lunedì 19 febbraio 2018

Libro: La vita segreta

Segnalo questo libro dal titolo "La vita segreta: Tre storie vere dell'èra
digitale" di Andrew O'Hagan:
- https://www.adelphi.it/libro/9788845932151.

Non parla di sicurezza delle informazioni (se non in modo funzionale), né di
GDPR.

Però, attraverso tre storie estreme (una su Assange, un'altra su Satoshi e
quella in mezzo su una persona creata solo per l'ambiente virtuale) parla di
identità, bisogno di privacy, bisogno di visibilità e forse altre cose.

Lo consiglio perché mi sembra dica qualcosa a noi che ci occupiamo di
informatica non solo da un punto di vista puramente tecnico, ma anche
culturale, se possiamo dire così.

venerdì 16 febbraio 2018

Articolo sulle certificazioni privacy

Segnalo questo articolo di ICT Security Magazine dal titolo "GDPR perché
certificarsi - La vera ragione economica e il fenomeno della selezione
avversa". Infatti ho trovato qualcuno di più critico di me.
-
https://www.ictsecuritymagazine.com/articoli/gdpr-perche-certificarsi-la-ver
a-ragione-economica-fenomeno-della-selezione-avversa/
.

Nuova privacy per telemarketing (precisazione 2)

Avevo segnalato il nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/02/nuova-privacy-per-telemarketing.html

Alessandro Borgese degli Idraulici della privacy mi ha segnalato che "manca
ancora il decreto attuativo e pertanto le novità introdotte vedranno la luce
tra un po'". Lo dimostra inviandomi questo articolo di Repubblica del 2
febbraio:
-
http://www.repubblica.it/economia/2018/02/02/news/difese_contro_il_telemarke
ting_la_rivoluzione_puo_attendere-187679069/
.

Riassumo dicendo che "ad ora sono in vigore solo alcune delle novità:
l'obbligo del telemarketer a chiamarci con un numero in chiaro e la
corresponsabilità dell'azienda committente della campagna telefonica
illecita (finora invece era sanzionabile solo l'agenzia esecutrice di
quest'ultima)". E che "il punto centrale è il nuovo registro delle
opposizioni, una delle novità che devono aspettare il decreto attuativo per
entrare in vigore. Il nuovo registro include anche i numeri riservati e
quelli cellulare".

Libro bianco della cyber security in Italia (precisazione sul documento)

Recentemente avevo segnalato la nuova edizione del Libro Bianco: "Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici". Avevo detto che i link disponibili sul sito ufficiale (https://www.consorzio-cini.it/index.php/it/) non funzionavano e avevo fornito un link alternativo.

Giancarlo Caroti mi ha fatto notare che il link alternativo rimanda all'edizione precedente del 2015 (che fu presentato a febbraio 2016 in un evento in Sapienza a cui fece un intervento lo stesso Caroti). Giancarlo mi conferma che neanche lui riesce a rintracciare l'edizione del 2017.

Mi scuso per l'errore e, se avrò aggiornamenti, li fornirò.

giovedì 15 febbraio 2018

Circolare Accredia per le certificazioni ISO/IEC 270XX

Come già detto più volte in questa sede, la ISO/IEC 27001 può essere "estesa" ad altre norme cosiddette sector-specific. Tra queste, le più note sono oggi la ISO/IEC 27108:2014 sulla privacy dei servizi cloud e la ISO/IEC 27017 sui servizi cloud in generale. Altre sono disponibili e altre lo saranno (inclusa la ISO/IEC 27552 sulla privacy in generale).

In poche parole: non è possibile certificarsi direttamente su queste norme sector-specific, ma è possibile farle figurare in un certificato ISO/IEC 27001, come sua estensione.

Accredia, l'ente di accreditamento italiano, aveva regolato qualche mese fa le certificazioni ISO/IEC 27018. Io mi ero lamentato perché era assurda questa limitazione ad una sola delle norme sector-specific:
- http://blog.cesaregallotti.it/2017/07/certificazioni-isoiec-27018.html.

Accredia ha quindi rimediato (probabilmente non a causa mia) con la Circolare Tecnica N° 02/2018:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/.

Rimangono alcune bizzarrie, come richiedere auditor competenti anche sulla ISO/IEC 20000 (chissà perché questa e non per esempio la ISO 22301 o altre) e di verificare fisicamente tutti i data centre utilizzati (senza alcuna deroga nel caso in cui questi siano già certificati). Speriamo che in una prossima versione della Circolare tecnica non ci siano queste bizzarie.

mercoledì 14 febbraio 2018

Sviluppo sicuro delle applicazioni: i test di sicurezza

Un altro mio articolo sullo sviluppo sicuro delle applicazioni. Questo ha titolo "Sviluppo sicuro delle applicazioni: i test di sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-test-sicurezza/.

ENISA Handbook per il GDPR

ENISA ha pubblicato a gennaio 2018 un "Handbook on Security of Personal Data Processing":
- https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing/.

