sabato 16 giugno 2018

Check list su privacy dell'autorità norvegese

Sabrina Prola mi ha segnalato "una guida semplice ma utile su privacy by design e default" pubblicata dalla DPA norvegese:
- https://www.datatilsynet.no/en/regulations-and-tools/guidelines/data-protection-by-design-and-by-default/.

È una guida molto interessante e molto ampia, anche se affronta i vari elementi in modo estremamente sintetico.

NIS: regolamento di esecuzione 2018/151

A maggio era stato pubblicato il Regolamento di esecuzione (UE) 2018/151 della Commissione recante modalità di applicazione della direttiva (UE) 2016/1148 (ossia della NIS):
- http://data.europa.eu/eli/reg_impl/2018/151/oj.

Vengono forniti chiarimenti in merito alle misure di sicurezza che devono attuare gli operatori NIS. Mi pare che, in sostanza, chieda di applicare la ISO/IEC 27001.

All'articolo 4 sono descritte le caratteristiche per classificare un incidente come "rilevante". Penso che questi elementi dovranno essere considerati da tutti quelli che definiscono un modello di classificazione degli incidenti.

Direttiva NIS in vigore (veramente)

Sabrina Prola mi ha segnalato la pubblicazione del D. Lgs. 65 del 18 maggio 2018, di recepimento della Direttiva NIS. Si trova sulla G.U. Serie Generale n. 132:
- www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg.

Questo fa seguito al mio post dal titolo "Direttiva NIS in vigore (ma non troppo)":
http://blog.cesaregallotti.it/2018/05/direttiva-nis-in-vigore-ma-non-troppo.html.

Qui elenco le mie prime riflessioni. Come già successo con il GDPR immagino che avrò l'opportunità di approfondire molti punti (e su alcuni di cambiare idea), grazie ad articoli, interventi e scambi di opinione con chi vuole contattarmi.

La NIS ha l'obiettivo di migliorare la sicurezza informatica nella UE.

Per quanto riguarda i privati, è indirizzata agli "operatori di servizi essenziali e dei fornitori di servizi digitali", con l'eccezione degli operatori di telecomunicazione (in quanto già normati dal Codice delle comunicazioni) e dei fornitori di servizi fiduciari (già normati da eIDAS e CAD). Gli operatori saranno identificati entro il 9 novembre 2018 dalle "autorità competenti NIS" (ossia i Ministeri dello sviluppo economico, delle infrastrutture e trasporti, dell'economica e finanze, della salute e dell'ambiente). L'elenco sarà mantenuto dal Ministero dello sviluppo economico, che quindi sarà da tenere monitorato.

Per quanto riguarda i fornitori di servizi digitali, sono 3 quelli ritenuti critici: Mercato online, Motore di ricerca online e Servizi di cloud computing (ad esclusione delle micro e piccole imprese; ossia imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR). Trovo interessante siano inclusi anche i primi due, in quanto li ho mai visti come "critici". Dovranno (articolo 14) assicurare la continuità dei servizi, oltre alla sicurezza.

Gli operatori dovranno comunicare alle autorità NIS le proprie misure di sicurezza. Spero non vedremo il proliferare di modelli inventati di sana pianta come sta facendo AgID con i servizi fiduciari (spero che le esperienze di questi anni abbiano insegnato).

Sono stato colpito dalla seguente: "la prova dell'effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall'autorità competente NIS o da un revisore abilitato e, in quest'ultimo caso, metterne a disposizione dell'autorità competente NIS i risultati, inclusi gli elementi di prova". Infatti qui si parla di "revisori abilitati" di cui sapremo in futuro come saranno abilitati e si usa il termine "elemento di prova", invece dello scorretto (frutto di traduzione pigra) "evidenze".

Sui "revisori abilitati" (ma anche sui rappresentanti degli operatori), segnalo solo che al momento in Italia c'è carenza di persone competenti e con esperienza, come abbiamo visto anche nella "corsa al DPO". Speriamo non siano fatti troppi errori nelle prime fasi di attuazione, ossia che non vengano pubblicate check list troppo dettagliate per essere utili, gli auditor non si impuntino sui formalismi o su processi inutili e i rappresentanti degli operatori sappiano far valere le proprie ragioni (purché non cerchino di farsi validare pratiche scorrette).

Viene istituito il CSIRT italiano, unendo (se ho capito correttamente) il CERT nazionale (https://www.certnazionale.it/) e il CERT-PA. Sarà quindi importante seguirne le attività di informazione.

Le misure di sicurezza da adottare sono oggetto dell'articolo 12. "Nell'adozione delle misure, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione, nonché delle linee guida delle "autorità competenti NIS"". Dovremo quindi tenere monitorati i lavori di ENISA, che ultimamente hanno messo a disposizione documenti molto interessanti (altri meno).

All'articolo 17: "promuovono l'adozione di norme e specifiche europee o accettate a livello internazionale relative alla sicurezza della rete e dei sistemi informativi". Speriamo quindi vengano promosse le norme della serie ISO/IEC 27000 e aumenti al partecipazione qualificata alla loro redazione.

Mi permetto di essere preoccupato per il requisito "Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti", visto che AgID ha recentemente richiesto agli operatori di servizi fiduciari di comunicarle ogni incidente, secondo uno schema oggettivamente inapplicabile.

Ho qualche perplessità sullo spazio dedicato alla reazione agli incidenti, visto che poco è detto in merito alla prevenzione, rimandando tutto ad altre norme. Questo è un approccio, ovviamente sbagliato, che sta sempre più diffondendosi: molta attenzione alla reazione, minore alla prevenzione.

Infine: le sanzioni arrivano ad un massimo di 150.000 Euro.

martedì 12 giugno 2018

Modifica al Codice della proprietà industriale

Da Altalex ho la notizia che con il D. Lgs. 63 del 2018 è stato aggiornato il Codice della proprietà industriale (D. Lgs. 30 del 2005) per recepire la Direttiva europea 2016/943:
- http://www.altalex.com/documents/leggi/2018/05/28/know-how-approvato-il-decreto-attuativo-della-direttiva-europea.

Come riportato dall'articolo di Altalex, il provvedimento sostituisce alla nozione di "informazioni aziendali riservate", quella di "segreti commerciali" (vedere quindi l'articolo 1 per la definizione di "proprietà industriale" e l'articolo 98 per quella di "segreti commerciali"). Anche l'articolo 99 è importante per chi si occupa di sicurezza delle informazioni.

Il resto delle modifiche riguarda le sanzioni e i procedimenti giudiziari (interessante il fatto che sia stata considerata la tutela della riservatezza dei segreti commerciali nel corso dei procedimenti giudiziari).

Su Normattiva non è ancora disponibile la versione aggiornata dell'atto.

PS: un ulteriore articolo, più approfondito, è il seguente, segnalatomi da Luca De Grazia:
http://www.quotidianogiuridico.it/documents/2018/06/08/segreti-commerciali-in-g-u-il-d-lgs-63-2018-sulla-protezione-del-know-how.

sabato 9 giugno 2018

Informativa per i cookies dei social network

Chiara Ponti degli Idraulici della privacy ha segnalato una interessante sentenza della Corte di giustizia dell'Unione europea. Prima il link al Comunicato stampa:
- https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081it.pdf.

In poche parole: l'autorità Garante di un Land tedesco (in Germania c'è un Garante per Land!) ha chiesto di bloccare la fanpage di Facebook di un'organizzazione perché né l'organizzazione né Facebook informavano compiutamente gli iscritti di Facebook sull'uso dei cookies. La sentenza specifica che, in questo caso, Facebook e l'organizzazione devono essere considerati contitolari del trattamento.

Questo credo ponga un problema: come deve fare l'organizzazione a pubblicare l'informativa su Facebook? Non ho controllato, ma credo e spero che Facebook si sia già adeguata. Da qualche parte anche le organizzazioni che usano i social devono specificare la contitolarità e questo non sempre saprei farlo (devo pensare anche al mio blog).

domenica 3 giugno 2018

GDPR: l'EDPB sostituisce il WP art. 29 (parte 2)

Poco dopo aver scritto un breve post sull'EDPB, Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Il nuovo Comitato europeo per la protezione dei dati (Edpb), dopo il Gdpr: compiti e poteri":
- https://www.agendadigitale.eu/sicurezza/il-nuovo-comitato-europeo-per-la-protezione-dei-dati-edpr-dopo-il-gdpr-compiti-e-poteri/.

L'articolo si concentra soprattutto sulla struttura e l'organizzazione dell'EDPB. Io sono più interessato ai lavori di redazione e pubblicazione delle linee guida che, ricordo, si trovano e si troveranno in una pagina del sito dell'EDPB (https://edpb.europa.eu/guidelines-relevant-controllers-and-processors_en). Io intanto mi sono iscritto all'RSS Feed.

venerdì 1 giugno 2018

GDPR: l'EDPB sostituisce il WP art. 29

Il WP Art. 29 dal 25 marzo ha passato le proprie funzioni all'European Data Protection Board o EDPB. Il sito è questo:
- https://edpb.europa.eu/edpb_it.

Al momento non vedo migrate tutte le linee guida e le Opinion (per esempio non trovo quella sul consenso). Se ho capito correttamente, dovremmo trovare tutto in questa pagina:
- https://edpb.europa.eu/guidelines-relevant-controllers-and-processors_en.

Intanto però l'EDPB ha pubblicato una linea guida definitiva (sulle deroghe ai trasferimenti internazionali) e una bozza (sulle certificazioni; peraltro lo stato di bozza è segnalato solo dal sito, non dal documento stesso).

giovedì 31 maggio 2018

5 luglio 2018: DFA open day su GDPR, digital forensics e altro

Il Programma del DFA Open Day del 5 luglio 2018 è online!
- http://www.perfezionisti.it/open-day/dfa-open-day-2018/.

Si parlerà di social engineering, digital forensics e deep web, social media e riconoscimenti, privacy e intelligenza artificiale e infine GDPR.

Poco GDPR? Beh... era ora si ricominciasse ad alzare lo sguardo anche ad altri argomenti.

