giovedì 22 giugno 2017

Raccomandazioni per i fornitori di cloud

Francesca Lazzaroni di Spike Reply mi ha segnalato una pubblicazione del
German Federal Office for Information Security (anch'esso designato con BSI)
sul cloud:
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComput
ing/SecurityRecommendationsCloudComputingProviders.html
.

Si tratta di una pubblicazione del 2011, ma mi sembra utile perché per ogni
argomento è proposta una tabella di sintesi delle misure di sicurezza da
prevedere per i servizi cloud (e non solo, per la verità). Queste tabelle
potrebbero essere utili anche per chi si occupa di contratti con fornitori
cloud.

In passato avevo già segnalato altre pubblicazioni:
- di AIEA, In italiano:
http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud;
- di ENISA:
https://www.enisa.europa.eu/media/press-releases/enisa2019s-security-guide-a
nd-online-tool-for-smes-when-going-cloud
.

mercoledì 21 giugno 2017

Perché avere lo spezzatino dei documenti?

Dalla newsletter di ANSSAIF segnalo questo articolo dal titolo "Asset
Protection. Perché alle aziende piace lo 'spezzatino' di norme ai testi
unici?":
https://www.key4biz.it/assetprotection-perche-alle-aziende-piace-lo-spezzati
no-norme-ai-testi-unici/191349/
.

In sintesi, l'autore lamenta che troppe organizzazioni pubblicano documenti
distinti per codice etico, regolamento per la privacy e guida alla
sicurezza, nonostante siano elementi assolutamente integrabili.

martedì 20 giugno 2017

Inventario degli asset: l'incompreso

Mio articolo dal titolo "Inventario degli asset: l'incompreso":
-
https://www.ictsecuritymagazine.com/articoli/inventario-degli-asset-lincompr
eso/
.

Mi hanno proposto di scrivere articoli per ICT Security Magazine. Di materia
ne avrei e spero quindi di scriverne altri nel futuro.

martedì 13 giugno 2017

Piano Triennale per l'IT nella PA

Da un tweet di @diritto2punto0 segnalo la pubblicazione del "Piano Triennale
2017-2019 per l'informatica nella Pubblica Amministrazione":
https://pianotriennale-ict.italia.it/.

Confesso che non l'ho letto. Il poco che ho visto dimostra un piano
decisamente ambizioso, ma alcuni mi dicono irrealizzabile nei tempi
prospettati e considerando che si sta parlando di PA.

Su Nova 24 (grazie a Roberto Gallotti) ho letto un articolo di presentazione
del piano. Sul web ne è disponibile solo una scansione su Twitter,
probabilmente non legale (ma finché c'è, si può leggere):
https://twitter.com/gabferrieri/status/873839729661399040/photo/1.

Aggiornamento "Piano nazionale per la protezione cibernetica e la sicurezza informatica"

Segnalo da un tweet di @cgiustozzi il "Piano nazionale per la protezione
cibernetica e la sicurezza informatica":
http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/pubblicato-il
-nuovo-piano-nazionale-cyber.html
.

venerdì 9 giugno 2017

Sensibilizzazione 03 - La telefonata

Fabio Biancotto di Air Dolomiti mi ha segnalato questo video, indirizzato a chi fornisce assistenza (e non dovrabbe fornirne troppa):
https://www.youtube.com/watch?v=lc7scxvKQOo.

venerdì 2 giugno 2017

British Airways ferma per un giorno

Avevo letto inizialmente la notizia sul Corriere della Sera su un articolo dal titolo "Gb: guasto al sistema informatico, voli British tutti a terra, caos a Londra":
http://www.corriere.it/esteri/17_maggio_27/gb-guasto-sistema-informatico-voli-british-tutti-terra-caos-londra-24359854-42d4-11e7-bf8f-efa16b87b247.shtml.

Il problema sembra fosse dovuto ad un tecnico che per sbaglio ha staccato la corrente:
http://www.corriere.it/cronache/17_giugno_02/voli-cancellati-british-airways-causare-caos-errore-umano-un-tecnico-ha-spento-interruttore-06e0857c-476e-11e7-b4db-9e2de60af523.shtml.

Le stesse notizie in inglese, dai link forniti dal SANS Newsbyte:
Reuters: http://www.reuters.com/article/us-britain-airports-heathrow-idUSKBN18P01O;
BBC: http://www.bbc.com/news/uk-40069865.

I sindacati accusano BA di aver esternalizzato tutto l'IT presso un fornitore in India, perdendo così competenze. BA nega.

Di certo sappiamo che molti problemi delle aziende hanno come causa la gestione orientata alla Borsa (breve periodo) e non all'impresa (lungo periodo) e manager che stanno più attenti agli obiettivi personali (avidità economica) che a quelli dell'impresa (sostenibilità).

E io penso che veramente i manager di oggi non si rendano conto di cosa vuol dire "digitalizzazione". In termini di rischi, di costi e di necessità di manutenzione. Tutti a voler sistemi informatici più belli e più nuovi (cominciando dai pc, tablet, smartphone personali) e nessuno a chiedersi cosa bisogna fare tra qualche anno. E così ci sono aziende che hanno ancora Windows XP e altre che non vogliono investire in una prova di disaster recovery. Giusto pochi giorni fa, una persona mi diceva che ha dovuto combattere lungamente con gli altri manager per evitare che anche la sicurezza fosse esternalizzata e che venisse invece considerata come elemento strategico per il governo dell'impresa.

Oggi mi sembra che un manager non possa più ignorare la gestione dei sistemi IT.

giovedì 1 giugno 2017

Nuovi trend e norme ISO/UNI

Segnalo questa presentazione dal titolo " Uninfo - nuovi trend e norme ISO/UNI - Blockchain, IoT, Big Data, Industry 4.0 e certificazioni Privacy":
https://www.slideshare.net/bl4ckswan/uninfo-nuovi-trend-e-norme-isouni-blockchain-iot-big-data-industry-40-e-certificazioni-privacy.

Per chi vuole avere un quadro degli standard che si stanno preparando su alcuni temi molto innovativi. Segnalo solo che la gran parte degli standard citati non prevedono la possibilità di certificazione della conformità.

Accesso abusivo ai sistemi IT anche con autorizzazione

L'articolo ha titolo " Le Sezioni unite confermano: è abusivo l'accesso a sistemi informatici per ragioni diverse da quelle per le quali l'agente dispone di autorizzazione":
http://www.penalecontemporaneo.it/d/5428-le-sezioni-unite-confermano-e-abusivo-laccesso-a-sistemi-informatici-per-ragioni-diverse-da-quelle.

Provo a riassumere: è stato chiesto alla Corte di cassazione se è da considerare reato l'accesso ad un sistema informatico da parte di qualcuno che ha sì le autorizzazioni a farlo, ma non ne avrebbe motivo. La risposta è sì.

Il quesito riguarda specificatamente pubblici ufficiali o incaricati di un pubblico servizio, ma credo sia importante anche per le aziende private e altre organizzazioni.

Infatti è vero che i sistemi IT dovrebbero essere configurati secondo i principi del privilegio minimo e del "need to know", ma è spesso necessario fare delle semplificazioni per evitare il sovraccarico di lavoro degli amministratori di sistema.

Legge contro il cyberbullismo

E' stata approvata la legge contro il cyberbullismo.

Su Altalex si trova una breve analisi del contenuto di legge:
http://www.altalex.com/documents/news/2016/09/21/bullismo-e-cyberbullismo.

Sul Corriere della Sera si trova la storia di questa legge, la cui proposta ha subito molte critiche prima di essere modificata e approvata nella versione attuale:
http://www.corriere.it/tecnologia/cyber-cultura/cards/lotta-cyberbullismo-arriva-l-ok-camera-cosa-prevede-legge/contro-bullismo-cyberbullismo-l-ok-camera_principale.shtml.

Sul sito della Camera dei Deputati, si trova un'analisi più istituzionale del provvedimento:
http://www.camera.it/leg17/522?tema=prevenzione__e_repressione_del_bullismo_e_del_cyberbullismo.

App medicali e nuovo Regolamento UE sui dispositivi medici

Ho trovato interessante questo breve intervento su "App medicali e nuovo Regolamento UE sui dispositivi medici":
https://www.filodiritto.com/articoli/2017/05/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.html

Mi pare tratti uno degli argomenti di sicurezza informatica più importanti in questo periodo. Infatti i dispositivi medici sono dei casi particolari (e critici) di IoT, che sappiamo essere molto vulnerabile.

Segnalo che anche la "vecchia Direttiva UE sui dispositivi medici" tratta, seppur meno esplicitamente, di app medicali e pertanto andrebbe applicata già da tempo.

lunedì 29 maggio 2017

Videosorveglianza lavoratori, consenso e Cassazione

Articolo di Altalex dal titolo "Controlli a distanza e consenso dei lavoratori: la Cassazione fa dietrofront":
http://www.altalex.com/documents/news/2017/05/10/controlli-a-distanza-e-consenso-dei-lavoratori-la-assazione-fa-dietrofront.

La Corte di Cassazione in passato aveva dichiarato ammissibile l'installazione di telecamere nei luoghi di lavoro (in questo caso, in un negozio), purché fosse stato raccolto il consenso, anche non sottoscritto, da parte dei lavoratori. Con questa sentenza (Cassazione penale, sez. III, sentenza 08/05/2017 n° 22148), invece la Cassazione si smentisce e ribadisce la necessità di avere l'autorizzazione da parte delle rappresentanze sindacali o della Direzione territoriale del lavoro.

ICT e lavoro

Franco Ferrari di DNV GL mi ha segnalato questa pubblicazione dell'INAIL dal titolo "ICT e lavoro: nuove prospettive di analisi per la salute e la sicurezza sul lavoro":
https://www.inail.it/cs/internet/comunicazione/news-ed-eventi/news/news-monografia-ict-lavoro-dimeila.html.

