martedì 31 marzo 2020

Le scuole, la digitalizzazione forzata e le solite lezioni

Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.

La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.

Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.

Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.

Ma parliamo anche degli strumenti.

Io ho avuto modo di usare Weschool e Edmodo.

Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.

Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.

Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.

Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).

Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".

Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.

A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.

Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.

Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.

C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.

ISO 22313:2020 sulla business continuity

Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la
pubblicazione della nuova versione della ISO 22313 dal titolo "Guidance on
the use of ISO 22301":
- https://www.iso.org/standard/75107.html.

Non l'ho (ancora) letta e quindi non la commento.

Pubblicata una correzione alla ISO/IEC 27006

Pubblicato l'Amendment 1 della ISO/IEC 27006:2015 ("Requirements for bodies
providing audit and certification of information security management
systems":
- https://www.iso.org/standard/77722.html.

Poca roba, di (scarso) interesse anche per gli organismi di certificazione.
Piccole puntualizzazioni su cose marginali (ma su cui .

Ricordo che la ISO/IEC 27006 è la norma che devono applicare gli organismi
di certificazione, non le organizzazioni che intendono certificarsi.

Libro: IoT Security e Compliance

E' uscito il libro "IoT Security e Compliance" della Community for Security del Clusit:
- https://iotsecurity.clusit.it.

Anche io appaio tra gli autori.

lunedì 30 marzo 2020

Corea del Sud e Italia, cultura e tecnologia

Anche io entro in questa amena discussione sull'applicazione usata in Corea
del Sud che permetterebbe di tracciare i movimenti delle persone e
contrastare il diffondersi del COVID-19. Un articolo tra i tanti, che mi
sembra molto esaustivo (grazie a un retweet di @brunosaetta):
- https://www.valigiablu.it/coronavirus-dati-tecnologia/.

Questo articolo, sempre su Valigia Blu, ma da un tweet di @fpietrosanti,
parla di Singapore:
-
https://www.valigiablu.it/coronavirus-singapore-contact-tracing-tecnologia-p
rivacy/
.

Molte critiche. Credo che questo articolo (da un retweet di @gbgallus)
riassuma la questione:
-
https://www.techeconomy2030.it/2020/03/21/coronavirus-contact-tracing-emerge
nza-sanitaria-cancella-altri-diritti/
.

Il mio commento è che troppo spesso si pensa alla tecnologia senza pensare a
tutti gli altri fattori (anche altri dicono, con parole più o meno diverse,
questa stessa cosa). Siamo, come al solito, in mano a quelli che ragionano
per tool e non per cultura e processi con risultati sempre negativi, come ho
già scritto in passato.

Per esempio, ecco alcuni elementi culturali a cui ho pensato e che non ho
visto approfonditi:
- nei Paesi asiatici l'uso della mascherina è molto più diffuso anche per le
"normali" influenze (guardatevi in giro e pensate a quanti non si mettono la
mascherina per non sembrare buffi; una mamma infermiera mi ha detto che sua
figlia ha pianto quando l'ha vista con la mascherina);
- nei Paesi asiatici, solitamente, le persone appena possono stanno più
distanti che da noi (giusto sabato ho visto uno che a piedi superava
un'altra a non più di 5 cm di distanza e mi sono chiesto perché tanta
fretta; al supermercato si vede sempre il "corridore" che, evidentemente per
tornare a casa in fretta, si avvicina a tutti e senza mascherina);
- nel nostro Paese il richiamo alle regole genera fastidio e anche
derisione, piuttosto che solidarietà (venerdì, dal fruttivendolo, mi sono
arrabbiato con il garzone che, senza mascherina, continuava a passarmi
vicinissimo e, ovviamente, io ho fatto la figura del rompiscatole, non lui
quella dello sconsiderato);
- non abbiamo mascherine neanche le volessimo.

Proprio il 30 marzo è uscito un articolo sul Corriere della Sera dal titolo
"Controlli: 5.000 multati (e 50 positivi in giro)". Il problema non è quindi
l'uso delle tecnologie, se una domenica 50 persone positive vanno in giro e
5.000 vanno in giro senza alcuna ragione. Mi spiace, ma forse l'articolo è
"bloccato". Ad ogni modo, il link è questo:
-
https://www.corriere.it/politica/20_marzo_30/coronavirus-sabato-nero-control
li-5000-multe-quei-50-positivi-spasso-8dae3e98-71f8-11ea-b6ca-dd4d8a93db33.s
html
.

Sulla questione delle mascherine, sempre il 30 marzo è uscito un articolo
sul Corriere della Sera:
-
https://www.corriere.it/dataroom-milena-gabanelli/coronavirus-perche-non-si-
trovano-mascherine/7233d98a-71fc-11ea-b6ca-dd4d8a93db33-va.shtml
.

Mi vengono poi ulteriori domande sulla reale capacità di usare questi
strumenti, su quante persone competenti ci sono in giro per installarli,
usarli efficacemente e mantenerli. Visto che già nelle aziende private vedo
situazioni imbarazzanti, mi permetto di avere qualche dubbio per un progetto
pubblico di questa dimensione (e ho anche dei dubbi sui tempi; ora che sarà
tutto pronto spero che l'emergenza sarà finita).

venerdì 27 marzo 2020

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID
contenenti le "Regole Tecniche per la sottoscrizione elettronica di
documenti ai sensi dell'art. 20 del CAD":
-
https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guid
a-agid/
.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma
interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID
per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

domenica 22 marzo 2020

Corona virus e privacy (quarta parte - una riflessione)

Riccardo Lora degli Idraulici della privacy ha condiviso questa riflessione
di Matteo Flora dal titolo "La Guida Completa allo Stato di Polizia":
- https://www.youtube.com/watch?v=rsu-LHNcyEM.

Quindi c'è qualcuno che studia le cose prima di voler importare soluzioni da
altri Paesi senza un minimo di analisi!

mercoledì 18 marzo 2020

Corona virus e privacy (terza parte - EDPB)

Il 16 marzo, sempre in merito alla raccolta di dati da parte delle aziende e
all'elaborazione dei dati di posizionamento in possesso delle compagnie di
telecomunicazioni per fronteggiare l'emergenza COVID-19, l'EDPB ha fatto una
dichiarazione:
-
https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-person
al-data-context-covid-19-outbreak_it
.

Mi è sembrata meno approfondita di quello che speravo.

Ringrazio sempre la mia fonte (anonimizzata).