In esso trovo cose interessanti:
- la valutazione del rischio per i processi (con i parametri di valutazione degli impatti e della verosimiglianza delle minacce);
- un elenco di misure di sicurezza da considerare per i diversi livelli di rischio.

Mi pare un documento molto interessante perché molto pratico (a differenza di altre pubblicazioni troppo "teoriche").

Alla luce di questo documento dovrò aggiornare il mio VERA per privacy (ahimè).

Meno interessante è la pubblicazione "Privacy and data protection in mobile applications", perché troppo analitica e con poche indicazioni per la sicurezza delle applicazioni per dispositivi mobili:
- https://www.enisa.europa.eu/publications/privacy-and-data-protection-in-mobile-applications/.

Da osservare comunque che la pubblicazione è piena di link ad altri documenti. Andrebbe quindi esaminata con attenzione.

GDPR: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni

Segnalo questo articolo (22 pagine) di Francesco Pizzetti dal titolo "La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni":
- http://www.medialaws.eu/rivista/la-protezione-dei-dati-personali-dalla-direttiva-al-nuovo-regolamento-una-sfida-per-le-autorita-di-controllo-e-una-difesa-per-la-liberta-dei-moderni/.

Non è un articolo "pratico", a differenza di qualche intervento di Pizzetti a dei convegni e che mi sarebbe piaciuto vedere per iscritto. È più una riflessione, come dice il titolo, sul ruolo del Garante.

Perfect SAP Penetration testing

Recentemente ho chiuso un progetto ISO/IEC 27001 in un'azienda molto "sappizzata". Questa serie di articoli, dal titolo "Perfect SAP Penetration testing" mi sarebbe tornata decisamente utile:
- https://erpscan.com/tag/sap-penetration-testing/.

martedì 13 febbraio 2018

ISO/IEC 27000

E' stata pubblicata la nuova versione del 2018 della ISO/IEC 27000, con i termini e definizioni della sicurezza delle informazioni:
- https://www.iso.org/standard/73906.html.

La norma è gratuita, quindi dalla pagina dell'ISO non bisogna "comprare", ma seguire il link di "download". Il download si può anche fare direttamente da questa pagina:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html.

lunedì 12 febbraio 2018

Due sentenze sul controllo dei lavoratori (uso cellulari e videoriprese per furti)

Due sentenze che sembrano interessanti, ambedue su Filodiritto.

La prima è una "verifica preliminare" del Garante e relativa al controllo dei consumi del cellulari aziendali. La società (Johnson&Johnson Medical S.p.A.) assicura che i dati saranno usati solo per il controllo dei consumi e non per comminare sanzioni disciplinari. Il Garante ha dato l'approvazione:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7554790.

L'articolo su Filodiritto:
- https://www.filodiritto.com/news/2018/privacy-garante-privacy-il-garante-si-pronuncia-sulla-legittimit-del-controllo-sui-telefoni-aziendali-da-parte-del.html.

La seconda è della Cassazione, che ha ritenuto lecito l'uso di videoregistrazioni "per provare le condotte criminose poste in essere dai lavoratori". Da notare che si sta parlando di procedura penale. L'articolo di Filodiritto:
- https://www.filodiritto.com/news/2018/videosorveglianza-cassazione-penale-utilizzabili-le-videoriprese-per-provare-le-condotte-criminose-poste-in-essere-dai.html.

Nuova privacy per telemarketing (precisazione)

A gennaio avevo dato la notizia di un nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/01/nuova-privacy-per-telemarketing.html.

Mancava il numero della Legge. Grazie ad Altalex ora posso dire che si tratta della Legge 5 del 2018:
- http://www.altalex.com/documents/leggi/2018/02/05/call-center-prefissi-registro-opposizioni.

Come al solito, si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2018-01-11;5!vig=.

Un riassunto sul GDPR (e il quaderno ANCI)

In tanti (tra cui Franco Ferrari di DNV GL, Pierfrancesco Maistrello e Daniela degli Idraulici della privacy) hanno segnalato questo quaderno dell'ANCI dal titolo "L'attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali: Istruzioni tecniche, linee guida, note e modulistica":
http://www.anci.lombardia.it/documenti/7355-regolamento%20ue%20privacy%20ok_def.pdf.

Può essere utile criticarlo, in modo da fare un ripasso di alcuni punti salienti del GDPR. Così potrò essere criticato anche io per quello che scrivo.

Innanzi tutto prima dice che "è definita la nuova categoria di dati personali", che sono i cosiddetti "dati sensibili di cui al precedente Codice Privacy". Poi tutto il quaderno fa riferimento ai "dati sensibili". Il GDPR usa l'espressione "categorie particolari di dati personali ai sensi dell'articolo 9". Anche io uso l'espressione "dati sensibili" perché più pratica, avendo cura, a inizio di documento, di specificare cosa sono e come li designa il GDPR.

