domenica 23 luglio 2017

Certificazioni ISO/IEC 27018

Accredia ha pubblicato un regolamento per le "certificazioni" ISO/IEC 27018
(grazie a Franco Ferrari di DNV GL per la notizia):
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page
=118&IDCTX=5549&id_context=5549
.

Purtroppo ci sono stati casi in passato (e nel presente) di certificazioni
rispetto a questa linea guida, con anche marchi di accreditamento. Sappiamo
bene che le linee guida non sono certificabili.

Accredia ha messo un punto fermo e questo è un bene. Però non concordo con
l'impostazione. Infatti la ISO/IEC 27018 fa parte di quelle norme di
"estensione" dei controlli ISO/IEC 27002 e non dovrebbe essere trattata a
parte. Ci dovremo quindi aspettare regole per la 27017, 27011, 27019, 27799
e la futura ISO/IEC 29151 (quella sulla privacy)?

Il fatto che continua a sfuggire è che la ISO/IEC 27006 permette di scrivere
su un certificato ISO/IEC 27001 che il SOA include i controlli della ISO/IEC
27018 o di altre norme di "estensione" della ISO/IEC 27002. Anzi, si
potrebbero citare anche controlli diversi, come quelli del NIST
Cybersecurity framework. E quindi questa circolare riguarda solo un caso
particolare e non aiuta ad impostare il lavoro in modo coerente e utile per
il futuro. Un'altra occasione persa, ahinoi.

sabato 22 luglio 2017

Libro "Privacy & audit"

Mi piace consigliare il libro "Privacy & audit" di Fulvia Emegian, Monica
Perego:
http://shop.wki.it/Ipsoa/Libri/Privacy_Audit_s559485.aspx (link della casa
editrice).

Ovviamente ho trovato qua e là qualche piccola imprecisione (!), ma l'ho
trovato ben fatto: ben raccontato e con molti esempi (veramente tanti, con
anche tracce di audit svolti). E poi mi trovo d'accordo con l'approccio
proposto sia per gli adempimenti privacy sia per l'esecuzione degli audit.

Ho conosciuto Fulvia e Monica e ci siamo scambiati i libri. Meno male che
non è stata quella situazione imbarazzante per cui qualcuno ti regala il suo
libro e a te non piace!

Monica è formatrice presso corsi per DPO, che ho sempre sconsigliato (e ci
sono altre cose che chi mi conosce potrebbe trovare interessanti). Però sia
Fulvia sia Monica sono molto preparate, brave e entusiaste e il libro è
fatto bene.

Conclusione: sono ben contento di fare questa pubblicità estiva (d'altra
parte non ci guadagno niente).

giovedì 20 luglio 2017

Il Garante si diverte

Segnalo, grazie a Giulia Zanchettin, che il Garante ha pubblicato "Estate in privacy", ossia consigli per tutti da seguire durante l'estate (e non solo):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3240343.

Mi sembrano regole banali, ma ben presentate.

Confesso che stavo ignorando completamente la notizia (semplicemente perché i miei lettori sono principalmente professionisti della sicurezza), ma è vero che un ripasso delle regole di base non guasta mai (sono purtroppo tanti i professionisti della sicurezza che scrivono tweet quando atterrano a Hong Kong, Parigi, Londra, New York eccetera, non preoccupandosi di potenziali ladri interessati a sapere quando non sono a casa).

Inoltre il titolo di Giulia ("Il Garante si diverte") era troppo bello per essere ignorato.

Report sicurezza di Lloyds of London

Segnalo (grazie a Stefano Ramacciotti) il "Emerging Risk Report on Cyber Insurance" (sottotitolo "Counting the cost: Cyber exposure decoded") della Lloyds of London:
- https://www.lloyds.com/news-and-insight/risk-insight/library/technology/countingthecost.

Mi affido al commento del SANS: "il rapporto, in definitiva, suggerisce di trattare gli attacchi IT come disastri naturali, non come crimini "tradizionali".

Inoltre il report presenta due esempi: per il primo (fornitore di servizi cloud) con l'assicurazione si recuperano il 15% dei danni, mentre per il secondo (interruzione di un server critico) si recuperano il 7% dei danni. Tradotto: è sempre e comunque necessario attuare le "solite" misure di sicurezza preventiva.

mercoledì 19 luglio 2017

Opinione del WP Art. 29 sulla privacy dei lavoratori

Ho notato la notizia in molti posti, ma non l'avevo ben considerata. Fino a quando ho letto questo articolo di Interlex:
- http://www.interlex.it/privacyesicurezza/ricchiuto43.html.

Ricordo che le opinioni del WP Art. 29 sono importanti, in quanto (mi scuso per l'imprecisione) espressione dei Garanti europei.

Inoltre avevo intravisto il punto "caldo" di questa opinione: è ritenuto non corretta la consultazione dei profili dei candidati sui social network da parte del potenziale datore di lavoro. Confesso che la cosa mi lascia perplesso: a mio parere, se una persona mette in pubblico i fatti suoi, legittima, di fatto, chiunque altro a giudicarlo. Comunque, sempre a mio parere, i potenziali datori di lavoro verificheranno sempre il profilo social di un candidato, ma non lo pubblicizzeranno.

Altri aspetti legati ai social network, che mi paiono invece molto pertinenti, sono: i capi non dovrebbero chiedere ai collaboratori la connessione (o la "amicizia"), i capi non dovrebbero obbligare i lavoratori a usare solo profili aziendali.

Inoltre, come già segnalato dall'articolo di Interlex, questa opinione non riguarda solo i dipendenti. E mi sembra corretto siano protetti tutti i lavoratori, a prescindere dal tipo di collaborazione subordinata che hanno.

Infine ho chiesto lumi a Pierfrancesco Maistrello, perché ricordavo un'altra recente "opinione" in merito alla privacy e ai lavoratori. E infatti mi ha confermato che nel 2015 era stata pubblicata dal "Comitato dei ministri" una raccomandazione:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4224268.

Inoltre Pierfrancesco mi fa notare che questa del WP Art. 29 è una "opinion" e non una "linea guida". Forse perché (opinione anche questa!) vuole aiutare i processi di adeguamento legislativo al GDPR dei singoli Stati.

Certificazioni privacy per aziende

Proseguo quanto già scritto in un precedente post:
(blog.cesaregallotti.it/2017/05/certificazioni-privacy-per-aziende-e-bs.html.

Infatti Pierfrancesco Maistrello, Franco Ferrari e Paolo Sferlazza mi hanno segnalato questo comunicato del Garante e Accredia:
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6621723.

Riassunto (mio): lasciate perdere le certificazioni di persone e organizzazioni fino a quando non ve lo diciamo noi (poi... Accredia ha già accreditato un organismo di certificazione senza l'avallo del Garante, ma evito di fare il pignolo).

ISO/IEC 27004:2016 sulle misurazioni

E' stata pubblicata a dicembre 2016 la nuova versione della ISO/IEC 27004 dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
https://www.iso.org/standard/64120.html.

Sono stupito di non aver rilevato la notizia all'epoca. Infatti tengo molto a questa versione della ISO/IEC 27004, a cui ha contribuito molto Fabio Guasconi e anche io ho partecipato.

Questa versione è molto meno teorica della precedente e presenta ben 35 esempi di misurazioni per la sicurezza (c'è il mio zampino...). Non tutti questi indicatori mi convincono (per esempio quello che richiede di misurare il numero di riesami di Direzione), mentre altri sono più indicatori di avanzamento (per esempio percentuale degli audit interni rispetto a quelli programmati). Infine rimangono gli indicatori "veri" (per esempio disponibilità dei sistemi, tempi di intervento sugli incidenti), che sono pochi, come ho sempre sostenuto.

Ricordo infatti che il problema della sicurezza delle informazioni è che ha come obiettivo il "non verificarsi di eventi" e quindi non è possibile raccogliere molti dati utili per misurare.

sabato 8 luglio 2017

Lavori sul Codice privacy (e integrazione con il GDPR)

Monica Perego mi segnala questo emendamento ad un DDL in discussione al Parlamento:
http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Emendc&leg=17&id=1029112&idoggetto=1035671.

Questo il commento di Monica: "questa è la legge delega che non abroga il codice ma dice che va integrato con il Regolamento". Monica non lo dice, ma lo sottintende: avevano torto quelli che davano per abrogato il D. Lgs. 196 dopo l'entrata in vigore del GDPR (e purtroppo alcuni lo dicevano con troppa indisponenza).

Allagamento blocca i server del Tribunale di Napoli

Sandro Sanna mi segnala la seguente notizia, dal titolo "In tilt i sistemi informatici del Tribunale di Napoli, si torna alla carta":
http://www.ilmattino.it/napoli/cronaca/napoli_palazzo_giustizia_server_carta_tribunale-2550463.html.

Il suo commento: " c'è chi mette sempre nel risk assessment probabilità bassa è poi invece...".

Nuova versione della UNI 10459

Mi segnala Franco Ferrari di DNV GL che è stata pubblicata la UNI 10459:2017, aggiornamento della versione del 2015, dal titolo "Attività professionali non regolamentate - Professionista della security - Requisiti di conoscenza, abilità e competenza":
http://store.uni.com/magento-1.4.0.1/index.php/uni-10459-2017.html.

Franco mi segnala un articolo su Punto Sicuro, però non accessibile senza credenziali. Riporto però questa frase: "Questa nuova edizione della norma presenta dei miglioramenti, soprattutto di tipo formale, che mirano a rendere la norma sempre più leggibile ed aderente a una realtà in costante evoluzione, come la realtà degli scenari di rischio e delle strategie di attacco e difesa".

