Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

[This blog post has been republished as-is on February 2019]

E’ trascorso un anno da quando ho iniziato ad incontrare i clienti italiani per condividere l’impegno di Microsoft a supporto della compliance alla GDPR, quale uno degli impegni del mio ruolo di specialista dei temi CyberSecurity, Privacy e Compliance in Microsoft Italia. Credo di aver incontrato più di 50 clienti Enterprise medio-grandi in modalità 1to1, e tanti di più approfittando di alcuni eventi pubblici in cui sono intervenuto come speaker/panelist, quale il CLUSIT Security Summit 2017 a Roma o l’ultimo TIG CyberSecurity Summit – Roma 2018 dello scorso 21 marzo.

In tutte queste occasioni il tema centrale del mio contributo è sempre stato quello che vi riporto quale titolo di questo blog post, ossia far apprezzare quanto il paradigma del cloud, ed in particolare di quello che è in grado di essere proposto da Microsoft, possa rappresentare un vero e proprio acceleratore a supporto delle attività che ogni cliente deve attuare in ambito IT per soddisfare i requisiti del nuovo regolamento.

Sì lo so, per tanti di voi questa mia affermazione appare alquanto controversa (e a giudicare da alcune provocazioni sollevate durante il recente #TIGcybersec, per alcuni addirittura difficilmente concepibile …): è proprio per argomentare meglio le mie considerazioni a supporto di tale tesi che ho deciso di scrivere questo post.

E’ vero che finora il cloud ha particolarmente sofferto nella capacità di dimostrare in modo semplice ed incontrovertibile di poter essere giudicato “compliant” rispetto ai diversi requisiti normativi, in particolare in ambito Data Protection/Privacy, ma spero di riuscire a convincervi di quanto ora l’impianto normativo della GDPR crei i presupposti per ribaltare questa dinamica e tramutare la compliance da ostacolo verso l’adozione del cloud, a vero e proprio facilitatore della stessa adozione.

Questi i passaggi logici di quanto vado a condividervi:

  • La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento
  • Tutele contrattuali a cui è chiamato il Cloud Service Provider
  • Il vero modello logico sulla Cloud Security
  • Il ruolo e valore della nuova Microsoft Security platform

La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento (Data Processor)

E’ probabilmente una delle novità GDPR meno evidenti e sottolineate, ma è di fondamentale importanza per comprendere il ruolo del Cloud nella compliance GDPR: nella nuova normativa, il “peso” delle responsabilità alla conformità in ambito Data Protection/Privacy non è solo sulle spalle del Titolare del Trattamento (Data Controller) ma è più correttamente bilanciato su entrambe le parti che concorrono, pur con ruoli diversi, a tale trattamento.

Nell’attuale normativa ancora per poco vigente, la Direttiva europea (la 95/46/CE) e la nostra locale declinazione (Legge Privacy italiana, il DL 196-2003), praticamente l’unico ruolo chiamato a rispondere di inadempienze e a cui spetta anche il compito di vigilare rispetto all’applicazione delle istruzioni operative impartite al Responsabile in merito alle modalità del trattamento è il Titolare del Trattamento (Data Controller).

Con la GDPR non è più esattamente così: come si potrà leggere dall’articolo 28, il Responsabile del Trattamento (Data Processor) deve essere vincolato da un contratto che lo lega alle proprie responsabilità di fornire le sufficienti garanzie di implementazione delle misure tecnico-organizzative appropriate per realizzare un trattamento conforme.

Tutele contrattuali a cui è chiamato il Cloud Service Provider

Una soluzione di tipo Cloud sicuramente rappresenta una esternalizzazione del trattamento che richiede al Cloud Service Provider di essere nominato quale Responsabile del Trattamento (Data Processor), e questo, alla luce della considerazione appena fatta sulla corresponsabilità che deve essere definita a livello contrattuale, implica che i contratti cloud DEVONO includere tali garanzie in chiave GDPR.

Non è mio compito dirvi se tutti i Cloud Service Provider siano già in grado di offrirvelo (vi inviterei a verificarlo ), ma posso confermarvi che

  1. sono diversi anni che il contratto alla base delle soluzioni cloud di Microsoft include tale definizione di ruoli privacy chiaramente definiti.
  2. Il contratto per i servizi cloud di Microsoft include già dallo scorso settembre 2017 gli impegni contrattuali di conformità GDPR che entreranno in vigore il 25 maggio 2018.

Quando mi riferisco al contratto alla base delle soluzioni cloud di Microsoft, sto di fatto facendo riferimento al documento centrale che racchiude tutti i termini di Sicurezza e Privacy relativi alle soluzioni online, denominato in italiano “Condizioni per l’Utilizzo dei Servizi Online” (e in inglese “Online Services Terms“, con l’acronimo OST che userò d’ora in avanti per citarlo), che è pubblicamente disponibile e scaricabile dal sito Microsoft di Volume Licensing: nell’OST troverete presenti l’Allegato 4 e l’Appendice 1 che rappresentano proprio i “commitment GDPR” che ogni cliente deve pretendere dai propri Cloud Service Provider.