Si tratta di un lavoro interessante. Ho trovato interessante soprattutto il capitolo relativo ai rischi per il lavoratore (come ci si poteva aspettare da un lavoro dell'INAIL).

Chiaramente si parla del rischio di eccesso di impegno lavorativo, ma anche di cyberloafing (parola che non conoscevo e che indica l'eccesso di frammentazione e interruzione delle attività). Ci sono ultreriori rischi che intuitivamente tutti conosciamo, ma che è bene rileggere (per esempio io sono rimasto colpito dal rischio di "non uno inconsapevole degli strumenti informatici", con impatti anche sull'e-learning).

Infine, per il telelavoro ho scoperto che il riferimento normativo per le pubbliche amministrazioni è il DPR 70 del 1999.

giovedì 25 maggio 2017

Sensibilizzazione 02 - Materiale ENISA

In molti mi chiedono se ho in mente video o altro per la sensibilizzazione
del personale. La risposta è sempre quella:
https://www.enisa.europa.eu/media/multimedia/material.

Trovo molto divertenti i video e i disegni.

Sensibilizzazione 01 - L'indovino

Segnalo questo video molto interessante dal titolo "Amazing mind reader reveals his gift":
https://www.youtube.com/watch?v=F7pYHN9iC9I.

Utile (forse) per ricordare quanto bisogna stare attenti a quello che si pubblica sul web.

Grazie a Francesca Lazzaroni di Spike Reply.

giovedì 18 maggio 2017

Hacking dei robot industriali

Questa notizia dal titolo "Così i robot industriali possono essere hackerati" mi aveva interessato prima ancora di Wannacry (infatti viene da un Tweet di @carolafrediani del 4 maggio):
http://www.lastampa.it/2017/05/04/tecnologia/news/cos-i-robot-industriali-possono-essere-hackerati-87LOt65ts9mYBhM6dKqIxL/pagina.html.

L'autore pone già la domanda chiave: perché si dovrebbe collegare un impianto industriale a Internet? La risposta sembra ovvia, ma in realtà non considera i problemi che dovrebbero bilanciare tanta innovazione.

Sappiamo bene i rischi dei macchinari industriali, solitamente legati all'aspettativa di vita molto più lunga dei normali PC (e quindi sempre maggiori difficoltà ad essere aggiornati), a cui aggiungere una ancora bassa competenza in materia di sicurezza, la necessità di non avere fermi (e quindi di aggiornarli il più raramente possibile), eccetera.

Dall'articolo non si ricavano notizie su come i produttori di macchine industriali prevedono di migliorare la sicurezza di quanto offrono. E ancora una volta temo che il problema sia legato a competenze e avidità (o, più elegantemente, time-to-market), per cui o non hanno idee o non ne vogliono avere.

Eppure il materiale per studiare il problema c'è e si chiama IEC 62443 e NIST 800-82. Non sono letture emozionanti, ma sono utili. Da queste norme si ricava anche il principio importante per cui le macchine industriali non sono come i giocattoli dei bambini: sono pericolose, non devono essere costantemente aggiornate, non dovrebbero essere esposte su Internet, non dovrebbero neanche essere accessibili da reti esterne.

Oltre a ciò in Italia abbiamo gli incentivi di Industria 4.0, senza che si chiedano dei livelli di sicurezza, nonostante conosciamo da anni il problema (ma, da quello che leggo, temo che i consiglieri dei governi presente e passati non se lo pongano).

Wannacry

Tutti i lettori sanno dell'attacco su Internet di venerdì 12 maggio. Per un riassunto, segnalo alcuni articoli in italiano e in inglese:
- http://www.lastampa.it/2017/05/15/tecnologia/news/quattro-cose-da-sapere-ancora-su-wannacry-JLDQytXsyl3fA1bWoONfCJ/pagina.html;
- https://www.cert-pa.it/web/guest/news?id=8382;
- http://business.scoop.co.nz/2017/05/15/wannacry-provides-important-lessons-for-cyber-security/;
- http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html.

Chi ha avuto la pazienza di leggere almeno un articolo dedicato a Wannacry ha capito che per difendersi da questo worm è necessario aggiornare i pc con le ultime patch (la patch per evitare Wannacry è disponibile da marzo). Incredibilmente, molti non hanno attivo l'aggiornamento automatico.

So bene che è più facile dire che fare e so bene che alcuni non attivano gli aggiornamenti automatici per motivi legittimi (alcuni pc usano ancora windows XP). In questi casi, però, tali pc vanno lasciati su reti ben segregate da Internet.

Ancora una volta, però, non sempre questo è possibile. E le cause ultime sono sempre le stesse: mancanza di competenze e soldi per la sicurezza informatica. Una delle loro prime conseguenze sono filiere di fornitura decisamente compromesse da un punto di vista della sicurezza informatica.

CryptoGram segnala un articolo (https://www.engadget.com/2017/04/21/pacemaker-security-is-terrifying/) su una società che vende dispositivi medici con vulnerabilità segnalate nel 2014.

mercoledì 17 maggio 2017

ISO/IEC 27001 del 2017? Non esiste

Recentemente il sito del CEN (https://standards.cen.eu) ha pubblicato la EN ISO/IEC 27001:2017. Subito dopo la UNI, la NEK (norvegese) e il BSI (britannico) hanno pubblicato la medesima norma con data 2017.

Si tratta della ISO/IEC 27001:2013, con le due correzioni del 2014 e del 2015 (ma il testo non è consolidato; è il testo del 2013 con allegate le due correzioni).

Delle due correzioni ho già scritto nel 2015, al momento della loro pubblicazione:
- http://blog.cesaregallotti.it/2015/12/correzioni-isoiec-27001-e-27002.html.

In realtà, il CEN ha recepito solo a gennaio 2017 la ISO/IEC 27001:2013 e quindi l'ha pubblicata con anno 2017 (e con titolo preceduto da "EN"). Immediatamente UNI, NEK, BSI e chissà chi altri hanno recepito quanto fatto dal CEN e quindi hanno ripubblicato la norma con data 2017 e sigla "EN".

Questo è un problema del meccanismo di recepimento dei vari standard. Non riportano la data iniziale dello standard, ma la data del recepimento. Così fu pubblicata la ISO/IEC 27001:2013, poi le italiane UNI e CEI l'hanno recepita solo nel 2014 e hanno quindi pubblicato la UNI CEI ISO/IEC 27001:2014, poi l'EN l'ha recepita nel 2017 e ha pubblicato la EN ISO/IEC 27001:2017, poi, ancora una volta, le italiane hanno recepito quanto recepito dall'EN e hanno pubblicato la UNI/CEI EN ISO/IEC 27001:2017. Ma si tratta sempre della stessa roba.

Vi fa venire il mal di testa? Anche a me. Soprattutto perché temo vedremo errori e incomprensioni nei bandi di gara, nelle richieste di offerta, eccetera.

Solo una nota: per la ISO 9001 i vari enti di normazione sono decisamente più attenti e infatti esiste la ISO 9001:2015, la EN ISO 9001:2015 e la UNI EN ISO 9001:2015, tutte con lo stesso anno. Forse reputano che la 27001 non richiede la medesima attenzione.

lunedì 8 maggio 2017

Guida al GDPR del Garante

Guida al GDPR del Garante:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali.

Tutte le sezioni riportano due paragrafi: "Cosa cambia" e "Cosa non cambia". Mi sembra un'ottima iniziativa.

Grazie a Pierfrancesco Maistrello della segnalazione.

Segnalo che, nella sezione "Approccio basato sul rischio", il Garante dà un'interpretazione in contrasto con quanto io avevo indicato in questo post:
http://blog.cesaregallotti.it/2016/07/abrogazione-misure-minime-privacy.html.

In particolare, il sito del Garante dice quanto segue. "Non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza [...]. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato B al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni".

Semplifico: le misure minime non saranno più applicabili, ma forse ne introdurranno di simili.

Concludo: considerando che le misure minime sono riportate anche in diversi Provvedimenti del Garante (e la loro mancata applicazione è correlata a sanzioni penali), io continuo a considerarle come riferimento essenziale e comunque, prima di darle per non-più-applicabili, aspetto vengano approvate le modifiche al Dlgs 196 e ai Provvedimenti.

UNI 11621 e AgID: Profili professionali per l'ICT

Pensavo di aver già dato la notizia: è stata pubblicata la UNI 11621:2016 dal titolo "Attività professionali non regolamentate - Profili professionali per l'ICT" e si può comprare su http://store.uni.com.

La norma è in 4 parti:
- Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF;
- Parte 2: Profili professionali di "seconda generazione";
- Parte 3: Profili professionali relativi alle professionalità operanti nel Web;
- Parte 4: Profili professionali relativi alla sicurezza delle informazioni.

Personalmente ritengo la lettura di queste norme di difficile comprensione. Però potranno essere utilizzate per "certificare" le competenze da organismi di formazione.

AgID ha ripreso queste norme e le ha pubblicate come "Linee guida per la qualità delle competenze digitali nelle professionalità ICT". Si possono reperire (insieme ad una più approfondita documentazione su come sono state costruite) su http://open.gov.it/linee-guida-competenze-ict/.

giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

Stato delle norme della famiglia ISO/IEC 27000

Il 22 aprile si è concluso il meeting del gruppo di lavoro che si occupa delle norme della serie ISO/IEC 27000. Hanno partecipato 90 esperti da 29 Paesi. Io non ci ho partecipato, ma segnalo lo stato dei lavori.