Ho chiesto lumi a Fabio Guasconi di Bl4ckSwan, che ha partecipato ai lavori. Mi ha detto che ha lavorato soprattutto "per evitare che ci fossero ambiguità tra il Security manager (che è in sostanza un CSO, con responsabilità di più alto livello in materia di sicurezza delle informazioni) e l'Information security manager".

Per questa figura ha anche uniformato la terminologia usata per riferirsi alla sicurezza delle informazioni con quella della ISO/IEC 27001 e richiamato i profili specifici della UNI 11621-4 con cui interfacciarsi, rimosso dove possibile le responsabilità e le competenze di dettaglio del Security manager sull'information security, lasciandogli quelle di più alto livello.

martedì 4 luglio 2017

ISO/IEC 29134 - Privacy impact assessment

E' stata pubblicata la ISO/IEC 29134:2017 dal titolo "Information technology -- Security techniques -- Guidelines for privacy impact assessment":
https://www.iso.org/standard/62289.html.

Ne ho già parlato in precedenza. Da notare che è, in sostanza, il recepimento ISO delle linee guida del CNIL sulla PIA (gratuite!):
www.cnil.fr/english/news-and-events/news/article/privacy-impact-assessments-the-cnil-publishes-its-pia-manual/.

Su questa norma ho qualche perplessità teorica (confusione su "fonti di rischio" e "minacce") e pratica (gli esempi non sono illuminanti). Però non ci ho minimamente lavorato, malgrado ne avessi la possibilità, e quindi non ho approfondito i perché di queste scelte.

sabato 1 luglio 2017

Lavoro e dati giudiziari dei dipendenti

Il Garante privacy, con la sua ultima newsletter, ribadisce che le organizzazioni non possono trattare i dati giudiziari dei dipendenti (e neanche dei candidati) se non richiesto dalla legge o autorizzato dal Garante stesso.

La newsletter:
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6558875.

Il Provvedimento specifico:
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6558837.

In effetti, c'è la cattiva abitudine, in troppe imprese, di chiedere il casellario giudiziario. Questo non solo perché contrario alla normativa in vigore, ma perché i comportamenti passati di una persona non possono dare indicazioni su quelli futuri. In caso contrario, dovremmo pensare che le persone non potranno mai migliorare e neanche noi stessi; e quindi a che servirebbe studiare?

Forse sono fuori tema. Ma ci torno subito. Infatti è sbagliato pensare che il personale selezionato in quanto senza reati passati sia migliore di quello che è già stato oggetto di indagine. Sappiamo che una persona delinque spesso "in crescendo" e quindi un incensurato potrebbe già essere avviato per quella strada. Una persona che ha già scontato una pena, forse, riesce a riconoscere ed evitare di percorrere una certa strada, rinforzata anche dalla stabilità del posto di lavoro.

Inoltre non dobbiamo progettare controlli di sicurezza pensando che le persone interne siano tutte oneste (sindrome di Fort Apache). Questo è un errore: le persone possono compiere errori e possono anche peggiorare (non solo migliorare) e quindi i controlli di sicurezza devono essere progettati adeguatamente.

giovedì 22 giugno 2017

Raccomandazioni per i fornitori di cloud

Francesca Lazzaroni di Spike Reply mi ha segnalato una pubblicazione del German Federal Office for Information Security (anch'esso designato con BSI) sul cloud:
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecommendationsCloudComputingProviders.html.

Si tratta di una pubblicazione del 2011, ma mi sembra utile perché per ogni argomento è proposta una tabella di sintesi delle misure di sicurezza da prevedere per i servizi cloud (e non solo, per la verità). Queste tabelle potrebbero essere utili anche per chi si occupa di contratti con fornitori cloud.

In passato avevo già segnalato altre pubblicazioni:
- di AIEA, In italiano: http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud;
- di ENISA: https://www.enisa.europa.eu/media/press-releases/enisa2019s-security-guide-and-online-tool-for-smes-when-going-cloud.

mercoledì 21 giugno 2017

Perché avere lo spezzatino dei documenti?

Dalla newsletter di ANSSAIF segnalo questo articolo dal titolo "Asset Protection. Perché alle aziende piace lo 'spezzatino' di norme ai testi unici?":
https://www.key4biz.it/assetprotection-perche-alle-aziende-piace-lo-spezzatino-norme-ai-testi-unici/191349/.

In sintesi, l'autore lamenta che troppe organizzazioni pubblicano documenti distinti per codice etico, regolamento per la privacy e guida alla sicurezza, nonostante siano elementi assolutamente integrabili.

martedì 20 giugno 2017

Inventario degli asset: l'incompreso

Mio articolo dal titolo "Inventario degli asset: l'incompreso":
- https://www.ictsecuritymagazine.com/articoli/inventario-degli-asset-lincompreso/.

Mi hanno proposto di scrivere articoli per ICT Security Magazine. Di materia ne avrei e spero quindi di scriverne altri nel futuro.

martedì 13 giugno 2017

Piano Triennale per l'IT nella PA

Da un tweet di @diritto2punto0 segnalo la pubblicazione del "Piano Triennale 2017-2019 per l'informatica nella Pubblica Amministrazione":
https://pianotriennale-ict.italia.it/.

Confesso che non l'ho letto. Il poco che ho visto dimostra un piano decisamente ambizioso, ma alcuni mi dicono irrealizzabile nei tempi prospettati e considerando che si sta parlando di PA.

Su Nova 24 (grazie a Roberto Gallotti) ho letto un articolo di presentazione del piano. Sul web ne è disponibile solo una scansione su Twitter, probabilmente non legale (ma finché c'è, si può leggere):
https://twitter.com/gabferrieri/status/873839729661399040/photo/1.

Aggiornamento "Piano nazionale per la protezione cibernetica e la sicurezza informatica"

Segnalo da un tweet di @cgiustozzi il "Piano nazionale per la protezione cibernetica e la sicurezza informatica":
http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/pubblicato-il-nuovo-piano-nazionale-cyber.html.

venerdì 9 giugno 2017

Sensibilizzazione 03 - La telefonata

Fabio Biancotto di Air Dolomiti mi ha segnalato questo video, indirizzato a chi fornisce assistenza (e non dovrabbe fornirne troppa):
https://www.youtube.com/watch?v=lc7scxvKQOo.

venerdì 2 giugno 2017

British Airways ferma per un giorno

Avevo letto inizialmente la notizia sul Corriere della Sera su un articolo dal titolo "Gb: guasto al sistema informatico, voli British tutti a terra, caos a Londra":
http://www.corriere.it/esteri/17_maggio_27/gb-guasto-sistema-informatico-voli-british-tutti-terra-caos-londra-24359854-42d4-11e7-bf8f-efa16b87b247.shtml.

Il problema sembra fosse dovuto ad un tecnico che per sbaglio ha staccato la corrente:
http://www.corriere.it/cronache/17_giugno_02/voli-cancellati-british-airways-causare-caos-errore-umano-un-tecnico-ha-spento-interruttore-06e0857c-476e-11e7-b4db-9e2de60af523.shtml.

Le stesse notizie in inglese, dai link forniti dal SANS Newsbyte:
Reuters: http://www.reuters.com/article/us-britain-airports-heathrow-idUSKBN18P01O;
BBC: http://www.bbc.com/news/uk-40069865.

I sindacati accusano BA di aver esternalizzato tutto l'IT presso un fornitore in India, perdendo così competenze. BA nega.

Di certo sappiamo che molti problemi delle aziende hanno come causa la gestione orientata alla Borsa (breve periodo) e non all'impresa (lungo periodo) e manager che stanno più attenti agli obiettivi personali (avidità economica) che a quelli dell'impresa (sostenibilità).

E io penso che veramente i manager di oggi non si rendano conto di cosa vuol dire "digitalizzazione". In termini di rischi, di costi e di necessità di manutenzione. Tutti a voler sistemi informatici più belli e più nuovi (cominciando dai pc, tablet, smartphone personali) e nessuno a chiedersi cosa bisogna fare tra qualche anno. E così ci sono aziende che hanno ancora Windows XP e altre che non vogliono investire in una prova di disaster recovery. Giusto pochi giorni fa, una persona mi diceva che ha dovuto combattere lungamente con gli altri manager per evitare che anche la sicurezza fosse esternalizzata e che venisse invece considerata come elemento strategico per il governo dell'impresa.

Oggi mi sembra che un manager non possa più ignorare la gestione dei sistemi IT.

giovedì 1 giugno 2017

Nuovi trend e norme ISO/UNI

Segnalo questa presentazione dal titolo " Uninfo - nuovi trend e norme ISO/UNI - Blockchain, IoT, Big Data, Industry 4.0 e certificazioni Privacy":
https://www.slideshare.net/bl4ckswan/uninfo-nuovi-trend-e-norme-isouni-blockchain-iot-big-data-industry-40-e-certificazioni-privacy.

Per chi vuole avere un quadro degli standard che si stanno preparando su alcuni temi molto innovativi. Segnalo solo che la gran parte degli standard citati non prevedono la possibilità di certificazione della conformità.

Accesso abusivo ai sistemi IT anche con autorizzazione

L'articolo ha titolo " Le Sezioni unite confermano: è abusivo l'accesso a sistemi informatici per ragioni diverse da quelle per le quali l'agente dispone di autorizzazione":
http://www.penalecontemporaneo.it/d/5428-le-sezioni-unite-confermano-e-abusivo-laccesso-a-sistemi-informatici-per-ragioni-diverse-da-quelle.