DFA è l'associazione di cui sono (per puro caso) Presidente e mi farebbe tanto piacere che partecipiate numerosi. Organizziamo questo evento da anni ed è sempre stata un'occasione bellissima di incontri e discussioni tra esperti e "tecnici", senza alcuno spazio per i venditori di alcun genere (io sono presidente solo da pochi mesi e quindi il merito di tutta questa bellezza non è certo mio, ma dell'associazione nel suo complesso).

Per dire quanto il mio ruolo è immeritato, segnalo che quest'anno non ci sarò. I miei amici (professionisti che sono diventati miei amici negli anni) sanno sicuramente il perché :-)

GDPR e i ritardi dei "guru"

Scusate lo sfogo che segue.

Tutto nasce da questo post di Pizzetti su LinkedIn (segnalatomi dagli Idraulici della privact e anche da Fabrizio Morandi), molto critico sulle certificazioni privacy:
https://www.linkedin.com/feed/update/urn:li:activity:6407501108947886080.

Non posso fare altro che essere d'accordo con Pizzetti.

Personalmente dico le stesse cose (anche se peggio e meno autorevolmente) da anni. E chiunque aveva le competenze adeguate avrebbe dovuto dire da subito certe cose (da quando nel 2012 hanno cominciato a dire che il GDPR sarebbe stato approvato "domani", nel 2014 hanno promosso le "certificazioni DPO", nel 2016 le "certificazioni GDPR per le aziende").

E da ieri bisognava dire che non va chiesto il DPO (a norma di GDPR) in tutte le organizzazioni, non va fatta la PIA per ogni trattamento e non vanno inviate "nomine" a responsabile come se fossero spam.

Scusate lo sfogo, ma sono sicuro di non essere il solo che dice queste cose da anni (non sono particolarmente intelligente, competente o attento), ma la sensazione di esserlo c'è... E allora dove stanno tutti questi guru che non fanno chiarezza come dovrebbero? Forse troppo interessati a vendere corsi, consulenze o chissà che altro?

PS: avrei voluto tirare qualcosa a Modafferi quando in un intervento ha detto che per il Garante il Responsabile è sempre stato "esterno"... ma non ce lo hanno detto fino a pochi mesi fa. E chi in questi anni faceva notare che i requisiti del Codice erano incongruenti se applicabili a responsabili interni e esterni?

lunedì 28 maggio 2018

Rettifiche al GDPR

Sono state pubblicate le ultime rettifiche al GDPR. Per visualizzarle, si può ricercare nella pagina di Eur Lex:
https://eur-lex.europa.eu/homepage.html?locale=it.

Si tratta di correzioni, quindi nulla di sostanziale.

Il testo consolidato purtroppo non è ancora disponibile.

domenica 27 maggio 2018

Dlgs 51/2018 da Direttiva privacy 2016/680

Per chi si fosse dimenticato, il GDPR (numero 679 del 2016), regolamento "generale", era accompagnato da una Direttiva "specifica" per i dati trattati dalle "autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali".

È stato quindi pubblicato nella Gazzetta Ufficiale n. 119 del 24 maggio 2018 il decreto legislativo 18 maggio 2018, n. 51 che attua la direttiva UE 27 aprile 2016 n. 2016/680. Il D.Lgs. 51/2018 entrerà in vigore l'8 giugno 2018:
- http://www.gazzettaufficiale.it/eli/id/2018/05/24/18G00080/SG.

Ringrazio lo pseudoanonimizzato Idraulico della privacy NN per aver segnalato questa novità.

Privacy: bozza di "prassi" UNI per la certificazione GDPR

Fabio Guasconi mi segnala l'avvio della consultazione pubblica per una "Prassi di riferimento" (PdR) UNI relativa alla gestione della privacy:
- http://www.uni.com/index.php?option=com_content&view=article&id=7144:gestione-della-privacy-in-ambito-digitale-progetto-di-prassi-di-riferimento-ora-in-consultazione-pubblica&catid=171&Itemid=2612.

La PdR si compone di due parti. La prima è una "linea guida", ma è in sostanza un documento organizzato male, con molti errori anche tecnici (si parla di responsabili interni, tanto per intenderci). Nel caso migliore lo dichiarerei inutile.

La seconda parte (o "sezione") è invece importante perché si propone come riferimento per le certificazioni GDPR. Ho trovato qualche punto discutibile (mi fa ridere l'idea di "inventario ripetuto" e mi fa paura la descrizione dell'ambito con la descrizione dei dispositivi rimovibili), ma mi pare un buon prodotto.

Importante segnalare che questa PdR riguarderebbe il solo ambito ICT e quindi solo alcuni trattamenti o parti di essi.

Osservo che questa operazione è evidentemente la conseguenza della non felice storia italiana sulla "certificazione privacy", di cui scrissi a suo tempo:
- http://blog.cesaregallotti.it/2017/05/certificazioni-privacy-per-aziende-e-bs.html.

Ho il timore che venga fuori un'altra storia non felice. Infatti non mi risulta che il Garante abbia partecipato alla scrittura di questo documento e, se dovesse seguire il comportamento fin qui tenuto, non dovrebbe avallare uno schema nazionale, mentre Accredia vorrebbe avviare uno schema meno controverso di quello attuale. Vedremo, visto che le cose cambiano.

Per completezza segnalo che avevo chiesto di partecipare ai lavori (anche in quanto socio UNINFO), ma il promotore del gruppo di lavoro non ha voluto. Spero di non venire accusato di aver scritto dei giudizi spinto dalla delusione, ma di aver seguito lo stesso atteggiamento tenuto in altre occasioni.

Ultimissima nota: si tratta di bozze e come al solito ne sconsiglio la lettura a coloro che non hanno intenzione o che non hanno l'opportunità di partecipare attivamente alla consultazione.

sabato 26 maggio 2018

Security Development Lifecycle di Microsoft

Stefano Ramacciotti mi ha segnalato le pagine aggiornate di Microsoft sul Security Development Lifecycle di Microsoft.

La prima è il The Security Development Lifecycle Developer Starter Kit:
- https://www.microsoft.com/en-us/SDL/adopt/customsdltraining.aspx.

La seconda è il SDL process: Training:
- https://www.microsoft.com/en-us/SDL/process/training.aspx.

Credo di aver già, a suo tempo, segnalato il materiale MS sul SDL, sicuramente molto buono. Ora molto è cambiato in meglio e si trova molto materiale pratico, cosa sempre difficile da trovare (perché è facile dire "fate vulnerability test", meno capire con cosa).

Anche Stefano mi ha confermato di apprezzare l'approccio più pratico del sito rispetto al precedente.

Grazie a Stefano: finalmente qualcosa che non sia "GDPR"!!! Un po' di freschezza ci voleva...

venerdì 25 maggio 2018

25 maggio 2018: Privacy Spam Day

Non me lo aspettavo, ma il 25 maggio non è il "GDPR day", ma il "Privacy Spam Day":
  • tutti i clienti mi hanno inviato la loro email "noi abbiamo a cuore la tua privacy" (spesso di 6 o 7 pagine, quando convertita in un pdf formato A4);
  • tutti i mittenti di spam mi hanno chiesto di confermare la sottoscrizione al loro spam;
  • tanti editori di newsletter tecniche mi hanno chiesto di confermare la sottoscrizione alla loro newsletter;
  • tutti i clienti mi hanno inviato la loro "nomina a responsabile", inclusa la richiesta di nominare un DPO (spesso di 5 o 6 pagine e con un peso di almeno 2MB);
  • tutti i fornitori mi hanno inviato la loro "auto-nomina a responsabile", inclusa la richiesta di non chiedere troppi dettagli sulle loro misure di sicurezza, ma di fidarmi di loro e firmare il contratto.
Oggi ero da un cliente per risolvere i suoi ultimi dubbi e anche lui ha ricevuto tanto Privacy Spam.

E tutti i miei clienti hanno ricevuto Privacy Spam e me l'hanno inoltrato per chiedermi cosa fare di volta in volta.

Io ho anche avuto il tempo di scrivere un reclamo al Garante e qualcuno ha a sua volta inviato un reclamo al mio cliente (quello con cui stavo risolvendo gli ultimi dubbi).

E dimenticavo: tutti i miei contatti hanno scritto messaggi arguti sul GDPR (o inviato immagini) su Whatsapp, Facebook, LinkedIn e Twitter. Come sto facendo io adesso!

Quindi: buon Privacy Spam Day a tutti i miei amici, colleghi, contatti e follower!

mercoledì 23 maggio 2018

GDPR: Perché avere un DPO certificato (risposte)

Nel mio post dal titolo "GDPR: Perché avere un DPO certificato" (http://blog.cesaregallotti.it/2018/04/perche-avere-un-dpo-certificato.html), avevo ripetuto la domanda di Monica Perego: qual è il documento legislativo che stabilisce come la fornitura di un bene o la prestazione di un servizio, eseguita in conformità a norme UNI, CEI od equivalenti norme europee od internazionali, costituisce fornitura o prestazione a "regola d'arte"?

Alcuni mi hanno risposto (con toni anche accesi) che non esiste, per lo meno applicabile al DPO.

La risposta più interessante me l'ha inviata Mauro Caio di Emaze e la copio qui di seguito.

<< Il primo riferimento normativo che io ricordi e che ha spianato la strada alla legislazione in merito a Stato dell'arte e Norme (in quel caso CEI – Comitato Elettrotecnico Italiano) risale al 1968 (L. Legge 1 marzo 1968, n. 186). Il ricordo risale a quando ho avuto modo di partecipare ai lavori del CEI 64 (impianti elettrici) e 62-5 (apparecchiature elettromedicali).

Un buon link è https://www.certifico.com/news/22-news/news-generali/1956-regola-dell-arte-i
-riferimenti-normativi
>>.

Raccomando l'articolo perché è molto interessante, anche se applicabile ad altro contesto. Forse Biasiotti intendeva proprio quei "documenti legislativi", anche se non so (per ignoranza legale) quanto l'analogia possa reggere.

GDPR: qualche orrore (continuazione 01)

Dopo il mio post dal titolo "GDPR: qualche orrore" (http://blog.cesaregallotti.it/2018/05/gdpr-qualche-orrore.html), altri mi hanno segnalato delle chicche.