I Titolari e i Responsabili dei trattamenti sono visti come persone fisiche (dice che il titolare è il "Sindaco o suo delegato" e i responsabili sono "Dirigenti/Quadri/Responsabili di U.O."), mentre il GDPR lascia intendere che si tratta di strutture organizzative (le "aziende"), mentre le responsabilità personali, tranne il caso di singoli professionisti, sono da gestire con le normali deleghe interne di ciascuna organizzazione e non sono regolamentate dal GDPR. Per la verità non avrebbero dovuto essere regolate neanche dal Codice privacy e questo sarebbe stato più chiaro se non si fosse tradotto "processor" (che anche in altri contesti è sempre visto come organizzazione non singola persona) con "responsabile" e se poi non avessimo insistito per lasciare in vita la traduzione inesatta. Questa interpretazione è stata data anche da dirigenti e funzionari del GDP in diversi incontri pubblici, dicendo che negli anni hanno sempre visto il "responsabile interno" come figura non prevista dal Codice e il "responsabile esterno" come "responsabile e basta" (potevano scriverlo da qualche parte, visto che scrivono già tanto, così avremmo fatto meglio e io non avrei scritto alcune sciocchezze in passato; purtroppo non mi sembrano abbiano intenzione di scriverlo neanche in futuro).

Non sono competente di regolamenti comunali. Quello proposto, a mio parere, manca completamente di regole in merito alle misure di sicurezza da adottare (si limita a parlare di sistema di autorizzazione e di sistema antincendio).

Troppa enfasi è ancora data al consenso come base legale per il trattamento. Oggi sappiamo che le basi legali sono di 6 tipi.

Si sono dimenticati i trattamenti relativi al personale del Comune. Certamente i dati dei cittadini sono importantissimi e devono costituire il punto di maggiore attenzione per i Comuni quando si parla di protezione dei dati personali, però non trovo corretto dimenticarsi completamente dei dati del personale.

Interpreta in modo bizzarro il ruolo degli "incaricati" secondo il Codice privacy, dicendo che sono "sub-responsabili del trattamento". Non posso condividere questa lettura. Mi pare, anzi, che non venga colta la possibilità di designare gli incaricati (ossia autorizzare le persone a trattare i dati personali) in modo adeguato alle esigenze di controllo (reale) e efficienza ma, anzi, promuova il "vecchio" metodo basato su lettera formale firmate e controfirmata.

Ancora più bizzarramente prevede che il Titolare possa delegare un responsabile a nominare il DPO ("alla designazione del Responsabile per la Protezione dei Dati (RPD), se a ciò demandato dal Titolare"). Altra lettura che non posso condividere.

Mi ha fatto notare Pierfrancesco Maistrello che viene suggerita la tenuta di più registri dei trattamenti. Ancora una volta non posso condividere questo approccio.

L'ultima parte del documento (da pagina 43 a pagina 78) è costituita dalla "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali" del Garante privacy. Lettura sempre utile.



PS: Francesco Pizzetti e Luca Leone, su LinkedIn hanno commentato dicendo che non bisognerebbe mai usare l'espressione "dati sensibili". Personalmente non vedo ragione oltre la purezza formale. Ho chiesto. Se avrò risposta, la diffonderò.

Libro bianco della cyber security in Italia

NOTA: l'edizione che ho letto, commentato e di cui ho fornito il link è quella del 2015. Me l'ha fatto notare Giancarlo Caroti. Mi scuso per l'errore. Mantengo comunque nel seguito il post originale (inutile nascondere i propri errori).

Franco Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Cybersecurity, ecco il Libro bianco (ma anche il Libro verde) sulla strategia italiana":
- https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-libro-bianco-anche-libro-verde-sulla-strategia-italiana/.

Certo... l'autore sembra decisamente troppo entusiasta (sembra quasi abbia un debito di riconoscenza con qualcuno degli autori). E si dimentica di dare un link dove reperirlo. Eccolo qui:
- https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco.

A me il link non funziona. Quindi l'ho trovato sul sito del Sole 24 Ore:
http://www.ilsole24ore.com/pdf2010/Editrice/ILSOLE24ORE/ILSOLE24ORE/Online/_Oggetti_Correlati/Documenti/Notizie/2015/11/CyberSecurity-Report.pdf.

L'ho letto rapidamente. Sembra ci siano dentro le "solite" (ma non per questo sbagliate o inattuali) idee e più un tono giornalistico che scientifico. Forse chi è più paziente di me se lo leggerà con attenzione e potrà segnalarci i punti più rilevanti (se già non evidenziati dall'articolo segnalato).

Servizio Serc, la forse futura PEC

Franco Ferrari del DNV GL mi ha segnalato questo articolo che presenta il SERC (Servizio elettronico di recapito certificato):
- https://www.agendadigitale.eu/cittadinanza-digitale/servizio-elettronico-recapito-certificato-cose-perche-pensionare-la-pec/.