Provo a riassumere: è stato chiesto alla Corte di cassazione se è da considerare reato l'accesso ad un sistema informatico da parte di qualcuno che ha sì le autorizzazioni a farlo, ma non ne avrebbe motivo. La risposta è sì.

Il quesito riguarda specificatamente pubblici ufficiali o incaricati di un pubblico servizio, ma credo sia importante anche per le aziende private e altre organizzazioni.

Infatti è vero che i sistemi IT dovrebbero essere configurati secondo i principi del privilegio minimo e del "need to know", ma è spesso necessario fare delle semplificazioni per evitare il sovraccarico di lavoro degli amministratori di sistema.

Legge contro il cyberbullismo

E' stata approvata la legge contro il cyberbullismo.

Su Altalex si trova una breve analisi del contenuto di legge:
http://www.altalex.com/documents/news/2016/09/21/bullismo-e-cyberbullismo.

Sul Corriere della Sera si trova la storia di questa legge, la cui proposta ha subito molte critiche prima di essere modificata e approvata nella versione attuale:
http://www.corriere.it/tecnologia/cyber-cultura/cards/lotta-cyberbullismo-arriva-l-ok-camera-cosa-prevede-legge/contro-bullismo-cyberbullismo-l-ok-camera_principale.shtml.

Sul sito della Camera dei Deputati, si trova un'analisi più istituzionale del provvedimento:
http://www.camera.it/leg17/522?tema=prevenzione__e_repressione_del_bullismo_e_del_cyberbullismo.

App medicali e nuovo Regolamento UE sui dispositivi medici

Ho trovato interessante questo breve intervento su "App medicali e nuovo Regolamento UE sui dispositivi medici":
https://www.filodiritto.com/articoli/2017/05/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.html

Mi pare tratti uno degli argomenti di sicurezza informatica più importanti in questo periodo. Infatti i dispositivi medici sono dei casi particolari (e critici) di IoT, che sappiamo essere molto vulnerabile.

Segnalo che anche la "vecchia Direttiva UE sui dispositivi medici" tratta, seppur meno esplicitamente, di app medicali e pertanto andrebbe applicata già da tempo.

lunedì 29 maggio 2017

Videosorveglianza lavoratori, consenso e Cassazione

Articolo di Altalex dal titolo "Controlli a distanza e consenso dei lavoratori: la Cassazione fa dietrofront":
http://www.altalex.com/documents/news/2017/05/10/controlli-a-distanza-e-consenso-dei-lavoratori-la-assazione-fa-dietrofront.

La Corte di Cassazione in passato aveva dichiarato ammissibile l'installazione di telecamere nei luoghi di lavoro (in questo caso, in un negozio), purché fosse stato raccolto il consenso, anche non sottoscritto, da parte dei lavoratori. Con questa sentenza (Cassazione penale, sez. III, sentenza 08/05/2017 n° 22148), invece la Cassazione si smentisce e ribadisce la necessità di avere l'autorizzazione da parte delle rappresentanze sindacali o della Direzione territoriale del lavoro.

ICT e lavoro

Franco Ferrari di DNV GL mi ha segnalato questa pubblicazione dell'INAIL dal titolo "ICT e lavoro: nuove prospettive di analisi per la salute e la sicurezza sul lavoro":
https://www.inail.it/cs/internet/comunicazione/news-ed-eventi/news/news-monografia-ict-lavoro-dimeila.html.

Si tratta di un lavoro interessante. Ho trovato interessante soprattutto il capitolo relativo ai rischi per il lavoratore (come ci si poteva aspettare da un lavoro dell'INAIL).

Chiaramente si parla del rischio di eccesso di impegno lavorativo, ma anche di cyberloafing (parola che non conoscevo e che indica l'eccesso di frammentazione e interruzione delle attività). Ci sono ultreriori rischi che intuitivamente tutti conosciamo, ma che è bene rileggere (per esempio io sono rimasto colpito dal rischio di "non uno inconsapevole degli strumenti informatici", con impatti anche sull'e-learning).

Infine, per il telelavoro ho scoperto che il riferimento normativo per le pubbliche amministrazioni è il DPR 70 del 1999.

giovedì 25 maggio 2017

Sensibilizzazione 02 - Materiale ENISA

In molti mi chiedono se ho in mente video o altro per la sensibilizzazione
del personale. La risposta è sempre quella:
https://www.enisa.europa.eu/media/multimedia/material.

Trovo molto divertenti i video e i disegni.

Sensibilizzazione 01 - L'indovino

Segnalo questo video molto interessante dal titolo "Amazing mind reader reveals his gift":
https://www.youtube.com/watch?v=F7pYHN9iC9I.

Utile (forse) per ricordare quanto bisogna stare attenti a quello che si pubblica sul web.

Grazie a Francesca Lazzaroni di Spike Reply.

giovedì 18 maggio 2017

Hacking dei robot industriali

Questa notizia dal titolo "Così i robot industriali possono essere hackerati" mi aveva interessato prima ancora di Wannacry (infatti viene da un Tweet di @carolafrediani del 4 maggio):
http://www.lastampa.it/2017/05/04/tecnologia/news/cos-i-robot-industriali-possono-essere-hackerati-87LOt65ts9mYBhM6dKqIxL/pagina.html.

L'autore pone già la domanda chiave: perché si dovrebbe collegare un impianto industriale a Internet? La risposta sembra ovvia, ma in realtà non considera i problemi che dovrebbero bilanciare tanta innovazione.

Sappiamo bene i rischi dei macchinari industriali, solitamente legati all'aspettativa di vita molto più lunga dei normali PC (e quindi sempre maggiori difficoltà ad essere aggiornati), a cui aggiungere una ancora bassa competenza in materia di sicurezza, la necessità di non avere fermi (e quindi di aggiornarli il più raramente possibile), eccetera.

Dall'articolo non si ricavano notizie su come i produttori di macchine industriali prevedono di migliorare la sicurezza di quanto offrono. E ancora una volta temo che il problema sia legato a competenze e avidità (o, più elegantemente, time-to-market), per cui o non hanno idee o non ne vogliono avere.

Eppure il materiale per studiare il problema c'è e si chiama IEC 62443 e NIST 800-82. Non sono letture emozionanti, ma sono utili. Da queste norme si ricava anche il principio importante per cui le macchine industriali non sono come i giocattoli dei bambini: sono pericolose, non devono essere costantemente aggiornate, non dovrebbero essere esposte su Internet, non dovrebbero neanche essere accessibili da reti esterne.

Oltre a ciò in Italia abbiamo gli incentivi di Industria 4.0, senza che si chiedano dei livelli di sicurezza, nonostante conosciamo da anni il problema (ma, da quello che leggo, temo che i consiglieri dei governi presente e passati non se lo pongano).

Wannacry

Tutti i lettori sanno dell'attacco su Internet di venerdì 12 maggio. Per un riassunto, segnalo alcuni articoli in italiano e in inglese:
- http://www.lastampa.it/2017/05/15/tecnologia/news/quattro-cose-da-sapere-ancora-su-wannacry-JLDQytXsyl3fA1bWoONfCJ/pagina.html;
- https://www.cert-pa.it/web/guest/news?id=8382;
- http://business.scoop.co.nz/2017/05/15/wannacry-provides-important-lessons-for-cyber-security/;
- http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html.

Chi ha avuto la pazienza di leggere almeno un articolo dedicato a Wannacry ha capito che per difendersi da questo worm è necessario aggiornare i pc con le ultime patch (la patch per evitare Wannacry è disponibile da marzo). Incredibilmente, molti non hanno attivo l'aggiornamento automatico.

So bene che è più facile dire che fare e so bene che alcuni non attivano gli aggiornamenti automatici per motivi legittimi (alcuni pc usano ancora windows XP). In questi casi, però, tali pc vanno lasciati su reti ben segregate da Internet.

Ancora una volta, però, non sempre questo è possibile. E le cause ultime sono sempre le stesse: mancanza di competenze e soldi per la sicurezza informatica. Una delle loro prime conseguenze sono filiere di fornitura decisamente compromesse da un punto di vista della sicurezza informatica.

CryptoGram segnala un articolo (https://www.engadget.com/2017/04/21/pacemaker-security-is-terrifying/) su una società che vende dispositivi medici con vulnerabilità segnalate nel 2014.

mercoledì 17 maggio 2017

ISO/IEC 27001 del 2017? Non esiste

Recentemente il sito del CEN (https://standards.cen.eu) ha pubblicato la EN ISO/IEC 27001:2017. Subito dopo la UNI, la NEK (norvegese) e il BSI (britannico) hanno pubblicato la medesima norma con data 2017.

Si tratta della ISO/IEC 27001:2013, con le due correzioni del 2014 e del 2015 (ma il testo non è consolidato; è il testo del 2013 con allegate le due correzioni).

Delle due correzioni ho già scritto nel 2015, al momento della loro pubblicazione:
- http://blog.cesaregallotti.it/2015/12/correzioni-isoiec-27001-e-27002.html.

In realtà, il CEN ha recepito solo a gennaio 2017 la ISO/IEC 27001:2013 e quindi l'ha pubblicata con anno 2017 (e con titolo preceduto da "EN"). Immediatamente UNI, NEK, BSI e chissà chi altri hanno recepito quanto fatto dal CEN e quindi hanno ripubblicato la norma con data 2017 e sigla "EN".