Quindi a questo punto vi domanderete: dal momento che il contratto cloud di Microsoft include già le tutele contrattuali necessarie, posso dire quindi di aver già soddisfatto tutti i requisiti di conformità GDPR nell’utilizzo di tali servizi ?

Mi piacerebbe potervi rispondere di sì, ma la realtà ahimé non è così semplice…vi aspetto per la seconda parte di questo blog post per spiegarvelo!

P.S. ricordo il post che agirà da sommario di tutti i miei post a tema GDPR:

 

A presto!

 

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

NonSoloSecurity reloaded

[This blog post has been republished as-is on February 2019]

10 anni: sì, il blog che state leggendo ha appena compiuto 10 anni ! Come si può facilmente immaginare 10 anni in ambito informatico equivalgono ad almeno 3-4 ere geologiche e quindi ne sono successe di cose nel frattempo… Questo stesso blog, con i suoi 824 post (a ieri), ha vissuto diversi alti e bassi, diversi stop ed altrettante ripartenze, più o meno coincidenti con il mio percorso di crescita professionale attraverso i vari ruoli ricoperti in Microsoft Italia e la relativa possibilità di essere totalmente o solo indirettamente focalizzato sui temi Security.

Ma a dispetto del passare del tempo, di tutto, e di tutti coloro che hanno pensato potesse essere una perdita di tempo occuparsi di Sicurezza, ho cercato di non far spegnere mai la profonda PASSIONE per questi temi nell’attesa di poter tornare presto da un lato ad occuparmene di nuovo come responsabilità primaria, dall’altro, se possibile, di riuscire a ritagliare del tempo personale per rivitalizzare questo blog.

Ecco credo che oggi ci possano finalmente essere le condizioni affinché questo avvenga: sono già 15 mesi che ricopro il ruolo di Technical Specialist delle soluzioni di “Enterprise Mobility and Security” all’interno della divisione di Microsoft Italia che segue i grandi clienti e questo sta implicando la tanto desiderata possibilità di rioccuparmi a tempo pieno dei temi Security, Privacy, Compliance, in particolare applicati ai contesti mobility & cloud.

Detto questo vi starete domandando: ma ha senso rilanciare oggi un blog sulla Sicurezza con particolare focalizzazione sulle tecnologie Microsoft? Ecco, il punto che lega il mio ruolo attuale alla possibilità, e io penso anche opportunità, di rilanciare il blog stia proprio nella rinnovata condizione che mi spinse 10 anni fa ad aprire quello che allora si chiamava solo “Security Blog di Feliciano Intini” poi ribattezzato in “NonSoloSecurity”: siamo di nuovo di fronte ad una tale imponente evoluzione strategica dell’investimento Microsoft sulle tecnologie di sicurezza che credo possa servire aiuto per, spero, farvi apprezzare la rapidissima progressione delle innovazioni e l’utilità delle soluzioni messe a vostra disposizione per proteggere gli asset IT nel contesto moderno caratterizzato dall’uso sempre più diffuso della mobilità e delle tecnologie cloud.

10 anni fa esordivo infatti con questo post “Ciao e benvenuti sul mio nuovo blog!” e il giorno dopo vi proponevo un vero e proprio “Piano dell’opera” per allettarvi sulle numerose tecnologie di sicurezza utili per implementare un modello di Defense In-Depth basato su soluzioni/tecnologie/prodotti Microsoft:

image

Oggi mi ritrovo nella possibilità di rilanciare questo blog per condividervi quanto i diversi investimenti sulle tecnologie di sicurezza stiano permettendo a Microsoft di riproporvi una nuova Security platform:

image

in grado di offrirvi un nuovo set di soluzioni di sicurezza che attraversa i diversi ambiti di protezione, a partire dall’endpoint, passando per l’infrastruttura e includendo le soluzioni applicative:

image

Se tanto è cambiato nella capacità di Microsoft di comunicare le innovazioni tecnologiche (siti, blog, canali twitter), temo possa esserci ancora bisogno di un pizzico di aiuto per orientarvi nell’onda anomala di novità, specialmente quando fanno capo a diversi gruppi di prodotto: eccomi qua!

Spero ritroverete utile tornare o iniziare a seguirmi, sia tramite il blog e relativo feed RSS, che tramite i due canali twitter che vi riporto in firma.

A presto!