La prima è stata Miriam Carmassi (grazie!) direttamente sul mio blog: "tra gli orrori...dare data certa al registro dei trattamenti e al resto della documentazione predisposta mediante autoinvio per posta ordinaria... gli orrori del passato ritornano questa volta in nome del principio dell'accountability".

Aggiungo che io tutta questa accountability che permea il GDPR non la vedo. Il termine è usato solo una volta, ma la frase "l'accountability permea il  GDPR" è ormai diventata un classico. Le responsabilità erano comunque stabilite prima (anche se il termine "accountability" non appariva) e sono stabilite adesso e sono comunque materia importante.

Ultimo aggiornamento: un mio cliente (per un lavoro non correlato al GDPR, per il quale aveva già trovato un consulente) mi ha inviato via email, in quanto fornitore, un'informativa con richiesta di ritornare firmata. Come rendere dannoso un adempimento già non utile.

sabato 19 maggio 2018

GDPR: qualche orrore

A pochi giorni dall'entrata in vigore del GDPR, ovviamente le organizzazioni si stanno attrezzando (tantissime hanno aspettato l'ultimo mese!).

Gli orrori quindi si cominciano a vedere e si diffondono, dimostrando così quanto l'eccesso di entusiasmo o di isteria degli ultimi mesi o anni non abbiano fatto sempre bene. Molti esempi vengono anche da grandissime multinazionali, che evidentemente si sono affidate a consulenti dell'ultimo minuto e che hanno venduto loro soluzioni standard, per quanto sciocche esse siano.

Qui elenco qualche caso.

E alla fine fate come volete... ma non ditemi che la privacy è solo burocrazia inutile. Perché la burocrazia inutile se la sono voluta loro, non l'ha imposta il GDPR!

Rapporti con i dipendenti
Sono venuto a conoscenza di una nuova formula di "nomina ad incaricato". Visto che il GDPR non prevede "nomine" o "designazioni", qualcuno non ha voluto rinunciare (anche se poteva farlo sin dal Dlgs 196) al foglio di carta firmato singolarmente dal dipendente e gli ha messo il titolo di "designazione a persona autorizzata al trattamento dei dati personali".

La firma è anche richiesta quando sono inviate al personale le regole da seguire per assicurare la protezione dei dati personali. Io sono un promotore di tale regolamento, ma perché richiedere la firma per accettazione, quando per tutte le altre regole e procedure aziendali non è richiesta alcuna firma? Perché introdurre un processo "diverso"?

Ovviamente, è sempre in voga la richiesta di firma sull'informativa, anche se non richiesta. Alcuni, ahinoi, continuano anche a richiedere il consenso.

Credo che i dipendenti, in tutta la loro vita lavorativa, con l'eccezione del contratto di assunzione, firmino solo i documenti di "autorizzazione al trattamento dei dati personali", "regolamento per la protezione dei dati personali" e "informativa relativa al trattamento dei dati personali". Firma autografa, visto che siamo nel 2018...

Gestione dei fornitori
Si stanno diffondendo i questionari ai fornitori. Ma il GDPR non li richiede. Il GDPR richiede di stipulare contratti che impongano ai fornitori (responsabili del trattamento) l'attuazione di misure di sicurezza che il titolare ritiene adeguate.

Qualcuno mi dice che questi questionari servono a valutare il rischio del fornitore. Purtroppo è un'interpretazione sbagliata: il titolare deve valutare il rischio dei trattamenti, stabilire le misure "adeguate" e poi richiederne l'attuazione ai fornitori. Processo più logico di quello di inviare il  questionario, poi valutare il rischio, poi stabilire se il fornitore è adeguato, poi... poi cosa?

Se il fornitore non può accettare le clausole contrattuali, avvierà una negoziazione con il cliente, proponendo misure compensative, segnalando quelle non applicabili al trattamento affidato, eccetera. Forse questo è un processo troppo logico...

24 maggio: incontro del Garante

Il 24 maggio a Bologna è stato organizzato l'evento "Regolamento Ue. Il Garante incontra i Responsabili della Protezione dei Dati (RPD)":
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7917099.

Io, grazie al solito Pierfrancesco Maistrello, mi ero iscritto per tempo.

Per chi fosse interessato, l'evento può essere seguito in streaming come riportato dalla pagina sopra indicata.

mercoledì 16 maggio 2018

Come è (im)possibile dimostrare che il proprio pc è stato compromesso

Da Crypto-Gram di maggio 2018: Micah Lee ha provato per 2 anni a trovare un metodo per verificare se il proprio pc portatile è stato compromesso. I risultati lasciano dei dubbi e dimostrano quanto sia  difficile verificare la  compromissione di un pc portatile:
https://theintercept.com/2018/04/28/computer-malware-tampering/.

Ancora una volta trovo conferma dell'impossibilità di avere certe misurazioni della sicurezza e valutazioni del rischio quantitative.

lunedì 14 maggio 2018

Traduzione ENISA handbook

Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la disponibilità di una traduzione in italiano dell'handbook di ENISA:
- https://www.amazon.it/clouddrive/share/ikQmbrXD7J6X2WlRXfqdXa3Cs10Mo2EqQlom5oWeUre?_encoding=UTF8&%2AVersion%2A=1&%2Aentries%2A=0&mgh=1.

Credo sia noto il mio apprezzamento per questa pubblicazione (anche se rileggendola con attenzione ho trovato qualche controllo che risente di un'impostazione teorica da torre di cristallo, ma si tratta di pochissimi casi).

Devo dire che il mio ego ha subito un tracollo: alcuni traduttori (con cui mi complimento) li conosco bene, ma non è da loro che mi è arrivata la notizia.

Direttiva NIS in vigore (ma non troppo)

La newsletter SANS Newsbites mi ha ricordato che il 10 maggio sarebbe dovuta entrare in vigore la Direttiva NIS (Networks and Information Systems).

In altre parole, i Paesi membri avrebbero dovuto approvare entro il 10 maggio una normativa nazionale (in Italia, un Decreto Legislativo) di recepimento della Direttiva. Non mi risulta che l'Italia l'abbia ancora fatto, anche se il Governo ha avuto la delega ad ottobre 2017 (ma sappiamo bene cose è successo nel nostro Paese da ottobre ad oggi).

La Direttiva riguarda gli adempimenti che alcuni erogatori di servizi essenziali (per esempio fornitura di elettricità, acqua, servizi sanitari e di trasporto passeggeri e merci) dovrebbero attuare per assicurare la sicurezza dei propri sistemi informatici.

Finita la sbornia da GDPR, molto dopo il 25 maggio, immagino, ci accorgeremo anche di questo adempimento.

Intanto possiamo studiarci la materia grazie agli... inglesi! Il National Cyber Security Centre ha infatti pubblicato una guida alla NIS:
- https://www.ncsc.gov.uk/guidance/nis-guidance-collection.

(Confesso che non ho capito se l'UK ha approvato un proprio provvedimento legislativo nazionale per recepire la Direttiva NIS, ma forse questo non è così importante).

Ius law web radio: Come stabilire le misure di sicurezza con la ISO/IEC 29151

Elia Barbujani di Ius law web radio mi ha intervistato su misure di sicurezza per la privacy e ISO/IEC 29115. La puntata (35 minuti) è qui:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-come-stabilire-le-misure-di-sicurezza-secondo-la-iso29151/.

venerdì 11 maggio 2018

GDPR: Valutazione del rischio e PIA

Segnalo questo mio articolo su ICT Security Magazine dal titolo "Valutazione del rischio e PIA", sulle relazioni e le differenze tra valutazione del rischio relativo alla privacy e PIA:
- https://www.ictsecuritymagazine.com/articoli/valutazione-del-rischio-e-pia/.

GDPR: La mia lista

Fioccano in questi giorni le liste delle cose da fare per il GDPR.

Oggi vedo che finalmente in molti stanno "abbassando i toni", come in questo articolo (segnalatomi da Franco Vincenzo Ferrari):
- https://www.ilfattoquotidiano.it/2018/05/02/nuovo-regolamento-privacy-i-dieci-comandamenti-per-non-cadere-nei-tranelli/4328293/.

Io l'avevo detto nel maggio 2016:
- http://blog.cesaregallotti.it/2016/05/pubblicato-il-nuovo-regolamento-privacy.html.

Ma non avevo considerato la vera grande novità del GDPR: le sanzioni milionarie. Questa è la vera grande novità. Il resto sono solo isterie di "studiosi" o "consulenti" che vogliono vendere mega progetti ai clienti spaventati (o che non hanno capito niente... gli studiosi e i consulenti... non i clienti).

A dirla tutta: il GDPR semplifica di molto rispetto alla 196.