Sono partiti (o ripartiti, nel caso della ISO/IEC 27005) i lavori per le nuove versioni delle ISO/IEC 27002 e 27005. Per queste norme, i tempi previsti per le nuove versioni sembrano essere molto lunghi (almeno 4 anni).


Per quanto riguarda la ISO/IEC 27005 sarà pubblicata una correzione all'edizione del 2011, per eliminare alcune incongruenze che questa norma presenta rispetto alla ISO/IEC 27001:2013. Inizialmente, come è noto, si pensava di pubblicare una nuova versione della ISO/IEC 27005, ma le difficoltà di lavorazione hanno portato ad una sola "correzione".

Sono anche partiti i lavori per la nuova versione della ISO/IEC 27014 ed è stato deciso di revisionare la ISO/IEC 27009, in quanto sono stati individuati alcuni errori. Per queste norme i tempi sono almeno di 3 anni.

Sono continuati i lavori per alcune norme in stato più avanzato di lavorazione: la ISO/IEC 27007 (audit del SGSI), ISO/IEC 27008 (audit dei controlli di sicurezza), la ISO/IEC 27019 (controls for the energy utility industry), la ISO/IEC 27012 (competenze). Queste norme dovrebbero essere pubblicate nella primavera del 2018 (per la ISO/IEC 27018 i tempi dovrebbero essere più lunghi).

Ulteriori lavori non relativi alla "famiglia ISO/IEC 27000" hanno riguardato, tra gli altri:
- avvio dei lavori la ISO/IEC 27552 dal titolo "Extension to ISO/IEC 27001 for privacy management" (anche qui i tempi di pubblicazione saranno di almeno 3 anni);
- avvio della revisione della ISO/IEC 27031 ("Guidelines for information and communication technology readiness for business continuity");
- avvio preliminare dei lavori per lo standard ISO/IEC 27101 sulla cyber-security (tempi previsti molto lunghi);
- avvio dei lavori per la norma ISO/IEC 27102 dal titolo "Guidelines for cyber insurance".

Ringrazio Fabio Guasconi per avermi fornito alcuni spunti per questo aggiornamento (in altre parole, gli errori sono miei).

Novità sugli esami ITIL

La notizia è di gennaio:
- https://www.axelos.com/news/new-partnership-announced.

Una breve sintesi: le licenze ITIL sono di proprietà dell'inglese OCG, che ha assegnato ad Axelos (dopo una gara) il compito di gestirle (includendo le regole sulle certificazioni ITIL). Prima di Axelos, questo ente era APMG.

Axelos controlla, fino a fine 2017, 5 enti esaminatori (CB, certification bodies). I più famosi in Italia sono APMG e Exin (notare che APMG agiva in passato sia come gestore delle licenze ITIL sia come ente esaminatore, con malcontento degli altri).

Gli enti esaminatori avevano la responsabilità di selezionare e controllare l'operato degli enti di formazione (ATO, accredited training organizations, e AEO, accredited examination organizations), ossia gli enti che erogano i corsi e fisicamente organizzano le sessioni d'esame (gli esami sono forniti dagli enti esaminatori).

Axelos, da gennaio, ha stabilito che l'ente esaminatore, dal 1 gennaio 2018, sarà uno solo: Peoplecert.

Ho tardato a dare la notizia perché volevo chiarirmi le idee. Confesso che non le ho ancora chiare, ma la prima impressione è che questa operazione non mi piace: un unico licenziatario che nomina un unico ente esaminatore non mi convince. Devo anche dire che non so come siano stati selezionati i precedenti 5 enti esaminatori.

La notizia che sicuramente interessa più persone è che i certificati ITIL emessi fino al 31 dicembre 2017 dagli attuali enti esaminatori saranno da ritenersi validi anche in futuro.

PS: so già che alcuni puntualizzeranno il mio riassunto sulla filiera di controllo di CB, ATO e AEO. Mi scuso per le imprecisioni.

venerdì 21 aprile 2017

ISO/IEC 27003:2017 - Guida alla ISO/IEC 27001

Sono molto felice di annunciare la pubblicazione della nuova versione della ISO/IEC 27003 dal titolo "Information technology - Security techniques - Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.

I più attenti avranno notato che il titolo è cambiato e non si tratta più di una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un ISMS, ossia alla ISO/IEC 27001.

Ho partecipato molto attivamente ai lavori di redazione di questa norma e sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)

Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una per il sistema di gestione e una per la sicurezza delle informazioni) oppure si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle informazioni, si dà pari valore a quelle "tradizionali" basate su asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e permetterà di valutare approcci forse più efficaci per la valutazione del rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria" presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse più chiara, di "criteri di accettazione del rischio e criteri per svolgere la valutazione del rischio".

giovedì 20 aprile 2017

DPCM 17 febbraio 2017 sulla sicurezza informatica nazionali

Paola Iacobellis mi ha informato del DPCM 17 febbraio 2017 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali". Si tratta di un aggiornamento del DPCM del 24 gennaio 2013.

Paola mi ha segnalato il link dove reperirlo:
http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html.

Non è facilissimo capire a chi si applica nella pratica (bisogna recuperare il Decreto del ministero degli Interni del 9 gennaio 2008 e gli Allegati II e III della Direttiva NIS).

Da questa documentazione, intuisco che i soggetti a cui si applica il DPCM (le Infrastrutture critiche) devono interfacciarsi con il "Nucleo per la sicurezza cibernetica", a cui comunicare eventuali incidenti, e con il Comitato interministeriale per la sicurezza della Repubblica (CISR), che deve indicare le "best pratices e misure rivolte all'obiettivo della sicurezza cibernetica".

Dopo questo, ho cercato di capire come avere maggiori informazioni su questi due soggetti. Non ho trovato nulla. Eppure sarebbe importante per capire come contattarli (nel primo caso) o avere aggiornamenti in merito alle misure da applicare (nel secondo caso). Il sito http://www.sicurezzanazionale.gov.it non riporta molto e, ahimè, l'associazione degli esperti delle infrastrutture critiche (http://www.infrastrutturecritiche.it/aiic/) mi sembra ferma da troppo tempo, per lo meno sul sito web.

Un articolo che mi è sembrato chiaro in merito è questo:
https://www.sicurezzaegiustizia.com/istituito-il-nucleo-per-la-sicurezza-cibernetica/.

Chiunque voglia aiutare ad approfondire questo argomento è benvenuto.

PS: i più attenti avranno notato che non ho fatto commenti sull'uso del termine "cibernetica". Li faccio adesso: è usato scorrettamente e purtroppo da "esperti".

Rapporto semestrale MELANI

Segnalo sempre, perché mi sembra interessante, il rapporto semestrale MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Svizzera. Ad aprile è uscito il rapporto 2016/2:
https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2016-2.html.

mercoledì 12 aprile 2017

Linee guida WP Art. 29 (DPO, DPIA e altre)

Pierfrancesco Maistrello mi ha segnalato che il WP Art. 29 ha pubblicato, il 5 aprile, una nuova linea guida e la revisione di linee guida già pubblicate. Si trovano qui:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Ricordo che il WP Art. 29 sarà, da maggio 2018, un comitato dei Garanti europei, quindi le sue indicazioni sono molto importanti.

La nuova linea guida è quella relativa al Privacy impact assessment (DPIA). Non sembra riportare elementi particolarmente innovativi, per lo meno per chi ha già avuto modo di riflettere su questo tema. Pierfrancesco Maistrello mi segnala però quanto è importante l'Annex 2, che riporta i "Criteria for an acceptable DPIA".

Tra le linee guida aggiornate, ha particolare rilevanza quella sul DPO. Pierfrancesco Maistrello me ne fa un riassunto: "Le modifiche sono poche e quelle più importanti sono: maggior numero di esempi di quando è necessario prevedere un DPO; un intero paragrafo relativo al DPO condiviso tra più organizzazioni".

Le altre due linee guida aggiornate sono quelle sull'interoperabilità e quella sull'identificazione dell'autorità garante.

lunedì 10 aprile 2017

Misure minime per la PA

A ottobre 2016 avevo segnalato la pubblicazione delle "Misure minime di AgID per la PA" (con anche le mie critiche):
http://blog.cesaregallotti.it/2016/10/misure-minime-di-agid-per-la-pa.html.

Il 17 marzo 2017 AgID ha comunicato ufficialmente alle PA il dovere di predisporre una relazione, entro il 31 dicembre, sullo stato di attuazione delle medesime.

La circolare 1/2017 di AgID sulla Gazzetta ufficiale (Permalink):
www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg.

Il comunicato stampa di AgID:
http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa.

Ringrazio Franco Ferrari di DNV GL e Daniela Quetti per questa segnalazione.

giovedì 6 aprile 2017

Mailing list: scuse e richiesta di consiglio

Sono arrivato ad avere circa 700 iscritti alla mailing list. Altri hanno più seguito (iscritti, follower, contatti e amici), ma si tratta di un bel numero, considerando gli argomenti specialistici trattati.

Il mio SMTP però da dicembre blocca gli invii a più di 50 persone. Alcuni hanno ricevuto più copie della newsletter perché cercavo di capire e risolvere il problema. La soluzione tampone (o workaround) non è agevolissima e richiede pazienza.

Purtroppo poi ho avuto dei problemi al mio pc ho potuto recuperare solo la mailing list aggiornata a dicembre. Ho recuperato poi le richieste di iscrizione, ma anche questa volta alcuni riceveranno più volte la stessa newsletter. Di questo mi scuso.

Vi chiedo quindi se avete dei consigli da darmi. Vorrei evitare l'uso di servizi made in USA come Mailchimps o Google Groups perché i noti problemi di privacy. Soluzioni europee come MailUp costano e io dalla newsletter non ci guadagno quasi niente (non ho mai voluto presentare offerte economiche da "super-consulente").