Forse un giorno questo servizio, previsto dal Regolamento eIDAS, sostituirà la PEC. Per intanto: gli standard tecnici saranno pronti (forse) per febbraio 2019. Ma credo sia giusto informarsi, almeno un po', di cosa si tratta.

mercoledì 31 gennaio 2018

ISO 45001 sulla sicurezza dei lavoratori

Segnalo che è stata approvata e sarà tra poco disponibile la ISO 45001 dal titolo "Occupational health and safety management systems -- Requirements with guidance for use":
- https://www.iso.org/standard/63787.html.

Io non mi occupo di questa materia, ma credo sia importante sapere dell'esistenza di questo standard, visto che questa materia si interseca con la sicurezza delle informazioni.

lunedì 29 gennaio 2018

Dati sensibili e cifratura

La notizia me l'ha data per primo Luca De Grazia, ma confesso che non ci avevo capito molto.

L'ho ritrovata su Altalex e quindi ho cercato di capirla meglio:
- http://www.altalex.com/documents/news/2018/01/09/privacy-banca-dati-sensibili.

Una persona si lamenta perché l'accredito sul suo estratto di conto corrente riporta nella causale la motivazione (il numero di Legge, che però riguarda due specifici casi sanitari). A fronte di questo, la Cassazione ha deciso che:
a) la Regione Campania (che ha fatto l'accredito) deve cifrare i dati, in quanto è previsto che i soggetti pubblici debbano cifrare i dati pesonali sanitari dal D. Lgs. 196 del 2003;
b) in forza di questo, anche la banca deve cifrare i dati personali sanitari.

A mio parere era già inappropriato chiedere agli enti pubblici di cifrare i dati personali sanitari, senza rendersi conto degli impatti di tale misura, la sua sostanziale inutilità e prevedendo differenza tra il pubblico e il privato.

Però qui i giudici si sono ritrovati davanti ad un problema, visto che un'altra normativa (un Regio Decreto del 1924!) impone di specificare nei mandati di pagamento la precisa indicazione dell'oggetto di spesa. Ma allora, se è richiesto di cifrarla, come sarebbe riportata nell'estratto conto del destinatario?

Mi rifiuto di studiare l' art. 409 del R.D. n. 827 del 1924, ma credo proprio che un'altra soluzione si renderà necessaria. O forse no?

domenica 28 gennaio 2018

Articolo su DR per piccole e medie imprese

Tom Keller, autore di questo articolo dal titolo "How to Disaster-Proof Your Business IT", mi ha contattato per presentarmelo:
- https://digital.com/blog/disaster-proof/.

Nulla di eccezionale, ma tutto corretto e, soprattutto, con il tono giusto: tecnico senza tragedie o esaltazioni.

Alla fine dell'articolo ci sono dei link. Quello più interessante è quello verso www.smallbusinesscomputing.com, che a sua volta presenta dei link a soluzioni di mercato.

Attenzione però ad una cosa: noi europei dobbiamo, preferibilmente e per evitare le complicazioni del GDPR, usare server in EU e non tutte le soluzioni proposte garantiscono questo aspetto.

lunedì 22 gennaio 2018

Sviluppo sicuro delle applicazioni: il processo

Segnalo il mio ultimo articolo su ICT Security dal titolo "Sviluppo sicuro delle applicazioni: il processo":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-processo/.

Ne approfitto per segnalare che sono a corto di idee. Se qualcuno ha degli argomenti da suggerirmi, lo invito a farlo.

mercoledì 17 gennaio 2018

Nuovo Cad (e conservazione) - Riferimenti corretti

In un precedente post avevo segnalato gli aggiornamenti al CAD, senza però fornire i riferimenti normativi esatti:
- http://blog.cesaregallotti.it/2018/01/nuovo-cad-e-conservazione.html.

I riferimenti normativi mi sono stati forniti da Luca De Grazie e Franco Ruggieri, che ringrazio. Il CAD (D.Lgs. 82 del 2005) è stato modificato, con decorrenza 18 gennaio 2018, dal D. Lgs. 217 del 2017.

Il nuovo CAD è disponibile su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82!vig=

NB: il link diretto non sembra funzionare; è necessario copiarlo e incollarlo.

Linee guida AgID sullo sviluppo sicuro

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione, da parte di AgID, delle "Linee guida per lo sviluppo del software sicuro":
- http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/linee-guida-sviluppo-sicuro.

Le ho sfogliate rapidamente e mi sembrano un lavoro di "compilazione", ossia di raccolta di varie metodologie, pratiche e linee guida. Si rimane un po' storditi dalla mole di materiale.

A questo si aggiunga che molte indicazioni, sopratuttto quelle di processo, sono quelle classiche da teorici: belle, rigorose e... estremamente onerose.

Se però si ha la pazienza di scorrerle, si trovano molte cose interessanti (a me hanno colpito soprattutto i paragrafi con le tecniche di codifica per i singoli linguaggi). Si aggiunga che non mi pare siano disponibili lavori simili e quindi questo è utilissimo per quanto vogliono studiare lo sviluppo sicuro oltre le Top 10 di OWASP.

