venerdì 8 luglio 2011

Cloud Security: una sfida per il futuro

E' con piacere e con un pizzico di orgoglio che scrivo questo post.

Dopo un lungo lavoro di scrittura è stato pubblicato il Quaderno Consip "Cloud Security: una sfida per il futuro" e, finalmente, il 6 luglio scorso in Consip, si è tenuto il workshop dedicato alla presentazione del Quaderno.

Consip, per evitare spiacevoli esclusioni nella distribuzione degli inviti, ha ritenuto di invitare solamente persone provenienti dalla PA; nonostante questa limitazione l'evento ha visto la partecipazione di oltre 90 persone.

L'agenda prevedeva:
- Apertura dei lavori a cura di Domenico Casalino (AD Consip)
- Introduzione di Gaetano Santucci (Resp. Competence Center Consip)
e, a seguire, gli interventi:
- Cloud Security: una sfida per il futuro di Matteo Cavallini (Resp. SO Unità Locale Sicurezza MEF/Consip)
- Governance e Cloud Security di Igor Nai Fovino (Dir. Scientifico GCSEC)
- Analisi legale di rischi, criticità e opportunità relative al cloud computing di Paolo Balboni (Dir. Esecutivo European Privacy Association)
- L’iniziativa cloud del Dipartimento del Tesoro di Francesco Castanò (Resp. Sistemi Informativi Dip. del Tesoro, MEF)
- Il cloud computing nella visione del Ministero della Giustizia di Stefano Aprile (Resp. Sistemi Informativi Ministero della Giustizia)

Il Quaderno è liberamente scaricabile dal sito Consip. Le slide degli interventi sono state pubblicate al seguente link.

Prima di chiudere il post voglio ringraziare di cuore le persone che hanno contribuito alla stesura di questo Quaderno, oltre ai miei colleghi (che trovate citati nei ringraziamenti), voglio citare Paolo Balboni e Daniele Catteddu che hanno dato un contributo decisivo alla maturazione dei concetti espressi nel Quaderno.

Grazie, grazie, grazie.

Tutti i commenti sono benvenuti e graditi.

4 commenti:

Anonimo ha detto...

vengo a farvi parte di alcuni ragionamenti molto liberi sull’evento interessante in Consip.

Mi sembra che sul cloud ci sia molta, anzi troppa, confusione e che si cavalchi il paradigma perché di moda e/o per opportunità finanziarie (ovviamente questo secondo punto non è da condannare).

Dal mio punto di vista la confusione avviene perché si pensa al cloud come un’ennesima variante dell’outsourcing, e come verso un normale outsourcing ci si pone, per un verso, per altri versi si fugge per la tangente, vediamo perché.

Mi permetto di osservare che anche l’esempio di Amazon, da te illustrato, pone il mancato servizio di 36 ore del provider costa ovest, su un contratto di normale outsourcer; servizi su un solo ced!
Se fosse stato un contratto cloud il servizio non si sarebbe bloccato, in quanto il paradigma cloud porta in se’ il disaster recovery e il data continuity.

Anche per i signori della Pubblica Amministrazione il portare tra i punti questi due concetti implica che non hanno compreso il cloud.

Il dott. Aprile non può considerare i server del Ministero di Giustizia alla stregua del Cloud, perché i dati di un tribunale del nord Italia restano nel server del tribunale, al massimo del distretto, non accadrà mai che possano risiedere o solo essere eseguiti, su di un server di altro tribunale posto al sud.

Quello che ancora non ho capito, anche perché non sono uno esperto di contratti, è che se vediamo il cloud come un’estensione dell’outsourcing perché a questo non si possono applicare i punti dei contratti di outsourcing aumentati dalla visione geografica.
Mi spiego meglio non credo che un contratto di outsourcing non consideri la privacy o non ponga SLA o PLA, quindi perché sia Igor che Balboni non ci sono riferiti?

Posso comprendere le ripercussioni del provider verso le interdipendenze, ma la nota legale esiste ed a essa ci si potrebbe riferire.

Anche il topico concetto del lock-in, per il solo riprendersi i dati, è sicuramente stato affrontato da HP/EDS, Telecom, Accenture, IBM, Almaviva, etc. etc. (famosi outsourcer), comprendo che non sia stato affrontato a livello cloud, oggi chiudo di qua e domani riapro di là!
Lo comprendo di più sotto l’aspetto tecnologico e di aderenza alle certificazioni cloud, quando ci saranno, che non legale.

Per adesso chiudo
ciao marcello pistilli(AIIC)

Matteo Cavallini ha detto...

Ciao Marcello,

grazie per essere passato dal mio blog ed aver scelto di lasciare un commento.

Per prima cosa devo dire che trovo un po' difficile risponderti perchè ti riferisci a quanto emerso nel corso dell'evento e i lettori non hanno avuto modo di accedere a questi contenuti, quindi la discussione è un po' sterile, ma tant'è...

Visto che lanci molti argomenti proverò a dare qualche risposta per punti.

Problematiche di disponibilità del servizio e Lock-in:
Nel Quaderno ho cercato di trattare alcuni argomenti in maniera personale e originale ma devo dire che questi due sono noti e ampiamente trattati dalla letteratura e quindi mi sono limitato a riportare le analisi più accreditate. In particolare il lock-in ha un grande impatto contrattuale (oltre che tecnico) e gli attuali contratti di outsourcing servono solo in parte (piccola) ad affrontare il problema.
L'outage di Amazon ha dominato blog, giornali e siti analisti per cui oltre a dire che non ci sono dubbi sul fatto che Amazon venda servizi cloud, ti rimando ad un paio di analisi che ho trovato interessanti sull'argomento. In particolare Lydia Leong Research VP di Gartner in questo articolo fa un'analisi molto chiara su quanto accaduto (http://bit.ly/hG0mmZ), questo (http://bit.ly/mQGZkx), invece è il punto di vista di un sopravvissuto (Netflix) e, al di là dei tecnicismi, si può riassumere dicendo che hanno costruito i servizi con la disponibilità in mente, prescindendo dai servizi intrinseci erogati dalla cloud. E questo era proprio il messaggio che stavo lanciando e che si ritrova anche nel Quaderno

Per il resto, credo che su quanto affermato dal Consigliere Aprile semplicemente non vi siate capiti.

Su un punto concordo con te, molta confusione avviene "perché si pensa al cloud come un’ennesima variante dell’outsourcing".

Un caro saluto,
Matteo

Anonimo ha detto...

Quello della cloud security non è certo argomento semplicissimo.
Ma la tua guida è veramente ben fatta.
Devo dire che sei riuscito ad organizzare e sintetizzare, tra l'altro usando un vocabolario davvero alla portata di tutti, quello che fino ad ora si trovava sparso qua e la in presentazioni e documenti vari.
Bravo.
Complimenti

Stefano Miglio

Matteo Cavallini ha detto...

Ciao Stefano,

grazie per essere passato sul blog e aver scelto di lasciare un commento. Sono davvero contento che tu abbia letto il Quaderno e che lo abbia trovato interessante.

Quando si dedica molto tempo ad un'attività (e scrivere questo Quaderno ha richiesto qualche mese), constatare che ciò che si è prodotto viene apprezzato è veramente di grande soddisfazione.

Grazie ancora e spero di rileggerti presto su queste pagine.

Un saluto,
Matteo

Posta un commento

http://www.wikio.it