Vi ringrazio anticipatamente per l'aiuto.

lunedì 3 aprile 2017

Rapporto Clusit 2017

Segnalo che è disponibile il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, la pubblicazione di riferimento in materia:
https://clusit.it/rapporto-clusit/.

giovedì 30 marzo 2017

Servizi aziendali sul web e sicurezza

Nell'ultima newsletter HSC, ho trovato un editoriale di Hervé Schauer che tratta di un argomento che spesso mi ha fatto pensare. Ossia: se un'azienda fornisce accesso via web a email e server aziendali, automaticamente accetta che il personale acceda ai dati aziendali su dispositivi personali e possa scaricarli.

Io segnalo questo articolo perché in realtà vedo troppi miei interlocutori sorpresi dal pensiero che, sì, in effetti, permettere gli accessi via web implica permettere gli accessi da qualsiasi tipo di dispositivo anche personale.

Hervé Schauer segnala la funzionalità di accesso condizionale offerta da Office 365 e ricorda che così facendo si riduce un rischio, ma si accetta che sia Microsoft a gestire la propria Active Directory.

Ecco quindi che ho scoperto che ci sono soluzioni per ridurre il rischio degli accessi dal web alle risorse aziendali (così alcuni miei interlocutori si sorprenderanno ancora di più).

La Newsletter HSC:
http://www.hsc-news.com/archives/2017/000143.html.

L'articolo di Microsoft sull'accesso condizionale:
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access".

Nota finale: mi pare di capire che questa funzionalità sia stata introdotta meno di un anno fa, quindi forse non sono stato troppo disattento; è anche vero che sul web si evidenziano troppo gli articoli inutili sulla "cybersecurity" e troppo poco quelli veramente importanti per la sicurezza delle informazioni.

martedì 14 marzo 2017

Diritto d'autore e produzione software

Una vera coincidenza: la sera un cliente mi chiede informazioni sul diritto d'autore del software prodotto dal personale e il mattino dopo la newsletter di Filodiritto riporta una sentenza proprio su questo argomento:
http://www.filodiritto.com/articoli/2017/03/a-chi-spetta-il-diritto-di-sfruttamento-economico-del-software-il-caso-del-software-commissionato-da-una-societa-ad-un.html.

Mi sembra molto chiaro e quindi lo segnalo.

mercoledì 8 marzo 2017

Aggiornamento libro "Sicurezza delle informazioni"

Ho aggiornato il mio libro "Sicurezza delle informazioni". Maggiori dettagli si trovano in questa pagina:
http://www.cesaregallotti.it/libro.html.

Segnalo che le modifiche non sono molto numerose. Ho ovviamente aggiornato i  riferimenti alla normativa privacy e al Regolamento eIDAS e ho introdotto qualche nuovo esempio. Tutte le modifiche sono comunque frutto di aggiornamenti che ho segnalato sul blog e sulla newsletter.

In altre parole: se avete già comprato una copia della precedente edizione, oltre a ringraziarvi, vi invito a non acquistare la nuova edizione. A meno che non vogliate avere la mia foto del Perito Moreno (ma in quel caso vi prego di scrivermi e ve la mando).

Per questa edizione ringrazio Pierfrancesco Maistrello e Francesca Lazzaroni per una rilettura delle bozze e i loro suggerimenti. Ancora di più ringrazio Stefano Ramacciotti, che anche per questa edizione si è prodigato di consigli e suggerimenti (oltre a continuare a regalarmi l'appendice sui Common Criteria e altre parti di testo).

lunedì 6 marzo 2017

Controlli Essenziali di Cybersecurity

Stefano Ramacciotti mi ha segnalato la pubblicazione di CINI dal titolo "2016 Italian Cybersecurity Report: Controlli Essenziali di Cybersecurity" che si può scaricare da qui:
http://www.cybersecurityframework.it/.

Non mi sembra male, anche se ho sempre delle riserve per chi promuove uno schema made in USA al posto di uno di livello internazionale (le ISO/IEC 27001, come invece fa ENISA) e per chi usa il termine "cibernetica" in modo scorretto.

Altra perplessità: sullo stesso sito si fa riferimento alle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni", pubblicate di recente, che sono diverse dai "Controlli essenziali". Il tutto mi sembra possibile fonte di confusione.

Comunque, se questa iniziativa può servire a migliorare la cultura in materia di sicurezza informatica, ben venga.

Linee guida ENISA per la valutazione del rischio per le PMI

Pierfrancesco Maistrello mi ha segnalato le "Guidelines for SMEs on the security of personal data processing" di ENISA:
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing.

Presenta un metodo semplificato di valutazione del rischio per il trattamento dei dati personali. Ritengo sia da considerare anche per altre finalità, come per esempio la certificazione ISO/IEC 27001 (in altre parole, mi sembra un metodo ancora più semplice del mio VERA).

Inoltre ENISA elenca un insieme di contromisure, tratte dalla ISO/IEC 27001, da attuare per il controllo del rischio.

Forse l'ho già detto, ma lo ripeto: mi pare che ENISA stia facendo quello che il NIST ha smesso di fare, ossia scrivere documenti semplici ma pragmatici e rigorosi.

Privacy, call centre e protezionismo

Pierfrancesco Maistrello mi ha segnalato anche questa. La legge di stabilità 2017 cerca di proteggere i call centre italiani. Per questo anche il Garante privacy ha aumentato le pratiche burocratiche per lo spostamento dei call centre all'estero.

Un articolo in merito alle novità sui call centre:
http://www.publicpolicy.it/analisi-%e2%80%8bcall-center-privacy-protezionista-lavoratori-67376.html.

La nota informativa del Garante privacy "Nuove disposizioni normative concernenti le attività di call center":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6029202.

mercoledì 1 marzo 2017

Privacy e accessi degli AdS

Pierfrancesco Maistrello (ormai mio spacciatore ufficiale di novità dal Garante) mi ha segnalato questa "Ordinanza di ingiunzione nei confronti di Planetel s.r.l. - 22 dicembre 2016":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6032975.

Il punto importante riguarda una prassi solitamente seguita per l'autenticazione degli AdS, ossia: accesso con credenziali personali ad un desktop remoto, successivo accesso con credenziali condivise al sistema da amministrare. Questa prassi si basa sul fatto che l'accesso al desktop remoto permette di risalire a chi è poi acceduto ai sistemi con credenziali condivise (in modo simile al comando "su" dei sistemi Unix e Linux).

Il Garante ha detto che questa prassi non è conforme alle misure minime.

Scrive Pierfrancesco: "Servirà a convincere i, tuttora molti, riottosi all'assegnazione univoca di credenziali amministrative?". Non saprei rispondergli.

L'ordinanza riporta altre violazioni, a mio parere meno interessanti e quindi non le evidenzio in questa occasione.

Configurare il browser in modo sicuro

Questa pagina (da un retweet di @pstirparo) di istruzioni su come configurare il browser per una navigazione sicura mi sembra interessante:
https://gist.github.com/atcuno/3425484ac5cce5298932.

Mi pare possa essere utile da segnalare quando qualcuno mi chiede come configurare un pc.

Linee guida ENISA per la sicurezza dei Digital Service Providers

ENISA ha pubblicato un documento dal titolo "Technical Guidelines for the implementation of minimum security measures for Digital Service Providers":
https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers/.

La pagina di presentazione è:
https://www.enisa.europa.eu/news/enisa-news/security-measures-for-digital-service-providers.

Mi sembra ben fatto e di facile lettura. Forse ENISA sta facendo quello che il NIST ha smesso di fare, ossia documenti di semplice lettura.

Forse non sentivo la mancanza di un altro documento con le misure di sicurezza.

Da un tweet di @Silvia_Mar_

Imprese: informazioni di carattere non finanziario

Il Decreto legislativo 254/2016 riguarda la comunicazione di informazioni di carattere non finanziario e sulla diversità. Esso recepisce la direttiva 2014/95/UE riguardante la comunicazione di informazioni di carattere non finanziario di imprese e gruppi di grandi dimensioni.

La Fondazione nazionale dei commercialisti ha pubblicato una panoramica di queste nuove disposizioni:
http://www.fondazionenazionalecommercialisti.it/node/1201.

La materia mi è largamente ignota. Capisco che la normativa richiede di pubblicare informazioni: di carattere ambientale, di carattere sociale, inerenti alla gestione del personale, inerenti alla tutela dei diritti umani, riguardanti la lotta contro la corruzione. E quindi tutto ciò non è pertinente alle materie di cui mi occupo.

Però... magari in questo documento potrebbero trovare posto considerazioni sulla qualità, la sicurezza delle informazioni e i processi del sistema di gestione. Viceversa, da un documento così si potrebbero ricavare informazioni utili per l'analisi dei "rischi e opportunità" richiesti dagli standard ISO. E forse questo può rendere l'adozione degli standard ISO ancora meno formale e più pratica.

Queste sono solo riflessioni personali. Se altri possono fornire contributi, ne sarò lieto.

lunedì 27 febbraio 2017

Certificazione conservatori (nuove regole)

Accredia ha pubblicato le nuove regole per la certificazione dei conservatori:
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=113&IDCTX=5418&id_context=5418.

Rispetto alle precedenti regole, le giornate si sono ridotte arrivando, in prima certificazione, a circa 8 (prima erano 13 o 11).

Preferisco non commentare.

Non sono invece state fornite le scadenze entro le quali vanno effettuate le verifiche secondo il nuovo schema. Tali informazioni dovranno essere comunicate da Agid.

Grazie a Simona Montinari di DNV GL per la segnalazione.

giovedì 23 febbraio 2017

BCI Horizon Scan 2017

Inizio anno, tempo di rapporti sulla sicurezza, con tutti i loro punti positivi e negativi. L'Horizon Scan è quello del BCI:
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.

Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.

Norma italiana per DPO

Mi informa Fabio Guasconi che è in fase di inchiesta pubblica la bozza di norma tecnica UNI/UNINFO che definisce i profili e le competenze dei professionisti che lavorano nella privacy, inclusi quindi DPO:
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.

Scadenza: 25 marzo.

lunedì 20 febbraio 2017

Provvedimento su trattamenti dati sul posto di lavoro

Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.

Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.

Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.

Le 7 tecniche di attacco più pericolose

Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata a RSA 2017, di lista:
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.

Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.

E quindi cosa fare? Non lo dicono.

giovedì 16 febbraio 2017

sabato 11 febbraio 2017

Prodotti di sicurezza insicuri

Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.

Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".

Grazie Marco.

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

lunedì 6 febbraio 2017

Linee guida DPO in Italiano

Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.

Ingiunzione a responsabile del trattamento

Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.

Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?

Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.

martedì 31 gennaio 2017

GDPR e nomina dei responsabili privacy

Il Regolamento europeo privacy (GDPR) riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. Queste risultano più precise di quelle previste dal Codice privacy. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico.

Tale atto deve riportare:
- oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati;
- clausole di riservatezza;
- garanzia di aver stipulato con il personale con accesso ai dati un obbligo di riservatezza;
- divieto di uso di fornitori da parte del responsabile per il trattamento dei dati senza autorizzazione del titolare;
- impegno, in caso di uso autorizzato di fornitori del responsabile, di prevedere un contratto scritto con riportati i medesimi a cui è soggetto il responsabile;
- le regole da seguire nel trattamento dei dati per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali;
- divieto, senza previa autorizzazione del titolare, di trasmettere o conservare i dati in Paesi extra-UE o di fornire accesso a tali dati a personale sito in Paesi Extra-UE;
- l'impegno a verificare periodicamente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento;
- l'impegno a dare seguito alle richieste avanzate dal titolare o dagli interessati per dare seguito all'esercizio dei diritti degli interessati al trattamento dei dati personali in modo da poter dare loro risposta entro 30 giorni dalla richiesta;
- l'impegno a comunicare al titolare eventuali violazioni ai dati personali trattati e fornire assistenza al titolare nel caso in cui si manifestino tali eventi;
- la cancellazione o restituzione dei dati al termine delle prestazioni;
- il diritto di audit da parte del titolare.

Si tratta di clausole molto impegnative e sembrano più applicabili a responsabili esterni che interni. Questo anche considerando quanto scritto da Gianfranco Butti in un articolo su Europrivacy:
- http://europrivacy.info/it/2016/07/19/the-internal-data-processor-and-the-gdpr/.

Se ci pensiamo attentamente non pare logico prevedere responsabili interni e strutturare un'azienda su solo 3 livelli gerarchici (titolare, responsabile e incaricato). È anche vero che il GDPR consente esplicitamente la nomina di responsabili da parte dei responsabili e questo permetterebbe la strutturazione in più livelli. Dall'altra parte, invece, si può immaginare che in un'azienda i ruoli e le responsabilità vengano distribuiti non in conformità agli articoli 28 e 29, ma secondo la "normale" gerarchia interna. Il GDPR, infatti, usa il termine "processor", difficilmente applicabile ad una persona e facilmente applicabile ad un'impresa.

Altri (libro "Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali" di Enrico Pelino, Luca Bolognini, Camilla Bistolfi) confermano questa lettura.

Se letto in questo modo, il GDPR ci imporrebbe un completo ripensamento su come vedere questi concetti.

martedì 24 gennaio 2017

Segreto industriale e misure di protezione

Da Filodiritto segnalo questo articolo dal titolo "Segreto industriale: l'importanza delle misure di protezione":
- http://www.filodiritto.com/articoli/2017/01/segreto-industriale-limportanza-delle-misure-di-protezione.html.

Un ex socio di un'azienda ha usato, per una concorrente, dei progetti preparati per la prima azienda.

La causa successiva ha evidenziato quali misure dovrebbero essere messe in atto da un'azienda per proteggere (e dimostrare di voler proteggere) i propri segreti industriali:
- ricordare ai propri dipendenti e collaboratori della natura delle informazioni e della necessità di mantenere il segreto sia come condizione contrattuale, sia come informazione comunque diretta a collaboratori e dipendenti (art. 98 e 99 del Codice della proprietà industriale, D. Lgs. 30 del 2005);
- predisporre meccanismi per impedire l'accesso ai dati (almeno sotto forma di istruzioni scritte), dove la conservazione su un unico computer personale con accesso controllato da password non pare sufficiente (mentre poteva avere maggiore valore la conservazione su un server "aziendale").

martedì 17 gennaio 2017

Fattura b2b dal 9 gennaio

Dal 9 gennaio è partita la fattura elettronica tra privati. Ecco un articolo di Andrea Caccia e Daniele Tumietto che presenta l'iniziativa e i suoi problemi da un punto di vista teorico e poi pratico:
- http://www.agendadigitale.eu/fatturazione-elettronica/parte-la-fattura-elettronica-tra-privati-ma-e-un-caos-ecco-che-fare_2811.htm.

Eye Piramid

Tutti avete sentito parlare della vicenda dei fratelli Occhionero e di Eye Piramid, i due spioni che hanno raccolto dati dai pc di persone note. Per chi vuole leggere una sintesi della storia, ecco un link:
- http://cybersecurity.startupitalia.eu/53903-20170111-eye-pyramid-the-italian-job-storia-malware-spionaggio-massoneria.

Un'analisi di Trend Micro:
- http://blog.trendmicro.com/trendlabs-security-intelligence/eye-storm-look-eyepyramid-malware-supposedly-used-high-profile-hacks-italy/.

Una sintesi tecnica (e non solo), in Italiano, di Stefano Zanero:
- https://www.facebook.com/raistolo/posts/10155658726324307.

Purtroppo non trovo articoli significativi su come difendersi da questi attacchi. Certo: c'è il pieno di articoli che dicono "state attenti ai file che aprite", ma questo non è niente di nuovo.

Ringrazio Sandro Sanna, che per primo mi ha segnalato la notizia.

Divieto di GPS per i lavoratori

Dalla newsletter di Filodiritto segnalo la seguente notizia: "GPS - Ispettorato Nazionale del Lavoro: è vietato l'utilizzo del sistema GPS sull'auto aziendale senza un accordo sindacale". L'Ispettorato, il 7 novembre 2016, ha infatti pubblicato la circolare 2/2016 in merito all'uso di GPS:
- http://www.filodiritto.com/news/2017/gps-ispettorato-nazionale-del-lavoro-e-vietato-lutilizzo-del-sistema-gps-sullauto-aziendale-senza-un-accordo-sindacale.html.

Ricordo alcune notizie correlate all'uso di GPS:
- moduli per la richiesta di autorizzazione all'uso di GPS (http://blog.cesaregallotti.it/2016/05/modulo-unificato-per-videosorveglianza.html);
- possibilità di usare il GPS per rilevare abusi o usi illeciti di strumenti aziendali (http://blog.cesaregallotti.it/2015/11/nuovo-statuto-dei-lavoratori-riflessioni.html), forse in contrasto con la recente circolare.

Europa: contro la conservazione dei dati di traffico

Da Filodiritto segnalo la seguente notizia: "Privacy - Corte di Giustizia dell'Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica":
- http://www.filodiritto.com/news/2017/privacy-corte-di-giustizia-dellunione-europea-gli-stati-membri-non-possono-imporre-un-obbligo-generale-di-conservazione.html.

Non credo che questa sentenza abbia impatti sul nostro Dlgs 109 del 2008, ma vedremo se ci saranno aggiornamenti.

lunedì 16 gennaio 2017

Documenti ENISA su privacy on line, pagamenti elettronici, aeroporti, automobili

Fabio Teoldi, che ringrazio, mi ha segnalato che ENISA a dicembre 2016 e gennaio 2017 ha pubblicato 4 documenti interessanti.

1- "PETs controls matrix - A systematic approach for assessing online and mobile privacy tools": misure da applicare (o da verificare) per assicurare la privacy nei sistemi online (soprattutto siti web e applicazioni per dispositivi mobili):
- https://www.enisa.europa.eu/publications/pets-controls-matrix/pets-controls-matrix-a-systematic-approach-for-assessing-online-and-mobile-privacy-tools.

2- Security of Mobile Payments and Digital Wallets: uno studio di 3 piattaforme (Apple Pay, Google Wally e Android Pay, Samsung Pay) seguito da alcune raccomandazioni (troppo poche, a mio avviso):
https://www.enisa.europa.eu/publications/mobile-payments-security.

3- Securing Smart Airports: un elenco di 44 controlli di sicurezza applicabili ai sistemi informatici per gli aeroporti (ma non solo, a mio parere):
https://www.enisa.europa.eu/publications/securing-smart-airports.

4- Cyber Security and Resilience of smart cars": un elenco di "good practices" soprattutto tecniche (precedute da troppe pagine di analisi), da considerare non solo per le automobili:
https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/.

domenica 15 gennaio 2017

Certificazione conservatori e SPID

Accredia ha pubblicato le regole per la certificazione dei conservatori e dei gestori SPID, sulla base di quanto concordato con AgID:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=2356&areaNews=95&GTemplate=default.jsp.

Per chi vuole essere qualificato da AgID come conservatore o gestore SPID, rimane il percorso in due fasi: prima una certificazione da parte di un Organismo di certificazione accreditato (da Accredia) e poi la domanda ad AgID.

In questo modo si allineano le procedure per i servizi fiduciari previsti dal Regolamento europeo eIDAS e quelli più specificatamente italiani (SPID e conservazione).

