[AcLab] R: Proposte di cloud

[NW/315]

Angelo Rosina ha scritto:
>> Alla fine della discussione, ho proposto all'imprenditore
>> di impiegare le sue risorse a studiare un sistema di Cloud
>> nel quale l'interesse principale sia quello a "muovere o
>> conservare i dati" di terze parti e non quello di
>> interpolare ed analizzare questi dati. Come si può fare?
>> Basta che i dati dell'utente siano cifrati o, comunque, solo
>> a lui intellegibili. Il cuore del business, dunque, si deve
>> spostare dalla manipolazione al semplice trasferimento. Tu
>> puoi anche tenere i miei dati, purché solo io ne possa
>> fruire e li abbia sempre a disposizione, senza lock in.
>> A mio parere, questa sarebbe una condizione accettabile per
>> un cloud funzionale e senza troppi pericoli.
>> Che ne pensate????
>>     
Salve a tutti, prendo spunto dalle risposte di Angelo per dire la mia.
>
> Penso che un modello del genere dovrebbe essere a pagamento: l' utente paga per "prendere in affitto" uno spazio (esattamente come affitterebbe un magazzino, ad esempio), e su tale spazio poi mette i dati che vuole (e solo lui può accedere a tali dati); l' azienda che offre tale spazio, non potendo analizzare i dati (perchè sono cifrati), non può certo guadagnare con il data mining, o con la pubblicità, e dal momento che ha delle spese (per gestire i server), deve farsi pagare in qualche modo, e tale modo sarebbe il pagamento diretto. Diritti e doveri di entrambe le parti non sarebbero più definiti dai "termini di servizio", ma da un regolare contratto.
>   
L'idea potrebbe essere buona, ma attenzione al fatto che la massa dei
dati deve essere non solo cifrata ma anche invisibile ad estranei.
In questo modo non solo il dato interno viene messo al sicuro, ma anche
il dato esterno che di solito è invece visibile.
Se si trattase anche di un servizio di corrispondenza digitale per
esempio, magari per il trasferimento di importanti documenti riservati,
non basterebbe proteggere il contenuto testuale delle email ma si
dovrebbe nascondere anche il pacchetto che viene trasferito come dato
esterno che comunque contiene informazioni utili per il data mining che
potrebbero quindi essere vendute, (a chi si è scritto, a che ora, quante
volte in una settimana e quanto pesa il pacchetto)
Teniamo anche conto che comunque durante il trasferimento dei dati da
utente a server ci possono essere dei rischi di furto dei dati ed anche
quel momento dovrebbe essere considerato. Credo che dotare un server ed
un servizio di Cloud di tutte le caratteristiche di sicurezza necessarie
dovrebbe comportare la certezza anche contrattuale della sicurezza del
viaggio dei dati nella rete. Diversamente, il fornitore del servizio
potrebbe, credo, inventarsi una comoda scappatoia.

> Per l' utente comune una tale soluzione non sarebbe molto accattivante (non credo che un utente che vuole uno spazio di hosting per le proprie foto delle vacanze sia disposto a pagare, se ad esempio Google o Facebook gli offrono un servizio uguale gratuitamente), ma potrebbe esserlo per i professionisti, se il provider fosse in grado di offrire dei "valori aggiunti" (ad esempio, una garanzia in caso di perdita di dati, o di fuga di notizie). Nessuno, ad esempio, può impedire in modo assoluto che i miei dati vengano danneggiati (tutti i supporti digitali possono rompersi), ma il contratto potrebbe stabilire un risarcimento nel caso ciò accadesse (esempio: io ho realizzato un progetto per cui ho lavorato mesi, invece di salvarlo sul mio disco chiedo a te di conservarlo sul tuo server e ti pago un abbonamento per questo, se però il file viene perduto, tu mi paghi diecimila euro come risarcimento per il lavoro che dovrò rifare). Si potrebbe avere una
>  sorta di "assicurazione" sui dati.
>   
Questa sarebbe una ottima soluzione anche perché obbligherebbe il
fornitore del servizio a dotarsi di tutta una seria di accorgimenti atti
a diminuire al massimo l'eventualità di una refusione del danno all'utente.
L'esempio delle banche è adatto allo scopo perché si appoggia su un
trasferimento di dati assolutamente sicuro. Certo resta il fatto che
qualcuno potrebbe accedere con i dati personali del cliente della banca
e fare quello che vuole e li la faccenda si complica un attimo.
Qualsiasi contratto che prevedesse una assicurazione dovrebbe imporre
regole e obblighi anche all'utente per la conservazione e custodia dei
dati sensibili di accesso. Un pò come per l'esempio fatto da Angelo del
professionista che invece di custodire i documenti in una cassaforte li
lascia sulla scrivania e magari non ha un sistema di allarme a casa.
Insomma sarebbe comunque giusto diluire le responsabilità sulla base
delle responsabilità personale, in relazione alla sfera di potere del
soggetto, in questo caso l'utente avrebbe l'obbligo di usare non solo la
normale diligenza ma, in ragione del suo lavoro anche una diligenza
speciale. Gnuccio potrebbe venirmi in aiuto qui visto che le sue
conoscenze sono sicuramente più adatte.
> Un' altra applicazione che mi viene in mente è la realizzazione di una sorta di "cassetta di sicurezza" per i dati (non so però se le normative attuali lo consentono).
> Per fare un esempio: se un professionista ha in mano dei documenti (cartacei) importanti e riservati, e nella notte un ladro gli entra nello studio e li ruba, il professionista è considerato responsabile di violazione del segreto di ufficio, a meno che non dimostri di aver fatto tutto ciò che era possibile per evitare tale evento (se aveva lasciato i fogli sulla scrivania, è responsabile lui, se li aveva messi in cassaforte, no, perchè aveva fatto tutto il possibile). Ovviamente, se i documenti non erano più nel suo ufficio, ma in una cassetta di sicurezza nel caveau di una banca, il professionista non è più responsabile (al massimo lo è la banca).
>
> Mi chiedevo se per i dati digitali potrebbe valere un discorso analogo: se i dati sono sul mio computer, sono al sicuro? Dovrei dimostrare di aver usato un sistema operativo esente da bachi (difficile, se uso windows), di aver installato e configurato correttamente un firewall (ma non tutti sono capaci), di aver installato un antivirus aggiornato (ma se ad esempio uso linux, che antivirus metto? E serve a qualcosa?). Sarebbe interessante, a questo punto, affidare i dati ad una azienda specializzata nella sicurezza informatica, pagando un canone, e lasciare la responsabiltà civile e penale a tale azienda, in caso di violazione.
>   
Sul sistema operativo esente da bachi sarebbe troppo comodo poter dire
che windows non è sicuro :)
Ci farebbe troppo comodo eheheh :)
Diciamo che un sistema operativo può essere configurato bene o male che
da quello dipende la sua sicurezza. Bisognerebbe al massimo implementare
l'utilizzo obbligatorio di tools di sicurezza a prescindere dall'OS. In
assenza di tali tools è chiaro che dare tutte le responsabilità al
gestore della cassetta di sicurezza sarebbe ingiusto.
L'idea è comunque buona e si collega al discorso della assicurazione
fatto qualche riga più su. Sarebbe anche un modo, finalmente, per
gravare con responsabilità giuridiche anche chi fornisce il servizio che
al momento gode di assoluta impunità anche per il fatto che dimostrare
che non abbia adottato strategie adatte per proteggere i dati dei
clienti....non è possibile allo stato dell'arte.
Molto interessante il fatto di trasformare il mostro Cloud in un
servizio che venisse accettato dall'utente esclusivamente in presenza di
features di sicurezza che lo garantiscano.
Questo chiaramente interessa l'utente a seconda dei dati che deve
affidare, Come ha detto Angelo, per mettere delle foto ancora non ci
siamo, la cultura del popolo dei social network non comprende la
salvaguardia delle loro vacanze, famiglie, amici, parenti, amanti e via
dicendo.
Quella parte di privacy sembra aver perso totalmente importanza e su
questo i social network ci mangiano, lo sappiamo.
E' anche vero che nessuno pagherebbe per un servizio di hosting o per
iscriversi a facebook e a fb non converrebbe mai trasformarsi in un
servizio a pagamento, perderebbe dati.
> Un particolare, infatti, di cui si è parlato poco è dato dal fatto che molti dei nostri dati più importanti non sono custoditi da noi, ma da altri: ad esempio la cartella clinica, che contiene dati decisamente riservati, non è in mano ai pazienti, ma al medico; e se il medico non è più che esperto di sicurezza informatica, potrebbe essere utile la possibilità di far conservare i dati a qualcuno che invece lo è, a condizione naturalmente che questi garantisca l' accesso a tali dati solo al medico, e a nessun altro.
>
> Il modello che hai proposto, quindi, sarebbe un modello di nicchia, riservato a casi particolari, e non alle "masse" di utenti comuni; anche se forse non sarebbe male richiedere un abbonamento per certi servizi cloud: l' utente ci penserebbe un attimo, e valuterebbe le alternative offline, se per un servizio online dovesse pagare (in realtà paga comunque, anche se indirettamente, solo che non se ne rende conto)
>   

Sono d'accordo, è un modello che funzionerebbe per chi davvero ha
l'interesse di custodire dati digitali di una certa importanza e sarebbe
quindi disposto a pagare per il servizio.
in questo caso il CC farebbe meno male, di sicuro, in più costringerebbe
i fornitori del servizio a spendere soldini per implementare la
sicurezza, pena pagare i danni.

Salute/NW

>
>       
>
> _______________________________________________
> AcLab
> http://aclab.indivia.net
> AcLab mailing list
> AcLab a lists.aktivix.org
> https://lists.aktivix.org/mailman/listinfo/aclab
>   


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  267 bytes
Descrizione: OpenPGP digital signature
URL:         <https://lists.aktivix.org/pipermail/aclab/attachments/20100104/fa159448/attachment.pgp>