Questo è un problema del meccanismo di recepimento dei vari standard. Non riportano la data iniziale dello standard, ma la data del recepimento. Così fu pubblicata la ISO/IEC 27001:2013, poi le italiane UNI e CEI l'hanno recepita solo nel 2014 e hanno quindi pubblicato la UNI CEI ISO/IEC 27001:2014, poi l'EN l'ha recepita nel 2017 e ha pubblicato la EN ISO/IEC 27001:2017, poi, ancora una volta, le italiane hanno recepito quanto recepito dall'EN e hanno pubblicato la UNI/CEI EN ISO/IEC 27001:2017. Ma si tratta sempre della stessa roba.

Vi fa venire il mal di testa? Anche a me. Soprattutto perché temo vedremo errori e incomprensioni nei bandi di gara, nelle richieste di offerta, eccetera.

Solo una nota: per la ISO 9001 i vari enti di normazione sono decisamente più attenti e infatti esiste la ISO 9001:2015, la EN ISO 9001:2015 e la UNI EN ISO 9001:2015, tutte con lo stesso anno. Forse reputano che la 27001 non richiede la medesima attenzione.

lunedì 8 maggio 2017

Guida al GDPR del Garante

Guida al GDPR del Garante:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali.

Tutte le sezioni riportano due paragrafi: "Cosa cambia" e "Cosa non cambia". Mi sembra un'ottima iniziativa.

Grazie a Pierfrancesco Maistrello della segnalazione.

Segnalo che, nella sezione "Approccio basato sul rischio", il Garante dà un'interpretazione in contrasto con quanto io avevo indicato in questo post:
http://blog.cesaregallotti.it/2016/07/abrogazione-misure-minime-privacy.html.

In particolare, il sito del Garante dice quanto segue. "Non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza [...]. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato B al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni".

Semplifico: le misure minime non saranno più applicabili, ma forse ne introdurranno di simili.

Concludo: considerando che le misure minime sono riportate anche in diversi Provvedimenti del Garante (e la loro mancata applicazione è correlata a sanzioni penali), io continuo a considerarle come riferimento essenziale e comunque, prima di darle per non-più-applicabili, aspetto vengano approvate le modifiche al Dlgs 196 e ai Provvedimenti.

UNI 11621 e AgID: Profili professionali per l'ICT

Pensavo di aver già dato la notizia: è stata pubblicata la UNI 11621:2016 dal titolo "Attività professionali non regolamentate - Profili professionali per l'ICT" e si può comprare su http://store.uni.com.

La norma è in 4 parti:
- Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF;
- Parte 2: Profili professionali di "seconda generazione";
- Parte 3: Profili professionali relativi alle professionalità operanti nel Web;
- Parte 4: Profili professionali relativi alla sicurezza delle informazioni.

Personalmente ritengo la lettura di queste norme di difficile comprensione. Però potranno essere utilizzate per "certificare" le competenze da organismi di formazione.

AgID ha ripreso queste norme e le ha pubblicate come "Linee guida per la qualità delle competenze digitali nelle professionalità ICT". Si possono reperire (insieme ad una più approfondita documentazione su come sono state costruite) su http://open.gov.it/linee-guida-competenze-ict/.

giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

Stato delle norme della famiglia ISO/IEC 27000

Il 22 aprile si è concluso il meeting del gruppo di lavoro che si occupa delle norme della serie ISO/IEC 27000. Hanno partecipato 90 esperti da 29 Paesi. Io non ci ho partecipato, ma segnalo lo stato dei lavori.

Sono partiti (o ripartiti, nel caso della ISO/IEC 27005) i lavori per le nuove versioni delle ISO/IEC 27002 e 27005. Per queste norme, i tempi previsti per le nuove versioni sembrano essere molto lunghi (almeno 4 anni).


Per quanto riguarda la ISO/IEC 27005 sarà pubblicata una correzione all'edizione del 2011, per eliminare alcune incongruenze che questa norma presenta rispetto alla ISO/IEC 27001:2013. Inizialmente, come è noto, si pensava di pubblicare una nuova versione della ISO/IEC 27005, ma le difficoltà di lavorazione hanno portato ad una sola "correzione".

Sono anche partiti i lavori per la nuova versione della ISO/IEC 27014 ed è stato deciso di revisionare la ISO/IEC 27009, in quanto sono stati individuati alcuni errori. Per queste norme i tempi sono almeno di 3 anni.

Sono continuati i lavori per alcune norme in stato più avanzato di lavorazione: la ISO/IEC 27007 (audit del SGSI), ISO/IEC 27008 (audit dei controlli di sicurezza), la ISO/IEC 27019 (controls for the energy utility industry), la ISO/IEC 27012 (competenze). Queste norme dovrebbero essere pubblicate nella primavera del 2018 (per la ISO/IEC 27018 i tempi dovrebbero essere più lunghi).

Ulteriori lavori non relativi alla "famiglia ISO/IEC 27000" hanno riguardato, tra gli altri:
- avvio dei lavori la ISO/IEC 27552 dal titolo "Extension to ISO/IEC 27001 for privacy management" (anche qui i tempi di pubblicazione saranno di almeno 3 anni);
- avvio della revisione della ISO/IEC 27031 ("Guidelines for information and communication technology readiness for business continuity");
- avvio preliminare dei lavori per lo standard ISO/IEC 27101 sulla cyber-security (tempi previsti molto lunghi);
- avvio dei lavori per la norma ISO/IEC 27102 dal titolo "Guidelines for cyber insurance".

Ringrazio Fabio Guasconi per avermi fornito alcuni spunti per questo aggiornamento (in altre parole, gli errori sono miei).

Novità sugli esami ITIL

La notizia è di gennaio:
- https://www.axelos.com/news/new-partnership-announced.

Una breve sintesi: le licenze ITIL sono di proprietà dell'inglese OCG, che ha assegnato ad Axelos (dopo una gara) il compito di gestirle (includendo le regole sulle certificazioni ITIL). Prima di Axelos, questo ente era APMG.

Axelos controlla, fino a fine 2017, 5 enti esaminatori (CB, certification bodies). I più famosi in Italia sono APMG e Exin (notare che APMG agiva in passato sia come gestore delle licenze ITIL sia come ente esaminatore, con malcontento degli altri).

Gli enti esaminatori avevano la responsabilità di selezionare e controllare l'operato degli enti di formazione (ATO, accredited training organizations, e AEO, accredited examination organizations), ossia gli enti che erogano i corsi e fisicamente organizzano le sessioni d'esame (gli esami sono forniti dagli enti esaminatori).

Axelos, da gennaio, ha stabilito che l'ente esaminatore, dal 1 gennaio 2018, sarà uno solo: Peoplecert.

Ho tardato a dare la notizia perché volevo chiarirmi le idee. Confesso che non le ho ancora chiare, ma la prima impressione è che questa operazione non mi piace: un unico licenziatario che nomina un unico ente esaminatore non mi convince. Devo anche dire che non so come siano stati selezionati i precedenti 5 enti esaminatori.

La notizia che sicuramente interessa più persone è che i certificati ITIL emessi fino al 31 dicembre 2017 dagli attuali enti esaminatori saranno da ritenersi validi anche in futuro.

PS: so già che alcuni puntualizzeranno il mio riassunto sulla filiera di controllo di CB, ATO e AEO. Mi scuso per le imprecisioni.

venerdì 21 aprile 2017

ISO/IEC 27003:2017 - Guida alla ISO/IEC 27001

Sono molto felice di annunciare la pubblicazione della nuova versione della ISO/IEC 27003 dal titolo "Information technology - Security techniques - Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.

I più attenti avranno notato che il titolo è cambiato e non si tratta più di una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un ISMS, ossia alla ISO/IEC 27001.

Ho partecipato molto attivamente ai lavori di redazione di questa norma e sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)

Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una per il sistema di gestione e una per la sicurezza delle informazioni) oppure si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle informazioni, si dà pari valore a quelle "tradizionali" basate su asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e permetterà di valutare approcci forse più efficaci per la valutazione del rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria" presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse più chiara, di "criteri di accettazione del rischio e criteri per svolgere la valutazione del rischio".

giovedì 20 aprile 2017

DPCM 17 febbraio 2017 sulla sicurezza informatica nazionali

Paola Iacobellis mi ha informato del DPCM 17 febbraio 2017 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali". Si tratta di un aggiornamento del DPCM del 24 gennaio 2013.

Paola mi ha segnalato il link dove reperirlo:
http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html.

Non è facilissimo capire a chi si applica nella pratica (bisogna recuperare il Decreto del ministero degli Interni del 9 gennaio 2008 e gli Allegati II e III della Direttiva NIS).

Da questa documentazione, intuisco che i soggetti a cui si applica il DPCM (le Infrastrutture critiche) devono interfacciarsi con il "Nucleo per la sicurezza cibernetica", a cui comunicare eventuali incidenti, e con il Comitato interministeriale per la sicurezza della Repubblica (CISR), che deve indicare le "best pratices e misure rivolte all'obiettivo della sicurezza cibernetica".

Dopo questo, ho cercato di capire come avere maggiori informazioni su questi due soggetti. Non ho trovato nulla. Eppure sarebbe importante per capire come contattarli (nel primo caso) o avere aggiornamenti in merito alle misure da applicare (nel secondo caso). Il sito http://www.sicurezzanazionale.gov.it non riporta molto e, ahimè, l'associazione degli esperti delle infrastrutture critiche (http://www.infrastrutturecritiche.it/aiic/) mi sembra ferma da troppo tempo, per lo meno sul sito web.