Ringrazio Andrea Caccia per la segnalazione di questa importante notizia.

sabato 14 gennaio 2017

Privacy e Registro delle opposizioni

Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l'elenco del telefono, per intenderci), a meno che l'utente non eserciti il "diritto di opt-out", iscrivendosi al Registro delle opposizioni (io l'ho fatto, ma ancora troppe volte ricevo telefonate indesiderate).

Il nuovo Regolamento europeo sulla privacy (GDPR) non prevede questa possibilità. Quindi, un'azienda che vuol fare marketing diretto telefonico deve lavorare con il consenso degli interessati.

Rimarrà però il solito alibi: "il numero di telefono, forse, non è un dato personale". A questo problema dovrà rispondere, se mai vedrà la luce, il futuro Regolamento ePrivacy, recentemente proposto dalla Commissione europea.

Ringrazio Pierfrancesco Maistrello, che mi ha confermato la mia conclusione, approfondendola.

Privacy: La notificazione al Garante dei trattamenti

Rileggendo il GDPR (Regolamento europeo sulla privacy), mi sono accorto che non ho trovato traccia della "notificazione al Garante" di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.

In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d'impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o PIA).

Infatti, nei considerando del Regolamento (dall'89) si legge che la notificazione "non ha sempre contribuito a migliorare la protezione dei dati personali".

A questo punto, quindi, i titolari saranno tenuti ad effettuare delle PIA per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante (supervisory authority).

Ciascun Stato, infine, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.

Ringrazio Pierfrancesco Maistrello di Vecomp, perché è lui che mi ha fornito la risposta al mio dubbio.

Atti sottoscritti con Firma Elettronica Avanzata

Andrea Caccia mi ha segnalato il suo articolo dal titolo "Atti sottoscritti con Firma Elettronica Avanzata: il rischio nullità":
- https://www.linkedin.com/pulse/atti-sottoscritti-con-firma-elettronica-avanzata-il-rischio-caccia.

Tratta della validità legale della firma elettronica avanzata e del rischio nullità nel caso in cui un soggetto non fosse in grado, in caso di contenzioso, di dimostrare che la propria soluzione risponda ai requisiti previsti dalle regole tecniche.

È un articolo piuttosto tecnico sulla validità delle FEA dopo la pubblicazione di eIDAS e del nuovo Codice dell'amministrazione digitale. Per chi non è addetto ai lavori, però, questo articolo ricorda che purtroppo l'uso di "nuove tecnologie" ha dei rischi, visto che la legislazione non è (ancora) stabile.

Proposta di nuovo Regolamento privacy sulle comunicazioni elettroniche

Fornisco la notizia (e ringrazio Pierfrancesco Maistrello di Vecomp) che la Commissione Europea vuole proporre un nuovo Regolamento, da affiancare al GDPR (Regolamento europeo sulla privacy) e sostitutivo della Direttiva 2002/58 (Direttiva ePrivacy, nota soprattutto per il Provvedimento sui cookies), in merito alle comunicazioni elettroniche:
- https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications.

Come al solito, i tempi sono incerti e il testo finale potrà essere molto diverso da quello ora proposto. Come per il GDPR, fioccheranno corsi (a pagamento) e consulenti agitati. Io, come già feci per il GDPR (ma senza molto successo), consiglio di aspettare la pubblicazione del testo definitivo.

Per chi vuole approfondire un po' di più sul contenuto della proposta, segnalo questo articolo di Europrivacy:
- http://europrivacy.info/it/2017/01/12/italiano-pronta-la-proposta-di-regolamento-su-privacy-e-comunicazioni-elettroniche/.

Infine, un mio lettore anonimo mi ha segnalato 6 comunicati stampa, tutti del 10 gennaio, della Commissione Europea e pertinenti proposte su privacy, data economy e servizi elettronici ai cittadini. Sia io che il mio lettore preferiamo non dedicare troppo tempo a proposte che poi non si sa bene in che tempi e in che modi finiranno. Però magari altri sono curiosi:
- http://europa.eu/rapid/press-release_IP-17-5_en.htm;
- http://europa.eu/rapid/press-release_IP-17-16_en.htm;
- http://europa.eu/rapid/press-release_IP-17-23_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-6_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-15_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-17_en.htm.

mercoledì 11 gennaio 2017

Procure e fornitori IT privati

La notizia è di fine novembre 2016. Se ho capito correttamente, nel 2015 la Procura di Trieste ha un guasto ai propri server usati per le intercettazioni e chiede aiuto per il recupero di un file al fornitore del servizio di assistenza informatica (Area S.p.A.). La referente di Area S.p.A. riesce a recuperare il file dal proprio pc aziendale. Dopo aver ringraziato, la Procura riflette sul fatto che copie dei file delle intercettazioni sono conservate su pc di persone esterne alla Procura stessa e avvia delle indagini:
- http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml.

Due giorni dopo, il Ministero della giustizia invia una circolare alle Procure per chiedere di "alzare la soglia di allerta sulla sicurezza dei sistemi informativi delle intercettazioni":
- http://milano.corriere.it/notizie/cronaca/16_novembre_30/intercettazioni-ministero-pm-80bf5490-b678-11e6-9fa1-de32925f0429.shtml.

A gennaio si tiene presso il ministero un incontro tra i capi delle Procure per discutere del problema e vengono fuori delle preoccupazioni da parte dei presenti in merito all'accesso da remoto dei fornitori privati, alla mancanza di personale interno qualificato presso le Procure, alla mancanza di un albo delle ditte qualificate. Un procuratore si è anche vantato di aver protetto la propria infrastruttura con un "apposito firewall":
- http://milano.corriere.it/notizie/cronaca/17_gennaio_11/intercettazioni-capi-procure-1ec86626-d76d-11e6-94ea-40cbfa45096b.shtml.

Premetto che in passato ho avuto modo di conoscere Area S.p.A. e posso solo dire che: a) ho apprezzato la dichiarazione di Andrea Formenti; b) so che hanno molto a cuore la sicurezza dei dati. Di più non posso dire.

La ragione per cui presento questo caso è che rende pubblico un classico rapporto cliente-fornitore.

Da quanto scritto sui giornali, escludo che Area S.p.A. facesse raccolta dati per finalità di profilazione o simili. Se così fosse, la referente di Area S.p.A. non avrebbe palesato la possibilità di recuperare i dati.

Quindi cosa rimane? Immagino questo: il fornitore dice al cliente che sarebbe opportuno investire anche in un sistema di backup; il cliente non ritiene invece opportuna questa misura (magari, addirittura, avrà chiesto di toglierla dall'offerta per ridurre i costi); il fornitore, però, sa bene che alla prima difficoltà il cliente gli creerà dei problemi e quindi si arrangia, facendo backup su un'infrastruttura sicura (di questo ne sono certo), anche se per questo deve ricorrere ad un barbatrucco.

E, alla prima difficoltà, il cliente ha creato comunque problemi. Dimostrando anche elevata incompetenza: pensa di risolvere il problema dei backup con "apposito firewall" o con un albo di fornitori; non si chiede perché il fornitore avesse accesso incondizionato da remoto (anche se immagino perché nessuno della Procura avesse voglia di aprire e chiudere porte del firewall per consentire le manutenzioni in emergenza anche di notte); pensa di risolvere il problema, pochi giorni dopo, inviando una circolare (7 pagine che risolvono i problemi) nonostante le medesime procure abbiano chiesto numerose proroghe per adeguarsi alle prescrizioni del 2013 (!) del Garante privacy in materia di sicurezza.

Non so se Area S.p.A. ha comunicato preventivamente alla Procura di Trieste le carenze di sicurezza riscontrate (inclusa la mancanza di un sistema di backup "a regola d'arte"), ma sono convinto che finora la carenza di soldi e di competenze ha dettato le scelte dei clienti. E la colpa, come sempre e nonostante tutto, è dei fornitori.

martedì 10 gennaio 2017

Industria 4.0

Con la Legge di stabilità 2017 (Legge, 11/12/2016 n° 232, G.U. 21/12/2016 per chi volesse cercarla su www.normattiva.it), il Governo ha prorogato un "superammortamento" e stabilito un "iperammortamento" per i beni digitali.

Queste facilitazioni sono applicabili anche a "software, sistemi, piattaforme e applicazioni per la protezione di reti, dati, programmi, macchine e impianti da attacchi, danni e accessi non autorizzati". Questa mi pare una buona iniziativa.

Tutti gli altri investimenti di tipo informatico non sono collegati ad una garanzia di sicurezza informatica e forse questa poteva essere un'occasione per migliorare il livello di sicurezza informatica delle nostre imprese.

Segnalo due articoli di sintesi di Altalex:
- http://www.altalex.com/documents/news/2016/10/17/legge-di-stabilita-2017;
- http://www.altalex.com/documents/news/2016/12/27/legge-di-bilancio-2017-la-tabella-delle-novita.

Ringrazio Edmea De Paoli del TUV Nord per le riflessioni fatte su questa Legge.

venerdì 6 gennaio 2017

Alternative a TrueCrypt

Sophie Hunt mi ha scritto perché in alcuni post ho citato TrueCrypt senza poi fornire aggiornamenti.

Lei stessa si segnala un articolo in cui ne è spiegata la storia e ne sono fornite, con descrizione dei pro e contro, alternative (VeraCrypt, Bitlocker, DiskCryptor, Ciphershed, FileVault 2 e LUKS):
- https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/.

Misurazioni e pulizie

In questi giorni, mi hanno raccontato un esempio di misurazioni fallaci che mi sembra interessante.

