In occasione dell’ultimo Security Summit 2012, tenutosi la scorsa settimana a Milano, Oracle  ha presentato due articolati studi volti a fare il punto sulla mobile privacy, e quindi sulle implicazioni che il crescente utilizzo di dispositivi mobili ha sul rispetto della riservatezza dei dati nel contesto legislativo italiano, e sulla privacy nel cloud, e cioè come le aziende possono cogliere le opportunità del computing a nuvola e gestirne consapevolmente l’adozione in in contesto normativo complesso.

Il primo studio analizza i rischi e gli aspetti legali, procedurali, organizzativi e tecnologici che una società titolare di trattamenti di dati personali in Italia deve prendere in considerazione al fine di svolgere tali trattamenti in conformità alla normativa e con opportuni livelli di sicurezza anche quando le informazioni sensibili transitano attraverso dispositivi mobili.

La crescente adozione per finalità di business di dispositivi mobili evoluti quali tablet e smartphone, si legge nel testo che introduce il rapporto, rappresenta certamente un vantaggio tattico e strategico notevole per le aziende, in quanto agevola sensibilmente la produttività personale e la gestione del lavoro ovunque ci si trovi.

L’utilizzo di tali dispositivi introduce però nuovi elementi di rischio o ne enfatizza alcuni già esistenti; da qui la raccomandazione espressa da Oracle e dai partner che affiancano la società californiana nel progetto Community for Security – raccomandazione che trova riscontro in quella di altri vendor di soluzioni di sicurezza – secondo cui tablet e smartphone in ambito aziendale debbano essere introdotti solo a fronte di un’attenta analisi dei rischi, condotta anche in funzione dei tipi di trattamenti di dati che l’azienda abitualmente effettua.

Dallo studio emerge in tal senso come le criticità in termini di rischio possano essere correlate ad aspetti di natura tecnologica (come l’eterogeneità delle caratteristiche tecnologiche di questi dispositivi, la complessità del portafoglio aziendale degli asset o l’esistenza di vulnerabilità tecniche), ma anche ad elementi quali comportamenti non idonei da parte delle risorse umane.

Gli autori del rapporto sottolineano inoltre di porre particolare attenzione ad alcune specifiche attività di trattamento, relative a dati personali particolarmente critici. Ad esempio, i trattamenti legati alla geolocalizzazione dei dispositivi possono essere realizzati solamente a fronte di un opportuno preventivo indirizzamento degli aspetti legali (notificazione, informative).

Un’altra indicazione che il gruppo di lavoro ha voluto evidenziare riguarda quindi la necessità di rivedere le misure minime di conformità alle normative in funzione del contesto tecnologico particolare dei dispositivi mobili. In particolare, viene evidenziato come le prescrizioni relative ad aspetti di sicurezza, quali il controllo degli accessi logici, il salvataggio dei dati e l’adozione di soluzioni anti-malware, debbano essere opportunamente ri-analizzate alla luce delle caratteristiche dei dispositivi mobili per essere completamente soddisfatte.
Ultima raccomandazione indirizzata alle aziende, infine, riguarda l’attenzione da prestare all’applicazione di specifici provvedimenti, come quello della dismissione dei cosidetti Raee (i rifiuti elettronici, provv.Garante Privacy del 13.10.2008): la dismissione di dispositivi mobili deve prevedere infatti una corretta cancellazione dei dati presenti in tutti gli elementi del dispositivo, alla memoria interna alla SIM esterna.

Il secondo studio, presentato nell’occasione da Alessandro Vallega, Security Business Development Manager di Oracle Italia e membro del Consiglio Direttivo di Clusit, ha preso in considerazione gli aspetti di scenario di utilizzo del cloud secondo il punto di vista di un’azienda titolare del trattamento dei dati, fornendo indicazioni a tutto campo (legali, contrattuali, organizzative, di analisi dei rischi, di audit e infine tecnologiche) sulle quali basare le scelte di adozione.

Nello specifico, si sono analizzate le potenzialità della tecnologia cloud, la cui offerta è spesso rivolta ai consumatori finali ma la cui adozione è oggi una reale e concreta opportunità per le aziende, con specifico riferimento al contesto normativo italiano. Se da una parte, questa la fotografia generale della situazione nel Belpaese, ai vantaggi in termini di qualità e disponibilità delle risorse resi possibili dal cloud si sommano i benefici economici e di flessibilità derivanti dall’utilizzo a consumo di risorse distribuite in rete, dall’altra le aziende si sentono ancora poco garantite in merito alla sicurezza e alla privacy dei servizi offerti dai cloud provider.

Questo sentimento generalizzato, così recita lo studio, è amplificato dalla estrema differenziazione dei servizi fruibili dal cloud, dalla diversificazione delle tipologie di fornitori e dai diversi quadri normativi di riferimento. Più esplicitamente, le leggi attuali sulla privacy appaiono per molti versi inadeguate di fronte al nuovo paradigma del computing a nuvola perché risulta arduo far rientrare le relazioni che si instaurano tra i numerosi attori coinvolti nel cloud nel tradizionale schema “titolare-responsabile”, che da solo esaurisce i ruoli definiti formalmente dalla legge italiana.

La tecnologia, in materia normativa, impone per altro per sua stessa natura di guardare fuori dai confini nazionali e attraverso lunghe catene di sub-fornitura necessarie per realizzare progetti cloud. L’Unione Europea ha infatti recentemente proposto una profonda iniziativa di revisione della “Data Protection” volta ad aumentare le garanzie per i cittadini e a semplificare le regole per le aziende nel mercato unico. Lo scenario diviene più complesso se si pensa che con l’adozione del cloud le aziende spostano parte dei propri processi e i propri confini tecnologici e organizzativi al di fuori dell’azienda, con una maggiore difficoltà di presidio su ciò che prima era sotto immediato controllo.

Rappresentazione del livello di disomogeneità nella tutela dei dati personali negli Stati extra UE

Proprio perché i servizi rilevanti per il business non vengono più gestiti esclusivamente all’interno dell’azienda, diviene quindi fondamentale secondo gli autori del rapporto che le varie funzioni operino in sinergia per rivedere i processi interni, operativi e di controllo. Da un lato è di conseguenza necessario che l’azienda valuti attentamente l’impatto del cloud sull’organizzazione interna mentre dall’altro devono esserci i presupposti per creare una nuova cultura aziendale, dove diventano prioritari elementi come la governance, il controllo e l’audit e la gestione delle identità e degli accessi.

Sul fronte dei fornitori di tecnologia, dove si viene a creare una “catena di cloud” che parte dall’azienda che utilizza i servizi di più fornitori, emerge invece - oltre a rilevanti aspetti di tipo contrattuale e normativo - l’esigenza di adottare tecnologie e processi che possano garantire standard di interoperabilità e di sicurezza superiori nonché delle avanzate modalità di misurazione e controllo.


I link agli studi
La privacy nel cloud
https://privacycloudmobile.clusit.it/_files/Download/PrivacyNelCloud.pdf

Mobile e Privacy
https://privacycloudmobile.clusit.it/_files/Download/PrivacyNelMobile.pdf

I video
Jonathan Brera di KPMG Advisory illustra lo studio sulla Mobile Privacy
https://emeapressoffice.oracle.com/content/detail.aspx?ReleaseID=10693&NewsAreaId=-1

Alessandro Vallega di Oracle Italia introduce lo studio "La Privacy nel Cloud"
http://www.youtube.com/watch?feature=player_embedded&v=BiOSwyMWXQE