Un articolo che mi è sembrato chiaro in merito è questo:
https://www.sicurezzaegiustizia.com/istituito-il-nucleo-per-la-sicurezza-cibernetica/.

Chiunque voglia aiutare ad approfondire questo argomento è benvenuto.

PS: i più attenti avranno notato che non ho fatto commenti sull'uso del termine "cibernetica". Li faccio adesso: è usato scorrettamente e purtroppo da "esperti".

Rapporto semestrale MELANI

Segnalo sempre, perché mi sembra interessante, il rapporto semestrale MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Svizzera. Ad aprile è uscito il rapporto 2016/2:
https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2016-2.html.

mercoledì 12 aprile 2017

Linee guida WP Art. 29 (DPO, DPIA e altre)

Pierfrancesco Maistrello mi ha segnalato che il WP Art. 29 ha pubblicato, il 5 aprile, una nuova linea guida e la revisione di linee guida già pubblicate. Si trovano qui:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Ricordo che il WP Art. 29 sarà, da maggio 2018, un comitato dei Garanti europei, quindi le sue indicazioni sono molto importanti.

La nuova linea guida è quella relativa al Privacy impact assessment (DPIA). Non sembra riportare elementi particolarmente innovativi, per lo meno per chi ha già avuto modo di riflettere su questo tema. Pierfrancesco Maistrello mi segnala però quanto è importante l'Annex 2, che riporta i "Criteria for an acceptable DPIA".

Tra le linee guida aggiornate, ha particolare rilevanza quella sul DPO. Pierfrancesco Maistrello me ne fa un riassunto: "Le modifiche sono poche e quelle più importanti sono: maggior numero di esempi di quando è necessario prevedere un DPO; un intero paragrafo relativo al DPO condiviso tra più organizzazioni".

Le altre due linee guida aggiornate sono quelle sull'interoperabilità e quella sull'identificazione dell'autorità garante.

lunedì 10 aprile 2017

Misure minime per la PA

A ottobre 2016 avevo segnalato la pubblicazione delle "Misure minime di AgID per la PA" (con anche le mie critiche):
http://blog.cesaregallotti.it/2016/10/misure-minime-di-agid-per-la-pa.html.

Il 17 marzo 2017 AgID ha comunicato ufficialmente alle PA il dovere di predisporre una relazione, entro il 31 dicembre, sullo stato di attuazione delle medesime.

La circolare 1/2017 di AgID sulla Gazzetta ufficiale (Permalink):
www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg.

Il comunicato stampa di AgID:
http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa.

Ringrazio Franco Ferrari di DNV GL e Daniela Quetti per questa segnalazione.

giovedì 6 aprile 2017

Mailing list: scuse e richiesta di consiglio

Sono arrivato ad avere circa 700 iscritti alla mailing list. Altri hanno più seguito (iscritti, follower, contatti e amici), ma si tratta di un bel numero, considerando gli argomenti specialistici trattati.

Il mio SMTP però da dicembre blocca gli invii a più di 50 persone. Alcuni hanno ricevuto più copie della newsletter perché cercavo di capire e risolvere il problema. La soluzione tampone (o workaround) non è agevolissima e richiede pazienza.

Purtroppo poi ho avuto dei problemi al mio pc ho potuto recuperare solo la mailing list aggiornata a dicembre. Ho recuperato poi le richieste di iscrizione, ma anche questa volta alcuni riceveranno più volte la stessa newsletter. Di questo mi scuso.

Vi chiedo quindi se avete dei consigli da darmi. Vorrei evitare l'uso di servizi made in USA come Mailchimps o Google Groups perché i noti problemi di privacy. Soluzioni europee come MailUp costano e io dalla newsletter non ci guadagno quasi niente (non ho mai voluto presentare offerte economiche da "super-consulente").

Vi ringrazio anticipatamente per l'aiuto.

lunedì 3 aprile 2017

Rapporto Clusit 2017

Segnalo che è disponibile il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, la pubblicazione di riferimento in materia:
https://clusit.it/rapporto-clusit/.

giovedì 30 marzo 2017

Servizi aziendali sul web e sicurezza

Nell'ultima newsletter HSC, ho trovato un editoriale di Hervé Schauer che tratta di un argomento che spesso mi ha fatto pensare. Ossia: se un'azienda fornisce accesso via web a email e server aziendali, automaticamente accetta che il personale acceda ai dati aziendali su dispositivi personali e possa scaricarli.

Io segnalo questo articolo perché in realtà vedo troppi miei interlocutori sorpresi dal pensiero che, sì, in effetti, permettere gli accessi via web implica permettere gli accessi da qualsiasi tipo di dispositivo anche personale.

Hervé Schauer segnala la funzionalità di accesso condizionale offerta da Office 365 e ricorda che così facendo si riduce un rischio, ma si accetta che sia Microsoft a gestire la propria Active Directory.

Ecco quindi che ho scoperto che ci sono soluzioni per ridurre il rischio degli accessi dal web alle risorse aziendali (così alcuni miei interlocutori si sorprenderanno ancora di più).

La Newsletter HSC:
http://www.hsc-news.com/archives/2017/000143.html.

L'articolo di Microsoft sull'accesso condizionale:
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access".

Nota finale: mi pare di capire che questa funzionalità sia stata introdotta meno di un anno fa, quindi forse non sono stato troppo disattento; è anche vero che sul web si evidenziano troppo gli articoli inutili sulla "cybersecurity" e troppo poco quelli veramente importanti per la sicurezza delle informazioni.

martedì 14 marzo 2017

Diritto d'autore e produzione software

Una vera coincidenza: la sera un cliente mi chiede informazioni sul diritto d'autore del software prodotto dal personale e il mattino dopo la newsletter di Filodiritto riporta una sentenza proprio su questo argomento:
http://www.filodiritto.com/articoli/2017/03/a-chi-spetta-il-diritto-di-sfruttamento-economico-del-software-il-caso-del-software-commissionato-da-una-societa-ad-un.html.

Mi sembra molto chiaro e quindi lo segnalo.

mercoledì 8 marzo 2017

Aggiornamento libro "Sicurezza delle informazioni"

Ho aggiornato il mio libro "Sicurezza delle informazioni". Maggiori dettagli si trovano in questa pagina:
http://www.cesaregallotti.it/libro.html.

Segnalo che le modifiche non sono molto numerose. Ho ovviamente aggiornato i  riferimenti alla normativa privacy e al Regolamento eIDAS e ho introdotto qualche nuovo esempio. Tutte le modifiche sono comunque frutto di aggiornamenti che ho segnalato sul blog e sulla newsletter.

In altre parole: se avete già comprato una copia della precedente edizione, oltre a ringraziarvi, vi invito a non acquistare la nuova edizione. A meno che non vogliate avere la mia foto del Perito Moreno (ma in quel caso vi prego di scrivermi e ve la mando).

Per questa edizione ringrazio Pierfrancesco Maistrello e Francesca Lazzaroni per una rilettura delle bozze e i loro suggerimenti. Ancora di più ringrazio Stefano Ramacciotti, che anche per questa edizione si è prodigato di consigli e suggerimenti (oltre a continuare a regalarmi l'appendice sui Common Criteria e altre parti di testo).

lunedì 6 marzo 2017

Controlli Essenziali di Cybersecurity

Stefano Ramacciotti mi ha segnalato la pubblicazione di CINI dal titolo "2016 Italian Cybersecurity Report: Controlli Essenziali di Cybersecurity" che si può scaricare da qui:
http://www.cybersecurityframework.it/.

Non mi sembra male, anche se ho sempre delle riserve per chi promuove uno schema made in USA al posto di uno di livello internazionale (le ISO/IEC 27001, come invece fa ENISA) e per chi usa il termine "cibernetica" in modo scorretto.

Altra perplessità: sullo stesso sito si fa riferimento alle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni", pubblicate di recente, che sono diverse dai "Controlli essenziali". Il tutto mi sembra possibile fonte di confusione.

Comunque, se questa iniziativa può servire a migliorare la cultura in materia di sicurezza informatica, ben venga.

Linee guida ENISA per la valutazione del rischio per le PMI

Pierfrancesco Maistrello mi ha segnalato le "Guidelines for SMEs on the security of personal data processing" di ENISA:
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing.

Presenta un metodo semplificato di valutazione del rischio per il trattamento dei dati personali. Ritengo sia da considerare anche per altre finalità, come per esempio la certificazione ISO/IEC 27001 (in altre parole, mi sembra un metodo ancora più semplice del mio VERA).

Inoltre ENISA elenca un insieme di contromisure, tratte dalla ISO/IEC 27001, da attuare per il controllo del rischio.

Forse l'ho già detto, ma lo ripeto: mi pare che ENISA stia facendo quello che il NIST ha smesso di fare, ossia scrivere documenti semplici ma pragmatici e rigorosi.

Privacy, call centre e protezionismo

Pierfrancesco Maistrello mi ha segnalato anche questa. La legge di stabilità 2017 cerca di proteggere i call centre italiani. Per questo anche il Garante privacy ha aumentato le pratiche burocratiche per lo spostamento dei call centre all'estero.

Un articolo in merito alle novità sui call centre:
http://www.publicpolicy.it/analisi-%e2%80%8bcall-center-privacy-protezionista-lavoratori-67376.html.