Feliciano

@felicianointini (mostly in Italian – technical & non technical tweets)

@NonSoloSecurity (English only – technical only)

“Piano dell’opera”

[This blog post has been republished as-is on February 2019]

So bene di non essere l’Oxford English Dictionary (… sapevate che la terza edizione verrà completata tra 20-25 anni e passerà dagli attuali 20 volumi a 40 tomi per un totale di circa 1.000.000 di parole ???), ma oggi parlare di Microsoft Security vuol dire toccare una serie di tecnologie, funzionalità, servizi e prodotti che spaziano a 360° sullo spettro del tema Sicurezza Informatica. Ritengo quindi opportuno dare un ordine ai temi che toccherò via via, e per farlo utilizzerò la tassonomia che utilizziamo nel nostro gruppo Premier Center for Security (il PCfS è il gruppo operativo di sicurezza di Microsoft Italia di cui faccio parte…seguirà post di approfondimento!), diretta estensione del modello Defence-In-Depth (DiD), il quale prevede di operare delle attività di hardening a tutti i livelli che devono essere attraversati da un intrusore per tentare di accedere all’informazione da carpire/compromettere.

 

Quindi i post saranno strutturati secondo le seguenti categorie, in modo da agevolarvi la consultazione a posteriori (vi aggiungo delle idee su cosa potranno contenere):

Network Security

Esempi: ISA Server, IPSEC, Soluzioni di Server&Domain Isolation, Wireless Security, VPN, NAP,…

Host Security

Esempi: hardening del sistema operativo di base, Security Update Management,Soluzioni Anti-Malware,…

Application Security

Esempi: hardening di applicazioni server (Exchange, SQL,…), …

Data Security

Esempi: Rights Management Services, Encrypted File System, Bitlocker, Secure Messaging, …

Security Foundations (Technology)

Esempi: Active Directory Security, Infrastrutture PKI (Smart Card, CLM, …), Soluzioni di Identity Management,Forensic Analysis …

Security Foundations (Processes)

Esempi: Security Policy aziendali e Compliance Management, Security Risk Management,Security Monitoring e Auditing, Security Incident Response

Bene, direi che gli argomenti non mancano… Che ne dite ? Non esitate a segnalarmi i temi che sono di vostro maggior interesse, in modo che possa privilegiarli nella scelta. Ciao ciao

Ciao e benvenuti sul mio nuovo blog!

[This blog post has been republished as-is on February 2019]

Per indurvi a non abbandonarmi dopo aver letto il primo post, ma anzi a raccomandare questo blog anche ad altri, devo indubbiamente soddisfare la “morbosa” curiosità iniziale che vi ha spinto fin qui…:  vi riconoscerete sicuramente in uno dei due gruppi seguenti

  1. siete una delle centinaia di persone tra parenti, amici, colleghi, clienti e affini che conosco direttamente ma CHE NON SI INTERESSANO DI SICUREZZA (… non sorridete alla apparente esagerazione: ho una parentela così sterminata che sto meditando di mettermi in politica…con la speranza di essere eletto senza spendere in spese elettorali e assicurarmi la pensione…), a cui ho fatto letteralmente spam selvaggio per avvisarli di questo blog con il preciso intento di aumentare le hit sul primo post:

in questo caso grazie della cortesia (ricambierò in qualche modo,magari con prodotti tipici pugliesi …;-)), e non mancate di fare un buon passaparola !

  1. Siete tra coloro che SI INTERESSANO DI SICUREZZA, in modo saltuario, costante o addirittura in modo viscerale come me, e qualcuno di cui vi fidate vi ha consigliato di dare un occhiata a stò sito…

in questo caso riconsiderate la fiducia che riponete in chi vi ha suggerito il mio blog…

Scherzi a parte, cosa potrete aspettarvi dal mio security blog ?

Nel mio lavoro quotidiano di Security Advisor per Microsoft a supporto delle maggiori realtà aziendali italiane mi ritrovo spesso a considerare, ogni volta con nuova meraviglia, quanto beneficio reciproco derivi da un atteggiamento di consulenza “bi-direzionale”:  c’è sicuramente un bisogno impellente di spiegare con semplicità e  dettaglio, con chiarezza e senza ambiguità, l’universo di tematiche connesse agli aspetti di sicurezza su tecnologia Microsoft; d’altra parte è fondamentale saper ascoltare le esigenze in continua evoluzione dell’Information Technology e confrontarsi con punti di vista diversi da quelli Microsoft.

Visto che considero il TEMPO come la risorsa più preziosa e rara che ci sia, cercherò di non sprecare il mio (purtroppo poco) tempo a disposizione e tanto meno il vostro: rispetto al mare di informazioni da cui siamo travolti, posterò se riterrò opportuno aggiungere qualcosa di utile a quanto già detto da altri, eviterò post di informazioni  ridondanti, e all’occorrenza vi rimanderò a blog di chi (colleghi e non) sia in grado di darvi un vero valore aggiunto.

Ecco, il mio security blog nasce proprio con questi propositi, e quindi il vostro contributo è essenziale: io ho sicuramente un sacco di cose da raccontarvi che credo possano interessarvi, e sarò onorato se troverete utile essere tra i miei assidui “lettori”, ma misurerò il successo di questa nuova esperienza dal grado di interazione e condivisione che i miei post cercheranno di stimolare.

Non mancate di esserci, a presto!

Feliciano