Le basi della digital forensics (per la GdF ma non solo)

Segnalo questo articolo di Paolo Dal Checco dal titolo "Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza":
- https://www.ictsecuritymagazine.com/articoli/le-basi-della-digital-forensics-nella-circolare-12018-della-guardia-finanza/.

Penso sia un ottimo articolo di introduzione (e anche di approfondimento) sulla digital forensics, che prende spunto da una circolare della GdF.

lunedì 15 gennaio 2018

Ritorna la notifica al Garante (nella Legge di Bilancio)

La Legge di Bilancio riporta anche delle indicazioni per la privacy. Faccio riferimento all'articolo 1, commi dal 1020 al 1025 (il comma 1162 fornisce ulteriori fondi al Garante).

La Legge 205 del 2017 si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2017-12-27;205.

Riassumento:
- si ripetono cose già note o comunque prevedibili sul ruolo del Garante (monitoraggio dell'applicazione del GDPR, verifiche, predisposizione di modelli di informativa);
- il Garante dovrà vigilare sulla "presenza di adeguate infrastrutture per l'interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati" e quindi spero che capiremo meglio l'estensione del concetto di "portabilità";
- il Garante dovrà "definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare"; sicuramente queste saranno utili anche per chi tratta i dati su altri fondamenti legali.

La cosa più inquietante si trova ai commi 2022 e seguenti: "Il titolare, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali" usando un modello che il Garante metterà a disposizione presumibilmente entro fine febbraio 2018. In caso di silenzio, dopo 15 giorni, il titolare potrà procedere al trattamento, ma il Garante potrà comunque interromperlo (per un massimo di 30 giorni) per chiedere "ulteriori informazioni e integrazioni" o bloccarlo completamente "qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato"

Perché dico che è inquietante? Perché il GDPR, intenzionalmente, propone l'abrogazione delle "notifiche" al Garante, se non a seguito di PIA (privacy impact assessment) con risultati "negativi". Questo rimette nelle mani del titolare la valutazione della pericolosità dei propri trattamenti, contrariamente a quanto previsto dal Dlgs 196 che richiede, per tutti i trattamenti, la notifica al Garante. Sembrava un passo in avanti, ma il legislatore italiano si è dimostrato ancora una volta troppo paranoico e ha voluto aumentare le normative applicabili e ha voluto reintrodurre un simpatico strumento (la notifica) che speravamo superato.

Da notare un paio di cose:
- la notifica (anche se non si chiama più così) si applica solo ai trattamenti fondati "sull'interesse legittimo", ossia su una delle 6 opzioni su cui fondare un trattamento (legal ground);
- i trattamenti da notificare sono quelli che "prevedono l'uso di nuove tecnologie o di strumenti automatizzati"; ma oggi quasi tutti i trattamenti prevedono l'uso di strumenti automatizzati (notare la "o" disgiuntiva) e quindi la notifica andrà fatta per tutti i trattamenti fondati sull'interesse legittimo del titolare e quindi, per esempio, quelli per protezione aziendale (tutte le attività di videosorveglianza e di log degli strumenti informatici) e per il controllo qualità (quindi tutte le attività di archiviazione pratiche di qualsiasi ufficio, con riportato il nome di chi le ha redatte e approvate).

Sicuramente c'è qualche errore e sarà pubblicata una delle molte "interpretazioni". Però mi pare che l'errore sia grande. A meno che il Garante non voglia crearsi un registro delle imprese italiane.

Grazie a Paolo Calvi e Pietro Calorio degli Idraulici della privacy per la segnalazione.

Paolo Calvi rincara commentando: Così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al Garante con la consultazione prevista dall'art.36. Qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione.

Nuova privacy per telemarketing

È stata approvata la nuova normativa sulla privcacy in ambito telemarketing. Non ho ancora il numero della norma e pertanto, non avendola ancora letta, evito commenti.

Ivo Trotti di Kantar Italia mi ha segnalato questo articolo da Repubblica:
- http://www.repubblica.it/economia/diritti-e-consumi/diritti-consumatori/2017/12/22/news/telemarketing_e_legge_l_obbligo_di_far_sapere_che_la_telefonata_e_commerciale-184917480/.

Roberto Gallotti (che è anche mio papà) mi ha segnalato questo dal Il Sole 24 Ore:
- http://www.ilsole24ore.com/art/notizie/2018-01-12/privacy-piu-facile-fermare-telefonate-indesiderate-214237.shtml.

Nuovo Cad (e conservazione)

A fine 2017 è stata pubblicato un aggiornamento al Codice per l'amministrazione digitale (CAD), che presenta interessanti novità.

Purtroppo non ho ancora disponibile il numero del Decreto (e non capisco neanche se si tratta di un DL o un DLgs) e su Normattiva non vedo il testo consolidato (l'ultima modifica è del novembre 2016).

