business
ma comporta dei rischi
• In cloud vanno le commodity e i servizi accessori
• Valutare oggettivamente il Cloud Provider
• L’abbattimento dei costi di HW e SW si controbilancia con
la necessità di controllare
• Preferire chi deve adeguarsi alle nostre stesse leggi in
ambito EU
• Elaborare una strategia di rientro tecnologico (non solo
legale)
• Misurare la qualità del servizio che viene erogato
Conclusioni