Understanding the real Cloud Security and Compliance model

Near 10 months later my blog post about the ability of Microsoft Cloud to accelerate the GDPR compliance – part 2 where I launched it, and after several customers meetings that helped me to optimize it, now I believe it’s time to share again my view of the real Cloud Security and Compliance model.

What is it, and why did I build it?

Simply to tell, I realized the urgent need to help customers to understand how to manage end-to-end Security (and Compliance) in a new IT world that is rapidly shifting from classic on-premise solutions towards the adoption of Cloud computing. Customers are disoriented and they don’t have really clear where some Security controls are in charge of the Cloud Service Provider (CSP), where they still own these controls, and where the boundary is in this shared responsibility model. The business stakeholders realize the huge value of cloud computing and its benefits to accelerate the digital transformation in their organizations, but the Security and Compliance teams are worried by the lack of control that the Cloud paradigm seems to bring along those benefits.

This is why I started by adapting the well known NIST framework to highlight my first consideration, see the image below:

The IT service operations shift from on-premise to the different cloud delivery models (IaaS, PaaS, SaaS) can be interpreted as the 1st cloud security level, where the responsibility shift towards the CSP is also about Security & Compliance duties.


This first consideration can help to understand one of the reasons behind the statement you may have heard (especially from me :-), if you had this chance ;-)) of “Cloud as an accelerator of the customer’s security and compliance efforts”: the choice of cloud solutions, and more of the SaaS ones, can be a sort of “insurance” that shifts part of the responsibilities over the CSP. Moreover the layers in charge of the CSP’s responsibilities must also be covered by a contractual commitment, as required by the GDPR, when these solutions can process personal data.

In light of the GDPR requirement the Cloud must be compliant! (since it represents an external data processing)

Please note the bold text above: the end-to-end security and compliance requirements don’t end here, this is only the 1st level where you need and have to consider security controls (also in front of the GDPR law when it applies, of in front of any compliance requirements).

In order to give you the complete Cloud Security and Compliance model I’ve built the following diagram over time:


In addition to the 1st level, now you can see I added 3 more levels to understand how many layers you need to put security controls on, if you really need to secure the end-to-end interaction from a generic endpoint (a PC, tablet, smartphone, even an IoT endpoint) to a generic cloud application and to protect the data exchanged between them.

You need to apply security controls at every layer if you want to exercise the always valid principle of Defense In-Depth (as I’m sharing with you since the start of this blog in the late 2007)!!

As suggested by the color of those boxes, you can’t deem your CSP as totally responsible of the security & compliance requisites when you choose to use a cloud application, because there are 3 layers of controls that are still on your duty and responsibility to evaluate, adopt and manage!

Please note that while I mention Microsoft in the above diagram, this model is totally vendor-agnostic and it should be proposed by every (honest ;-)) CSP.

What’s the difference between the Microsoft Cloud and the rest of the market?

All the several CSPs in the market today, choose the name you want (Amazon, Google, Salesforce, and so on), must give you assurance of their commitments related to the 1st layer of this model, but they are unable to give you help with a cohesive and integrated set of security and compliance solutions at the remaining layers 2, 3 and 4: it’s up to you to find the best way to fill these layers with several 3rd party solutions from different vendors that leave gaps and expose this non-connected surface to possible attacks. As already recognized in the Security market and by forward-looking CISOs, this plethora of not homogeneous solutions are really impossible to manage and not effective in detecting advanced threats.

As of today, only Microsoft is powered with the ability to offer you a cohesive and integrated set of security and compliance solutions at all the 4 layers described above, and I’ll show you how… in the next blog posts , stay tuned!

Ciao

Feliciano

Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

[This blog post has been republished as-is on February 2019]

E’ trascorso un anno da quando ho iniziato ad incontrare i clienti italiani per condividere l’impegno di Microsoft a supporto della compliance alla GDPR, quale uno degli impegni del mio ruolo di specialista dei temi CyberSecurity, Privacy e Compliance in Microsoft Italia. Credo di aver incontrato più di 50 clienti Enterprise medio-grandi in modalità 1to1, e tanti di più approfittando di alcuni eventi pubblici in cui sono intervenuto come speaker/panelist, quale il CLUSIT Security Summit 2017 a Roma o l’ultimo TIG CyberSecurity Summit – Roma 2018 dello scorso 21 marzo.