Il personale delle pulizie degli hotel è spesso misurato unicamente in base al tempo (molto basso) impiegato a pulire le camere. Questo però ha creato problemi non tanto di pulizia (gli addetti sono comunque dei professionisti), ma di manutenzione, visto che il personale, considerate le misure, non aveva tempo per segnalare i problemi riscontrati. E i consulenti e gli auditor che sono spesso in albergo sono ben consapevoli di questo problema. In effetti mi è sempre sembrato stupido trovare camere bellissime e ben pulite, ma con lampadine rotte, gli scarichi lenti, le porte cigolanti, le docce piene di calcare.

Alcuni hotel hanno finalmente capito che la velocità e la "misura esatta" non sono tutto, anche se costituiscono un parametro da considerare insieme ad altri (per esempio, le lamentele degli ospiti relative a problemi non segnalati).

Nuova ISO/IEC 27004:2016 sulle misurazioni della sicurezza

È stata pubblicata la ISO/IEC 27004:2016, dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64120.

Questa norma sostituisce la precedente versione del 2009 e mi trova maggiormente soddisfatto.

In particolare, è stata ridotta moltissimo la parte teorica. In questo modo è più facile interpretare il requisito della ISO/IEC 27001 e cogliere indicazioni su come applicarlo.

Ancora più importanti sono i 35 esempi finali, che forniscono un valido punto di partenza per chi vuole attuare un sistema di gestione per la sicurezza delle informazioni. Ne approfitto per dire che ho apprezzato moltissimo l'idea di dedicare più di metà della norma agli esempi, piuttosto che alla teoria (io poi ho contribuito con qualche esempio, poi migliorato e inserito nel documento finale dal gruppo di lavoro).

In particolare molti di questi esempi suggeriscono un approccio meno fantasioso (e più utile) di alcuni che ho visto negli anni, che prevedevano troppi numeri da presentare alla Direzione, senza interrogarsi sulla loro reale validità. Qui si dimostra che non è necessario seppellire un'azienda sotto troppi numeri, soprattutto quando è di dimensioni ridotte.

Ricordo infine due cose:
1- questa è una linea guida e quindi può essere presa come punto di partenza per riflettere sul tema delle misurazioni della sicurezza; non può essere usata come insieme di requisiti da attuare per la certificazione ISO/IEC 27001 (anche perché gli unici requisiti da attuare sono quelli della ISO/IEC 27001 stessa, non altri);
2- le misurazioni non possono né devono sostituire la conoscenza reale di un'organizzazione; né i manager, né i consulenti, né gli auditor devono dare troppa enfasi a questo aspetto.

martedì 20 dicembre 2016

Chiarimenti sulla "certificazione" di Lead auditor

Segnalo questo articolo di Fabrizio Cirilli dal titolo "Certificazione degli auditor/lead auditor per la ISO/IEC 27001: c'è ancora troppa confusione!":
- http://www.ictsecuritymagazine.com/articoli/certificazione-degli-auditorlead-auditor-la-isoiec-27001-ce-ancora-troppa-confusione/.

Trovo sia importante che quanti richiedono titoli di competenza sappiano di cosa si sta parlando. A mio avviso, Fabrizio ha ben colto il punto.

Nota personale: questo articolo lo lessi a fine novembre su LinkedIn; preso da pigrizia non l'avevo segnalato. Provvedo adesso, seppure un po' in ritardo, grazie ad un tweet di @sramakk, che ringrazio.

Linee guida DPO

Elisa Fontanelli mi ha segnalato la pubblicazione delle "prime linee guida dei Garanti europei", così come proposte dal nostro Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5792160.

La più interessante è quella sui DPO, proposta dal WG Art. 29. In particolare, mi sembrano  importanti alcuni chiarimenti in merito a chi deve obbligatoriamente nominare un DPO.

Alcuni chiarimenti su:
- http://europrivacy.info/it/2017/01/09/dpo-fulfilling-other-tasks-and-conflict-of-interests-in-wp29-guideline-wp243-isaca-frameworks-are-helpful-tools-to-better-define-internal-segregation-of-duties/

sabato 17 dicembre 2016

Parlamento EU e sicurezza nel settore energia

Fabio Teoldi mi ha segnalato quanto segue: il Parlamento Europeo recentemente ha pubblicato il Rapporto "Cyber Security Strategy for the Energy Sector", scaricabile dal sito dello European Parliament Think Tank:
- http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL_STU(2016)587333.

Non si tratta di uno studio con consigli per gli operatori, ma rappresenta una base di partenza per approfondire la materia.

giovedì 8 dicembre 2016

ISO 9002 - Linea guida per la ISO 9001

È stata pubblicata la ISO/TS 9002:2016 dal titolo "Guidelines for the application of ISO 9001:2015":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66204.

Mi è stata segnalata in una conversazione tra auditor DNV GL. Il commento che ha accompagnato la notizia è stato "I contenuti non sono proprio rivoluzionari, ma vale la pena leggerla". Condivido.

sabato 3 dicembre 2016

Pubblicata la ISO/IEC 27011

È stata pubblicata la seconda edizione del 2016 della norma ISO/IEC 27011 dal titolo "Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64143.

Si tratta di una raccolta di controlli di sicurezza, da aggiungere a quelli della ISO/IEC 27002, per gli operatori di telecomunicazioni..

venerdì 2 dicembre 2016

Elenco dispositivi per la firma elettronica qualificata

Mi segnala Franco Ferrari di DNV GL questo articolo di Andrea Caccia dal titolo "Elenco dei dispositivi certificati per la firma elettronica qualificata (firma digitale)":
- https://www.linkedin.com/pulse/elenco-dei-dispositivi-certificati-per-la-firma-digitale-caccia.

Grazie a tutti e due.

Cybersecurity Playbook

Confesso che tutte e due i termini del titolo della pubblicazione "Cybersecurity Playbook" mi innervosiscono. Però, essendo scritta da Pete Herzog, mi sono sforzato di darle un'occhiata. Si tratta di 27 pagine di raccomandazioni di sicurezza informatica, sintetiche, chiare e ben scritte.

Alcune misure sono anche originali rispetto alle tante pubblicazioni che ci sono in giro.

Ne consiglio la lettura:
- https://www.barkly.com/comprehensive-it-security-plan.

mercoledì 30 novembre 2016

Vulnerabilità nel protocollo NTP

Il protocollo NTP è quello che consente di sincronizzare gli orologi di pc e server in modo che abbiano tutti lo stesso orario (perché è divertente vedere l'orologio di John Belushi in Animal House, ma non averlo nella realtà). Normalmente i sistemi operativi hanno installato un codice open source e freeware con il nome ntpd e realizzato da un gruppo di persone dal nome NTP.org.

Intorno a giugno 2016 hanno scoperto numerose vulnerabilità nel ntpd, con impatto soprattutto sui sistemi operativi Windows.

E a quel punto si scopre che questa storia l'abbiamo già sentita, anche se con protagonisti diversi. Allora il protagonista principale era OpenSSL, ma la storia è ancora quella: si scopre che un protocollo importantissimo e diffusissimo è mantenuto da pochissime persone che non ricevono neanche un supporto economico sufficiente per continuare a lavorarci.

Non commento oltre perché queste storie sono sconfortanti. Ringrazio quindi Marco Fabbrini per avermi segnalato questo articolo:
- http://www.infoworld.com/article/3144546/security/time-is-running-out-for-ntp.html.

E non disperate. Alla fine sono riusciti a riparare le vulnerabilità (dal SANS NewsBites):
- http://www.theregister.co.uk/2016/11/23/ntp_patch_time_rolls_around_again/.

lunedì 28 novembre 2016

NIST Systems Security Engineering

Il NIST ha pubblicato la NIST Special Publication 800-160 dal titolo "Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems":
- http://csrc.nist.gov/publications/PubsSPs.html#800-160.

Un malloppo di 257 pagine. L'ho sfogliato e mi sembra un po' troppo teorico. Ho trovato più interessante l'Appendice G del corpo del documento.

giovedì 24 novembre 2016

Privacy a scuola

Il Garante privacy ha pubblicato un opuscolo dal titolo "La scuola a prova di privacy":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5601934.

È soprattutto indirizzato a chi opera nella scuola, ma può essere utile a tutti.

Privacy shield approvato dal Garante

Dalla newsletter del Garante (e una gentile segnalazione di Ivo Trotti di TNS Italia, che ringrazio), segnalo che il Garante privacy italiano ha autorizzato il trasferimento dei dati personali negli USA alle organizzazioni che aderiscono al Privacy shield.

Non ripercorro la storia del Safe Harbor e del Privacy Shield. Ecco quindi la decisione del Garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5652873.

Ovviamente non troverete alcun link alla lista delle organizzazioni che hanno aderito al privacy shield. Sarebbe troppo facile. Però una semplice ricerca sul web fornisce il link:
- https://www.privacyshield.gov/list.

Non ho studiato il Privacy shield framework, ma capisco che un'azienda USA può aderire per dati HR (cioè per trattare i dati del personale dipendente) e/o dati non-HR.

sabato 19 novembre 2016

Cloud Adoption & Risk Report Q4 2016

Marco Fabbrini mi ha segnalato il report "Cloud Adoption & Risk Report Q4 2016" della Skyhigh (neanche sapevo che esistesse questa azienda). Il rapporto è presentato da un interessante articolo dal titolo "Cloud use could be putting businesses at risk":
- http://betanews.com/2016/11/17/cloud-use-business-risk/.

È breve e dice cose già note, che però è bene non dimenticare. Per esempio il fatto che le clausole contrattuali sono spesso negative per i clienti: il 69,7% non specifica di chi è la proprietà dei dati, solo l'8,7% assicura di non trasferire i dati a terze parti (qui però bisognerebbe capire le eccezioni), solo il 16% si impegna a cancellare i dati in caso di chiusura del contratto.

L'articolo si conclude ricordando che i siti di conversione di documenti da/a pdf, sebbene spesso ritenuti innocui, sono spesso usati per convertire dati molto critici, ma questi siti hanno clausole di garanzia per i clienti molto deboli (e quindi dovremmo chiederci cosa ci guadagnano offrendo il servizio di conversione).