Per chi vuole portarsi avanti con il lavoro, Franco Ferrari di DNV GL mi ha segnalato due articoli (un terzo lo segnalo qui, ma è citato da uno dei due).

Il primo ha titolo "Conservazione digitale, cosa cambia con il correttivo Cad":
- https://www.agendadigitale.eu/documenti/conservazione-digitale-cosa-cambia-con-il-correttivo-cad/.

Lo trovo molto interessante perché sintetizza efficacemente il processo di accreditamento dei conservatori e i problemi ad esso connessi.

Tra i problemi avrei aggiunto anche considerazioni sulla "perfettibilità" delle liste di riscontro predisposte da AgID e sull'eccessiva onerosità del processo di verifica. Lungi da me volere un processo che permette ai candidati inadeguati di passare la verifica, ma quello attuale è decisamente eccessivo, dimostrando un eccesso di normazione che diventa, in alcuni casi, inutile.

Gli altri due articoli (titoli "Correttivo CAD, le cinque novità principali" e "Il CAD numero 6 è in Gazzetta Ufficiale, che succede ora") contengono informazioni utili:
- https://www.agendadigitale.eu/cultura-digitale/correttivo-cad-le-cinque-novita-principali/;
- https://www.agendadigitale.eu/cittadinanza-digitale/il-cad-numero-6-e-in-gazzetta-ufficiale-che-succede-ora/.

VERA per privacy

Ho pubblicato sul mio sito il VERA per privacy, ossia un foglio di calcolo (Excel) per la valutazione del rischio relativo alla privacy:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Si basa su VERA (Very easy risk assessment), versione 4.4.

Attenzione che questa versione, in italiano, è in versione alfa. Vi prego di inviarmi suggerimenti per il suo miglioramento.

Rispetto al "normale" VERA 4.4:
  • aggiornato un poco il foglio di censimento delle informazioni e dei trattamenti;
  • aggiunte, nei criteri di valutazione delle informazioni (o dei trattamenti), considerazioni in merito agli impatti sugli interessati (in precedenza si consideravano solo gli impatti sull'organizzazione);
  • tolte le minacce senza impatto sulla privacy; 
  • ridotto il numero di controlli di sicurezza (ossia privacy) a 62 (il VERA 27001 + privacy ne aveva circa 140);
  • inserite note (molto sintetiche) per l'interpretazione dei controlli;
  • corretto qualche refuso.

Nota: ho apportato qualche piccola correzione ai VERA 4.4 già pubblicati. Essendo pigro, non ho cambiato la versione dei file.

lunedì 8 gennaio 2018

Pubblicata la nuova versione della SP 800-160 (Systems Security Engineering)

Il NIST ha pubblicato la nuova versione della SP 800-160 dal titolo "Systems Security Engineering":
- https://csrc.nist.gov/publications/detail/sp/800-160/final.

Confesso di non averla letta (è un malloppo di 160 pagine), ma ne avevo letto le versioni precedenti e non riesco a individuare i cambiamenti in questa (tranne gli errata, riportati in tabella). Sicuramente è un documento importante per chiunque si occupa di sicurezza.

domenica 7 gennaio 2018

Spectre e Meltdown

La vulnerabilità di inizio 2018 in realtà è doppia e si chiama Spectre e Meltdown.

Per ora il migliore articolo tecnico l'ho trovato sul National Cyber Security Centre (del GCHQ):
- https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance.

Trovo utile ricordare che:
- sono vulnerabili tutti i dispositivi e quindi è necessario aggiornare quelli personali (pc e smartphone), i server, gli apparati di rete (router, firewall, eccetera);
- i server includono gli hypervisor e le guest machine; in altre parole, chi ha i servizi "in IaaS sul cloud" non può ignorare il problema (questo conferma ancora una volta che chi usa servizi cloud deve comunque mantenere forti competenze al proprio interno);
- anche i compilatori vanno aggiornati e, dopo, tutto quanto compilato va ricompilato (questa verifica di sicurezza è fatta raramente, credo, anche perché oggi sono pochi i software compilati; ciò non ostante questo punto andrebbe meglio valutato in futuro).

La questione è esplosa su tutti i media. Passa un po' inosservato il fatto che "non risultano siano stati condotti con successo attacchi che sfruttano queste vulnerabilità". Quindi alcuni suggeriscono di affrontare queste vulnerabilità, ma senza entrare in "panic mode".

martedì 2 gennaio 2018

Tutelato il dipendente che segnala illeciti

Segnalo questa novità dal sito di Altalex: "Whistleblowing, in vigore le nuove norme: tutelato il dipendente che segnala illeciti":
- http://www.altalex.com/documents/leggi/2017/11/16/whistleblowing.

Copio e incollo: "il dipendente che segnala al responsabile della prevenzione della corruzione dell'ente o all'Autorità nazionale anticorruzione o ancora all'autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non può essere - per motivi collegati alla segnalazione - soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro".