La nota informativa del Garante privacy "Nuove disposizioni normative concernenti le attività di call center":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6029202.

mercoledì 1 marzo 2017

Privacy e accessi degli AdS

Pierfrancesco Maistrello (ormai mio spacciatore ufficiale di novità dal Garante) mi ha segnalato questa "Ordinanza di ingiunzione nei confronti di Planetel s.r.l. - 22 dicembre 2016":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6032975.

Il punto importante riguarda una prassi solitamente seguita per l'autenticazione degli AdS, ossia: accesso con credenziali personali ad un desktop remoto, successivo accesso con credenziali condivise al sistema da amministrare. Questa prassi si basa sul fatto che l'accesso al desktop remoto permette di risalire a chi è poi acceduto ai sistemi con credenziali condivise (in modo simile al comando "su" dei sistemi Unix e Linux).

Il Garante ha detto che questa prassi non è conforme alle misure minime.

Scrive Pierfrancesco: "Servirà a convincere i, tuttora molti, riottosi all'assegnazione univoca di credenziali amministrative?". Non saprei rispondergli.

L'ordinanza riporta altre violazioni, a mio parere meno interessanti e quindi non le evidenzio in questa occasione.

Configurare il browser in modo sicuro

Questa pagina (da un retweet di @pstirparo) di istruzioni su come configurare il browser per una navigazione sicura mi sembra interessante:
https://gist.github.com/atcuno/3425484ac5cce5298932.

Mi pare possa essere utile da segnalare quando qualcuno mi chiede come configurare un pc.

Linee guida ENISA per la sicurezza dei Digital Service Providers

ENISA ha pubblicato un documento dal titolo "Technical Guidelines for the implementation of minimum security measures for Digital Service Providers":
https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers/.

La pagina di presentazione è:
https://www.enisa.europa.eu/news/enisa-news/security-measures-for-digital-service-providers.

Mi sembra ben fatto e di facile lettura. Forse ENISA sta facendo quello che il NIST ha smesso di fare, ossia documenti di semplice lettura.

Forse non sentivo la mancanza di un altro documento con le misure di sicurezza.

Da un tweet di @Silvia_Mar_

Imprese: informazioni di carattere non finanziario

Il Decreto legislativo 254/2016 riguarda la comunicazione di informazioni di carattere non finanziario e sulla diversità. Esso recepisce la direttiva 2014/95/UE riguardante la comunicazione di informazioni di carattere non finanziario di imprese e gruppi di grandi dimensioni.

La Fondazione nazionale dei commercialisti ha pubblicato una panoramica di queste nuove disposizioni:
http://www.fondazionenazionalecommercialisti.it/node/1201.

La materia mi è largamente ignota. Capisco che la normativa richiede di pubblicare informazioni: di carattere ambientale, di carattere sociale, inerenti alla gestione del personale, inerenti alla tutela dei diritti umani, riguardanti la lotta contro la corruzione. E quindi tutto ciò non è pertinente alle materie di cui mi occupo.

Però... magari in questo documento potrebbero trovare posto considerazioni sulla qualità, la sicurezza delle informazioni e i processi del sistema di gestione. Viceversa, da un documento così si potrebbero ricavare informazioni utili per l'analisi dei "rischi e opportunità" richiesti dagli standard ISO. E forse questo può rendere l'adozione degli standard ISO ancora meno formale e più pratica.

Queste sono solo riflessioni personali. Se altri possono fornire contributi, ne sarò lieto.

lunedì 27 febbraio 2017

Certificazione conservatori (nuove regole)

Accredia ha pubblicato le nuove regole per la certificazione dei conservatori:
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=113&IDCTX=5418&id_context=5418.

Rispetto alle precedenti regole, le giornate si sono ridotte arrivando, in prima certificazione, a circa 8 (prima erano 13 o 11).

Preferisco non commentare.

Non sono invece state fornite le scadenze entro le quali vanno effettuate le verifiche secondo il nuovo schema. Tali informazioni dovranno essere comunicate da Agid.

Grazie a Simona Montinari di DNV GL per la segnalazione.

giovedì 23 febbraio 2017

BCI Horizon Scan 2017

Inizio anno, tempo di rapporti sulla sicurezza, con tutti i loro punti positivi e negativi. L'Horizon Scan è quello del BCI:
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.

Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.

Norma italiana per DPO

Mi informa Fabio Guasconi che è in fase di inchiesta pubblica la bozza di norma tecnica UNI/UNINFO che definisce i profili e le competenze dei professionisti che lavorano nella privacy, inclusi quindi DPO:
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.

Scadenza: 25 marzo.

lunedì 20 febbraio 2017

Provvedimento su trattamenti dati sul posto di lavoro

Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.

Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.

Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.

Le 7 tecniche di attacco più pericolose

Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata a RSA 2017, di lista:
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.

Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.

E quindi cosa fare? Non lo dicono.

giovedì 16 febbraio 2017

sabato 11 febbraio 2017

Prodotti di sicurezza insicuri

Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.

Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".

Grazie Marco.

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

lunedì 6 febbraio 2017

Linee guida DPO in Italiano

Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.

Ingiunzione a responsabile del trattamento

Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.

Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?

Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.

martedì 31 gennaio 2017

GDPR e nomina dei responsabili privacy

Il Regolamento europeo privacy (GDPR) riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. Queste risultano più precise di quelle previste dal Codice privacy. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico.

Tale atto deve riportare:
- oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati;
- clausole di riservatezza;
- garanzia di aver stipulato con il personale con accesso ai dati un obbligo di riservatezza;
- divieto di uso di fornitori da parte del responsabile per il trattamento dei dati senza autorizzazione del titolare;
- impegno, in caso di uso autorizzato di fornitori del responsabile, di prevedere un contratto scritto con riportati i medesimi a cui è soggetto il responsabile;
- le regole da seguire nel trattamento dei dati per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali;
- divieto, senza previa autorizzazione del titolare, di trasmettere o conservare i dati in Paesi extra-UE o di fornire accesso a tali dati a personale sito in Paesi Extra-UE;
- l'impegno a verificare periodicamente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento;
- l'impegno a dare seguito alle richieste avanzate dal titolare o dagli interessati per dare seguito all'esercizio dei diritti degli interessati al trattamento dei dati personali in modo da poter dare loro risposta entro 30 giorni dalla richiesta;
- l'impegno a comunicare al titolare eventuali violazioni ai dati personali trattati e fornire assistenza al titolare nel caso in cui si manifestino tali eventi;
- la cancellazione o restituzione dei dati al termine delle prestazioni;
- il diritto di audit da parte del titolare.

Si tratta di clausole molto impegnative e sembrano più applicabili a responsabili esterni che interni. Questo anche considerando quanto scritto da Gianfranco Butti in un articolo su Europrivacy:
- http://europrivacy.info/it/2016/07/19/the-internal-data-processor-and-the-gdpr/.

Se ci pensiamo attentamente non pare logico prevedere responsabili interni e strutturare un'azienda su solo 3 livelli gerarchici (titolare, responsabile e incaricato). È anche vero che il GDPR consente esplicitamente la nomina di responsabili da parte dei responsabili e questo permetterebbe la strutturazione in più livelli. Dall'altra parte, invece, si può immaginare che in un'azienda i ruoli e le responsabilità vengano distribuiti non in conformità agli articoli 28 e 29, ma secondo la "normale" gerarchia interna. Il GDPR, infatti, usa il termine "processor", difficilmente applicabile ad una persona e facilmente applicabile ad un'impresa.

Altri (libro "Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali" di Enrico Pelino, Luca Bolognini, Camilla Bistolfi) confermano questa lettura.

Se letto in questo modo, il GDPR ci imporrebbe un completo ripensamento su come vedere questi concetti.

martedì 24 gennaio 2017

Segreto industriale e misure di protezione

Da Filodiritto segnalo questo articolo dal titolo "Segreto industriale: l'importanza delle misure di protezione":
- http://www.filodiritto.com/articoli/2017/01/segreto-industriale-limportanza-delle-misure-di-protezione.html.

Un ex socio di un'azienda ha usato, per una concorrente, dei progetti preparati per la prima azienda.

La causa successiva ha evidenziato quali misure dovrebbero essere messe in atto da un'azienda per proteggere (e dimostrare di voler proteggere) i propri segreti industriali:
- ricordare ai propri dipendenti e collaboratori della natura delle informazioni e della necessità di mantenere il segreto sia come condizione contrattuale, sia come informazione comunque diretta a collaboratori e dipendenti (art. 98 e 99 del Codice della proprietà industriale, D. Lgs. 30 del 2005);
- predisporre meccanismi per impedire l'accesso ai dati (almeno sotto forma di istruzioni scritte), dove la conservazione su un unico computer personale con accesso controllato da password non pare sufficiente (mentre poteva avere maggiore valore la conservazione su un server "aziendale").

martedì 17 gennaio 2017

Fattura b2b dal 9 gennaio

Dal 9 gennaio è partita la fattura elettronica tra privati. Ecco un articolo di Andrea Caccia e Daniele Tumietto che presenta l'iniziativa e i suoi problemi da un punto di vista teorico e poi pratico:
- http://www.agendadigitale.eu/fatturazione-elettronica/parte-la-fattura-elettronica-tra-privati-ma-e-un-caos-ecco-che-fare_2811.htm.

Eye Piramid

Tutti avete sentito parlare della vicenda dei fratelli Occhionero e di Eye Piramid, i due spioni che hanno raccolto dati dai pc di persone note. Per chi vuole leggere una sintesi della storia, ecco un link:
- http://cybersecurity.startupitalia.eu/53903-20170111-eye-pyramid-the-italian-job-storia-malware-spionaggio-massoneria.