In tutte queste occasioni il tema centrale del mio contributo è sempre stato quello che vi riporto quale titolo di questo blog post, ossia far apprezzare quanto il paradigma del cloud, ed in particolare di quello che è in grado di essere proposto da Microsoft, possa rappresentare un vero e proprio acceleratore a supporto delle attività che ogni cliente deve attuare in ambito IT per soddisfare i requisiti del nuovo regolamento.

Sì lo so, per tanti di voi questa mia affermazione appare alquanto controversa (e a giudicare da alcune provocazioni sollevate durante il recente #TIGcybersec, per alcuni addirittura difficilmente concepibile …): è proprio per argomentare meglio le mie considerazioni a supporto di tale tesi che ho deciso di scrivere questo post.

E’ vero che finora il cloud ha particolarmente sofferto nella capacità di dimostrare in modo semplice ed incontrovertibile di poter essere giudicato “compliant” rispetto ai diversi requisiti normativi, in particolare in ambito Data Protection/Privacy, ma spero di riuscire a convincervi di quanto ora l’impianto normativo della GDPR crei i presupposti per ribaltare questa dinamica e tramutare la compliance da ostacolo verso l’adozione del cloud, a vero e proprio facilitatore della stessa adozione.

Questi i passaggi logici di quanto vado a condividervi:

  • La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento
  • Tutele contrattuali a cui è chiamato il Cloud Service Provider
  • Il vero modello logico sulla Cloud Security
  • Il ruolo e valore della nuova Microsoft Security platform

La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento (Data Processor)

E’ probabilmente una delle novità GDPR meno evidenti e sottolineate, ma è di fondamentale importanza per comprendere il ruolo del Cloud nella compliance GDPR: nella nuova normativa, il “peso” delle responsabilità alla conformità in ambito Data Protection/Privacy non è solo sulle spalle del Titolare del Trattamento (Data Controller) ma è più correttamente bilanciato su entrambe le parti che concorrono, pur con ruoli diversi, a tale trattamento.

Nell’attuale normativa ancora per poco vigente, la Direttiva europea (la 95/46/CE) e la nostra locale declinazione (Legge Privacy italiana, il DL 196-2003), praticamente l’unico ruolo chiamato a rispondere di inadempienze e a cui spetta anche il compito di vigilare rispetto all’applicazione delle istruzioni operative impartite al Responsabile in merito alle modalità del trattamento è il Titolare del Trattamento (Data Controller).

Con la GDPR non è più esattamente così: come si potrà leggere dall’articolo 28, il Responsabile del Trattamento (Data Processor) deve essere vincolato da un contratto che lo lega alle proprie responsabilità di fornire le sufficienti garanzie di implementazione delle misure tecnico-organizzative appropriate per realizzare un trattamento conforme.

Tutele contrattuali a cui è chiamato il Cloud Service Provider

Una soluzione di tipo Cloud sicuramente rappresenta una esternalizzazione del trattamento che richiede al Cloud Service Provider di essere nominato quale Responsabile del Trattamento (Data Processor), e questo, alla luce della considerazione appena fatta sulla corresponsabilità che deve essere definita a livello contrattuale, implica che i contratti cloud DEVONO includere tali garanzie in chiave GDPR.

Non è mio compito dirvi se tutti i Cloud Service Provider siano già in grado di offrirvelo (vi inviterei a verificarlo ), ma posso confermarvi che

  1. sono diversi anni che il contratto alla base delle soluzioni cloud di Microsoft include tale definizione di ruoli privacy chiaramente definiti.
  2. Il contratto per i servizi cloud di Microsoft include già dallo scorso settembre 2017 gli impegni contrattuali di conformità GDPR che entreranno in vigore il 25 maggio 2018.