Corona virus e privacy (seconda parte)

Avevo scritto il 1 marzo sulle fantasiosie interpretazioni privacy ai tempi
del COVID-19:
- http://blog.cesaregallotti.it/2020/03/corona-virus-e-privacy.html.

E però non avevo detto che il giorno dopo il Garante aveva fatto un
comunicato proprio su questo argomento (ringrazio chi me l'ha segnalato):
-
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/
9282117.

Me ne scuso. Anche perché il Garante, più o meno, era sulla mia stessa linea
di pensiero. Dico "più o meno" perché la posizione del Garante è ovviamente
più approfondita della mia.

Su questo aggiungo che mi sto ponendo un'altra questione: se una persona è
venuta nei locali di un'azienda e si è successivamente accorta di essere
infetta e poi telefona all'azienda per segnalare l'evento, come deve
comportarsi l'azienda? Io, indicativamente, direi che l'azienda dovrebbe
identificare le persone e informare le persone con cui è entrata in
contatto. E quindi questa cosa andrebbe prevista e gli interessati
informati.

Certo... dovrei cercare di passare dal medico del lavoro. Però la situazione
non mi sembra facile.

Detto questo, mi è arrivata notizia che sono arrivate segnalazioni di data
breach e anche reclami relativi a persone la cui privacy è stata violata
perché positivi al COVID-19 (p.e. attraverso diffusione su social del nome
della persona, diffusione dei risultati del test, pubblicazione del
provvedimento di isolamento).

Accanto a questo trovo incredibile (e inquietante) il diffondersi delle
notizie relative ai magnifici risultati della Corea del Sud che ha usato i
dati personali dei cittadini per contrastare efficacemente il COVID-19. Su
questo ho i miei dubbi perché non ho sufficienti notizie. Forse dovremo
rimandare le valutazioni sull'efficacia degli interventi alla fine
dell'emergenza e poi dovremo anche considerare le grandi differenze tra i
nostri Paesi, che forse celano ulteriori cause per i risultati ottenuti
(ricordo, per esempio, che in certi Paesi è normale indossare la mascherina
quando si ha il raffreddore; ma dovremmo anche riflettere sui diversi regimi
politici e altre condizioni).

lunedì 16 marzo 2020

Solidarietà digitale:

Lo Studio legale Stefanelli & Stefanelli mette a disposizione dei documenti
standard, predisposti dai professionisti dello studio, soprattutto relativi
alla privacy, utili per riorganizzare i processi interni in questo momento
di emergenza per il COVID-19:
https://www.studiolegalestefanelli.it/it.

Iniziativa lodevole. Io adotto uno stile meno formale, ma ho apprezzato
molto i modelli predisposti.

domenica 15 marzo 2020

"Pandemic Planning and Implementation for Business Resiliency" dal BCI

Segnalo questa breve pubblicazione dal titolo "Pandemic Planning and Implementation for Business Resiliency" del BCI e scritta da Laura Zarrillo (che ho il piacere di conoscere personalmente):
- https://www.thebci.org/news/coronavirus-pandemic-planning-and-implementation-for-business-resiliency.html.

Ci sono molte indicazioni interessanti.

venerdì 13 marzo 2020

Rapporto Clusit 2020

Il 17 marzo sarà pubblicato il Rapporto Clusit 2020. La pagina dove prenotarlo è (dal 17 marzo!):
- https://clusit.it/rapporto-clusit/.

Il rapporto è sempre interessante, anche se negli ultimi anni è sempre più apocalittico. Ne consiglio la lettura.

martedì 10 marzo 2020

ENISA e linee guida per la sicurezza negli ospedali

Mi hanno segnalato la pubblicazione di questa interessante guida dal titolo
"Procurement guidelines for cybersecurity in hospitals":
-
https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-
healthcare-services
.

L'ho trovata molto interessante, anche considerando che molte cose non sono
applicabili solo agli ospedali ma a tutti gli ambienti "industriali".

Inoltre ho trovato interessanti la tassonomia di minacce, visto che sono 31
divise in 5 famiglie (molto maneggevoli, ma solo di tipo informatico).
Accanto a queste, ho trovato utile la lettura delle sfide (challenge) e
delle vulnerabilità (che indica impropriamente come "rischi").

Le misure sono un po' deludenti in quanto alcune troppo generiche, ma forse
utili per alcuni lettori non troppo esperti della materia.

Segnalo la misura G 20 (Set gateways to keep legacy systems/machines
connected) relativa ai dispositivi obsoleti e vulnerabili.

sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

giovedì 5 marzo 2020

IusLaw WebRadio: tutto sullo smart working

Segnalo la puntata del 2 marzo di IusLaw WebRadio dal titolo "Tutto sullo smart working":
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-sullo-smart-working/.

Riassume molte delle cose che ci stiamo dicendo in questi giorni. Interessante però il fatto che, sebbene sia una puntata nata dalla situazione contingente, cerca di uscire dalla contingenza vera e propria.

Successivamente, molte cose dette a voce sono state ribadide per iscritto:
- https://www.agendadigitale.eu/sicurezza/smart-working-come-garantire-sicurezza-informatica-e-privacy/.

Aggiungo che, quando si parla di smart working, mi piacerebbe approfondire anche le tematiche non di sicurezza, visto che lo strumento può introdurre inefficienze e problemi, che poi si riversano sulla sicurezza. Esempi che mi vengono in mente: come assicurare la presenza di un ambiente "alienante" (ossia che produce ricchezza ai partecipanti grazie alla presenza degli "altri", al contrario degli ambienti "estranianti"), come evitare il senso di solitudine, come educare al movimento fisico. Segnalo che si tratta di cose di cui ho parlato con alcune persone in questi giorni, visto che le stiamo sperimentando direttamente.

BCI Horizon Scan Report 2020

Il BCI ha pubblicato il rapporto "BCI Horizon Scan Report 2020" sui rischi di interruzione delle attività:
- https://www.thebci.org/resource/bci-horizon-scan-report-2020.html.

Non è relativo ai servizi informatici, ma a tutti i tipi di organizzazione.

Il primo rischio, quest'anno, è quello di pandemia, che ha superato quello di interruzione dei servizi informatici. Nulla di sorprendente...

Sanzione del Garante in ambito sanitario

Mi hanno segnalato questo interessante provvedimento del Garante privacy "Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona" del 23 gennaio 2020 (doc web 9269629):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9269629.

Qui trovo interessante la prima osservazione del Garante (punto 6, primo elemento dell'elenco puntato). La traduco: "vi multo perché avete dimostrato di non aver adottato misure idonee, visto che sin dal 2013 vi dicevo di attuare le misure che, mancando, vi hanno portato ad una violazione di dati personali".

Traduco ulteriormente: meglio seguire le misure segnalate dal Garante.

mercoledì 4 marzo 2020

Si fa presto a dire "smart working"

Da milanese, sono interessato ad alcune cose sul corona virus. Una di queste riguarda il consiglio di attivare il lavoro da casa. Sono numerosi gli articoli e gli interventi che, in sintesi, dicono di pensare alla continuità operativa e di attivare lo smart working. Alcuni più prolissi, altri più sintetici, ma trovo pochi approfondimenti (ho già consigliato una buona pubblicazione svizzera poco tempo fa).

Nella mia vita lavorativa e in questi giorni ho però raccolto alcune indicazioni per cui dire "lavoro da casa" (o, "lavoro agile" o, in inglese, "smart working", anche se non sempre è agile - ci si alza meno dalla sedia e qualcuno ne ha sentito la fatica -, non sempre è da casa e non sempre è furbo) non è così semplice.

Prima: molti contratti non lo prevedono. E allora ringrazio la circolare di Borioli & Colombo che mi ha segnalato il fatto che sono state attivate misure provvisorie per accedere a questo strumento. Ecco il link:
- https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx.

Interessante ricordarsi dei rischi e la circolare segnala il sito dell'INAIL (che, colpevolmente, non conoscevo per niente):
- https://www.inail.it/cs/internet/attivita/prevenzione-e-sicurezza/conoscere-il-rischio.html.

Seconda: non tutti hanno il pc portatile aziendale; non tutti quelli che ce l'hanno se l'erano portato via il venerdì sera. Ancora peggio: alcuni non hanno proprio un pc in casa (né quello aziendale). E altri ancora non hanno connessioni sufficienti per il telelavoro. Bisognava preventivamente fare un censimento della strumentazione che la persona metterebbe a disposizione e SE è disponibile a farlo. Sono questioni non semplici, su cui alcuni ci stanno lavorando da anni per trovare la giusta quadra tra le esigenze aziendali e quelle dei lavoratori.

Terza: se è richiesto il BYOD con strumenti di emergenza (ossia il pc personale che fino a ieri non era previsto fosse usato per ragioni di lavoro), come configurare questi strumenti? Come la singola persona può installarsi il software per la VPN o il software necessario? E si ricorda tutte le password? Come sopra, questo doveva essere pianificato preventivamente. Devo dire che ho visto aziende molto organizzate per questo tipo di situazione, ma la maggior parte non lo è.

Quarta: se è tutto a posto, l'organizzazione ha la capacità per sostenere tutto il traffico, che prima era interno, da Internet e sulle VPN?

Quinta: ora che la riunione non la facciamo più in una sala riunioni in azienda, riusciremo a farla ognuno in casa propria e con i bambini a casa da scuola?

Ripeto: queste sono questioni che ho visto direttamente e che mi sono state poste da alcuni clienti nel corso degli anni. Sicuramente ce ne sono altre e sarebbe interessante raccoglierle in modo da migliorare le nostre competenze.

Alla fine di questo elenco di possibili problemi, devo dire che molti hanno attivato il "lavoro da casa" con successo e quindi forse alcuni miei dubbi non sono così significativi.

martedì 3 marzo 2020

Manuale per il piano pandemico

Guido Uglietti mi ha segnalato questo interessante manuale dell'Ufficio federale della sanità pubblica della Confederazione Svizzera:
- https://www.bag.admin.ch/bag/it/home/krankheiten/ausbrueche-epidemien-pandemien/pandemievorbereitung/pandemiehandbuch.html.

E' ovvio che i tempi sono questi, ma penso che questo manuale sia fatto bene e completo (anche se, come sempre succede, in ogni situazione emergono casi particolari vari).

lunedì 2 marzo 2020

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Mio articolo sull'accreditamento

E' stato pubblicato questo mio articolo dal titolo "Accreditamento e certificazioni: regole, metodologie e norme di riferimento":
- https://www.cybersecurity360.it/legal/accreditamento-e-certificazioni-regole-metodologie-e-norme-di-riferimento/.

Mi ha chiesto un po' di lavoro di studio, visto che volevo essere sicuro dei tipi di accreditamento di cui volevo scrivere.

Mi spiace che nei ringraziamenti non appaia Stefano Ramacciotti insieme a Franco Ferrari e Alice Ravizza. Purtroppo per colpa mia e per la mia fretta di inviare l'articolo (anche se quelli di Cybersecurity 360 potrebbero correggerlo senza fatica).

Traduzione in italiano della ISO 22301

E' stata pubblicata la ISO 22301:2019 in italiano. Come spesso succede, visto che il recepimento come norma UNI e la traduzione sono successive al recepimento come norma europea (EN), la norma prende nome UNI EN ISO 22301:2019:
- http://store.uni.com/catalogo/uni-en-iso-22301-2019.

domenica 1 marzo 2020

Corona virus e privacy

Lo confesso... non ce l'ho fatta e ho risposto su LinkedIn a questo articolo dal titolo "Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus: ecco come":
- https://www.cybersecurity360.it/news/tutelare-la-privacy-sui-luoghi-di-lavoro-ai-tempi-del-coronavirus-ecco-come/.

Purtroppo ho risposto malamente anche ad uno come Luca Bolognini, da cui dovrei solo imparare.E però volevo avere un'occasione per allegare la foto che segue. Non riesco a risalire all'autore, ma spero accetti questa diffusione.


Comunque... come descritto dall'articolo, alcune aziende mandano questionari ai dipendenti, collaboratori e visitatori per chiedere se sono stati in Cina o Codogno o se sentono i sintomi del corona virus. Alcuni consulenti privacy si chiedono quanto tempo conservare questi dati e come fare l'informativa.

La risposta è già nella domanda: il trattamento è completamente inutile e proprio per questo non è possibile stabilire i tempi di conservazione dei dati e come fare l'informativa.

Una risposta più tecnica è che, per il principio di minimizzazione, meglio sarebbe non raccogliere proprio i questionari, visto che ci sono strade alternative. Ossia informare bene le persone e dire loro cosa devono fare. Fare un bello schema, magari ispirandosi alle FAQ del Ministero della salute: http://www.salute.gov.it/portale/nuovocoronavirus/dettaglioFaqNuovoCoronavirus.jsp?lingua=italiano&id=228.

Viene da chiedersi come possa essere venuto in mente alle aziende di raccogliere i dati per proteggere il proprio personale. Infatti saprebbero interpretare le risposte? Se uno dice di essere stato a Codogno, sanno cosa fare? E allora perché chiederlo a tutti e non dire semplicemente cosa devono fare quelli che sono stati a Codogno? E poi, come interpretare i sintomi?

Purtroppo alcuni pensano di fare la cosa "giusta" (e soprattutto coprirsi le spalle) inviando questionari e raccogliendo dati, senza chiedersi cosa farsene veramente e senza fare reale informazione. La burocrazia inutile, purtroppo, sembra sempre una buona soluzione, ma non lo è.

Alcuni si sono lamentati perché il Garante non si pronuncia. Ma il Garante non è competente per dire cosa fare in caso di emergenza in sanità. Quindi non sa dire se è necessario per le aziende raccogliere i dati delle persone (visitatori e dipendenti e simili) per tutelare le aziende. Quindi: prima l'autorità competente (Ministero della salute? Protezione civile? non lo so perché su questo sono assolutamente impreparato) deve dire quali misure intraprendere, poi (o consultanto preventivamente) il Garante dirà la sua nel caso in cui queste misure includano il trattamento dei dati personali.

Se consultato preventivamente, immagino chiederà (come dovremmo fare noi consulenti privacy) se è proprio necessario raccogliere i dati personali o non ci sono altre strade per ottenere gli stessi (o forse migliori) risultati.

PS: qualcuno mi ha detto che dovrei essere meno "massimalista". Sono comunque pronto a sapere se ci sono eccezioni da cosiderare (ossia aziende che devono necessariamente raccogliere dati personali per il corona virus e non possono seguire strade alternative).

martedì 25 febbraio 2020

Successo e insuccesso

Mia sorella scrive di coaching e non sempre riesco a capire l'ambito del suo lavoro. Però molte cose di cui scrive mi incuriosiscono. Questa volta segnalo quindi un articolo di Anna Gallotti e Selika Cerofolini dal titolo "2020: è tempo per una nuova definizione di successo". Credo che non sia pubblicato da qualche parte pubblica.

Provo a mandare questi due link:
- prima parte:
http://share-coach.benchurl.com/c/v?e=F8AD48&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
;
- seconda parte:
http://share-coach.benchurl.com/c/v?e=FD7327&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
.

Innanzi tutto bisogna considerare che il successo è un mito moderno. Viviamo nell'"illusione della meritocrazia", per citare il filosofo Alain de Botton, dove non solo riteniamo che le possibilità di scalare la vetta siano infinite, ma anche che, poiché è possibile, dobbiamo farlo, nel modo in cui ci dicono di farlo.

Però nessuno può avere successo in tutto, e sicuramente non sempre, indipendentemente da ciò che ci dicono. Il tempo per la famiglia paga spesso il prezzo di una carriera brillante ad esempio, ed è difficile essere popolari mantenendo una incrollabile integrità. La buona notizia è che possiamo scegliere quali sono le nostre priorità.

L'articolo dice altre cose interessanti. Per quanto riguarda gli argomenti di cui mi occupo, possiamo trarre questa sintetica lezione (se già non l'avessimo presa da altre parti): non si può avere la sicurezza perfetta, la qualità perfetta, la privacy perfetta, eccetera. Dobbiamo toglierci queste illusioni e decidere quali sono le priorità.

Cybersecurity Maturity Model Certification (CMMC)

Avevo già incontrato il CMMC durante la lavorazione del libro sull'IoT che sarà presentato al prossimo Security summit (o chissà quando, visto il corona-panico). Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha poi inoltrato un link interessante.

Ma andiamo con ordine. Il primo link che propongo è quello dal titolo "Understanding Cybersecurity Maturity Model Certification (CMMC)":
- https://www.securityorb.com/featured/understanding-cybersecurity-maturity-model-certification-cmmc/.

Qui capisco quanto segue:
- chi vorrà lavorare con il DoD degli USA dovrà conseguire questa certificazione;
- la certificazione è basata su 5 livelli;
- a gennaio era prevista la pubblicazione del materiale anche a scopo di formazione.

Il secondo articolo (grazie a Franco) ha titolo "Cybersecurity Maturity Model Certification (CMMC) Levels" e presenta più dettagli:
- https://securityboulevard.com/2020/01/cybersecurity-maturity-model-certification-cmmc-levels/.

Il terzo URL (grazie ancora a Franco) è quello delle FAQ ufficiali:
- https://www.acq.osd.mil/cmmc/faq.html.

Quindi gli USA stanno producendo il loro schema proprietario di sicurezza informatica, promuovendo ulteriormente schemi in contrasto con quelli ISO o simili. Chi non ha poteri politici, come me, potrà solo guardare come la situazione si evolverà.

Conservazione dei documenti informatici, cloud e blockchain

Segnalo questo articolo di Andrea Lisi di ANORC dal titolo "La conservazione dei documenti informatici non si fa in cloud o in blockchain":
- https://anorc.eu/attivita/la-conservazione-dei-documenti-informatici-non-si-fa-in-cloud-o-in-blockchain/.

Il titolo dice già tutto e quindi non commento ulteriormente, ma ne raccomando la lettura.

lunedì 24 febbraio 2020

Nuova versione della ISO/IEC 27002 sugli audit agli ISMS

Franco Vincenzo Ferrari di DNV GL Business Assuranche mi ha segnalato la pubblicazione della ISO/IEC 27007:2020 dal titolo "Guidelines for information security management systems auditing":
- https://www.iso.org/standard/77802.html.

Non grandi cambiamenti rispetto alla precedente versione, a parte l'allineamento alla ISO 19011:2018, di cui scrissi a suo tempo:
- http://blog.cesaregallotti.it/2018/07/nuova-iso-190112018-guida-per-laudit.html.

sabato 22 febbraio 2020

Sistema di gestione e Gdpr: integrare Mop e Mog

Segnalo questo articolo dal titolo "Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni":
- https://www.agendadigitale.eu/sicurezza/privacy/sistema-di-gestione-e-gdpr-integrare-due-modelli-mop-e-mog-per-evitare-sanzioni/.

L'hanno scritto due persone che stimo molto e che propongono sempre idee molto interessanti.

giovedì 20 febbraio 2020

Cifratura dei backup iPhone e Android

Da Crypto-Gram del 15 febbraio, segnalo questi due articoli sulla cifratura dei backup degli iPhone. Il primo ha titolo "Apple dropped plan for encrypting backups after FBI complained":
- https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT.

Il secondo ha titolo "Apple may have ditched encrypted backups, but Google hasn't":
- https://www.androidcentral.com/apple-may-have-ditched-encrypted-backups-google-hasnt.

Mi pare che i titoli dicano già tutto sulla questione della cifratura dei backup degli smartphone. Io sono sempre stato restio a fare i backup del mio cellulare (anche per la ridotta quantità di dati), ma a questo punto riconsidererò la cosa per l'Android.

mercoledì 19 febbraio 2020

Poster dell'NSA sulla sicurezza (anni 50 e 60)

Da Crypto-gram del 15 febbraio, segnalo i "NSA Security Awareness Posters":
https://www.schneier.com/blog/archives/2020/01/nsa_security_aw.html.

Sono 136 poster. Alcuni sono un po' datati, ma altri sono decisamente interessanti.

Compromissione delle password dei dispositivi IoT

Da Crypto-Gram del 15 febbraio 2020 segnalo questo articolo dal titolo "Half a Million IoT Device Passwords Published":
- https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/.

Un hacker ha pubblicato le password di accesso a mezzo milione di dispositivi accessibili via Telnet e con password o di fabbrica (quindi mai cambiate dall'utilizzatore) o molto semplici.

Tutto questo dimostra, ancora una volta, come questi dispositivi sono progettati e sviluppati, visto che fanno uso di protocolli da tempo considerati insicuri e non prevedono procedure affinché gli utenti li installino in modo sicuro senza fatica.

lunedì 17 febbraio 2020

01- 18 marzo 2020: mio intervento su IoT al Security summit

Il 18 marzo interverrò al Security summit di Milano (un altro intervento, del 19, l'ho già segnalato).

L'intervento, alle 9.30, riguarda il libro "IoT Security e Compliance: gestire la complessità e i rischi", che sarà pubblicato in quei giorni:
- https://securitysummit.it/agenda-details/520.

PS: il Security summit è slittato in date in cui ho già un impegno non modificabile e pertanto quasi sicuramente non ci sarò.

venerdì 14 febbraio 2020

19 marzo 2020: mio intervento su ISO/IEC 27701 al Security summit

Il 19 marzo alle 16.10 interverrò al Security summit di Milano su "Certificazione della protezione dei dati personali":
- https://securitysummit.it/agenda-details/532.

Io cercherò di spiegare in pochissimi minuti la ISO/IEC 27701. Sento già la musichetta di Mission impossible...

giovedì 13 febbraio 2020

VERA 5 in inglese

Ho caricato la versione in inglese di VERA 5.

La trovate qui insieme alla versione in italiano aggiornata alla 5.0.1 (ho corretto un piccolo refuso):
- https://www.cesaregallotti.it/Pubblicazioni.html.

sabato 8 febbraio 2020

Primi ammonimenti sulle violazioni di dati personali

Questa notizia l'avevo presa sotto gamba: la Provincia di Trento ha inviato un'email alle famiglie con bambini non in regola con l'obbligo vaccinale con i nominativi in chiaro (ossia non nel campo bcc o ccn):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9261234.

La newlsetter del Garante l'aveva infatti messa sotto il titolo "Salute: Garante, no alla e-mail con più indirizzi in chiaro" e non mi sembrava potesse dire cose nuove o inaspettate. Ma qualcuno mi ha fatto notare che il titolo sarebbe potuto essere "Primi ammonimenti su data breach" e la cosa, credo, si fa molto più interessante perché fornisce un'idea di come il Garante intende approcciare le situazioni.

giovedì 6 febbraio 2020

EN 16234-1: 2019 - Quadro e-Competence (e-CF)

E' stata pubblicata la nuova versione dell'e-CF. La notizia me l'ha data la newsletter I see T di Uninfo:
- https://uninfo.it/index_pages/news/focus/1580812766424.html.

Ricordo che e-CF permette di classificare le competenze in ambito informatico e può servire per la ricerca di determinate competenze, come peraltro promosso da AgID.

Io non sono un grande fan di questa iniziativa perché la trovo un po' troppo elaborata. Ciò non ostante, penso che sia comunque utile conoscerla, visto che è alla base anche di norme italiane relative ai profili professionali in ambito sicurezza (UNI 11621-4) e privacy (UNI 11697).

lunedì 3 febbraio 2020

Le peggiori password del 2019

La pagina "Here are the most popular passwords of 2019":
- https://nordpass.com/blog/top-worst-passwords-2019/.

Mi rendo conto che la pagina è soprattutto utile a NordPass, produttore di uno strumento di password management che non conosco e che non posso né raccomandare né sconsigliare, ma si tratta sempre di una buona risorsa.

In passato l'iniziativa era di TeamsID, altro Password manager (o è lo stesso che ha cambiato nome? non ho proprio verificato), ma quest'anno non l'ha ripetuta.

sabato 1 febbraio 2020

Mean Time to Hardening

Niccolò Castoldi mi ha segnalato questo interessante articolo dal titolo "Mean Time to Hardening: The Next-Gen Security Metric":
- https://threatpost.com/mean-time-hardening-next-gen-security-metric/151402/?mc_cid=9b25b37c64&mc_eid=e2b3a4cb20.

Ho i miei dubbi sull'applicabilità di quanto scritto, ma è indubbiamente interessante il ragionamento sui tempi da rispettare per l'hardening: 24 ore (che lo stesso autore ritiene molto sfidanti).

Antivirus Avast free e la rivendita dei dati

Aldo Colamartino mi ha segnalato questo interessante articolo:
- https://www.ilsoftware.it/articoli.asp?tag=Avast-nell-occhio-del-ciclone-la-versione-free-rastrella-i-dati-degli-utenti_20626.

Non è il primo caso di questo tipo, ma mi pare interessante che proprio attraverso un prodotto di sicurezza siano trattati con tanta disinvoltura i dati degli utilizzatori.

Sempre più prodotti propongono agli utenti di inviare i dati a scopi di "analisi delle prestazioni", ma è ovvio che forse questa non sia l'unica finalità.

ENISA on-line tool for the security of data processing

Giulio Boero e Pierfrancesco Maistrello mi hanno segnalato il "ENISA on-line tool for the security of data processing":
- https://www.enisa.europa.eu/risk-level-tool.

Bisogna poi premere sull'icona "Evaluating the level of risk for a personal data processing operation".

Riporto il commento di Giulio Boero, che condivido:

<<
Questo tool mi pare molto "dritto allo scopo" (come un po' l'approccio dell'ENISA ultimamente, senza troppi fronzoli e molto pragmatico) e anche graficamente gradevole.

E' basato fondamentalmente su due punti:
- un self-assessment calibrato sui controlli ISO/IEC 27001:2013 per "vedere" il posizionamento di un'organizzazione rispetto al trattamento dei dati personali; alla fine si può anche esportare un report abbastanza utile;
- un tool che verifica il rischio sul trattamento dei dati personali a partire dalle classiche domande RID fino ad arrivare a quesiti più verticali riguardanti la relazione tra il dato personale trattato e la criticità rispetto al settore di business dell'organizzazione. Forse la formula finale (la classica threat*impact = risk) poteva essere migliorata, ma come detto l'idea di fondo è che questo tool sia utile e costituisca una buona (ottima?) base di partenza; ed è qualcosa che forse mancava e di cui si sentiva il bisogno.
>>

Riporto anche il commento di Pierfrancesco Maistrello e dico che condivido anche questo:

<<
Il tool non permette di valutare l'abbattimento del rischio in relazione alle misure adottate.

In sintesi, lo strumento dice:
1. ecco qui un processo documentato e dimostrabile di valutazione del rischio;
2. a fronte dei risultati, ti sforno una lista di misure che applicherai.
>>

Io aggiungo due cose a cui bisogna stare attenti:
1- i calcoli sono tutti basati sul massimo e le formule sono molto ma molto più semplici di quanto la presentazione fa immaginare; approvo l'approccio, ma si rischia di rimanere delusi;
2- per la valutazione delle minacce, sono fatte tante domande intermedie, ma alla fine chiede una valutazione complessiva; il meccanismo non è quindi automatico; ancora una volta: nulla di male ma si rischia la delusione.

Non mi resta che ringraziare Giulio e Pierfrancesco per la segnalazione.

Linee guida EDPB su videosorveglianza

L'EDPB ha pubblicato la versione finale delle "Guidelines 3/2019 on processing of personal data through video devices". A luglio aveva pubblicato una prima versione per consultazione pubblica:
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.

Al momento non mi sembra disponibile la versione in italiano.

Dopo una prima lettura, segnalo alcuni aspetti per me degni di nota:
- non è sempre richiesta la PIA, soprattutto per i casi tipici in cui è usata la videosorveglianza (ossia la sicurezza, con un numero limitato di persone che accedono ai video in tempo reale o registrati); da osservare che neanche il "Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d'impatto" del nostro Garante impone la PIA per ogni tipo di videosorveglianza;
- è lungamente trattata la "eccezione per scopi domestici";
- sono altrettanto lungamente trattate le basi legali per il trattamento, ma è chiaro che in molti casi queste non possono includere il consenso;
- non tratta, purtroppo, il caso di pubblicazione di video di eventi;
- include, e questo è importante, un capitolo sul trattamento di dati biometrici (riconoscimento facciale), che potrebbe essere considerato anche più in generale e non solo per i video;
- sulle informative propone un nuovo modello rispetto a quello del Garante (ma nulla vieta di adattare il precedente) e richiede che sia disponibile un'informativa più dettagliata rispetto a quella minima sul cartello;
- stabilisce che, per la video sorveglianza, 72 ore di conservazione sono normalmente sufficienti e che un tempo più lungo debba essere giustificato (ricordiamoci che il nostro Garante ha stabilito che il tempo "normale" è di 24 ore e il massimo non dovrebbe essere superiore ai 7 giorni);
- sono suggerite misure di sicurezza non molto dissimili da quelle del Provvedimento italiano del 2010, ma comunque, in alcuni casi, più dettagliate.

Comunicato stampa Patch AI

Non faccio pubblicità nel mio blog e nella mia newsletter, ma questa volta c'è il mio nome su un articoletto del Sole 24 Ore:
- https://www.diritto24.ilsole24ore.com/art/avvocatoAffari/newsStudiLegaliEOrdini/2020-01-31/stefanelli-stefanelli-fianco-patchai-la-compliance-materia-gdpr-144610.php.

Quando mai mi ricapiterà?

sabato 25 gennaio 2020

Il DPO deve essere un legale (ma forse anche no) - Puntata AGCM

Sulla questione del DPO avvocato, si è inserita anche l'Autorità garante della concorrenza. Nel bollettino 1/2020 si trova infatti la decisione AS1636:
- https://www.agcm.it/pubblicazioni/bollettino-settimanale/2020/1/Bollettino%201/2020.

In breve: "l'Autorità auspica che le amministrazioni in indirizzo valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all'accesso alle selezioni che possano risultare sproporzionate e ingiustificate". In particolare dice: "con specifico riferimento al requisito dell'iscrizione all'albo professionale degli avvocati, esso appare discriminatorio e non giustificato".

Grazie a Pierfrancesco Maistrello per averlo segnalato agli Idraulici della privacy.

giovedì 23 gennaio 2020

NIST privacy framework

Avevo visto la notizia in giro, ma l'ho guardato grazie all'insistenza di Giancarlo Caroti. Si tratta del NIST privacy framework:
- https://www.nist.gov/privacy-framework.

Ho purtroppo visto confermate le mie ipotesi iniziali.

La prima riguarda la complessità: in tempi in cui molte persone devono capire cosa fare, si trovano misure le "Risk Assessment" e "Risk Management Strategy", le cui differenze sono ovvie, ma, allo stato pratico, non utili. Questo mi intristisce di più, perché dimostra quanto sia cambiato un ente che apprezzavo tantissimo per i suoi documenti pragmatici.

Ma questo è un ulteriore effetto dell'ampliamento della platea dei "professionisti della sicurezza e della privacy": per dimostrare di essere degno di questo titolo è necessario dimostrare sempre maggiore sofisticazione, dimenticando che la semplicità è la più alta espressione di sofisticazione. Ma questo si nota anche nell'uso a sproposito del termine "ecosistema", che è sì evocativo, ma scorretto e non degno di tecnici che, soprattutto in questi casi, dovrebbero usare "sistema".

Altra causa va ricercata nel fatto che il NIST è un organismo di supporto alle organizzazioni degli Stati Uniti, solitamente più grandi di quelle europee (e infatti adesso è ENISA quella che si sta distinguendo per le cose pragmatiche).

Ad ogni modo, a parte le mie elucubrazioni, vale sempre la pena leggere questo documento. Le misure di sicurezza, per quanto complicate, possono essere di aiuto.

domenica 19 gennaio 2020

Ispezioni GDPR della GdF (un resoconto)

Alberto Bonato mi ha reso partecipe di alcune ispezioni relative al GDPR condotte dalla Guardia di finanza..

Intanto è riuscito a prendere appunti sulla check list usata, che riporto:
1) struttura ed organizzazione della società;
2) titolarità dei trattamenti;
3) distribuzione delle funzioni;
4) tipologia e natura dei dati (inclusi videosorveglianza e dati biometrici);
5) modalità di acquisizione dei consensi;
6) numero degli interessati;
7) registro dei trattamenti;
8) responsabili (esterni);
9) DPO;
10) lista dei soggetti autorizzati, istruzioni fornite e loro formazione, con messa a disposizione delle eventuali nomine ad incaricati);
11) periodo di conservazione dei dati personali (oppure i criteri);
12) procedure per i diritti degli interessati;
13) comunicazione di dati a terzi, presupposti di legittimità, categorie dei soggetti destinatari e finalità del trattamento dei destinatari;
14) modalità con cui è fornita l'informativa;
15) misure tecniche e organizzative;
16) eventuali certificazioni.

Sono un po' perplesso sul 10, ma si tratta di una check list, non di un requisito.

Il 15, a sua volta, si suddivide in:
- eventuale pseudo-anonimizzazione e cifratura;
- capacità di assicurare riservatezza, integrità e disponibilità;
- capacità di ripristino in caso di incidente fisico o tecnico;
- procedura per testare, verificare e valutare regolarmente le misure;
- principali applicazioni;
- controllo accessi (userid e password; strong authentication);
- audit interni e presso responsabili;
- eventuali alert sui sistemi;
- eventuale backup.

Si noti come siano importanti backup e controllo accessi.

In merito al punto 12 sui diritti degli interessati, la GdF ha approfondito le procedure per dare modo all’interessato di esercitare i propri diritti, chiedendo anche se fossero stati predisposti moduli automatizzati o cartacei che l'interessato potesse compilare. Ma, come dice Alberto, "si è trattato di un confronto tutto verbalizzato e che poi seguirà risposta dal Garante".

Da osservare che hanno chiesto una relazione sul sistema informatico e hanno anche chiesto di accedere ai database per verificare la corrispondenza con il registro ai trattamenti.


In merito ad aziende con trattamento di dati sanitari, si sono soffermati sulla figura del DPO, chiedendo come il titolare fosse in grado di provare la effettiva attività del DPO. Hanno anche chiesto se esistesse una procedura "per tenere traccia dei problemi inerenti il trattamento di dati personali", ossia sulla gestione del registro delle violazioni.

I controlli hanno avuto durata tra i 3 e 4 giorni, con inizio verso le 9 del mattino e chiusura verbali intorno alle 22/23 di notte.

Ho chiesto ad Alberto come si fossero comportati gli ispettori e mi ha detto che si sono dimostrati gentili, corretti e professionali. Ho pensato che invece alcuni auditor ISO si comportano in modo ben diverso e sono contento di sapere che le nostre forze dell'ordine si siano dimostrate inappuntabili.

venerdì 17 gennaio 2020

Guidelines on ICT and security risk management

Enrico Toso di Deutsche Bank mi ha segnalato la pubblicazione delle EBA Guidelines on ICT and security risk management:
- https://eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-ict-and-security-risk-management.

Riporto quanto mi scrive Enrico e lo ringrazio.

<<
Anche se dal titolo non è esplicito, questa Guideline di EBA (Autorità di Vigilanza Europea) si applica al settore finanziario e in particolare alle istituzioni (istituti di credito e di investimento) oltre che alle relative Autorità Competenti Nazionali, per garantire la sicurezza delle operazioni di pagamento. In quest'ottica sostituirà anche la precedente "Guidelines on security measures for operational and security risks of payment services" (EBA/GL/2017/17) e si propone di regolamentare il settore dei pagamenti anche per quello che riguarda l'accesso delle Fintech e delle cosiddette Terze Parti (o TPP) al mondo dell'Open Banking.

E' frutto di un paio di anni di gestazione e contiene (in fondo) anche gli esiti della consultazione pubblica rispetto a cui esprime delle valutazioni ragionate (per recepirle o rifiutarle).
>>

giovedì 16 gennaio 2020

Attacco "Loss of supplier"

Ad un mio cliente è successo: un fornitore di assistenza specialistica
informatica ha chiuso i battenti da un giorno all'altro. Così il cliente, al
primo incidente, ha impiegato molto più tempo del previsto a risolverlo e
adesso teme che l'incidente si possa ripetere, visto che la correzione non è
stata approvata dal fornitore.

L'errore del software ha mandato in errore altri apparati e anche questo
incidente è stato risolto dopo molto più tempo del previsto perché il
contratto prevedeva assistenza (di un altro specialista rispetto al software
di cui sopra) in orario lavorativo e non 24/7/365.

Lo segnalo per ricordarci che le "cose che non succedono mai" succedono.

Ho ovviamente anonimizzato il più possibile.

giovedì 9 gennaio 2020

Articolo sullo stato delle certificazioni ISO/IEC 27701

Con Andrea Caccia e Fabio Guasconi ho scritto un articolo dal titolo "Stato delle certificazioni ISO/IEC 27701":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.

Ora ha titolo "GDPR e certificazioni, tutto sulla norma ISO/IEC 27701" ma, insomma, l'articolo è quello.

martedì 7 gennaio 2020

Due articoli sul GDPR (violazioni e sistema di gestione)

Daniele Santucci mi ha segnalato due suoi articoli sulla privacy.

Il primo ha titolo "Data breach e modelli preventivi di gestione delle non conformità: strategie di compliance":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-e-modelli-preventivi-di-gestione-delle-non-conformita-strategie-di-compliance/.

Il secondo ha titolo "Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/sistema-di-gestione-privacy-come-modello-per-il-controllo-dei-dati-personali-una-proposta-operativa/.

Si tratta di articoli abbastanza "di base", ma interessanti.

lunedì 23 dicembre 2019

Attacco Idiot wind

Prendo a prestito il titolo di una canzone di Bob Dylan (di un grande album) per nominare il seguente tipo di attacco, successo veramente anche se anonimizzato (ringrazio la persona che me lo ha segnalato).

Una società produce molta documentazione cartacea. Quindi la raccoglie e la digitalizza (scansione). Quindi raccoglie la documentazione cartacea ormai digitalizzata e la distrugge con distruggi-documenti. Però un giorno succede che qualcuno apre la finestra e i documenti in attesa di essere distrutti volano via, in strada.

Salva la disponibilità e l'integrità delle informazioni (visto che i documenti erano già stati acquisiti), ma non la riservatezza.

Qualcuno mi ha detto che avrebbero dovuto distruggere i documenti appena acquisiti, ma bisogna stare attenti a dare soluzioni senza conoscere la realtà (neanche io la conosco). Forse le acquisizioni sono a lotti e questi lotti vanno verificati bene prima di procedere alla distruzione degli originali o forse la procedura solita bilanciava bene le esigenze di qualità ed efficienza o chissà.

Red and blue team (seconda puntata)

Avevo scritto dei red e blue team, concludendo che mi sembravano nuovi nomi per vecchie cose:
- http://blog.cesaregallotti.it/2019/12/red-and-blue-team.html.

Niccolò Castoldi mi ha segnalato un articolo che dettaglia le differenze tra red team e penetration tester e tra blue team e SOC:
- https://danielmiessler.com/study/red-blue-purple-teams/.

In sintesi, l'articolo dice che il red team svolge attività continuative di test, mentre i penetration tester svolgono attività in tempi e ambiti predefinitivi; i blue team svolgono attività costante di ricerca e di miglioramento, mentre i SOC sono solo reattivi.

Come spesso succede nel campo dell'informatica (e non solo), bisogna sapere quali sono i termini in uso, essere consapevoli che non tutti li usano allo stesso modo e che bisogna chiarire con gli interlocutori cosa intendono con certi termini quando li usano (e aspettarsi di essere guardati con la faccia di chi pensa di dirti un'ovvietà e quindi di dovergli rispondere che non lo è).

giovedì 19 dicembre 2019

Partito l'accreditamento per la ISO/IEC 27701 (certificazione privacy)

Accredia ha pubblicato la "Circolare tecnica DC N° 10/2019 – Disposizioni in merito all'accreditamento norma ISO/IEC 27701":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-10-2019-disposizioni-in-merito-allaccreditamento-norma-iso-iec-27701/.

In essa sono fornite le regole che devono seguire gli organismi di certificazione per accreditarsi e quindi fornire servizi di certificazione per la ISO/IEC 27701.

Ricordo che la ISO/IEC 27701 è la norma per certificare il sistema di gestione per la protezione dei dati personali (personal information management system), di cui già parlai in precedenza:
- http://blog.cesaregallotti.it/2019/10/stato-delle-norme-isoiec-270xx-aggiunta.html.

Questa mossa sta facendo muovere un po' di cose. Purtroppo ho letto, anche su testate prestigiose, elucubrazioni in merito alla possibilità di usare questa norma per la "certificazione in base all'articolo 42 del GDPR" (errori in cui io stesso incappai, per la verità) e retroscena mai visti.

Ribadisco: la ISO/IEC 27701 non può essere usata per la "certificazione in base all'articolo 42 del GDPR" e al momento non sono disponibili standard di organismi di normazione riconosciuti che vanno in questo senso. L'unico retroscena è che il gruppo editoriale non aveva pienamente riflettuto sul fatto che uno standard costruito sulla base della ISO/IEC 27001 (come la ISO/IEC 27701) non avrebbe potuto riportare requisiti per la certificazione  di un processo (ossia sulla base della ISO/IEC 17065, come richiesto dal GDPR), ma solo per la certificazione di un sistema di gestione (ossia sulla base della ISO/IEC 17021).

Purtroppo poi alcuni nomi, anche significativi, confondono le acque, fornendo indicazioni e critiche non completamente corrette, per promuovere altri schemi (che però hanno più problemi di quelli denigrati):
- https://dptel.imperialida.com/2019/12/prassi-di-riferimento-e-simili-come-meccanismi-di-certificazione-della-protezione-dei-dati/.

Per questo, raccomando di leggere la risposta di Fabio Guasconi su LinkedIn:
- https://www.linkedin.com/posts/rosarioimperiali_prassi-di-riferimento-e-simili-come-meccanismi-activity-6611178784567762944-xdP-/.

Tornando alla circolare Accredia, apprezzo il fatto che alcune richieste sono poste in modo meno prescrittivo, mentre per altri schemi erano poste in modo molto più preciso. Mi riferisco ad alcune richieste che io ritengo fuori luogo, come la visita presso tutti i data centre o la necessità, per gli auditor, di avere competenze sulla ISO/IEC 20000 o altri standard non pertinenti.

PS: purtroppo ho successivamente visto che la circolare Accredia impone, per i fornitori di servizi cloud, anche la ISO/IEC 27017 e 27018 per chi volesse ottenere la certificazione ISO/IEC 27701. Questo è un errore perché aggiunge impropriamente requisiti alla ISO/IEC 27701 (che, tra l'altro, è stata scritta anche considerando quelle due norme).

sabato 14 dicembre 2019

Privacy: ISDP 10003:2018 di Inveo disponibile gratuitamente

Inveo ha reso disponibile gratuitamente la ISDP 10003:2018, ossia il documento con i requisiti per ottenere una certificazione privacy e con accreditamento ISO/IEC 17065 (ossia come richiesto dal GDPR):
- https://www.in-veo.com/it/newsletter-privacy-tools.

Io ebbi l'opportunità di leggere le bozze (questa non la scarico perché richiede la registrazione), ma avevo sollevato delle obiezioni. Non ricordo bene quali, per la verità. In generale, però, non ho colto finezze particolari per la certificazione di processo anziché di sistema di gestione.

L'obiettivo è evidentemente quello di promuovere e diffondere ulteriormente lo schema e si aggiunge ad altre iniziative di Inveo in questo senso (la pubblicità, la partecipazione a studi, la richiesta, purtroppo accolta, ad Accredia di promuovere i corsi su questa norma).

Io continuo a pensare che queste certificazioni dovrebbero basarsi su norme discusse e pubblicate da enti di normazione riconosciuti, non da singoli enti (per quanto meritori possano essere).

Ringrazio Andrea Caccia per la segnalazione (e anche per il supporto).