Un'analisi di Trend Micro:
- http://blog.trendmicro.com/trendlabs-security-intelligence/eye-storm-look-eyepyramid-malware-supposedly-used-high-profile-hacks-italy/.

Una sintesi tecnica (e non solo), in Italiano, di Stefano Zanero:
- https://www.facebook.com/raistolo/posts/10155658726324307.

Purtroppo non trovo articoli significativi su come difendersi da questi attacchi. Certo: c'è il pieno di articoli che dicono "state attenti ai file che aprite", ma questo non è niente di nuovo.

Ringrazio Sandro Sanna, che per primo mi ha segnalato la notizia.

Divieto di GPS per i lavoratori

Dalla newsletter di Filodiritto segnalo la seguente notizia: "GPS - Ispettorato Nazionale del Lavoro: è vietato l'utilizzo del sistema GPS sull'auto aziendale senza un accordo sindacale". L'Ispettorato, il 7 novembre 2016, ha infatti pubblicato la circolare 2/2016 in merito all'uso di GPS:
- http://www.filodiritto.com/news/2017/gps-ispettorato-nazionale-del-lavoro-e-vietato-lutilizzo-del-sistema-gps-sullauto-aziendale-senza-un-accordo-sindacale.html.

Ricordo alcune notizie correlate all'uso di GPS:
- moduli per la richiesta di autorizzazione all'uso di GPS (http://blog.cesaregallotti.it/2016/05/modulo-unificato-per-videosorveglianza.html);
- possibilità di usare il GPS per rilevare abusi o usi illeciti di strumenti aziendali (http://blog.cesaregallotti.it/2015/11/nuovo-statuto-dei-lavoratori-riflessioni.html), forse in contrasto con la recente circolare.

Europa: contro la conservazione dei dati di traffico

Da Filodiritto segnalo la seguente notizia: "Privacy - Corte di Giustizia dell'Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica":
- http://www.filodiritto.com/news/2017/privacy-corte-di-giustizia-dellunione-europea-gli-stati-membri-non-possono-imporre-un-obbligo-generale-di-conservazione.html.

Non credo che questa sentenza abbia impatti sul nostro Dlgs 109 del 2008, ma vedremo se ci saranno aggiornamenti.

lunedì 16 gennaio 2017

Documenti ENISA su privacy on line, pagamenti elettronici, aeroporti, automobili

Fabio Teoldi, che ringrazio, mi ha segnalato che ENISA a dicembre 2016 e gennaio 2017 ha pubblicato 4 documenti interessanti.

1- "PETs controls matrix - A systematic approach for assessing online and mobile privacy tools": misure da applicare (o da verificare) per assicurare la privacy nei sistemi online (soprattutto siti web e applicazioni per dispositivi mobili):
- https://www.enisa.europa.eu/publications/pets-controls-matrix/pets-controls-matrix-a-systematic-approach-for-assessing-online-and-mobile-privacy-tools.

2- Security of Mobile Payments and Digital Wallets: uno studio di 3 piattaforme (Apple Pay, Google Wally e Android Pay, Samsung Pay) seguito da alcune raccomandazioni (troppo poche, a mio avviso):
https://www.enisa.europa.eu/publications/mobile-payments-security.

3- Securing Smart Airports: un elenco di 44 controlli di sicurezza applicabili ai sistemi informatici per gli aeroporti (ma non solo, a mio parere):
https://www.enisa.europa.eu/publications/securing-smart-airports.

4- Cyber Security and Resilience of smart cars": un elenco di "good practices" soprattutto tecniche (precedute da troppe pagine di analisi), da considerare non solo per le automobili:
https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/.

domenica 15 gennaio 2017

Certificazione conservatori e SPID

Accredia ha pubblicato le regole per la certificazione dei conservatori e dei gestori SPID, sulla base di quanto concordato con AgID:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=2356&areaNews=95&GTemplate=default.jsp.

Per chi vuole essere qualificato da AgID come conservatore o gestore SPID, rimane il percorso in due fasi: prima una certificazione da parte di un Organismo di certificazione accreditato (da Accredia) e poi la domanda ad AgID.

In questo modo si allineano le procedure per i servizi fiduciari previsti dal Regolamento europeo eIDAS e quelli più specificatamente italiani (SPID e conservazione).

Ringrazio Andrea Caccia per la segnalazione di questa importante notizia.

sabato 14 gennaio 2017

Privacy e Registro delle opposizioni

Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l'elenco del telefono, per intenderci), a meno che l'utente non eserciti il "diritto di opt-out", iscrivendosi al Registro delle opposizioni (io l'ho fatto, ma ancora troppe volte ricevo telefonate indesiderate).

Il nuovo Regolamento europeo sulla privacy (GDPR) non prevede questa possibilità. Quindi, un'azienda che vuol fare marketing diretto telefonico deve lavorare con il consenso degli interessati.

Rimarrà però il solito alibi: "il numero di telefono, forse, non è un dato personale". A questo problema dovrà rispondere, se mai vedrà la luce, il futuro Regolamento ePrivacy, recentemente proposto dalla Commissione europea.

Ringrazio Pierfrancesco Maistrello, che mi ha confermato la mia conclusione, approfondendola.

Privacy: La notificazione al Garante dei trattamenti

Rileggendo il GDPR (Regolamento europeo sulla privacy), mi sono accorto che non ho trovato traccia della "notificazione al Garante" di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.

In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d'impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o PIA).

Infatti, nei considerando del Regolamento (dall'89) si legge che la notificazione "non ha sempre contribuito a migliorare la protezione dei dati personali".

A questo punto, quindi, i titolari saranno tenuti ad effettuare delle PIA per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante (supervisory authority).

Ciascun Stato, infine, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.

Ringrazio Pierfrancesco Maistrello di Vecomp, perché è lui che mi ha fornito la risposta al mio dubbio.

Atti sottoscritti con Firma Elettronica Avanzata

Andrea Caccia mi ha segnalato il suo articolo dal titolo "Atti sottoscritti con Firma Elettronica Avanzata: il rischio nullità":
- https://www.linkedin.com/pulse/atti-sottoscritti-con-firma-elettronica-avanzata-il-rischio-caccia.

Tratta della validità legale della firma elettronica avanzata e del rischio nullità nel caso in cui un soggetto non fosse in grado, in caso di contenzioso, di dimostrare che la propria soluzione risponda ai requisiti previsti dalle regole tecniche.

È un articolo piuttosto tecnico sulla validità delle FEA dopo la pubblicazione di eIDAS e del nuovo Codice dell'amministrazione digitale. Per chi non è addetto ai lavori, però, questo articolo ricorda che purtroppo l'uso di "nuove tecnologie" ha dei rischi, visto che la legislazione non è (ancora) stabile.

Proposta di nuovo Regolamento privacy sulle comunicazioni elettroniche

Fornisco la notizia (e ringrazio Pierfrancesco Maistrello di Vecomp) che la Commissione Europea vuole proporre un nuovo Regolamento, da affiancare al GDPR (Regolamento europeo sulla privacy) e sostitutivo della Direttiva 2002/58 (Direttiva ePrivacy, nota soprattutto per il Provvedimento sui cookies), in merito alle comunicazioni elettroniche:
- https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications.

Come al solito, i tempi sono incerti e il testo finale potrà essere molto diverso da quello ora proposto. Come per il GDPR, fioccheranno corsi (a pagamento) e consulenti agitati. Io, come già feci per il GDPR (ma senza molto successo), consiglio di aspettare la pubblicazione del testo definitivo.

Per chi vuole approfondire un po' di più sul contenuto della proposta, segnalo questo articolo di Europrivacy:
- http://europrivacy.info/it/2017/01/12/italiano-pronta-la-proposta-di-regolamento-su-privacy-e-comunicazioni-elettroniche/.

Infine, un mio lettore anonimo mi ha segnalato 6 comunicati stampa, tutti del 10 gennaio, della Commissione Europea e pertinenti proposte su privacy, data economy e servizi elettronici ai cittadini. Sia io che il mio lettore preferiamo non dedicare troppo tempo a proposte che poi non si sa bene in che tempi e in che modi finiranno. Però magari altri sono curiosi:
- http://europa.eu/rapid/press-release_IP-17-5_en.htm;
- http://europa.eu/rapid/press-release_IP-17-16_en.htm;
- http://europa.eu/rapid/press-release_IP-17-23_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-6_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-15_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-17_en.htm.

mercoledì 11 gennaio 2017

Procure e fornitori IT privati

La notizia è di fine novembre 2016. Se ho capito correttamente, nel 2015 la Procura di Trieste ha un guasto ai propri server usati per le intercettazioni e chiede aiuto per il recupero di un file al fornitore del servizio di assistenza informatica (Area S.p.A.). La referente di Area S.p.A. riesce a recuperare il file dal proprio pc aziendale. Dopo aver ringraziato, la Procura riflette sul fatto che copie dei file delle intercettazioni sono conservate su pc di persone esterne alla Procura stessa e avvia delle indagini:
- http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml.

Due giorni dopo, il Ministero della giustizia invia una circolare alle Procure per chiedere di "alzare la soglia di allerta sulla sicurezza dei sistemi informativi delle intercettazioni":
- http://milano.corriere.it/notizie/cronaca/16_novembre_30/intercettazioni-ministero-pm-80bf5490-b678-11e6-9fa1-de32925f0429.shtml.