Quando mi riferisco al contratto alla base delle soluzioni cloud di Microsoft, sto di fatto facendo riferimento al documento centrale che racchiude tutti i termini di Sicurezza e Privacy relativi alle soluzioni online, denominato in italiano “Condizioni per l’Utilizzo dei Servizi Online” (e in inglese “Online Services Terms“, con l’acronimo OST che userò d’ora in avanti per citarlo), che è pubblicamente disponibile e scaricabile dal sito Microsoft di Volume Licensing: nell’OST troverete presenti l’Allegato 4 e l’Appendice 1 che rappresentano proprio i “commitment GDPR” che ogni cliente deve pretendere dai propri Cloud Service Provider.

Quindi a questo punto vi domanderete: dal momento che il contratto cloud di Microsoft include già le tutele contrattuali necessarie, posso dire quindi di aver già soddisfatto tutti i requisiti di conformità GDPR nell’utilizzo di tali servizi ?

Mi piacerebbe potervi rispondere di sì, ma la realtà ahimé non è così semplice…vi aspetto per la seconda parte di questo blog post per spiegarvelo!

P.S. ricordo il post che agirà da sommario di tutti i miei post a tema GDPR:

 

A presto!

 

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

L’impegno di Microsoft a supporto della compliance GDPR: nuova serie di blog post

[This blog post has been republished as-is on February 2019]

A partire da questo blog post parte una nuova serie di appuntamenti in cui conto di accompagnarvi nella comprensione delle numerose possibilità offerte dalle tecnologie/prodotti/soluzioni Microsoft di supportare i clienti nel loro percorso, mi auguro già avviato da tempo , di adeguamento alla nuova normativa Privacy, la ormai ben nota General Data Protection Regulation (GDPR) (permettete che usi d’ora in avanti l’acronimo inglese per la consistenza con la maggior parte delle risorse presenti sull’argomento) che, per quanto già in vigore, verrà applicata a decorrere dal prossimo 25 maggio 2018, stessa data in cui sarà di fatto abrogata l’attuale direttiva europea 95/46/CE.

Manca quindi poco meno di un anno a tale data, è tanto o è poco per riuscire ad arrivare preparati a tale scadenza che, stando alle dichiarazioni lette finora, sembra destinata a non subire rinvii?

La mia personale percezione sulla base delle interazioni avute finora con i clienti è che si sia già in generale ritardo… soprattutto in considerazione degli impatti organizzativi e di processo, la cui valutazione di fatto precede la declinazione tecnologica, le cui trasformazioni non saranno facilmente attuabili nel tempo che rimane.

Di certo la tecnologia necessaria per supportare il processo di conformità non è il primo aspetto da valutare, ma in questa serie di blog post vorrei riuscire nell’intento di dimostrarvi quanto possa supportare e semplificare anche le trasformazioni organizzative e di processo: è quella che oggi chiamiamo “digital transformation“, e la GDPR ci offre un’ottima occasione di applicarla per innovare l’infrastruttura IT in modo da ottenere non solo delle tutele da rischi di non conformità (e quindi per evitare le sanzioni che sappiamo essere molto salate) ma anche per rendere l’azienda più snella e agile, più capace di reagire velocemente ai cambiamenti del mercato e quindi più in grado di accelerare lo sviluppo del proprio business.

Faccio un esempio pratico: le soluzioni di Data Loss Prevention (DLP), che avranno un ruolo primario nelle tecnologie a supporto della compliance GDPR, hanno fatto fatica a decollare finora per il significativo impatto su processi, organizzazioni ed esperienza utente che ne hanno scoraggiato l’adozione di massa da parte dei clienti ed estesa a tutto l’ambito aziendale. E se riuscissi a farvi apprezzare quanto le soluzioni di Information Protection & Data Management di Microsoft si stiano evolvendo per offrirvi una esperienza di classificazione, labeling e protezione attraverso tutto il ciclo di vita del dato e integrata sia negli strumenti d’uso quotidiani di produttività personale che nelle soluzioni aziendali di trattamento del dato stesso? Quanto questo potrebbe finalmente sbloccare la “democratizzazione” del DLP come funzionalità nativa dell’infrastruttura digitale dell’azienda (permettendo anche di indirizzare i principi di “privacy by design” e “privacy by default” finalmente indicati come requisiti dal nuovo regolamento)?

Punto di partenza nella condivisione di questo impegno di Microsoft a supporto del vostro processo di adeguamento alla GDPR è quello di aiutarvi a comprendere i tre ruoli che Microsoft può ricoprire in tale percorso, come condivisi dal nostro stesso Chief Privacy Officer, Brendon Lynch, nel suo blog post “Get GDPR compliant with the Microsoft Cloud“:

  1. in quanto fornitore di soluzioni cloud, che determinano ai fini dei ruoli privacy il ruolo di Microsoft quale responsabile del trattamento (data processor), Microsoft è chiamata direttamente a dare prova nei suoi contratti della conformità alla GDPR, intesa nella capacità di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento, a partire dalla data di applicazione del 25 maggio 2018. A dimostrazione dell’impegno di voler primeggiare su questo fronte, Microsoft è stato il primo tra i maggiori cloud service provider a rendere disponibile una specifica estensione contrattuale che dichiara l’impegno verso tale obiettivo, come trovate pubblicamente documentato in questo blog post dello scorso 17 aprile 2017 “Earning your trust with contractual commitments to the GDPR“.
  2. Fornitore di tecnologia abilitante: l’intero insieme delle tecnologie/prodotti/soluzioni Microsoft, fornite tramite soluzioni cloud, ibride o tradizionali on-premise, può essere di supporto alle varie fasi tipiche del percorso di adeguamento alla GDPR che Microsoft individua nelle seguenti, come da blog post di Julia White “Accelerate your GDPR compliance with the Microsoft Cloud“:
    Come potrete immaginare, sarà questo l’ambito che mi permetterà di fare una serie potenzialmente molto numerosa di blog post di dettaglio, partendo dalla condivisione delle potenzialità della nuova Microsoft Security platform (di cui vi accennavo nel mio post di inizio anno “NonSoloSecurity reloaded“), ma non limitandomi solo a quelle, come potrete cogliere dalla lunga lista di tecnologie abilitanti elencate nel portale GDPR. L’aspetto particolarmente interessante sarà quello di documentarvi la rapida evoluzione delle soluzioni Microsoft per indirizzare al meglio le attività richieste dall’adeguamento alla GDPR: un esempio? Fate caso allo snapshot che ha mostrato Julia White nel suo post e che rappresenta la prossima dashboard in arrivo in questo anno, immagino sarà disponibile nel portale di amministrazione di tutti i tenant cloud di Microsoft, personalmente la considero una vera chicca!

  3. Microsoft stessa, in quanto azienda con i suoi dipendenti (<100.000) e come fornitore di beni e servizi a cittadini dell’Unione Europea (+200 servizi online), e quindi nel ruolo di titolare del trattamento (data controller) verso queste stesse tipologie di interessati (data subject) è chiamata alla compliance GDPR: proprio per tale complessità, il percorso che Microsoft stessa percorrerà, con le priorità e le criticità, potrà essere un utile strumento di aiuto se condiviso con i clienti, immagino nella forma di risorse (whitepaper e video) di best practice e How Microsoft does IT (IT Showcase).

In questa mia prima puntata non mi resta che lasciarvi con il riferimento principe da appuntare quale portale di accesso a tutte le risorse che d’ora in avanti Microsoft vi condividerà:

Il semplice e facile da ricordare http://www.microsoft.com/GDPR che reindirizza alla specifica sezione del Microsoft Trust Center, il portale che documenta tutte le risorse a vostra disposizione strutturati secondo i 4 principi del “Trusted Cloud”: security, privacy, transparency e compliance.

In questo portale troverete i link a tutte le risorse di dettaglio già citate, e molte altre tra cui vi segnalo in particolare il webinar GDPR che è stato trasmesso lo scorso 24 maggio 2017.

Sperando che queste serie “Microsoft & GDPR” possa trovare il vostro interesse, userò questo post come indice delle diverse prossime puntate in modo che possiate appuntarlo nei vostri link preferiti :

27-09-2017 Ignite 2017: gli annunci a supporto della compliance GDPR

03-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

30-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 2a parte

 A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)


@NonSoloSecurity
(English only – technical only)