Facendo gli onori di casa oggi al Cloud Security Summit, il Presidente di CSA Italy Alberto Manfredi ha voluto lanciare subito due “take away”: #1 la Privacy era un ostacolo al porting dei dati aziendali in cloud; possiamo dire che ora non lo \u00e8 pi\u00f9; il cloud non fa pi\u00f9 paura perch\u00e9 abbiamo gli strumenti tecnici e giuridici per governarlo. #2 il cloud si pu\u00f2 mettere in sicurezza e forse \u00e8 anche pi\u00f9 facile che per le soluzioni di IT tradizionale. Diversi oratori di livello hanno quindi tentato di dimostrare che tutto ci\u00f2 corrisponde al vero, nell’offerta dei provider, come anche nell’esperienza delle aziende clienti.<\/p>\n
Va detto che l’approccio strategico al cloud (prima preparo l’infrastruttura e la sicurezza, poi adatto le applicazioni e alla fine ci sposto i dati) non sempre \u00e8 praticabile, come ha riconosciuto il CEO di Cloud Security Alliance Jim Reavis, e lascia spesso il passo ad un approccio opportunistico (colgo le occasioni) o addirittura alla semplice presa di coscienza del dato di fatto che il cloud semplicemente \u00e8 gi\u00e0 entrato in azienda. Problemi e soluzioni diventano molto diversi passando dalla sicurezza applicata ai server (che tendenzialmente sono stabili negli anni) alla sicurezza applicata ai servizi (che possono essere attivati e disattivati di continuo). Per questo forse ci sono un milione di posti di lavoro vacanti nella IT Security… Passando dalla IaaS alla PaaS ed al SaaS il focus della sicurezza si sposta dal cliente al fornitore, il che comporta la necessit\u00e0 di una eccellente gestione dei contratti.<\/p>\n
Lo ha precisato Mariangela Fagnani (Senior Advisor di Sernet e Board Member di Clusit): a seconda del modello di cloud le responsabilit\u00e0 sulla privacy e la sicurezza differiscono; per il SaaS riguardano essenzialmente la governance e la compliance, due aspetti contrattuali da definire precisamente senza lasciare aree grigie, con particolare attenzione al regime dei controlli. Su questo terreno vengono in aiuto specifiche norme ISO: la 27017 (valida sia per i clienti che per i fornitori), di recente introduzione, e la 27018 (dedicata alla protezione dei Dati Personali in cloud), gi\u00e0 applicata su diverse realt\u00e0 anche italiane. Pur trattandosi di Linee Guida, quindi non certificabili, \u00e8 possibile ottenere un certificato di conformit\u00e0; Microsoft \u00e8 stato il primo vendor a riceverlo per la sua soluzione cloud, come ha ricordato Andrea Piazza, Chief Security Advisor di Microsoft Italy.<\/p>\n
Ma per approfondire le tematiche contrattuali chi meglio di un Legale altamente specializzato? Per Gabriele Faggioli (di Partners4Innovation e Presidente di Clusit) gli aspetti tecnologici della sicurezza possono essere coperti dai provider meglio di quanto siano spesso in grado di fare le aziende, ma per la maggior parte di quelle che approcciano il cloud non \u00e8 sempre semplice ottenere condizioni contrattuali sicure, soprattutto se si tratta di PMI, tipicamente dotate di scarsa forza contrattuale verso i grandi player del mercato. Bisogna comunque tentare di chiedere trasparenza sui livelli di sicurezza garantiti. Per la privacy vanno presi in considerazione anche il trasferimento dei dati personali all’estero e l’applicazione delle misure di sicurezza (minime e idonee). Il fornitore deve fornire evidenze e il cliente deve chiedere di metterle come clausole contrattuali, seguendo i consigli del parere 5\/2012 del WP29. A questo proposito il GDPR porter\u00e0 un cambio di prospettive: nei contratti andranno inserite ad esempio clausole sulla portabilit\u00e0 dei dati ex art. 20, la nomina del fornitore a Responsabile del Trattamento, le modalit\u00e0 di Audit che consentiranno al Titolare di disporre della documentazione necessaria in ottica di accountability. Da non dimenticare gli obblighi in caso di Data Breach: sar\u00e0 necessaria la tempestiva comunicazione agli interessati e alla DPA, a meno che i dati non siano stati opportunamente criptati e quindi risultino inutilizzabili. NB: queste novit\u00e0 andrebbero inserite da subito, in tutti i contratti (esistenti o nuovi) che saranno ancora in vigore a giugno 2018.<\/p>","protected":false},"excerpt":{"rendered":"
Facendo gli onori di casa oggi al Cloud Security Summit, il Presidente di CSA Italy Alberto Manfredi ha voluto lanciare subito due “take away”: #1 la Privacy era un ostacolo al porting dei dati aziendali in cloud; possiamo dire che ora non lo \u00e8 pi\u00f9; il cloud non fa pi\u00f9 paura perch\u00e9 abbiamo gli strumenti\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,17],"tags":[231,232,60,117,159],"class_list":["post-1620","post","type-post","status-publish","format-standard","hentry","category-legal-framework","category-open-forum","tag-cloud","tag-contracts","tag-gdpr","tag-privacy","tag-security"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1620"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1620\/revisions"}],"predecessor-version":[{"id":1631,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1620\/revisions\/1631"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}