Inoltre: "Le nuove disposizioni valgono anche per chi lavora in imprese che forniscono beni e servizi alla Pa".

sabato 23 dicembre 2017

VERA 4.4 per ISO/IEC 27001 e privacy

Ho pubblicato VERA 4.4 per ISO/IEC 27001 e privacy. Si trovano sul mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Ringrazio per i suggerimenti: Nicola Nuti, Roberto Obialero, Antonio Salis.

Ora mi dedicherò al VERA "solo privacy", che sarà una "riduzione" di questo VERA.

Come sempre: vi prego di farmi sapere se trovate errori (temo ce ne siano tanti) o avete suggerimenti. Inoltre: chi vorrà vedere la bozza di VERA "solo privacy", me lo faccia sapere che lo invio appena pronto.

Segnalo che ho cambiato un poco il VERA "solo 27001": Roberto Obialero mi ha suggerito di cambiare alcune descrizioni di minaccia che ho accolto (ma non ho cambiato versione al file, consapevole che non ho seguito la pratica corretta).

Il tracciamento delle email

Per un Natale sempre più sereno, ecco qui un articolo (sempre segnalato dalla newsletter di Bruce Schneier) sul tracciamento delle email:
- https://www.wired.com/story/how-email-open-tracking-quietly-took-over-the-web/.

Mi chiedevo come MailUp faccia a dirmi quante persone hanno aperto la mia newsletter. Ora lo so. Ma so anche che non è solo MailUp che fa uso di questi meccanismi. Anzi: il 40% del traffico email è tracciato. E permette di sapere che le email indirizzate al CEO di Apple sono aperte con un pc Windows.

Amazon Keys

Non sapevo che esistessero chiavi di casa di questo tipo: per facilitare le consegne (e non lasciare il pacco di Amazon fuori casa), Amazon si è inventato le serrature che può aprire autonomamente. Quindi, nel caso più "automatizzato", il trasportatore segnala ad Amazon e al cliente che è fuori dalla porta, arriva un SMS al cliente che può guardare cosa succede con una webcam fornita da Amazon stessa, Amazon apre la porta a distanza, il trasportatore lascia il pacco appena dentro casa e poi chiude la porta.

Tutto ciò mi dà i brividi, per motivi che dovrei ben capire. Però il timore che tutto questo meccanismo possa essere attaccato è uno dei motivi. Parte di esso, ossia la telecamera, lo è già stato:
- https://www.wired.com/story/amazon-key-flaw-let-deliverymen-disable-your-camera/.

Ho seguito dei progetti in ambito IoT e so che parte delle persone che sviluppano queste cose sono professionali e preparate. Ma non tutte. E comunque penso che troppa automazione, oltre a ridurre le nostre capacità di elaborazione mentale, aumenti eccessivamente le possibilità di attacco. Forse è un problema solo mio.

Sicurezza informatica (per i singoli)

Questo mese Bruce Schneier, nella sua newsletter, suggerisce alcune guide per la sicurezza dei dispositivi personali (pc Windows e Mac, Android, iPhone) e la navigazione Internet.

Mi piace diffondere i suoi suggerimenti:
- https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide;
- https://ssd.eff.org/en;
- https://www.johnscottrailton.com/jsrs-digital-security-low-hanging-fruit/;
- https://www.frontlinedefenders.org/en/resource-publication/digital-security-privacy-human-rights-defenders.

Sono tutti piuttosto lunghi, anche se (ovviamente) non difficili.

Inoltre mi ha scritto John Mason (trovandomi su Google) per segnalarmi questo suo articolo, che è decisamente semplice e quindi un ottimo punto di partenza:
- https://thebestvpn.com/online-privacy-guide/.

Qualche spunto sul DPO

Il (solito) Pierfrancesco Maistrello mi ha segnalato che il Garante ha aggiornato le faq sul DPO ed emanato uno schema tipo di nomina e un modello per comunicare al garante gli estremi del DPO:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322110.

La notizia è poi finita sulla newsletter del Garante, ma Pierfrancesco me l'ha fornita con largo anticipo insieme a qualche commento che io riprendo:
- lo schema di nomina del DPO è standard, quindi non lascia spazio a nulla di eccitante, ma è comunque comodo;
- la nomina del DPO per società in-house o partecipate di PA non è obbligatoria, ma fortemente consigliata;
- la posizione del DPO interno (dirigente, o "funzionario di alta professionalità", che sia in contatto con il vertice) non sembra di immediata individuazione in tutte le tipologie di PA;
- certificazioni DPO: utili solo come indicazione di competenze;
- come si nomina: schema tipo, più comunicazioni al garante dei suoi estremi;
- interessante notare che: il DPO nelle FAQ del Garante è sempre una persona fisica;
- può esserci più di un DPO? domanda interessante per le grandi PA, ma la risposa è NO, il DPO è uno, gli altri sono figure di supporto per lui (sia interno che esterno);
- cosa può fare il DPO oltre a quello che prevede la normativa? Difficile dirlo, visto che questo punto è in garantese stretto, che non dice nulla di nuovo, ma conferma che è il titolare a decidere se assegnare altri compiti a figure già ingolfate di attività (ad esempio il responsabile per la prevenzione della corruzione o altri ruoli) o come assegnare compiti in assenza di conflitto di interessi.

