Google annuncia che il 2 aprile chiuderà definitivamente il social network Google+, con tutti i profili e le pagine create, così come foto e video memorizzati nell’archivio di album Google+.
Alla base di questa decisione c’è la scoperta di un bug nelle API della piattaforma, che secondo Big G sarebbe stato individuato e corretto a marzo 2018 e che avrebbe esposto i dati di circa 500.000 utenti. Questa vulnerabilità, secondo quanto dichiarato da Google a seguito della diffusione della notizia riportata dal The Wall Street Journal, potrebbe nel periodo tra il 2015 e il 2018 aver lasciato nelle mani degli sviluppatori di terze parti i dati dei profili degli utenti. Non soltanto i dati condivisi in forma pubblica, ma anche quelli privati.
La cancellazione non ha effetto su altri servizi Google. Le foto e i video archiviati in Google Foto, ad esempio, non saranno interessati. Ma vale la pena riflettere sulla sicurezza e privacy “garantita” da servizi cloud che sono gratis e non contrattualizzati.
Chi si affida a servizi gratuiti, deve sottostare alle decisioni sia in termini di servizio che di condizioni del provider, che può decidere in qualsiasi momento di cambiare regole o di chiudere il servizio con il pericolo di perdere i propri dati. C’è davvero poco spazio per negoziare senza un contratto serio in mano.
Ad oggi tutta una serie di servizi come mail, software per la produttività e l’organizzazione, programmi di storage e conservazione di dati e documenti, sono utilizzabili via web grazie ad un cloud provider.
Per un’organizzazione, i dati che vengono raccolti sono frutto di fatica, investimenti, complessità e know-how, e rappresentano una forma di ricchezza. Così per non incorrere in spiacevoli perdite o danni, il potenziale cliente dovrà avere la certezza sulla affidabilità e integrità del fornitore e sulla adeguatezza delle misure adottate per la protezione dei propri dati.
L’IMPORTANZA DI AVERE UN CONTRATTO.
Occorre sempre assicurarsi che all’interno di un accordo con un cloud service provider, vengano soddisfatte le seguenti condizioni:
- I dati archiviati sui server del provider devono rimanere sempre di proprietà dell’azienda;
- il fornitore deve dichiarare dove sono i propri data center e quindi dove risiedono fisicamente i dati; deve essere in grado di dimostrare di imporre adeguate misure di sicurezza, di monitoraggio e di controlli di accesso e garantire che i dati in transito e il caricamento o il trasferimento di file siano protetti con protocolli di crittografia;
- Il fornitore deve sempre concedere la possibilità di scaricare una copia dei dati in qualsiasi momento ed in totale autonomia.
- Il cliente deve poter monitorare periodicamente la risposta del fornitore alle prestazioni e al rispetto del contratto
- il cliente deve sapere quali sono le policy di gestione del proprio fornitore in caso di violazione dei dati.
- Valutare la capacità del provider di garantire la continuità dei servizi offerti e la disponibilità delle operazioni e dei dati. La business continuity include aspetti quali la disponibilità di procedure e di soluzioni tecniche (facility, sistemi, reti, backup ecc., fino alla disponibilità di siti di disaster recovery) atte a coprire scenari di crisi di diversa natura e portata, dal guasto limitato al disastro esteso, dovuti sia a eventi naturali che ad azioni deliberate o errori.
L’IMPORTANZA DI ESSERE CERTIFICATO ISO/IEC 27001
Scegliere un cloud service provider certificato è una garanzia per il cliente.
Lo standard ISO/IEC 27001 di fatto rappresenta ottimo strumento di riferimento per la corretta gestione della riservatezza e della sicurezza dei dati in ambiente cloud.
Sul piano della sicurezza, una soluzione cloud non certificata ISO 27001 non fornisce garanzie sulla riservatezza dei dati sensibili, come quelli relativi a prezzi, offerte, valore dei contratti e quant’altro.
Lo standard ISO 27001 impone, invece, requisiti di sicurezza informatica da soddisfare ai diversi livelli dell’organizzazione: tutela, quindi, sia il livello fisico dell’infrastruttura – come gli impianti di sorveglianza e il controllo degli accessi al data center, le misure antincendio, i sistemi ridondati a livello di alimentazione e condizionamento – sia la sicurezza logica del software e dell’applicazione, tramite meccanismi come la cifratura dei dati, le tecnologie di autenticazione e quelle di protezione dalle violazioni. A ciò si aggiungono i requisiti di tutela dei processi nei quali interagiscono i team di sviluppo, installazione e manutenzione del software.
