SOLUZIONI DI SICUREZZA

Sicurezza in cloud e privacy: regole per il trattamento dati e strumenti di protezione

I servizi cloud offrono alle aziende notevoli vantaggi in termini di flessibilità tecnologica e facilità d’uso, ma introducono anche nuovi rischi per la sicurezza dei dati e, quindi, per la privacy degli utenti. Ecco i consigli per un corretto trattamento dei dati

07 Lug 2020
F
Francesco Falcone

Senior Management Consultant Technology, Cybersecurity, GDPR & Business Protection

È fuor di dubbio che i servizi cloud offrano facilità d’uso e flessibilità di configurazione e dimensionamento, ma allo stesso tempo introducono anche nuovi rischi per la sicurezza dei dati e quindi per la privacy degli utenti: ecco perché è importante definire le corrette regole per il trattamento dati e individuare i necessari strumenti di protezione.

Il contesto tecnologico delle nuove piattaforme di sicurezza

Negli ultimi anni, le nuove piattaforme di sicurezza hanno fatto enormi passi in avanti per adeguare le proprie architettura in una nuova generazione di sistemi integrati che sfruttano grandi mole di dati provenienti da tutti i sistemi e robusti sistemi di analisi basati su Machine Learning e Artificial Intelligence, al fine di rafforzare le misure di sicurezza di una infrastruttura.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Prendiamo come riferimento la diffusissima piattaforma Microsoft Azure Security Center.

Come molti sapranno, Azure Security Center è un sistema unificato di gestione dell’infrastruttura che rafforza la sicurezza dei data center e fornisce una protezione avanzata dalle minacce, sia “on premise” sia in cloud, siano essi in Azure o meno.

Poiché Security Center fa parte nativamente di Azure, i servizi PaaS (Platform as a Service) in Azure sono monitorati e protetti da Security Center di default.

Inoltre, Security Center è in grado, tramite l’installazione di un Agent, Log Analytics, di proteggere i server e le macchine virtuali non di Azure nel cloud o in locale, sia su sistemi Windows che Linux. Inoltre, le Virtual Machine di Azure sono collegate automaticamente al Security Center.

Infine, come anticipato, Azure dispone di un Analytics engine basato su Machine Learning che analizza i dati raccolti per identificare dei rischi e proporre automaticamente dei suggerimenti per ridurli.

Sicurezza in cloud e privacy: la protezione dalle minacce

Tra le caratteristiche degne di nota, è l’integrazione di Azure Security Center con Windows Defender Advanced Threat Protection (ATP), che consente di disporre una piattaforma unificata con funzionalità complete di protezione preventiva, rilevamento post-violazione, indagine automatizzata e risposta degli endpoint (EDR).

Quando Microsoft Defender ATP rileva una minaccia, attiva un avviso. L’avviso viene visualizzato nella dashboard del Centro sicurezza. Dalla dashboard, è possibile eseguire una indagine dettagliata sulla console ATP di Microsoft Defender per scoprire l’ambito della minaccia.

Il contesto di raccolta dei dati e monitoraggio degli utenti

Azure Security Center raccoglie i dati dalle Virtual Machine (VM) di Azure, dai contenitori IaaS (Infrastructure as a Service) e dai computer non di Azure (inclusi i server locali) per monitorare vulnerabilità e minacce alla sicurezza.

I dati vengono raccolti utilizzando Log Analytics Agent, un modulo disponibile sia per sistemi Windows che Linux, ed è stato sviluppato per una gestione completa su Virtual Machine, in ambiente multicloud, sia su macchine locali, che su macchine monitorate da System Center Operations Manager.

Gli agent Windows e Linux inviano i dati raccolti da diverse origini al workspace di Log Analytics in Azure Monitor, nonché eventuali registri o metriche univoci definiti nel contesto della soluzione di monitoraggio.

L’agente Log Analytics supporta anche altri servizi, come Azure Monitor, Azure Monitor for Virtual Machine e Azure Automation, e legge non solo le configurazioni relative alla sicurezza e registri eventi dalla macchina su cui è installato ma, come detto, copia anche i dati in un’area di lavoro (workspace) precedentemente definita in Azure Cloud, per la successiva analisi.

Esempi di tali dati sono: tipo e versione del sistema operativo, registri del sistema operativo (registri eventi di Windows), processi in esecuzione, nome della macchina, indirizzi IP e utente che ha effettuato l’accesso, file di dump di arresto anomalo.

Log analytics workspace

È possibile creare uno o più spazi di lavoro (workspace) in base alle proprie esigenze. Durante l’onboarding dei sistemi sarà possibile configurare in maniera accurata le origini dati, come registri attività e registri risorse di Azure, agenti su macchine virtuali e dati da approfondimenti.

Altri servizi come il Centro sicurezza di Azure e Azure Sentinel usano anche un’area di lavoro di Log Analytics per archiviare i loro dati in modo che possano essere analizzati usando le query di registro insieme al monitoraggio dei dati da altre fonti.

È quindi possibile far confluire nel Workspace logs da tutti gli agenti collegati, sia che arrivino dal Windows Event logs, dal Syslog, dai Web server o da applicazioni custom.