A chi interessa, ecco la mia check list delle cose da fare:
  • nei casi previsti dall'articolo 37, designare un DPO; in tutti gli altri casi, individuare un "referente privacy" (anche se non obbligatorio); tutte le altre cose vanno fatte con questa persona (ed eventualmente con altre);
  • fare il registro dei trattamenti (il mio modello è il VERA privacy, reperibile da http://www.cesaregallotti.it/Pubblicazioni.html); nessuno chiede di scrivere tanti dettagli, ma di riportare solo i trattamenti e le finalità (e altri dettagli, come richiesto dall'articolo );
  • fare una valutazione del rischio relativa alla privacy (si può sempre usare il VERA privacy per iniziare);
  • nei casi previsti dall'articolo 35 e dei trattamenti più "rischiosi", fare una valutazione del rischio specifica per quei trattamenti (DPIA o PIA; sempre con il VERA privacy, per iniziare);
  • riesaminare l'applicazione territoriale;
  • aggiornare le informative, includendo i tempi di conservazione, le modalità di reclamo e, soprattutto, le nuove basi legali (articolo 6 paragrafo 1 del GDPR); togliere anche i riferimenti precisi alla normativa (non servono a niente);
  • togliere i consensi non più necessari e documentare (firme non necessarie) quelli necessari (non necessario richiederlo nuovamente); rendere chiaro e "separato" il consenso privacy;
  • verificare che gli interessati possano revocare il consenso "con la stessa facilità con cui è accordato";
  • ricordare che il GDPR richiede di rispondere alle richieste degli interessati entro un mese (meglio documentare un processo);
  • riesaminare tutti i contratti con i fornitori a cui si trasmettono dati personali e, se necessario, aggiornarli (questo è l'adempimento non tecnologico più pesante) con quanto previsto dall'articolo 28 (avevo già preparato una lista dei punti da prevedere a inizio 2017; oggi penso che dovrei modificarla solo lievemente: http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html); da prestare attenzione ai fornitori che trasferiscono dati in Paesi extra-UE (in questi casi, applicare quanto previsto dagli articolo 44 e successivi, che consolidano cose già previste dalla precedente normativa);
  • riesaminare e, se necessario, aggiornare gli accordi con i con-titolari (ricordando anche qui di prestare attenzione ai trasferimenti extra-UE);
  • documentare, per esempio in un mansionario, quali trattamenti sono autorizzati a svolgere le aree aziendali (questo sarebbe un raffinamento di quanto riportato nel registro);
  • stabilire un processo di riesame periodico delle autorizzazioni assegnate per accedere ai dati personali (processo già previsto dalle misure minime del D. Lgs. 196, ma ora ancora più importante perché "sostituisce" le nomine agli incaricati insieme al punto precedente);
  • predisporre un regolamento privacy (che può anche essere esteso alla sicurezza delle informazioni) per tutto il personale e i collaboratori autorizzati a trattare i dati personali, con misure "generali" e, se il caso, con misure specifiche per alcuni trattamenti (p.e. manutenzione software, gestione contatti di un contact centre);
  • stabilire un processo di gestione degli incidenti con impatto sui dati personali (data breach, articoli 33 e 34);
  • controllare che i dati possano essere forniti agli interessati in "formato portabile"; nella maggior parte dei casi vuol dire prevedere l'esportazione in un formato strutturato, di uso comune e leggibile da dispositivo automatico (ossia un testo ASCII, una tabella csv o un pdf); in alcuni specifici mercati è invece necessario prevedere altre soluzioni;
  • prevedere la cancellazione dei dati quando è terminato il periodo di conservazione, ricordando che il principio della conservazione perché "non si sa mai" non è incluso nel GDPR, anzi... è sanzionato; questo è sicuramente l'adempimento tecnico più pesante;
  • stabilire un processo di audit interni per la privacy (testare, verificare e valutare).

martedì 1 maggio 2018

Linee guida WP art. 29 su consenso e trasparenza

Confesso che leggo raramente le linee guida del WP Art. 29. Infatti solitamente ripetono cose già dette più volte. Lascio ad altri più pazienti (e spesso più competenti) di me il compito di leggerle e identificare eventuali punti originali.

In questo caso Pierfrancesco Maistrello mi è venuto in aiuto con due linee guida.

La prima è sul consenso. La linea guida si trova qui:
- http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.

Ecco quello che mi scrive Pierfrancesco: "il capitolo 8 riporta una cosa ovvia, anche se ho visto molti casi in cui ovvia non è. Si dice che il consenso raccolto in ambito Direttiva 95/46 (ossia prima del GDPR) può essere valido, previa verifica delle caratteristiche della sua acquisizione. Io direi che se un titolare italiano ha disposto testi informativi conformi con la vigente legge dell'epoca, dovrebbe aver indicato le finalità in informativa e, conseguentemente, agganciato un consenso liberamente selezionabile (e firmabile in caso di trattamento di dati sensibili). Chi invece ha fatto il furbo dovrà correre ai ripari. Molto spesso i contatti del marketing sono stati raccolti nei modi più vari e oggi non è più possibile sapere se erano anche corretti".

Io aggiungo che molti uffici marketing mi chiedono perché non giudicare validi i contatti che hanno ricevuto email promozionali gli scorsi anni e non hanno mai seguito la (semplice) procedure di cancellazione. Non saprei rispondere in modo più intelligente di "se non avete prova del consenso prestato con un'azione "positiva", quel contatto dovreste cancellarlo".

La seconda pubblicazione è sulla trasparenza. Si trova a questo link:
- http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227.

Pierfrancesco mi segnala: "anche qui niente di nuovissimo, mi pare, almeno per chi si è letto il GDPR. In realtà sarebbe importante leggere tutto il documentone, che parte descrivendo l'importanza del primo tassello (cosa che io dico sempre): l'informativa deve essere comprensibile a chi la legge in relazione ai dati che riguardano proprio lui….ma so che è inutile parlarne a te, che la pensi esattamente così da sempre, mi pare…".

Ha ragione a dire che la penso così da sempre. Dubito però di essere stato capace di scrivere un'informativa facilmente comprensibile al cosiddetto "uomo della strada". Ma potrò imparare.

Stato delle norme ISO/IEC 270xx - Aprile 2018

Il 20 aprile a Wuhan (Cina) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Ho trovato l'incontro povero di argomenti di mio interesse. Darò quindi conto delle (poche) cose emerse.

Per quanto riguarda i lavori sulle norme della privacy, i lavori sulla ISO/IEC 27552 (ossia lo standard che potrebbe essere quello su cui sarà basata la "certificazione GDPR") sono proseguiti e verrà prodotto un secondo CD. In parole molto povere: i lavori stanno proseguendo come previsto in precedenza, con pubblicazione della norma prevista a fine 2019.

Altra norma che è ritenuta molto interessante è la ISO/IEC 27018 (Code of practice for PII protection in public clouds acting as PII processors). E' programmata una sua nuova versione a breve per allinearla alle altre norme uscite in questi anni. Purtroppo mi risulta non siano state fatte riflessioni approfondite sulle sovrapposizioni tra questa norma e la ISO/IEC 27552.

Altri lavori sono proseguiti (ma non ho potuto seguirli perché arrivato tardi per problemi vari). In particolare sulla nuova edizione della ISO/IEC 29101 (Privacy Architecture Framework) e la ISO/IEC 27550 (Privacy engineering for system life cycle processes).

Lascio in coda le attività del WG 1, ossia quelle più strettamente collegate alla ISO/IEC 27001. Segnalo le cose per me più interessanti:
- c'è stato un incontro di discussione sulla "utilità del SOA", in cui sono emersi i diversi punti di vista;
- sono continuati i lavori preparatori per la prossima versione della ISO/IEC 27002;
- sono continuate le discussioni per la futura ISO/IEC 27005;
- sono state fatte alcune riflessioni sulla ISO/IEC 27006 perché alcuni punti sono risultati ambigui;

Stanno inoltre avanzando i lavori su alcune norme relative alla cybersecurity. In particolare, anche se non ci ho partecipato, trovo molto interessante la futura norma ISO/IEC 27102 sulle cyber-assicurazioni.

Per quanto riguarda i partecipanti, ho solo i numeri del WG 1 (i gruppi sono 5 e il WG 1 è il più numeroso): 98 esperti da 21 Paesi. La delegazione italiana (per i soli WG 1 e WG 5) era composta da ben (!) tre persone.

lunedì 30 aprile 2018

GDPR: Perché avere un DPO certificato

Confesso che mi sono sempre chiesto perché tanta fretta ad avere le tanto pubblicizzate certificazioni da DPO.

Franco Ferrari di DNV GL mi ha inoltrato il link a questo articolo che me lo spiega:
- https://www.puntosicuro.it/security-C-124/privacy-C-89/la-qualificazione-dei-responsabili-del-trattamento-della-protezione-dei-dati-AR-18008/.

In sostanza, una persona certificata secondo una norma UNI (in questo caso, DPO secondo quanto previsto dalla norma UNI 11697) garantisce di poter offrire una "prestazione a regola d'arte". Come dice l'articolo: "l'adeguarsi alla norma UNI 11697 è fatto volontario e garantisce che il soggetto conforme a questa norma possa offrire una prestazione a regola d'arte".

Ecco quindi che un titolare, "se sceglie soggetti certificati secondo la norma UNI, per definizione egli non può sbagliare e quindi non è soggetto ad una possibile " culpa in eligendo"".

Segnalo che ora sono ancora in fase di approvazione, da parte di Accredia, i primi accreditamenti alle società che vogliono certificare secondo la UNI 11697.

PS: Monica Perego mi ha  chiesto quale sia il documento legislativo che stabilisce come la fornitura di un bene o la prestazione di un servizio, eseguita in conformità a norme UNI, CEI od equivalenti norme europee od internazionali, costituisce fornitura o prestazione a “regola d’arte”. Non le ho saputo rispondere. Se qualcuno ha la risposta, prego di fornirmela.

Nuova ISO/IEC 17025 sui laboratori

E' stata pubblicata la versione del 2017 della ISO/IEC 17025, applicabile ai laboratori:
- https://www.iso.org/standard/66912.html.

La notizia l'avevo sottovalutata, ma in realtà essa ha impatto sui "laboratori" che conducono vulnerability assessment e penetration test (da ricordare che AgID, per l'applicazione del Regolamento eIDAS, richiede che i tali laboratori siano accreditati ISO/IEC 17025 entro il 1 giugno 2019) e sui laboratori di acquisizione e analisi delle prove forensi.

Per questo segnalo questo articolo di Forensics Focus che fornisce dettagli sulle novità della ISO/IEC 17025:
- https://articles.forensicfocus.com/2018/04/20/changes-to-forensic-laboratory-accreditation-requirements-iso-iec-17025/.

sabato 28 aprile 2018

GDPR: Casi pratici sui fornitori

In questi giorni molti miei clienti stanno "scoprendo" quanto sia difficile adeguarsi al GDPR quando si tratta di gestire i fornitori, ossia i "responsabili" o "processor".

I casi sono numerosi e normalmente riguarda i grandi fornitori che impongono il proprio modello contrattuale.

Qualche esempio:
  • un fornitore ha risposto al mio cliente che non concede il diritto di audit (ma a sua volta se lo prende per verificare se il cliente usa il proprio software senza aver pagato il numero corretto di licenze);
  • un grosso fornitore di servizi cloud anche di gestione del personale non prevede la localizzazione dei dati né fornisce alcuna garanzia richiesta dal GDPR (Paese ritenuto adeguato, clausole contrattuali o BCR nel caso di grandi imprese);
  • un fornitore non ha voluto specificare le misure di sicurezza adottate.

Cambiare fornitore, lo sappiamo, non è facile. Non solo per questioni economiche dirette (la transizione sicuramente ha un costo), ma anche perché il rapporto con il precedente fornitore si è consolidato negli anni in termini di condivisione delle procedure e di competenze.

Dovremo aspettare le multe perché finalmente i contratti siano adeguati al GDPR? Temo sarà così.

domenica 22 aprile 2018

Le non-deroghe alle sanzioni sul GDPR

Come è noto, il CNIL (il Garante francese) ha annunciato un periodo "di grazia" per le sanzioni previste dal GDPR per i primi 6 mesi dalla sua entrata in vigore (mi spiace, ma non trovo la notizia corretta, anche se la seguente è chiara):
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire.

Il Garante italiano, a seguito dei rallentamenti sulla "normativa italiana che adegua il Codice privacy al GDPR" ha pubblicato un Provvedimento forse un po' troppo prolisso che, in sostanza, tratta anche dei controlli previsti per il GDPR, ma si conclude dicendo che entrerà in vigore dopo 6 mesi dall'entrata in vigore della "nuova normativa italiana" (grazie a Pierfrancesco Maistrello per la segnalazione):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8080493.

C'è chi ha voluto leggerci un periodo di 6 mesi di sospensione (da maggio a novembre, quindi) dei controlli relativi all'applicazione del GDPR in Italia (grazie a Luca Gibilterra per la segnalazione):
https://www.agendadigitale.eu/sicurezza/privacy/gdpr-il-garante-privacy-differisce-di-sei-mesi-i-controlli-su-applicazione/.

Essendo la fonte autorevole (Gabriele Faggioli, non solo persona molto preparata, ma anche Presidente del Clusit), la notizia si è diffusa velocemente e il Garante ha dovuto chiarire la questione (grazie a Pierfrancesco Maistrello):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593.

In effetti, visto che non si sa quando sarà approvata la "normativa italiana", si rischiava di non vedere alcun controllo del Garante per lunghi anni.

Faggioli ha comunque voluto replicare (grazie a Luca Gibilterra per la segnalazione):
https://www.agendadigitale.eu/sicurezza/privacy/gdpr-ecco-perche-riteniamo-ci-sia-stato-un-rinvio-dei-controlli-sulle-aziende/.

Io sarò semplicistico, ma eviterei di sperare in una deroga delle sanzioni di qualsiasi tipo. Il Garante ha più volte ripetuto che non la promuoverà. Inoltre credo che il Garante non sia l'unico che può indagare e sanzionare a norma del GDPR.

PS: alcuni post italiani non mi sembra siano più disponibili. Ad ogni modo la storia è interessante perché ci illustra quanto crescano aspettative e isteria con l'avvicinarsi del 25 maggio.

GDPR: Deroga sul registro dei trattamenti

Pierfrancesco Maistrello mi ha segnalato questo Position paper del WP Art. 29, che riguarda le deroghe relative al registro dei trattamenti:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045.

Come è noto, il registro dei trattamenti non va fatto dalle organizzazioni con meno di 250 persone che non trattano dati sensibili (ci sono anche altri casi). Ovviamente, risulta ovvio che tutte le aziende con dipendenti tratta dati sensibili, seppure in modo limitato, e quindi l'esclusione risulta un po' ridicola.

Il WP Art. 29 chiarisce questo fatto, per quanto ovvio, ma aggiunge che in questi casi il registro dovrebbe riportare solo i trattamenti non occasionali che presentano rischi per gli interessati, relativi ai dati sensibili o giudiziari.

Il documento conclude con la "solita" raccomandazione di fare comunque il registro completo. Posso aggiungere dicendo che a questo punto, in effetti, costerebbe veramente poco completarlo con gli altri trattamenti.

sabato 21 aprile 2018

Nuova versione del NIST Cyber Security Framework

Il NIST ha pubblicato la versione 1.1 del suo "Framework for Improving Critical Infrastructure Cybersecurity", più noto come "Cyber Security Framework" o CSF:
https://www.nist.gov/cyberframework.

Ho sempre espresso qualche perplessità su alcuni punti del CSF e sul suo uso in alcuni contesti, ma la sua validità è innegabile.

I controlli cambiati sono quelli relativi all'identificazione e autenticazione e alla gestione delle vulnerabilità. Il pdf ha comunque una tabella con i cambiamenti apportati, non solo ai controlli.

Dalla pagina web, sotto il menu "framework", è possibile scaricare anche l'Excel.

martedì 17 aprile 2018

DFA Open Day - 5 luglio 2018

DFA è l'associazione degli alunni e docenti del Corso di Perfezionamento in "Computer forensics e investigazioni digitali" e di tutti gli altri corsi di Perfezionamento organizzati dalle Cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell'Università degli Studi di Milano (io ne sono Presidente da quest'anno):
- http://www.perfezionisti.it/

Il pomeriggio del 5 luglio, presso la Statale di Milano, abbiamo organizzato l'Open Day, con vari interventi relativi a digital forensics, privacy e altre cose. Il programma è in costruzione e poi attiveremo le modalità di iscrizione (gratuita!). Intanto invito tutti a prendere nota della data.

VERA per privacy - versione beta

Ho pubblicato la versione beta del mio file Excel per la privacy:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2018-VERA-4.4-ITA-privacy-BETA-20170416.xlsx.

Se non dovesse funzionare il link diretto, ecco la pagina web di riferimento:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Io lo uso per la valutazione del rischio privacy, per la PIA e per i controlli privacy di ENISA. Spero che le istruzioni chiariscano i diversi modi con cui può essere usato. In caso contrario... vi prego di darmi suggerimenti.

Per questa versione Beta, grazie a: Alessandro Gaspari (che mi ha mandato il suo Excel, con anche traduzione, delle misure del "Handbook on Security of Personal Data Processing" di ENISA del dicembre 2017), Stefano Posti, Pierlugi Stefli.

lunedì 16 aprile 2018

ISO 9004:2018

Franco Ferrari di DNV GL mi ha informato dell'uscita della nuova edizione della ISO 9004 dal titolo "Quality management - Quality of an organization - Guidance to achieve sustained success":
- https://www.iso.org/standard/70397.html.

Si tratta, in poche parole, di una riscrittura della precedente ISO 9004 per allinearla alla ISO 9001:2015.

domenica 15 aprile 2018

Valutazione del rischio per il CIS

Franco Ferrari mi ha segnalato la pubblicazione della "CIS RAM Version 1.0", ossia la pubblicazione del Center for Internet Security dal titolo "Risk Assessment Method". Essa è collegata ai controlli di cui avevo già dato notizia:
- https://www.cisecurity.org/controls/

L'ho sfogliato molto rapidamente, ma confesso che, quando ho cominciato a occuparmi di valuazione del rischio, avrei voluto avere una pubblicazione così. Ho notato una cosa importante: sono presentati più approcci, uno dei quali è quello solito ("asset based"), mentre gli altri sono meno tradizionali.

Sono anni che l'approccio asset-based non è più usato efficacemente, se non in rari casi. Spero che anche questa pubblicazione permetterà di riconsiderare la centralità di questo approccio.

AgID e le regole per i fornitori cloud

AgID ha pubblicato le due circolari relative ai criteri per la qualificazione dei Cloud Service Provider per la PA e per la qualificazione di servizi SaaS per il Cloud della PA (grazie a Franco Ferrari di DNV GL per la notizia):
- http://www.agid.gov.it/notizie/2018/04/10/piano-triennale-circolari-software-service-cloud-cloud-service-provider-pa.

Consiglio vivamente di leggere le due circolari, in particolare gli Allegati, anche a chi non offre servizi per la PA. Infatti essi riportano le "misure minime di sicurezza" che penso saranno di riferimento per il futuro in Italia.

Io avevo mandato qualche commento nella fase di consultazione pubblica. Non ho controllato se e come sono stati recepiti. Ritengo comunque che sia un lavoro da considerare attentamente.

Servizi SaaS:
- https://cloud-pa.readthedocs.io/it/latest/circolari/SaaS/circolare_qualificazione_SaaS_v_4.12.27.html.

Cloud service provider (IaaS e PaaS):
- https://cloud-pa.readthedocs.io/it/latest/circolari/CSP/circolare_qualificazione_CSP_v1.2.html.

Articolo "GDPR: il 25 maggio non accadrà nulla"

In questi giorni ho visto molti richiami all'articolo di Andrea Lisi dal titolo "GDPR e Protezione dei dati, ma il 25 maggio non accadrà nulla":
- https://www.key4biz.it/gdpr-e-protezione-dei-dati-il-25-maggio-non-accadra-nulla/218389/.

Conferma alcune cose che dico da tempo, meglio di come le dico io. Quindi lo consiglio.

Ius law web radio: Come effettuare una DPIA secondo la ISO/IEC 29134

Elia Barbujani di Ius law web radio mi ha intervistato su PIA e ISO/IEC 29134. La puntata (48 minuti!) è qui:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-come-effettuare-una-dpia-secondo-la-iso29134/.

mercoledì 4 aprile 2018

Rapporto Clusit 2018

Il Clusit, a metà marzo 2018, ha pubblicato il consueto rapporto annuale sulla sicurezza informatica:
- https://clusit.it/rapporto-clusit/.

A mio parere è meno interessante di altre volte. Però consiglio comunque di guardarlo.

Il Clusit ha organizzato a marzo il Security summit di Milano. Le presentazioni sono ora disponibili:
- https://www.securitysummit.it/event/Milano-2018/atti.

lunedì 26 marzo 2018

Schema di decreto privacy

Il 21 marzo, il Consiglio dei Ministri ha approvato una bozza di decreto legislativo che dovrebbe armonizzare la nostra legislazione con il GDPR e abrogare il Codice privacy:
- http://www.governo.it/articolo/comunicato-stampa-del-consiglio-dei-ministri-n-75/9132.

La notizia me l'hanno data Pierfrancesco Maistrello e gli Idraulici della privacy; l'ho anche trovata su LinkedIn e su Twitter. Vorrei non parlarne, visto che si tratta di una bozza che dovrà essere sottoposta anche al Garante.

Ho sentito qualche commento:
- sembra che abroghino la "notifica preventiva" richiesta dalla Legge di Bilancio (va anche detto che finora il Garante non ha pubblicato alcuna istruzione e quindi nessuno poteva attuarla);
- c'è un articolo che dice che titolare e responsabile (intesi come "aziende") possono distribuire deleghe al proprio interno; lo trovo comico, visto che le aziende dovrebbero già sapere che possono farlo;
- lo stesso articolo dice che le autorizzazioni (le vecchie "nomine ad incaricato") possono essere date nel modo più opportuno; trovo divertente che la Legge si assuma l'onere di educare i consulenti (ho collaborato con aziende che, senza mai aver visto un consulente privacy, avevano già al loro interno processi che bastava adattare un poco per recepire i requisiti del GDPR; quindi evidentemente sono alcuni "consulenti privacy" che vanno educati perché la smettano di appesantire inutilmente i processi delle organizzazioni con nomine e designazioni, per giunta su carta e firme e contro-firme);
- viene abrogato e non modificato il Codice privacy (D. Lgs. 196), contrariamente a quanto io immaginavo (io pensavo avrebbero fatto la stessa operazione fatta con il D. Lgs. 82 del 2005 o CAD, dopo la pubblicazione del Regolamento eIDAS; l'esperienza con il CAD è stata negativa perché non era "aggiustabile" facilmente per renderlo allineato a eIADS; giustamente, con la privacy hanno preferito ripartire da zero per non ripetere gli stessi errori).

Massimo Cottafavi del Gruppo Snam mi ha segnalato questo articolo di Agenda Digitale:
- https://www.agendadigitale.eu/sicurezza/privacy/gdpr-approvato-lo-schema-di-decreto-questi-i-punti-sul-tavolo/.

Intanto il CNIL (il Garante francese) ha annunciato che, per i primi mesi e a determinate condizioni, non sanzionerà le imprese per inadempienze rispetto al GDPR (grazie agli Idraulici della privacy per la segnalazione):
- http://www.etiprivacy.it/gdpr-francia-per-i-primi-mesi-no-a-sanzioni-alle-aziende-sui-nuovi-obblighi/.

venerdì 23 marzo 2018

Il caso Cambridge Analytica

Si è parlato tantissimo del caso Cambridge Analytica e quindi faccio una breve rassegna stampa (con commenti).

Il primo link racconta la storia:
- https://www.theregister.co.uk/2018/03/19/boom_cambridge_analytica_explodes_following_extraordinary_tv_expose/.

Il secondo racconta la storia e aggiunge un commento: non si tratta di violazione di dati personali, visto che il modello di Facebook esplitamente consentiva la raccolta ed elaborazione dei dati personali degli utenti:
- https://motherboard.vice.com/en_us/article/3kjzvk/facebook-cambridge-analytica-not-a-data-breach.

La penso esattamente come l'articolo di Motherboard. Quando mettiamo dati su Facebook sappiamo bene che Facebook li può vendere a chi e come vuole. Non dobbiamo lamentarci.

Questo articolo spiega come configurare convenientemente Facebook:
- https://www.eff.org/deeplinks/2018/03/how-change-your-facebook-settings-opt-out-platform-api-sharing.

Perché il caso Cambridge Analytica dovrebbe preoccupare anche te
- https://www.wired.it/attualita/politica/2018/03/19/cambridge-analytica-facebook-privacy/.

La penso parzialmente come l'articolo di Wired. Io penso che culturalmente molti dicono che non abbiamo niente da nascondere. Non si tratta di nascondere; si tratta di intimità e la sua perdita è un fatto culturale che mi inquieta. Fin qui è un'opinione come un'altra. Il fatto inquietante è che noi non abbiamo niente da nascondere (forse), ma altri non solo nascondono, ma usano le informazioni che noi volontariamente diamo loro. La sproporzione tra un utente di Facebook e un OTT come Facebook dovrebbe metterci in guardia. Invece... niente.

L'articolo di Wired spiega anche che il caso di Cambridge Analytica non è emerso a causa del coinvolgimento di Trump (forse inconsapevolmente, tra l'altro), ma perché ci spiega come funziona oggi la manipolazione delle persone. E inquieta esattamente come tanti anni fa inquietavano alcune tecniche di pubblicità occulta: ci rendiamo conto di essere manipolabili. In troppi, però, continuano a pensare di essere immuni e continueranno a diffondere tutto ciò che li riguarda, senza voler nascondere niente. Alcuni, come me, si inquietano. Altri non se ne preoccupano minimamente. Me ne farò una ragione.

Infine... pochi giorni prima del caso di Cambridge Analytica il Corriere della Sera aveva pubblicato un articolo dal titolo "Chi spia i nostri conti" di Ferruccio De Bortoli. Non mi è piaciuto come è scritto, ma credo ci dica qualcosa di importante. Questo link riporta fedelmente l'articolo, ma temo non lo faccia legalmente; potrebbe quindi essere cancellato:
- http://prontoagente.it/component/cobalt/item/674-chi-spia-i-nostri-conti.

PS: Pierfrancesco Maistrello mi ha segnalato questa "Opinion" dell'European data protection supervisor (EDPS), dal titolo "online manipulationand personal data", pubblicata proprio il giorno dopo il mio post qui sopra:
- https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

giovedì 22 marzo 2018

I controlli di sicurezza del CIS

Giancarlo Caroti mi ha segnalato la pubblicazione dei CIS Controls V7:
- https://learn.cisecurity.org/20-controls-download.

Si tratta di un elenco di 20 categorie di controlli, poi meglio espressi in circa 170 controlli di dettaglio per la sicurezza informatica. I controlli sono espressi in forma sintetica.

Si tratta ovviamente di una lettura faticosa, ma utile.

martedì 20 marzo 2018

Fog e mist computing

L'informatica nebbiosa sembrerebbe materia da milanesi. Invece si tratta di un modello di supporto all'IoT, alternativo al cloud computing.

Personalmente non ne so nulla, ma, se il NIST dedica una Special Publication a questo argomento, ritengo sia opportuno cominciare a sapere che esiste.

Quindi fornisco il link del NIST sulla NIST Special Publication 500-325 "Fog Computing Conceptual Model":
- https://csrc.nist.gov/News/2018/Fog-Computing-for-Internet-of-Things-Devices.

lunedì 19 marzo 2018

Linea guida per la PIA degli Osservatori.net

Enrico Luigi Toso mi ha segnalato questa "Linea guida per la Data protection impact assessment" a firma Politecnico e Osservatori.net:
- https://www.osservatori.net/it_it/pubblicazioni/linea-guida-per-la-data-protection-impact-assessment.

Non è facilissimo scaricarla perché bisogna registrarsi e poi bisogna fare parecchi clic. La lettura è piuttosto interessante. Nulla di particolarmente originale, ma una bella rassegna su questo requisito del GDPR.

Viene presentato un metodo semplice per calcolare il rischio per la PIA e penso che questo sia molto positivo.

Visto che il CNIL ha proposto un metodo (recepito anche nella ISO/IEC 29134) troppo macchinoso e di difficile applicazione, mi fa piacere quando voci autorevoli promuovono approcci più pragmatici.

giovedì 15 marzo 2018

Linee guida sulla notifica di violazione dei dati personali

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione delle "Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)" del WP Art. 29:
- http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.

Sono molto importanti, perché stabiliscono un punto di riferimento autorevole per capire quali eventi vanno notificati al Garante e agli interessati.

Franco Ferrari mi ha anche segnalato un articolo di Adalberto Biasotti che riassume la linea guida:
- https://www.puntosicuro.it/security-C-124/privacy-C-89/pubblicata-la-linea-guida-sulla-notificazione-in-caso-di-violazione-dei-dati-AR-17875/.

martedì 13 marzo 2018

Due lezioni dai seggi

No. Non parlerò della campagna elettorale, né dei risultati. Ho solo due foto sui seggi che costituiscono due interessanti lezioni.

Lezione 1: Sviluppo e progettazione. La busta 7(R) in alto va infilata nella busta in basso:
- https://www.linkedin.com/feed/update/urn:li:activity:6379233027293265920.

Lezione 2: Capacity management. Le schede inutilizzate (in basso; sono quelle del mio seggio) vanno inserite nella busta 4(R) in alto:
- https://www.linkedin.com/feed/update/urn:li:activity:6379234134224617473.

sabato 10 marzo 2018

GDPR e legittimo interesse

Pierfrancesco Maistrello (che ringrazio) mi ha segnalato la seguente pubblicazione dal sito di IAPP e dal titolo "Guidance on the use of Legitimate Interests under the EU General Data Protection Regulation":
- https://iapp.org/media/pdf/resource_center/DPN-Guidance-A4-Publication.pdf.

Mi pare molto interessante ed ecco i miei appunti:
- il considerando 47 prevede che il marketing diretto possa essere considerato (in certe circostanze) come trattamento di legittimo interesse per il titolare (sembrerebbero inclusi i casi in cui il "commerciale di fiducia" chiama ogni tanto il cliente; rimane sempre attivo il diritto di opposizione dell'interessato);
- trattamenti svolti nel legittimo interesse del titolare possono avere le seguenti finalità: prevenzioni di frodi, trasmissione di dati dei dipendenti all'interno di un Gruppo aziendale, sicurezza informatica, audit interni o ad altre organizzazioni, mantenere il nome delle persone che hanno chiesto la cancellazione dei propri dati personali (anche se qui si ha un riferimento circolare), registrazione delle attività (p.e. in un gestionale o per il check-in in un hotel, web analytics;
- altri esempi del documento non mi convincono per niente.

giovedì 8 marzo 2018

Nuova edizione della ISO 22300 (definizioni per la continuità)

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della nuova versione della ISO 22300, dal titolo "ISO 22300: 2018 - Societal security - Terminology":
- https://www.iso.org/standard/68436.html.

Ne ho parlato con Gennaro Bacile. Anche lui ha trovato ridicola la definizione di activity (un insieme di processi) e di process (un insieme di attività), in ovvio riferimento circolare. C'erano anche nella ISO 22301:2012 e purtroppo la definizione di activity non è stata modificata (la definizione di process non dovrebbe esserlo, visto che stabile da numerosi anni, condivisa da tantissime norme ISO e tra le definizioni base del HLS).

Nuova ISO 31000

Franco Ferrari (di DNV GL) e Gennaro Bacile (di Studio QSA) mi hanno segnalato la pubblicazione della nuova versione della ISO 31000, dal titolo "ISO 31000:2018 - Risk management — Guidelines":
- https://www.iso.org/standard/65694.html.

Gennaro, gentilmente, mi ha inviato un suo commento, che io riporto qui di seguito.

La ISO 31000:2018 non ha novità sconvolgenti rispetto alla precedente versione del 2009. L'intento della nuova versione era quello di trovare un adeguato compromesso tra esigenze di chiarezza, bisogno di approfondimento e necessità di sintesi.

In effetti, il nuovo testo si presenta non solo più conciso, ma comprende anche alcuni cambiamenti sostanziali come ad esempio l'importanza data ai fattori umani e culturali nel raggiungimento degli obiettivi di un'organizzazione e una maggiore enfasi su una più solida integrazione del "risk management" con il processo decisionale e, più in generale, all'interno di un sistema di gestione strategico e operativo.

Come Italia avevamo insistito per un approfondimento su due aspetti, relativi alla necessità di:
- considerare l'etica tra i criteri di riferimento per la valutazione dei rischi;
- chiarire meglio significato e correlazione tra i concetti di opportunità, minacce/pericoli e rischio, sui quali i punti di vista sono molto "variegati".

Dell'etica comunque non se ne parla se non sottintesa tra le righe e sui concetti di minacce e opportunità in relazione al rischio è stata fatta confusione (una nota alla definizione di rischio è stata modificata all'ultimo momento, rendendo quindi la relazione tra minacce e opportunità e rischi molto confusa e non condivisible).

Molto più interessante per numerose novità, oltre che per i due punti di cui sopra, è la revisione della IEC/ISO 31010, il cui DIS è stato approvato a metà febbraio. Nella nuova versione è previsto un diagramma di Ishikawa modificato (con indicate le classiche famiglie di cause-effetti: ambiente, materiali, fornitori, personale, processi, infrastrutture). È forse una banalità, ma comunque è un nuovo modo di pensare fuori dagli schemi (una sorta di pensiero laterale) che è frutto di un nostro contributo. La sua applicazione è risultata piuttosto interessante ed apprezzata da chi ci ha provato.

lunedì 26 febbraio 2018

Pubblicata la ISO/IEC 27103

E' stata pubblicata la norma ISO/IEC 27103, dal titolo "Cybersecurity and ISO and IEC Standards":
- https://www.iso.org/standard/72437.html.

Si tratta di un Technical report, non di uno standard. Esso elenca i punti chiave del NIST CSF e gli associa i controlli della ISO/IEC 27002 e di altre norme. Un po' anche per dire "guardate che questa cybersecurity è sempre stata parte del nostro lavoro".

È noto che non sono un fan delle "correlazioni": penso che ogni standard abbia un punto di vista diverso e che prima di tutto questo punto di vista vada capito. L'uso di liste di correlazione fa spesso dimenticare i diversi punti di vista e porta a lavori troppo meccanici.

Privacy: Circolare INL sulla videosorveglianza e lavoratori

Paolo Clavi mi ha segnalato questo articolo relativo ad una recente circolare dell'Ispettorato Nazionale del Lavoro (INL) in materia di videosorveglianza:
- http://www.dottrinalavoro.it/notizie-c/inl-installazione-e-utilizzazione-di-impianti-audiovisivi.

A mio parere l'articolo è esaustivo e riassume il contenuto della circolare.


Paolo mi scrive: " introduce un principio assolutamente innovativo: la possibilità di non indicare l'esatta posizione ed il numero delle telecamere da installare, tenuto conto che il layout degli uffici potrebbe cambiare nel tempo e costringerebbe ad onerosi aggiornamenti della pratica. Resta fermo il fatto che le riprese effettuate devono essere coerenti e strettamente connesse con le ragioni legittimanti il controllo e dichiarate nell'istanza. In fondo è un po' un atteggiamento in sintonia con il GDPR e il principio di accountability: la cosa importante è rispettare i principi, sulle modalità si lascia all'azienda la scelta di quelle opportune.

Il testo contiene poi altre interessanti innovazioni, come la mancata necessità della richiesta di autorizzazione in caso di installazione di telecamere in zone esterne estranee alle pertinenze della ditta (es. il suolo pubblico, anche se antistante alle zone di ingresso all'azienda), nelle quali non è prestata attività lavorativa. In fondo, se l'accordo sindacale o l'autorizzazione DTL derivano dalla necessità di informare e tutelare i lavoratori, quando i lavoratori si trovano all'esterno dell'azienda si trovano nelle stesse condizioni di qualsiasi cittadino, per i quali sono sufficienti cartelli informativi ed eventuale esercizio dei diritti di accesso ai dati".

Ci sono anche altri aspetti. Quello che a me colpisce di più è la possibilità di inquadrare direttamente l'operatore, ma solo per tutela della "sicurezza del lavoro" o del "patrimonio aziendale", perché potrebbe sconfinare facilmente nell'uso delle inquadrature per controllare le prestazioni dei lavoratori (il call centre che decurtava un'ora di stipendio a chi andava in bagno è notizia di settimana scorsa:
http://www.corriere.it/cronache/cards/centralinisti-call-center-pagati-33-centesimi-l-ora/finta-busta-paga_principale.shtml).

domenica 25 febbraio 2018

Direttiva NIS - Bozza di decreto italiano

Franco Ferrari di DNV GL mi ha segnalato questo interessante articolo dal titolo "Attuazione della Direttiva NIS, lo stato dopo lo schema di decreto legislativo":
- https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo/.

Dopo tutto il parlare di GDPR, è bene ricordare che le Direttive devono essere "tradotte" dagli Stati membri in una Legge nazionale. In Italia, la "traduzione" avviene attraverso Decreti legislativi.

La Direttiva 2016/1148 (cosiddetta "NIS") impone un elevato livello di sicurezza (basato su un'analisi del rischio) delle reti e dei sistemi informatici delle organizzazioni che operano in alcuni settori (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Il Consiglio dei Ministri italiano ha recentemente pubblicato la prima bozza ("schema") di D. Lgs. di recepimento della Direttiva NIS. Quindi l'articolo commenta questa bozza. Ora penso quindi che sia utile cominciare ad affrontare il tema NIS, senza approfondirlo troppo, visto che le bozze potrebbero essere modificate abbondantemente.

Non commento ulteriormente, visto che l'articolo mi pare esaustivo.

CISCO Annual cybersecurity report 2018

Dal SANS NewsBites, riprendo la notizia della pubblicazione del "2018 Annual Cybersecurity Report" della Cisco:
- https://www.cisco.com/c/en/us/products/security/security-reports.html.

Non mi pare ci siano cose particolarmente rilevanti o innovative (a meno che qualcuno più paziente di me non me le segnali), ma sicuramente è utile saperle (ed è utile anche vedere quali di queste cose "invitano" ad usare i prodotti e servizi della Cisco, in modo da dare loro il giusto peso).

I "major findings", infatti, sottolineano:
- la diffusione degli attacchi DDoS;
- la diffusione dello spamming;
- la pericolosità degli attacchi da parte del personale interno,
- lo sfrtuttamento dell'IoT e delle reti industriali,
- i rischi derivanti dalla numerosità di prodotti e fornitori,
- l'opportunità di migliorare la sicurezza attraverso l'outsourcing (via cloud).

lunedì 19 febbraio 2018

Libro: La vita segreta

Segnalo questo libro dal titolo "La vita segreta: Tre storie vere dell'èra digitale" di Andrew O'Hagan:
- https://www.adelphi.it/libro/9788845932151.

Non parla di sicurezza delle informazioni (se non in modo funzionale), né di GDPR.

Però, attraverso tre storie estreme (una su Assange, un'altra su Satoshi e quella in mezzo su una persona creata solo per l'ambiente virtuale) parla di identità, bisogno di privacy, bisogno di visibilità e forse altre cose.

Lo consiglio perché mi sembra dica qualcosa a noi che ci occupiamo di informatica non solo da un punto di vista puramente tecnico, ma anche culturale, se possiamo dire così.

venerdì 16 febbraio 2018

Articolo sulle certificazioni privacy

Segnalo questo articolo di ICT Security Magazine dal titolo "GDPR perché certificarsi - La vera ragione economica e il fenomeno della selezione avversa". Infatti ho trovato qualcuno di più critico di me.
- https://www.ictsecuritymagazine.com/articoli/gdpr-perche-certificarsi-la-vera-ragione-economica-fenomeno-della-selezione-avversa/.

Nuova privacy per telemarketing (precisazione 2)

Avevo segnalato il nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/02/nuova-privacy-per-telemarketing.html

Alessandro Borgese degli Idraulici della privacy mi ha segnalato che "manca ancora il decreto attuativo e pertanto le novità introdotte vedranno la luce tra un po'". Lo dimostra inviandomi questo articolo di Repubblica del 2 febbraio:
- http://www.repubblica.it/economia/2018/02/02/news/difese_contro_il_telemarketing_la_rivoluzione_puo_attendere-187679069/.

Riassumo dicendo che "ad ora sono in vigore solo alcune delle novità: l'obbligo del telemarketer a chiamarci con un numero in chiaro e la corresponsabilità dell'azienda committente della campagna telefonica illecita (finora invece era sanzionabile solo l'agenzia esecutrice di quest'ultima)". E che "il punto centrale è il nuovo registro delle opposizioni, una delle novità che devono aspettare il decreto attuativo per entrare in vigore. Il nuovo registro include anche i numeri riservati e quelli cellulare".

Libro bianco della cyber security in Italia (precisazione sul documento)

Recentemente avevo segnalato la nuova edizione del Libro Bianco: "Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici". Avevo detto che i link disponibili sul sito ufficiale (https://www.consorzio-cini.it/index.php/it/) non funzionavano e avevo fornito un link alternativo.

Giancarlo Caroti mi ha fatto notare che il link alternativo rimanda all'edizione precedente del 2015 (che fu presentato a febbraio 2016 in un evento in Sapienza a cui fece un intervento lo stesso Caroti). Giancarlo mi conferma che neanche lui riesce a rintracciare l'edizione del 2017.

Mi scuso per l'errore e, se avrò aggiornamenti, li fornirò.

giovedì 15 febbraio 2018

Circolare Accredia per le certificazioni ISO/IEC 270XX

Come già detto più volte in questa sede, la ISO/IEC 27001 può essere "estesa" ad altre norme cosiddette sector-specific. Tra queste, le più note sono oggi la ISO/IEC 27108:2014 sulla privacy dei servizi cloud e la ISO/IEC 27017 sui servizi cloud in generale. Altre sono disponibili e altre lo saranno (inclusa la ISO/IEC 27552 sulla privacy in generale).

In poche parole: non è possibile certificarsi direttamente su queste norme sector-specific, ma è possibile farle figurare in un certificato ISO/IEC 27001, come sua estensione.

Accredia, l'ente di accreditamento italiano, aveva regolato qualche mese fa le certificazioni ISO/IEC 27018. Io mi ero lamentato perché era assurda questa limitazione ad una sola delle norme sector-specific:
- http://blog.cesaregallotti.it/2017/07/certificazioni-isoiec-27018.html.

Accredia ha quindi rimediato (probabilmente non a causa mia) con la Circolare Tecnica N° 02/2018:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/.

Rimangono alcune bizzarrie, come richiedere auditor competenti anche sulla ISO/IEC 20000 (chissà perché questa e non per esempio la ISO 22301 o altre) e di verificare fisicamente tutti i data centre utilizzati (senza alcuna deroga nel caso in cui questi siano già certificati). Speriamo che in una prossima versione della Circolare tecnica non ci siano queste bizzarie.

mercoledì 14 febbraio 2018

Sviluppo sicuro delle applicazioni: i test di sicurezza

Un altro mio articolo sullo sviluppo sicuro delle applicazioni. Questo ha titolo "Sviluppo sicuro delle applicazioni: i test di sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-test-sicurezza/.

ENISA Handbook per il GDPR

ENISA ha pubblicato a gennaio 2018 un "Handbook on Security of Personal Data Processing":
- https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing/.

In esso trovo cose interessanti:
- la valutazione del rischio per i processi (con i parametri di valutazione degli impatti e della verosimiglianza delle minacce);
- un elenco di misure di sicurezza da considerare per i diversi livelli di rischio.

Mi pare un documento molto interessante perché molto pratico (a differenza di altre pubblicazioni troppo "teoriche").

Alla luce di questo documento dovrò aggiornare il mio VERA per privacy (ahimè).

Meno interessante è la pubblicazione "Privacy and data protection in mobile applications", perché troppo analitica e con poche indicazioni per la sicurezza delle applicazioni per dispositivi mobili:
- https://www.enisa.europa.eu/publications/privacy-and-data-protection-in-mobile-applications/.

Da osservare comunque che la pubblicazione è piena di link ad altri documenti. Andrebbe quindi esaminata con attenzione.

GDPR: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni

Segnalo questo articolo (22 pagine) di Francesco Pizzetti dal titolo "La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni":
- http://www.medialaws.eu/rivista/la-protezione-dei-dati-personali-dalla-direttiva-al-nuovo-regolamento-una-sfida-per-le-autorita-di-controllo-e-una-difesa-per-la-liberta-dei-moderni/.

Non è un articolo "pratico", a differenza di qualche intervento di Pizzetti a dei convegni e che mi sarebbe piaciuto vedere per iscritto. È più una riflessione, come dice il titolo, sul ruolo del Garante.

Perfect SAP Penetration testing

Recentemente ho chiuso un progetto ISO/IEC 27001 in un'azienda molto "sappizzata". Questa serie di articoli, dal titolo "Perfect SAP Penetration testing" mi sarebbe tornata decisamente utile:
- https://erpscan.com/tag/sap-penetration-testing/.

martedì 13 febbraio 2018

ISO/IEC 27000

E' stata pubblicata la nuova versione del 2018 della ISO/IEC 27000, con i termini e definizioni della sicurezza delle informazioni:
- https://www.iso.org/standard/73906.html.

La norma è gratuita, quindi dalla pagina dell'ISO non bisogna "comprare", ma seguire il link di "download". Il download si può anche fare direttamente da questa pagina:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html.

lunedì 12 febbraio 2018

Due sentenze sul controllo dei lavoratori (uso cellulari e videoriprese per furti)

Due sentenze che sembrano interessanti, ambedue su Filodiritto.

La prima è una "verifica preliminare" del Garante e relativa al controllo dei consumi del cellulari aziendali. La società (Johnson&Johnson Medical S.p.A.) assicura che i dati saranno usati solo per il controllo dei consumi e non per comminare sanzioni disciplinari. Il Garante ha dato l'approvazione:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7554790.

L'articolo su Filodiritto:
- https://www.filodiritto.com/news/2018/privacy-garante-privacy-il-garante-si-pronuncia-sulla-legittimit-del-controllo-sui-telefoni-aziendali-da-parte-del.html.

La seconda è della Cassazione, che ha ritenuto lecito l'uso di videoregistrazioni "per provare le condotte criminose poste in essere dai lavoratori". Da notare che si sta parlando di procedura penale. L'articolo di Filodiritto:
- https://www.filodiritto.com/news/2018/videosorveglianza-cassazione-penale-utilizzabili-le-videoriprese-per-provare-le-condotte-criminose-poste-in-essere-dai.html.

Nuova privacy per telemarketing (precisazione)

A gennaio avevo dato la notizia di un nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/01/nuova-privacy-per-telemarketing.html.

Mancava il numero della Legge. Grazie ad Altalex ora posso dire che si tratta della Legge 5 del 2018:
- http://www.altalex.com/documents/leggi/2018/02/05/call-center-prefissi-registro-opposizioni.

Come al solito, si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2018-01-11;5!vig=.

Un riassunto sul GDPR (e il quaderno ANCI)

In tanti (tra cui Franco Ferrari di DNV GL, Pierfrancesco Maistrello e Daniela degli Idraulici della privacy) hanno segnalato questo quaderno dell'ANCI dal titolo "L'attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali: Istruzioni tecniche, linee guida, note e modulistica":
http://www.anci.lombardia.it/documenti/7355-regolamento%20ue%20privacy%20ok_def.pdf.

Può essere utile criticarlo, in modo da fare un ripasso di alcuni punti salienti del GDPR. Così potrò essere criticato anche io per quello che scrivo.

Innanzi tutto prima dice che "è definita la nuova categoria di dati personali", che sono i cosiddetti "dati sensibili di cui al precedente Codice Privacy". Poi tutto il quaderno fa riferimento ai "dati sensibili". Il GDPR usa l'espressione "categorie particolari di dati personali ai sensi dell'articolo 9". Anche io uso l'espressione "dati sensibili" perché più pratica, avendo cura, a inizio di documento, di specificare cosa sono e come li designa il GDPR.

I Titolari e i Responsabili dei trattamenti sono visti come persone fisiche (dice che il titolare è il "Sindaco o suo delegato" e i responsabili sono "Dirigenti/Quadri/Responsabili di U.O."), mentre il GDPR lascia intendere che si tratta di strutture organizzative (le "aziende"), mentre le responsabilità personali, tranne il caso di singoli professionisti, sono da gestire con le normali deleghe interne di ciascuna organizzazione e non sono regolamentate dal GDPR. Per la verità non avrebbero dovuto essere regolate neanche dal Codice privacy e questo sarebbe stato più chiaro se non si fosse tradotto "processor" (che anche in altri contesti è sempre visto come organizzazione non singola persona) con "responsabile" e se poi non avessimo insistito per lasciare in vita la traduzione inesatta. Questa interpretazione è stata data anche da dirigenti e funzionari del GDP in diversi incontri pubblici, dicendo che negli anni hanno sempre visto il "responsabile interno" come figura non prevista dal Codice e il "responsabile esterno" come "responsabile e basta" (potevano scriverlo da qualche parte, visto che scrivono già tanto, così avremmo fatto meglio e io non avrei scritto alcune sciocchezze in passato; purtroppo non mi sembrano abbiano intenzione di scriverlo neanche in futuro).

Non sono competente di regolamenti comunali. Quello proposto, a mio parere, manca completamente di regole in merito alle misure di sicurezza da adottare (si limita a parlare di sistema di autorizzazione e di sistema antincendio).

Troppa enfasi è ancora data al consenso come base legale per il trattamento. Oggi sappiamo che le basi legali sono di 6 tipi.

Si sono dimenticati i trattamenti relativi al personale del Comune. Certamente i dati dei cittadini sono importantissimi e devono costituire il punto di maggiore attenzione per i Comuni quando si parla di protezione dei dati personali, però non trovo corretto dimenticarsi completamente dei dati del personale.

Interpreta in modo bizzarro il ruolo degli "incaricati" secondo il Codice privacy, dicendo che sono "sub-responsabili del trattamento". Non posso condividere questa lettura. Mi pare, anzi, che non venga colta la possibilità di designare gli incaricati (ossia autorizzare le persone a trattare i dati personali) in modo adeguato alle esigenze di controllo (reale) e efficienza ma, anzi, promuova il "vecchio" metodo basato su lettera formale firmate e controfirmata.

Ancora più bizzarramente prevede che il Titolare possa delegare un responsabile a nominare il DPO ("alla designazione del Responsabile per la Protezione dei Dati (RPD), se a ciò demandato dal Titolare"). Altra lettura che non posso condividere.

Mi ha fatto notare Pierfrancesco Maistrello che viene suggerita la tenuta di più registri dei trattamenti. Ancora una volta non posso condividere questo approccio.

L'ultima parte del documento (da pagina 43 a pagina 78) è costituita dalla "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali" del Garante privacy. Lettura sempre utile.



PS: Francesco Pizzetti e Luca Leone, su LinkedIn hanno commentato dicendo che non bisognerebbe mai usare l'espressione "dati sensibili". Personalmente non vedo ragione oltre la purezza formale. Ho chiesto. Se avrò risposta, la diffonderò.