I più interessati possono scaricarsi il rapporto completo dal titolo :
- https://www.skyhighnetworks.com/cloud-computing-trends-2016/.

Io mi sono solo letto l'estratto presentato nella pagina web e l'ho trovato molto interessante.

Pubblicata la 27035 sulla gestione degli incidenti

Sono state appena pubblicate le nuove norme ISO/IEC 27035 e ne è stata quindi cancellata la versione del 2011.

La nuova ISO/IEC 27035 è divisa in due parti. La prima ha titolo "Principles of incident management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60803.

La seconda parte ha titolo "Guidelines to plan and prepare for incident response" (di 145 pagine, ossia molto lunga):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62071.

Trovo interessante l'appendice C, che propone un esempio di categorizzazione degli incidenti, per gravità e ambito. Non credo sia un esempio ottimale, ma almeno c'è.

Pubblicata ISO/IEC 27050 sull'electronic discovery

È stata pubblicata da poco la ISO/IEC 27050-1 dal titolo "Electronic discovery -- Part 1: Overview and concepts":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63081.

Le parti 2 (Guidance for governance and management of electronic discovery) e 3 (Code of Practice for electronic discovery) sono ancora in bozza.

venerdì 18 novembre 2016

Dare più privacy per migliori prestazioni

Non so quanto questo articolo (segnalato da Crypto-gram di novembre) dal titolo "Want People to Behave Better? Give Them More Privacy" riguardi effettivamente la sicurezza delle informazioni e la normativa sulla privacy, però mi sembra comunque interessante:
- https://www.psychologytoday.com/blog/the-outsourced-mind/201604/want-people-behave-better-give-them-more-privacy.

In sintesi: se i datori di lavoro e i manager controllano di meno i lavoratori, questi tendono ad auto-organizzarsi in modo più efficiente e lavorare con miglliori prestazioni.

Credo che ciò sia degno di riflessione. Certamente bisogna bilanciare le esigenze di controllo (necessarie) con quelle di auto-gestione e responsabilizzazione delle persone.

giovedì 17 novembre 2016

Segnalazione di copia slide

Settimana scorsa avevo segnalato delle slide su privacy e sanità:
- http://blog.cesaregallotti.it/2016/11/dati-e-sanita.html.

Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:
- http://www.smau.it/speakers/paola.generali/.

Mi spiace essere stato implicato in una faccenda così e spero sia chiaro a tutti che non approvo in alcun modo il copia-incolla di materiale altrui, anche se liberamente disponibile. Certamente si può cogliere ispirazione per alcune cose (sennò dovremmo iniziare sempre da zero e non ci evolveremmo), però penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

Mio errato riferimento al GDPR

Nell post su PIA e valutazione del rischio in ambito privacy (http://blog.cesaregallotti.it/2016/10/privacy-pia-e-valutazione-del-rischio_28.html) ho fatto un errore: ho indicato che il GDPR (il Regolamento europeo sulla privacy) ha come riferimenti "Regolamento 169/2016", mentre si tratta del 679/2016.

Il post ora è corretto.

Ringrazio Agostino Oliveri (di Sicurdata) e Andrea Praitano (di Business-e) per avermi corretto.

Andrea, poi, in ambito PIA, ricorda che il CNIL francese ha pubblicato dei documenti ben fatti su questo argomento (io li avevo segnalati a suo tempo, ma un promemoria non guasta):
https://www.cnil.fr/en/privacy-impact-assessments-cnil-publishes-its-pia-manual.

sabato 12 novembre 2016

Sicurezza per le piccole imprese

Fabio Teoldi mi ha segnalato la nuova edizione della pubblicazione del NIST "NISTIR 7621 - Small Business Information Security: The Fundamentals". Si trova in questa pagina:
- http://csrc.nist.gov/publications/PubsNISTIRs.html

Mi piace e non solo perché il titolo non riporta "cyber", ma "information".

Potremo discutere lungamente dei controlli inclusi ed esclusi, ma mi sembra un'iniziativa importante, oltre che ben fatta.

Riscaldamento in Finlandia bloccato

Questa notizia l'ho letta sul SANS NewsBites: degli appartamenti in Finlandia sono rimasti senza acqua calda per una settimana perché il sistema di riscaldamendo è stato oggetto di attacco DDOS:
- http://www.theregister.co.uk/2016/11/09/finns_chilling_as_ddos_knocks_out_building_control_system/.

La cosa può far sorridere (Brian Honan, sul SANS NewsBites, commenta: "This brings a whole new definition to a cyber cold war").

Però ci sono lezioni da imparare:
- il sistema, fosse stato progettato correttamente, non doveva bloccarsi in assenza di attacco da Internet (classico caso per cui una funzionalità migliorativa diventa più importante delle funzionalità di base);
- chi ha progettato il sistema non aveva previsto un firewall di controllo accessi da Internet.

venerdì 11 novembre 2016

IT Audit & Cloud

Segnalo la pubblicazione "IT Audit & Cloud" di AIEA:
- http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud.

Presenta una bella carrellata dei rischi da considerare quando si usano servizi cloud, delle condizioni contrattuali da prevedere e di altre misure pertinenti. Non tratta dettagli tecnici ed è molto breve. Una lettura interessante, insomma.

Normativa e-commerce

Segnalo questi 4 articoli proposti da Altalex sul commercio elettronico e in particolare sul D. Lgs. 70 del 2003. Mi sembra una buona occasione per ripassare.

1- E-commerce B2C: vendere online tra rispetto della normativa e attenzione al cliente:
http://www.altalex.com/documents/news/2016/04/06/e-commerce-b2cvendere-online-tra-rispetto-della-normativa-e-attenzione-per-il-cliente;
2- Se il consumatore cambia idea: il diritto di recesso nell'e-commerce di prodotti:
www.altalex.com/documents/news/2016/07/06/e-commerce-e-diritto-di-recesso;
3- Le controversie online: le ADR del commercio elettronico:
www.altalex.com/documents/news/2016/06/30/controversie-online-adr-commercio-elettronico;
4- Vendita online dei beni alimentari: requisiti, adempimenti e peculiarità:
www.altalex.com/documents/news/2016/10/21/vendita-online-dei-beni-alimentari.
.

mercoledì 2 novembre 2016

Stato delle norme della famiglia ISO/IEC 27000

Il 27 ottobre si è concluso ad Abu Dhabi il 53o meeting dell'ISO/IEC JTC 1 SC 27, il cui WG 1 si occupa delle norme della serie ISO/IEC 27000. Io ho partecipato in qualità di delegato italiano (in tutto la delegazione italiana era composta da 4 persone). I delegati erano in tutto 110 da 29 Paesi.

La buona notizia è che abbiamo finito i lavori sulla ISO/IEC 27003, ossia la guida all'interpretazione della ISO/IEC 27001:2013. Alcuni sperano sarà pubblicata entro fine 2016, io penso che lo sarà per inizio 2017. Questa norma è importante perché ci ha permesso di consolidare alcune decisioni prese per la ISO/IEC 27001. Certamente questa norma risulta pubblicata in ritardo, ben 3 anni dopo la ISO/IEC 27001, però era necessaria.

Sono partiti i lavori per la nuova ISO/IEC 27002, con una prima fase che consiste nell'elaborazione di una "design specification" (utile per evitare successivi ritardi). Nella migliore delle ipotesi uscirà tra 4 anni. Gli esperti hanno deciso di modificare la norma esistente per includere gli aggiornamenti tecnici necessari e per migliorare il testo già esistente (chiunque l'abbia letto con attenzione ha notato ripetizioni, eccessivi approfondimenti in qualche punto, eccessiva sintesi in altri).

Sono ripartiti, dalla fase di design specification, i lavori per la ISO/IEC 27005 sulla valutazione del rischio. Negli ultimi 4 anni gli esperti non hanno trovato un accordo per la modifica di questa norma e quindi si ripartirà da capo, con una nuova impostazione. Come ho già scritto in passato, molti sono d'accordo sulla direzione da prendere (ossia superare la metodologia asset-minacce-vulnerabilità basata sui "censimenti"), ma non hanno trovato il modo per affrontarla. La mia opinione è che in troppi vogliono promuovere la propria idea senza riuscire ad arrivare ad una sintesi di tutte.

Il problema dietro la ISO/IEC 27005 è che la ISO/IEC 27001 promuove l'uso di metodologie meno dettagliate, mentre la ISO/IEC 27005 (che dovrebbe essere una guida all'attuzione della ISO/IEC 27001) promuove invece l'approccio opposto. Anzi, proprio per questo motivo alcuni partecipanti hanno rilevati dei "difetti" nella attuale ISO/IEC 27005 che la mette in conflitto con la ISO/IEC 27001. Francamente, non so cosa pensare e cercherò di capire come questa questione sarà risolta.

Sono partiti o continuati i lavori per altre norme, tra cui la revisione delle ISO/IEC 27007, 27008, 27014, 27017 e 27019, la nuova ISO/IEC 27021, la pubblicazione di linee guida sulla "cyber resilience" (sarà quindi un business continuity per l'IT) e la "cyber insurance" (questa è in uno stadio successivo alla design specification ed è stata avviata la pratica per un "new item proposal"). La ISO/IEC 27015 sarà eliminata.

Infine, si vuole inaugurare una serie ISO/IEC 27100 sulla cyber security. Io continuo a vedere indecisione su cosa voglia dire "cyber security" (in realtà, nessuno vuole dirlo; si parla in pratica solo di IoT e tutti i lavori che ho visto sinora, incluso quello del NIST, parlano di sicurezza IT aziendale). Vedremo.