Maggiore collezione dati, miglior sicurezza: ma la privacy?

Come si vede la soluzione realizzata da Microsoft, anche avvantaggiandosi del fatto di poter collezionare dati in maniera integrata da numerosi applicativi Office aziendali che lei stessa produce, usa strumenti sempre più potenti, che hanno come finalità principali la raccolta dati allo scopo di creare una base dati unificata e consistente.

Ciò le consente di identificare le minacce, anche preventivamente rispetto al fatto che la minaccia diventi effettivamente pericolosa, ma allo stesso tempo esegue un monitoraggio amplissimo su quelle che sono le attività delle macchine sorvegliate, da cui, in ultima analisi, si possono ricavare numerosi dati personali degli utenti che la utilizzano.

In effetti, la performance del sistema di sicurezza, cioè la capacità di prevenzione dalle minacce, con l’utilizzo di tecniche di Machine Learning e di Artificial Intelligence sempre più evolute, sarà tanto migliore quanto più ampia sarà la base di dati accumulati su cui fare le analisi.

Quando le aziende si trovano ad aggiornare i propri sistemi di sicurezza, tendono a collegare i vari sistemi ai monitoraggi di sicurezza, con poche o nessuna valutazione sull’effettiva necessità che la raccolta dei dati rispetti i criteri imposti dal GDPR: ad esempio, il criterio di minimizzazione e la verifica sulla data retention dei dati raccolti.

A volte, quindi, le aziende non si rendono pienamente conto della portata della raccolta dati e del monitoraggio che verrà effettuato nel corso del ciclo di vita dei sistemi.

Le tecniche di Machine Learning e di Artificial Intelligence utilizzate comportano capacità sempre maggiori di profilazione delle attività effettuate sulle macchine e di conseguenza ciò aumenta anche la capacità di analisi dei comportamenti degli utenti che le usano.

Anche se le aziende si sentono giustificate nell’accumulazione di dati personali e nel monitoraggio degli utenti per motivi di sicurezza, tale attività rischia però facilmente di trasformarsi, se non si presta attenzione, in un sistema di monitoraggio degli utenti.

Tanto più che l’utilizzo sempre più esteso dei Cloud Provider impone il trasferimento dei dati a terze parti, che spesso utilizzano server di AI posti in paesi extra europei non sempre vincolati da contratti adeguati e la cui applicazione è di fatto difficilmente verificabile da parte della singola azienda, che non dispone di skills e budget adeguate per verificare l’applicazione delle misure di sicurezza e delle regole di privacy presso il cloud provider, e si affida quindi alla manualistica del fornitore.

Sicurezza in cloud e privacy: che lezioni trarre

Come abbiamo visto, la quantità e la tipologia dei dati raccolti dai moderni sistemi di sicurezza, come nel caso dei sistemi Microsoft che abbiamo preso come modello di riferimento, aumenta nel tempo anche considerevolmente, in dipendenza dei sistemi collegati e delle tipologie di informazioni raccolte da ognuno di essi.

Inoltre, dato che i sistemi in cloud hanno spesso il monitoraggio di sicurezza integrato, con la transizione verso la “nuvola” le aziende possono ritrovarsi ad adottare le pratiche di monitoraggio definite dal Cloud Provider.

Per quanto questi dati possano essere protetti, anche in cloud occorre sempre valutare se le informazioni raccolte non siano sovrabbondanti (principio di minimizzazione) e non eccedano lo scopo del trattamento, che è quello di assicurare una ragionevole protezione dei sistemi, ma senza trasformarsi in un’accumulazione dati fuori controllo.

Il caso tipico di accumulazione non necessaria è quello della configurazione per default, da parte dell’IT aziendale o del Cloud Provider, della raccolta dei log di sistema e degli eventi in modalità “full”, accumulando quindi tutto quello che viene generato dai sistemi monitorati.

Mentre sarebbe invece opportuno prevedere, durante le normali attività di sorveglianza, la sola raccolta di un subset dei log degli eventi disponibili, salvo poi ampliare il livello di log nel caso di Incident o data breach e solo per il tempo necessario a identificare e risolvere il problema, per poi tornare ad un livello di sorveglianza più blando.

Da considerare anche che l’utilizzo di sistemi in cloud comporta la registrazione dei dati per l’analisi su server che potrebbero, anzi di solito lo sono, essere posizionati all’estero, spesso anche fuori Europa.

Per limitare le eventuali problematiche di privacy, sarebbe opportuno quindi assicurarsi che i Workspace utilizzati per collezionare i log siano ospitati presso sistemi residenti in Europa, e che ai workspace vengano applicate rigide regole per garantire che dopo un certo periodo tali dati vengano cancellati automaticamente.

Infine, le informative che sono fornite agli utenti sul trattamento, devono essere aggiornate nel tempo, man mano che la capacità di raccolta e collezionamento dei dati da nuovi sistemi viene ampliata. Ed è opportuno che tali aggiornamenti vengano notificati agli utenti, per evitare che il trattamento ecceda le loro aspettative di privacy quando ognuno di essi usa i sistemi oggetto di controllo, cosa che purtroppo nella maggioranza delle aziende non avviene.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr