auditing the cloud - aiea · source: kpmg international, 2011, “clarity in the cloud - a global...

Auditing the Cloud

Milano

12 aprile 2012

1 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.

Agenda

■ Il Cloud Computing

■ KPMG Global Cloud Survey

■ Le tipologie di Cloud Computing e la rete di relazioni tra attori del Cloud Computing

■ I key risks e le sfide legate al Cloud Computing

■ L’impatto del Cloud Computing sulle Business Operations

■ La Governance nel Cloud Computing

■ Auditing the Cloud

■ I principali standard di riferimento

■ Le azioni di controllo indicate dal Garante della Privacy

■ Cloud Computing Management Audit/Assurance Program - ISACA

■ Conclusioni

■ Domande


Il Cloud Computing

L’offerta di servizi di Cloud Computing sta maturando, aiutata dai rilevanti investimenti dei leader del settore e da start-up focalizzate

Il concetto di creazione di valore del Cloud Computing è semplice: gli utenti possono sfruttare un'ampia gamma di risorse, senza l'investimento di capitale o di manutenzione delle infrastrutture necessarie per costruire e mantenere questi servizi all'interno della struttura aziendale con buoni livelli di scalabilità

Cos’è il Cloud Computing? Il Cloud Computing è un insieme di tecnologie che consentono l’accesso a risorse hardware (storage, CPU, reti, server) o software (applicazioni e servizi) distribuite in remoto e configurabili ad hoc per l'utilizzo richiesto. Altre definizioni da letteratura e istituzioni: ■ Google “Applicazioni e piattaforme in hosting, costruite su di un’infrastruttura condivisa, ed erogate via

browser web” ■ IBM “Is an all-inclusive solution in which all computing resources (hardware, software, networking, storage,

and so on) are provided rapidly to users as demand dictates” ■ IDC “L’accesso avviene attraverso la rete Internet. E’ semplificato, per cui bastano skill IT elementari per

l’utilizzo. La fornitura dei servizi è automatica (self-service, real time). Il prezzo è tipicamente contenuto e basato sull’utilizzo. Le interfacce di integrazione si basano sugli standard dei Web Services. Si tratta tipicamente di servizi one-to-many, ma costituti da moduli configurabili dall’utente”

■ Amazon e Oracle “Cloud computing is about a platform, on which to run a wide variety of applications and tools. It must

be virtualized and elastic, including both hardware and software”


Da una survey globale condotta da KPMG su 15 paesi tra febbraio e aprile 2011, su un campione di 806 clienti e 123 provider, emerge come il nuovo paradigma chiede agli executive di guardare a vecchi problemi in una nuova luce e di creare nuove opportunità

KPMG Global Cloud Survey

Which of the following best describes the impact of cloud on your business model?

1%

12%

35%

50%

32%

39%

32%

0 10 20 30 40 50 60

Other

No significant impact

It will accelerate time to market

It will reduce costs

It will provide management with greater transparency on transactions

It will change our interaction with customers and suppliers

It will fundamentally change our business model

How important are strategic factors in driving your organization’s adoption of a cloud environment (*)?

Multiple response allowed. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”

2%

3%

19%

44%

33%

0 10 20 30 40 50

Extremely unimportant

Unimportant

Neither important nor unimportant

Important

Extremely important

Figures may not add up to 100% due to rounding. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud” (*) Strategic factors (e.g. business process transformation, linkage to business partners, speed to market, focus on core competencies)


Le tipologie di Cloud Computing

I servizi Cloud possono essere classificati per:

■ Tipologia di soluzione

Software as a Services (SaaS)

Capacità di utilizzare le applicazioni del provider di servizi operanti su un’infrastruttura Cloud. Le applicazioni sono accessibili da differenti dispositivi client, mediante interfaccia

Capacità di rilasciare, su un’infrastruttura Cloud, applicazioni sviluppate dal cliente o acquistate usando linguaggi e strumenti di programmazioni supportati dal service provider

Platform as a Services (PaaS)

Capacità di fornire strumenti di elaborazione, di archiviazione e di connettività e altre risorse informatiche fondamentali, permettendo al cliente di rilasciare e utilizzare software arbitrari, che possono includere sistemi operativi e applicazioni

Infrastructure as a Services (IaaS)

Public Cloud

Modello di Cloud Computing che prevede

l’utilizzo di software o hardware di terze parti

mediante connessione alla rete internet

Hybrid Cloud

Modello di Cloud Computing che prevede la

presenza di molteplici fornitori interni ed esterni

per l’utilizzo dell’infrastruttura IT

Community of Cloud

Modello di Cloud Computing che prevede la

condivisione dell’infrastrutture IT da

parte più organizzazioni in modo da permettere un

controllo sui dati e maggiore efficienza

Private Cloud

Modello di Cloud Computing che consiste

nella gestione dell’infrastruttura IT interna

basata sulla virtualizzazione per avere un maggior controllo sui

dati

■ Tipologia di infrastruttura


La rete di relazioni tra attori del Cloud Computing

Una soluzione di Cloud Computing prevede la contemporanea presenza di molteplici attori che usufruiscono, erogano, gestiscono e controllano i servizi offerti

Il modello identificato dal NIST, all’interno del gruppo di lavoro ITLCCP (Information Technology Laboratory Cloud Computing Program), evidenzia le relazioni tra tutti i soggetti presenti in modo da indirizzare opportunamente le attività da attivare

Cloud Consumer

Cloud Auditor

Cloud Provider Cloud Broker

(An entity that manages the use, performance and delivery of Cloud services,

and negotiates relationships between

Cloud Providers and Cloud Consumers)

Cloud Carrier

Information Technology Laboratory Cloud Computing Program

Security Audit

Privacy Audit

Performance Audit

Pri

vacy

Sec

urity

Service Layer

Resource Abstractionand Control Layer

Physical Resource Layer

Hardware

Facility

SaaS

PaaS

IaaS

Cloud Service

Management

BusinessSupport

Provisioning/Configuration

Portability/Interoperability

ServiceIntermediation

ServiceAggregation

ServiceArbitrage


I key risks e le sfide legate al Cloud Computing

La dinamicità tipica del contesto di Cloud Computing può comportare una situazione di forte esposizione al rischio da parte dell’organizzazione: si rende pertanto necessario tener conto di una molteplicità di fattori che devono essere correttamente presidiati mediante un’adeguata organizzazione e gestione degli stessi

Perdita dei dati

Non compliance normativa

Compromissione dei dati

Inaccessibilità/ indisponibilità del

servizio

Effetto Lock-In

Interruzione di continuità operativa

Non compliance a standard di settore

Protezione delle informazioni

Gestione dei rischi

Monitoraggio e controllo


I key risks e le sfide legate al Cloud Computing

Oltre all’aspetto tecnologico, l’adozione del Cloud Computing richiede un attento esame dei potenziali rischi operativi connessi e delle sfide sottese

Da una survey globale condotta da KPMG emerge quanto gli aspetti legati alla Sicurezza costituiscano una delle sfide principali in uno scenario di adozione di soluzioni cloud

Other

Dissatisfaction with offerings/pricing by vendors

Lack of customization opportunities

Difficulty making a business case for adopting a cloud environment

Not sure the promise of a cloud environment can be realized

Lack of confidence in ability of cloud vendors to perform

Response time

Regulatory compliance

Measuring ROI

Availability

Loss of control over data with respect to customers

Difficulty integrating cloud with existing systems

Performance

Security

2%

8%

9%

12%

13%

13%

13%

14%

15%

15%

16%

18%

20%

29%

44%

0 10 20 30 40 50

IT governance

What do you believe are the top challengers or concerns your organization faces in adopting a cloud environment?

Multiple responses allowed. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”


L’impatto del Cloud Computing sulle Business Operations

L'adozione di una soluzione Cloud ha un forte impatto sull’IT, ma non solo. Anche le attività business-critical ne

sono impattate

Quali sono quindi le principali sfide per le organizzazioni che intendono adottare una soluzione Cloud?

Business Operations

Financial Management and Tax

Security and Privacy

Operational

Regulatory and Compliance

Data & Technology

Vendor Management

Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”


■ Movement from CapEx to OpEx model impacts existing budgeting, forecasting and reporting processes

■ CapEx to OpEx model and changes in the character and source of service impacts tax considerations

■ Outdated tax laws and regulations create uncertainty when characterizing the various cloud transactions

■ Cloud ROI and cost/benefit analysis are complicated by need for knowledge of existing cost of delivery and future use of service

■ Cloud adoption introduces rapid change in the organization

■ Cloud sourcing may impact existing organizational roles and could require new skills or make others redundant

■ Business resiliency/disaster recovery needs and plans will change and require updating


La gestione appropriata delle soluzioni di Cloud Computing consente un adeguato presidio dei possibili rischi derivanti dalle stesse

■ Data may be stored in cloud without proper customer segregation allowing possible accidental or malicious disclosure to third parties and/or in a legal jurisdiction where the rights of data subject are not protected

■ Loss of governance of critical areas, e.g., vulnerability management, infrastructure hardening, or physical security

■ Weak logical access controls due to cloud vendor’s IAM immaturity Business

Operations

Security and

Privacy

Regulatory and

Compliance Data &

Technology

Vendor Management

Operational

Financial Management

and Tax



■ Lack of visibility into the Cloud Service Providers (CSPs) operations inhibits analysis of its compliance with pertinent laws and regulations

■ Complexity of records management/records retention creates challenges

■ Lack of industry standards and certifications for cloud providers creates risks


■ Risk of creating independent silos of information perpetuate the problem of data integrity, quality, and insight

■ Business can bypass the IT function to implement technology solutions, posing challenges for IT governance

■ Cloud delivery models dramatically change how IT delivers technology services to support business requirements

■ Cloud adoption opens the four Data Center walls to external IT Services providers, creating new risks ■ Lack of clarity of ownership responsibilities between

cloud vendor and user company

■ No prevalent standards for vendor interoperability

■ Extensive reliance on CSPs

Business Operations

Security and

Privacy

Data & Technology

Regulatory and

Compliance

Financial Management

and Tax

Vendor Management

Operational

La gestione appropriata delle soluzioni di Cloud Computing consente un adeguato presidio dei possibili rischi derivanti dalle stesse



La Governance nel Cloud Computing

Una corretta Governance degli aspetti critici delle soluzioni di Cloud Computing consente un allineamento al business focus e tiene in considerazione i principali IT Issues

La dinamicità del contesto Cloud e la gestione degli aspetti ad esso correlati – dall’aspetto tecnologico, agli aspetti di gestione dei rischi e delle sfide – comportano l’esigenza di prestare particolare attenzione al presidio della soluzione di Cloud Computing individuata

Come assicurarsi che la soluzione di Cloud Computing risponda in maniera adeguata alle esigenze di Business?

La governance della soluzione Cloud diventa un driver fondamentale: occorre allineare l’applicazione delle soluzioni individuate con gli obiettivi aziendali di business

In aggiunta, vanno correttamente indirizzate le tematiche IT: IT Security; Local Regulation and Compliance; Data Retention; Business Continuity; …



Corporate Governance

IS Governance

IT Governance

Business

Information Systems

■ Strategie e orientamento

■ Cultura e organizzazione

■ Politiche

■ Processi

■ Rischi

■ Misure

■ Controllo e gestione dei rischi ■ Compliance alle normative ■ Misurazione delle performance ■ Creazione di valore

L’ IS Governance individua una serie di elementi che consentono alle aziende di:

■ Allineare gli obiettivi dei sistemi informativi con quelli di business

■ Implementare controlli in linea con le normative esterne

■ Gestire i rischi

■ Misurare le performance rispetto agli obiettivi

■ Infrastrutture

■ Architetture

■ Applicazioni



L’obiettivo principale della governance delle soluzioni di Cloud Computing richiede la gestione di tutti quegli aspetti che potrebbero potenzialmente generare un rischio per l’organizzazione

A tal fine, occorre definire e implementare:

■ un framework di policy e procedure finalizzate all’indirizzamento degli IT Issues presi in considerazione

■ un appropriato sistema di monitoraggio e controllo, basato su requisiti e indicatori di performance adeguatamente selezionati in funzione del target objective dell’organizzazione in merito alle soluzioni di Cloud Computing adottate

Come garantire una corretta governance della soluzione Cloud?

LocalRegulation

and Compliance

CLOUD COMPUTING

IT & Business

Alignmnnt

Alignmentwith

Business focus

IT Security

Data Protection

Business Continuity

Legal & Fiscal

constraints

IS Governance


Auditing the Cloud

L’IS Auditing consiste in un processo di verifica, sistematico e documentato, relativo alla conformità dei sistemi informativi di un’azienda o organizzazione rispetto a quanto previsto da norme, regolamenti o politiche interne

Attraverso l’attività di Audit, un’organizzazione ha la possibilità di verificare la corretta implementazione e il rispetto del Sistema di Governance


Alcuni Framework adattabili al Cloud

I principali standard di riferimento

L’attualità delle tematiche di Cloud Computing, la dinamicità tipica del contesto Cloud, nonché l’eterogeneità degli effetti introdotti dalle soluzioni di Cloud Computing ha destato l’interesse di notevoli fonti autorevoli in materia

ISO 2700x

ISO/IEC 2700x è la famiglia di standard internazionali che delineano il Sistema di Gestione della Sicurezza delle Informazioni. Fa parte della famiglia ISO 2700x, la norma ISO/IEC 27001, che determina i requisiti in ambito di impostazione e gestione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI – ISMS): obiettivo dello standard è quindi quello di fornire i requisiti per la definizione, l’implementazione, il monitoraggio ed il miglioramento continuo di un SGSI

Si tratta di una delle certificazioni più importanti per la realtà aziendale, poiché le informazioni rappresentano un vero e proprio patrimonio la cui gestione diventa strategica per la tutela e lo sviluppo dell‘azienda

COBIT

Framework sviluppato da ISACA come riferimento per i controlli di governance dei processi IT, COBIT (Control Objectives for Information and related Technology) definisce inoltre uno strumento per la valutazione della maturità del controllo

I controlli e i processi declinati all’interno del framework COBIT costituiscono una base per implementare una struttura di governance a supporto dei servizi di Cloud Computing

Sono disponibili mappature con NIST Special Publication (SP) 800-53, ISO 17799, ITIL, Capability Maturity Model Integration (CMMI) and Project Management Body of Knowledge (PMBOK)

IT Governance

ResourceManagement


Alcuni Framework per il Cloud

I principali standard di riferimento

Cloud Controls Matrix

Distribuito da CSA (Cloud Security Alliance) nel mese di aprile 2010, è un framework adottato come baseline per specifici controlli legati al cloud, specificamente progettato per fornire i principi fondamentali di sicurezza per guidare e assistere i fornitori di ed i potenziali clienti nella valutazione complessiva dei rischi per la sicurezza di un CSP. La matrice CSA è composta da controlli che derivano da: HIPAA, ISO/IEC 27001/27002, COBIT, PCI e NIST

NIST SP 800-14x

Tra la serie di pubblicazioni del National Institute of Standards and Technology (NIST), vi è la serie 800 – 14x, che ha l’obiettivo di indirizzare tematiche inerenti gli aspetti tecnologici dell’Information Security, in modo similare a ISO e COBIT

Afferiscono quindi a tale area anche pubblicazioni “Cloud oriented”, in particolare: ■ SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing ■ SP 800-145: The NIST Definition of Cloud Computing ■ SP 800-146: Cloud Computing Synopsis and Recommendations (ancora DRAFT)

ENISA

European Network and Information Security Agency (ENISA) è un’agenzia dell’EU dedicata allo studio e divulgazione della cultura della Sicurezza delle Informazioni

Nel Novembre 2009, ENISA ha pubblicato il report “Cloud Computing - Benefits, Risks and Recommendations for Information Security”, che definisce una moltitudine di rischi nel cloud, coprendo tutte le tipologie di servizio e di modello di deployments delle varie soluzioni offerte


Le azioni di controllo indicate dal Garante della Privacy

Ponderare prioritariamente rischi e benefici dei servizi offerti

Effettuare una verifica in ordine all’affidabilità del fornitore

Privilegiare i servizi che favoriscono la portabilità dei dati

per evitare rischi legati al lock-in

Informarsi su dove risiederanno, concretamente, i dati

(in modo da stabilire la giurisdizione e la legge applicabile)

Attenzione alle clausole contrattuali (valutando l’idoneità delle condizioni

contrattuali per l’erogazione del servizio)

Verificare le politiche di persistenza dei dati legate alla loro

conservazione

Assicurarsi la disponibilità dei dati in caso di necessità

Selezionare i dati da inserire nella Cloud

(coerentemente con le misure di sicurezza necessarie)

Non perdere di vista i dati (identificare il ciclo di vita del dato

implementato dal fornitore)

Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati

Formare adeguatamente il personale mediante specifici

interventi formativi

Nel documento “Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi”, emesso dal Garante della Privacy, sono indicate una serie di azioni di controllo da attuare precedentemente all’avvio di un progetto di Cloud Computing


Objective

The Cloud Computing audit/assurance review will:

■ Provide stakeholders with an assessment of the effectiveness of the Cloud Computing service provider’s internal controls and security

■ Identify internal control deficiencies within the customer organization and its interface with the service provider

■ Provide audit stakeholders with an assessment of the quality of and their ability to rely on the service provider’s attestations regarding internal controls

The Cloud Computing audit/assurance review is not designed to replace or focus on audits that provide assurance of specific application processes and excludes assurance of an application’s functionality and suitability

Scope

The review will focus on:

■ The governance affecting Cloud Computing

■ The contractual compliance between the service provider and customer

■ Control issues specific to Cloud Computing

The ISACA

Approach

1 Planning and Scoping

the Audit

2 Governing the

Cloud

3 Operating in the

Cloud

Il documento “IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud”, pubblicato da ISACA, fornisce ai soggetti interessati (Cloud User) le linee guida per l’audit della propria soluzione Cloud e della gestione del rapporto con il Cloud Service Provider

Fonte: Cloud Computing Management Audit/Assurance Program – ISACA © 2011 ISACA. All rights reserved.

Cloud Computing Management Audit/Assurance Program – ISACA


1 Planning and Scoping

the Audit

2 Governing the Cloud

3 Operating in

the Cloud

1.1 Define the audit/assurance objectives

1.2 Define the boundaries of review

1.3 Identify and document the risk

1.4 Define the change process

1.5 Define assignment success

1.6 Define the audit/assurance resources required

1.7 Define deliverables

1.8 Communications

2.1 Governance and Enterprise Risk Management

2.2 Legal and Electronic Discovery

2.3 Compliance and Audit

2.4 Portability and Interoperability

3.1 Incident Response, Notification and Remediation

3.2 Application Security

3.3 Data Security and Integrity

3.4 Identity and Access Management

3.5 Virtualization

The COBIT cross-reference provides the audit and assurance professional with the ability to refer to the specific COBIT control objective that supports the audit/assurance step

Multiple cross-references are not uncommon

The audit/assurance program is organized in a manner to facilitate an evaluation through a structure parallel to the development process. COBIT provides in-depth control objectives and suggested control practices at each level

COBIT Cross-

reference

Fonte: Cloud Computing Management Audit/Assurance Program – ISACA © 2011 ISACA. All rights reserved.



1. Planning and Scoping the Audit

2. Governing the Cloud

3. Operating in the Cloud

Audit/Assurance Program Step

Audit/Assurance Objective Rif. COBIT

The audit/assurance objectives are high level and describe the overall audit goals

The review must have a defined scope. Understand the core business process and its alignment with IT, in its noncloud form and current or future cloud implementation

The risk assessment is necessary to evaluate where audit resources should be focused. In most enterprises, audit resources are not available for all processes. The risk-based approach assures utilization of audit resources in the most effective manner

N/A


1.1 Define the audit/assurance objectives

1.2 Define the boundaries of review

1.3 Identify and document

risks


1.4 Define the change process

1.5 Define assignment

success 1.6 Define the

audit/assurance resources required

The initial audit approach is based on the reviewer’s understanding of the operating environment and associated risks. As further research and analysis are performed, changes to the scope and approach may result

The success factors need to be identified. Communication among the IT audit/assurance team, other assurance teams and the enterprise is essential

The audit/assurance resources required for a successful review need to be defined. (Refer to the Minimum Audit Skills section in section V.)






Rif. COBIT

N/A

Audit/Assurance Objective


The deliverable is not limited to the final report. Communication between the audit/assurance teams and the process owner about the number, format, timing and nature of deliverables is essential to assignment success

The audit/assurance process must be clearly communicated to the customer/client






Rif. COBIT

1.7 Define deliverables

1.8 Communications

N/A



2.1 Governance and Enterprise Risk Management 2.1.1 Governance

2.1.2 Enterprise Risk Management

Governance functions are established to ensure effective and sustainable management processes that result in transparency of business decisions, clear lines of responsibility, information security in alignment with regulatory and customer organization standards, and accountability

Risk management practices are implemented to evaluate inherent risks within the Cloud Computing model, identify appropriate control mechanisms, and ensure that residual risk is within acceptable levels

■ ME1 ■ ME2 ■ ME4 ■ PO4 ■ DS1 ■ DS2 ■ DS5

■ PO9 ■ ME4 ■ DS1 ■ DS2





Rif. COBIT




2.1 Governance and Enterprise Risk Management 2.1.3 Information Risk

Management

2.1.4 Third-party Management

A process to manage information risk exists and is integrated into the organization’s overall ERM framework. Information risk management information and metrics are available for the information security function to manage risks within the risk tolerance of the data owner

The customer recognizes the outsourced relationship with the service provider. The customer understands its responsibilities for controls, and the service provider has provided assurances of sustainability of those controls

■ PO9 ■ DS5 ■ ME4

■ DS2 ■ DS4 ■ ME2 ■ ME3





Rif. COBIT




2.2 Legal and Electronic Discovery 2.2.1 Contractual

Obligations

2.2.2 Legal Compliance

The service provider and customer establish bilateral agreements and procedures to ensure contractual obligations are satisfied, and these obligations address the compliance requirements of both the customer and service provider

Legal issues relating to functional, jurisdictional and contractual requirements are addressed to protect both parties, and these issues are documented, approved and monitored

■ DS1 ■ DS2 ■ ME2 ■ ME3

■ DS1 ■ ME3





Rif. COBIT




2.3 Compliance and Audit 2.3.1 Right to Audit

2.3.2 Auditability

2.3.3 Compliance Scope

The right to audit is clearly defined and satisfies the assurance requirements of the customer’s board of directors, audit charter, external auditors and any regulators having jurisdiction over the customer

The service provider’s operating environment should be subject to audit to satisfy the customer’s audit charter, compliance requirements and good practice controls without restriction

The use of Cloud Computing does not invalidate or violate any customer compliance agreement