A gennaio si tiene presso il ministero un incontro tra i capi delle Procure per discutere del problema e vengono fuori delle preoccupazioni da parte dei presenti in merito all'accesso da remoto dei fornitori privati, alla mancanza di personale interno qualificato presso le Procure, alla mancanza di un albo delle ditte qualificate. Un procuratore si è anche vantato di aver protetto la propria infrastruttura con un "apposito firewall":
- http://milano.corriere.it/notizie/cronaca/17_gennaio_11/intercettazioni-capi-procure-1ec86626-d76d-11e6-94ea-40cbfa45096b.shtml.

Premetto che in passato ho avuto modo di conoscere Area S.p.A. e posso solo dire che: a) ho apprezzato la dichiarazione di Andrea Formenti; b) so che hanno molto a cuore la sicurezza dei dati. Di più non posso dire.

La ragione per cui presento questo caso è che rende pubblico un classico rapporto cliente-fornitore.

Da quanto scritto sui giornali, escludo che Area S.p.A. facesse raccolta dati per finalità di profilazione o simili. Se così fosse, la referente di Area S.p.A. non avrebbe palesato la possibilità di recuperare i dati.

Quindi cosa rimane? Immagino questo: il fornitore dice al cliente che sarebbe opportuno investire anche in un sistema di backup; il cliente non ritiene invece opportuna questa misura (magari, addirittura, avrà chiesto di toglierla dall'offerta per ridurre i costi); il fornitore, però, sa bene che alla prima difficoltà il cliente gli creerà dei problemi e quindi si arrangia, facendo backup su un'infrastruttura sicura (di questo ne sono certo), anche se per questo deve ricorrere ad un barbatrucco.

E, alla prima difficoltà, il cliente ha creato comunque problemi. Dimostrando anche elevata incompetenza: pensa di risolvere il problema dei backup con "apposito firewall" o con un albo di fornitori; non si chiede perché il fornitore avesse accesso incondizionato da remoto (anche se immagino perché nessuno della Procura avesse voglia di aprire e chiudere porte del firewall per consentire le manutenzioni in emergenza anche di notte); pensa di risolvere il problema, pochi giorni dopo, inviando una circolare (7 pagine che risolvono i problemi) nonostante le medesime procure abbiano chiesto numerose proroghe per adeguarsi alle prescrizioni del 2013 (!) del Garante privacy in materia di sicurezza.

Non so se Area S.p.A. ha comunicato preventivamente alla Procura di Trieste le carenze di sicurezza riscontrate (inclusa la mancanza di un sistema di backup "a regola d'arte"), ma sono convinto che finora la carenza di soldi e di competenze ha dettato le scelte dei clienti. E la colpa, come sempre e nonostante tutto, è dei fornitori.

martedì 10 gennaio 2017

Industria 4.0

Con la Legge di stabilità 2017 (Legge, 11/12/2016 n° 232, G.U. 21/12/2016 per chi volesse cercarla su www.normattiva.it), il Governo ha prorogato un "superammortamento" e stabilito un "iperammortamento" per i beni digitali.

Queste facilitazioni sono applicabili anche a "software, sistemi, piattaforme e applicazioni per la protezione di reti, dati, programmi, macchine e impianti da attacchi, danni e accessi non autorizzati". Questa mi pare una buona iniziativa.

Tutti gli altri investimenti di tipo informatico non sono collegati ad una garanzia di sicurezza informatica e forse questa poteva essere un'occasione per migliorare il livello di sicurezza informatica delle nostre imprese.

Segnalo due articoli di sintesi di Altalex:
- http://www.altalex.com/documents/news/2016/10/17/legge-di-stabilita-2017;
- http://www.altalex.com/documents/news/2016/12/27/legge-di-bilancio-2017-la-tabella-delle-novita.

Ringrazio Edmea De Paoli del TUV Nord per le riflessioni fatte su questa Legge.

venerdì 6 gennaio 2017

Alternative a TrueCrypt

Sophie Hunt mi ha scritto perché in alcuni post ho citato TrueCrypt senza poi fornire aggiornamenti.

Lei stessa si segnala un articolo in cui ne è spiegata la storia e ne sono fornite, con descrizione dei pro e contro, alternative (VeraCrypt, Bitlocker, DiskCryptor, Ciphershed, FileVault 2 e LUKS):
- https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/.

Misurazioni e pulizie

In questi giorni, mi hanno raccontato un esempio di misurazioni fallaci che mi sembra interessante.

Il personale delle pulizie degli hotel è spesso misurato unicamente in base al tempo (molto basso) impiegato a pulire le camere. Questo però ha creato problemi non tanto di pulizia (gli addetti sono comunque dei professionisti), ma di manutenzione, visto che il personale, considerate le misure, non aveva tempo per segnalare i problemi riscontrati. E i consulenti e gli auditor che sono spesso in albergo sono ben consapevoli di questo problema. In effetti mi è sempre sembrato stupido trovare camere bellissime e ben pulite, ma con lampadine rotte, gli scarichi lenti, le porte cigolanti, le docce piene di calcare.

Alcuni hotel hanno finalmente capito che la velocità e la "misura esatta" non sono tutto, anche se costituiscono un parametro da considerare insieme ad altri (per esempio, le lamentele degli ospiti relative a problemi non segnalati).

Nuova ISO/IEC 27004:2016 sulle misurazioni della sicurezza

È stata pubblicata la ISO/IEC 27004:2016, dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64120.

Questa norma sostituisce la precedente versione del 2009 e mi trova maggiormente soddisfatto.

In particolare, è stata ridotta moltissimo la parte teorica. In questo modo è più facile interpretare il requisito della ISO/IEC 27001 e cogliere indicazioni su come applicarlo.

Ancora più importanti sono i 35 esempi finali, che forniscono un valido punto di partenza per chi vuole attuare un sistema di gestione per la sicurezza delle informazioni. Ne approfitto per dire che ho apprezzato moltissimo l'idea di dedicare più di metà della norma agli esempi, piuttosto che alla teoria (io poi ho contribuito con qualche esempio, poi migliorato e inserito nel documento finale dal gruppo di lavoro).

In particolare molti di questi esempi suggeriscono un approccio meno fantasioso (e più utile) di alcuni che ho visto negli anni, che prevedevano troppi numeri da presentare alla Direzione, senza interrogarsi sulla loro reale validità. Qui si dimostra che non è necessario seppellire un'azienda sotto troppi numeri, soprattutto quando è di dimensioni ridotte.

Ricordo infine due cose:
1- questa è una linea guida e quindi può essere presa come punto di partenza per riflettere sul tema delle misurazioni della sicurezza; non può essere usata come insieme di requisiti da attuare per la certificazione ISO/IEC 27001 (anche perché gli unici requisiti da attuare sono quelli della ISO/IEC 27001 stessa, non altri);
2- le misurazioni non possono né devono sostituire la conoscenza reale di un'organizzazione; né i manager, né i consulenti, né gli auditor devono dare troppa enfasi a questo aspetto.

martedì 20 dicembre 2016

Chiarimenti sulla "certificazione" di Lead auditor

Segnalo questo articolo di Fabrizio Cirilli dal titolo "Certificazione degli auditor/lead auditor per la ISO/IEC 27001: c'è ancora troppa confusione!":
- http://www.ictsecuritymagazine.com/articoli/certificazione-degli-auditorlead-auditor-la-isoiec-27001-ce-ancora-troppa-confusione/.

Trovo sia importante che quanti richiedono titoli di competenza sappiano di cosa si sta parlando. A mio avviso, Fabrizio ha ben colto il punto.

Nota personale: questo articolo lo lessi a fine novembre su LinkedIn; preso da pigrizia non l'avevo segnalato. Provvedo adesso, seppure un po' in ritardo, grazie ad un tweet di @sramakk, che ringrazio.

Linee guida DPO

Elisa Fontanelli mi ha segnalato la pubblicazione delle "prime linee guida dei Garanti europei", così come proposte dal nostro Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5792160.

La più interessante è quella sui DPO, proposta dal WG Art. 29. In particolare, mi sembrano  importanti alcuni chiarimenti in merito a chi deve obbligatoriamente nominare un DPO.

Alcuni chiarimenti su:
- http://europrivacy.info/it/2017/01/09/dpo-fulfilling-other-tasks-and-conflict-of-interests-in-wp29-guideline-wp243-isaca-frameworks-are-helpful-tools-to-better-define-internal-segregation-of-duties/

sabato 17 dicembre 2016

Parlamento EU e sicurezza nel settore energia

Fabio Teoldi mi ha segnalato quanto segue: il Parlamento Europeo recentemente ha pubblicato il Rapporto "Cyber Security Strategy for the Energy Sector", scaricabile dal sito dello European Parliament Think Tank:
- http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL_STU(2016)587333.

Non si tratta di uno studio con consigli per gli operatori, ma rappresenta una base di partenza per approfondire la materia.

giovedì 8 dicembre 2016

ISO 9002 - Linea guida per la ISO 9001

È stata pubblicata la ISO/TS 9002:2016 dal titolo "Guidelines for the application of ISO 9001:2015":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66204.

Mi è stata segnalata in una conversazione tra auditor DNV GL. Il commento che ha accompagnato la notizia è stato "I contenuti non sono proprio rivoluzionari, ma vale la pena leggerla". Condivido.

sabato 3 dicembre 2016

Pubblicata la ISO/IEC 27011

È stata pubblicata la seconda edizione del 2016 della norma ISO/IEC 27011 dal titolo "Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64143.

Si tratta di una raccolta di controlli di sicurezza, da aggiungere a quelli della ISO/IEC 27002, per gli operatori di telecomunicazioni..