■ ME2 ■ ME3

■ DS2 ■ ME2 ■ ME3

■ ME3





Rif. COBIT




2.3.4 ISO 27001 Certification

2.4 Portability and Interoperability 2.4.1 Service Transition

Planning

Service provider security assurance is provided through ISO27001 Certification

Planning for the migration of data, such as formats and access, is essential to reducing operational and financial risks at the end of the contract. The transition of services should be considered at the beginning of contract negotiations





Rif. COBIT


■ DS5 ■ ME2 ■ ME3 ■ PO2 ■ PO4



Incident notifications, responses, and remediation are documented, timely, address the risk of the incident, escalated as necessary and are formally closed

Applications are developed with an understanding of the interdependencies inherent in cloud applications, requiring a risk analysis and design of configuration management and provisioning process that will withstand changing application architectures

3.1 Incident Response, Notification and Remediation 3.1.1 Incident Response

3.1.2 Service Provider Issue Monitoring

3.1.3 Customer Issue Monitoring

3.2 Application Security 3.2.1 Application Security

Architecture





Rif. COBIT


■ DS1 ■ DS2 ■ DS5 ■ DS8

■ AI2 ■ DS5 ■ DS9



Compliance requirements are an integral component of the design and implementation of the application security architecture

Use of development tools, application management libraries and other software are evaluated to ensure their use will not negatively impact the security of applications

For SaaS implementations, the application outsourced to the cloud contains the appropriate functionality and processing controls required by the customer’s control policies within the processing scope (financial, operational, etc.)

3.2.2 Compliance

3.2.3 Tools and Services

3.2.4 Application Functionality





Rif. COBIT


■ AI2 ■ ME3

■ AI2 ■ AI3 ■ DS5 ■ DS9

■ ME2



Data are securely transmitted and maintained to prevent unauthorized access and modification

Encryption keys are securely protected against unauthorized access, separation of duties exists between the key managers and the hosting organization, and the keys are recoverable

3.3 Data Security and Integrity 3.3.1 Encryption

3.3.2 Key Management





Rif. COBIT


■ AI7 ■ DS5 ■ DS11 ■ DS4 ■ DS5



Identity processes assure only authorized users have access to the data and resources, user activities can be audited and analyzed, and the customer has control over access management

Virtualization operating systems are hardened to prevent cross-contamination with other customer environments

3.4 Identity and Access Management 3.4.1 Identity and Access

Management

3.5 Virtualization 3.5.1 Virtualization





Rif. COBIT


■ DS5 ■ PO3

■ DS2 ■ DS5



Conclusioni

■ L’adozione delle soluzioni Cloud rappresenta una significativa evoluzione nella fornitura di servizi IT e di business, con forti impatti anche sull’operatività e sull’efficienza aziendale

■ Il vecchio paradigma IT sembra non essere più all'altezza delle aspettative del Business, e le aziende stesse sono alla ricerca di concetti nuovi. Una valida alternativa può essere offerta dal Cloud Computing, permettendo una rivisitazione del proprio “parco IT”, inclusi hardware e software, e riguadagnando autorità sul proprio business aziendale, mantenendo altresì sotto controllo i costi ed assicurandosi una sempre crescente flessibilità ed agilità

■ Tali aspetti debbono però essere valutati alla luce delle questioni critiche e delle sfide citate, quali la gestione del rischio, la compliance, gli aspetti fiscali e di altro tipo, nonché l’attuale evoluzione normativa sulla data protection (ma non solo), che possono avere implicazioni per l'adozione del Cloud

Una corretta governance di questi aspetti, garantita da una adeguata attività di auditing, consente di affrontare questo nuovo scenario con meno complessità


Domande …

Grazie per l’attenzione! Contatti

Laura Quaroni Manager KPMG S.p.A. T: 02-67632863 - 3488289009 E: [email protected] www.kpmg.it

© 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.

Denominazione e logo KPMG e "cutting through complexity" sono marchi e segni distintivi di KPMG International.

Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione.

auditing the cloud - aiea · source: kpmg international, 2011, “clarity in the cloud - a global...

Documents