In definitiva, le FAQ diradano qualche nebbia, ma non completamente.

mercoledì 13 dicembre 2017

Strumento PIA del CNIL

L'autorità francese per la privacy (il CNIL), ha pubblicato uno strumento per realizzare le PIA:
- https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment.

La segnalazione mi arriva da Pierfrancesco Maistrello, che l'ha analizzato molto rapidamente e l'ha trovato facile da usare.

Personalmente rilevo che le misure di sicurezza da considerare non sono incluse nel prodotto (ho analizzato la versione beta, quella disponibile ad oggi). Queste sono comunque presenti nelle linee guida sempre del CNIL (già segnalate a suo tempo):
- https://www.cnil.fr/en/guidelines-dpia.

In definitiva mi sembra uno strumento che aiuta la scrittura del rapporto; una sorta di "indice sofisticato". Non voglio ridurre l'importanza di questo strumento, che rappresenta un punto di vista autorevole e di buona qualità. Anzi, sono contento che questo prodotto sia stato progettato considerando le reali necessità degli utilizzatori, e non le elucubrazioni di qualche "saggio nella torre d'avorio" (come siamo troppo spesso a vedere in troppi documenti o prodotti italiani quando si parla di conformità a normative).

martedì 5 dicembre 2017

Enisa - Raccomandazioni sulle certificazioni privacy

Paolo Sferlazza di @ mediaservice mi ha segnalato il documento dell'ENISA dal titolo "Recommendations on European Data Protection Certification":
- https://www.enisa.europa.eu/publications/recommendations-on-european-data-protection-certification.

Qualche interpretazione del documento:
1- la certificazione richiamata dal GDPR non è per prodotti, ma per "elaborazioni di dati" (processing of data); la certificazione può includere prodotti, sistemi o servizi, ma nell'ambito di trattamenti effettuati; il mercato potrebbe comunque proporre schemi di certificazione per prodotti;
2- gli enti di Accreditamento potrebbero sviluppare schemi propri, senza l'appoggio dell'autorità garante e che non è necessario l'appoggio del board dei garanti europei (interpretazione che io e altri non condividiamo).

Ad ogni modo, il documento è molto criticabile perché, in definitiva, non presenta correttamente le certificazioni dei sistemi di gestione (lascia intendere che le certificazioni ISO/IEC 27001 riguardano solo la presenza di procedure, non la loro efficacia; ma questo è palesemente falso).

venerdì 1 dicembre 2017

Presentazione sulle certificazioni privacy

Il 30 novembre 2017, ad un convegno organizzato dal Dipartimento di scienze giuridiche dell'Università degli studi di Milano, ho fatto una presentazione sullo stato delle certificazioni privacy. Si trova a questo indirizzo:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Già la sera stessa era vecchia perché era giunta la notizia della pubblicazione della UNI 11697 sulle certificazioni delle competenze in materia di privacy.

ENISA Baseline Security Recommendations for IoT

Alessandro Cosenza di BTicino mi ha segnalato questa pubblicazione di ENISA (l'ente europeo per la sicurezza IT) dal titolo "Baseline Security Recommendations for IoT" a cui ha collaborato:
- https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot.

Personalmente penso si sarebbe potuto fare ancora di più, specificando meglio le misure di sicurezza suggerite. Però mi rendo conto che non è questo l'obiettivo di questo documento.

Devo dire che il documento è molto interessante e c'è molto materiale da studiare.

Modifiche al Codice privacy

E' stata pubblicata in Gazzetta Ufficiale la Legge 167 del 20 novembre 2017:
- www.gazzettaufficiale.it/eli/id/2017/11/27/17G00180/sg.

Qui ci sono alcuni punti interessanti (e criticabili):

- l'articolo 24 stabilisce che ora i dati di traffico telematico vanno conservati per 72 mesi (6 anni), mentre in precedenza la durata era di massimo 2 anni; in tanti dicono che è follia; io non ho ancora capito se in questi anni questi dati sono serviti;

- l'articolo 28 allinea la nomina di responsabile del trattamento a quanto previsto dal GDPR, sicuramente inutilmente (e senza una ragione apparente), visto che tra pochi mesi entrerà in vigore proprio il GDPR e quindi questa modifica non era proprio necessaria;

- sempre l'articolo 28 prevede che il Garante pubblichi "schemi tipo" per stipulare accordi con i responsabili; ad ora mi risulta siano disponibili solo quelli per il trasferimento dei dati extra-UE; mi pare un po' strano questo obbligo di usare "schemi tipo" (la formulazione del requisito non mi pare lasci margini di manovra); Pierfrancesco Maistrello mi segnala che forse questo è per evitare che i contratti stipulati oggi con la PA siano messi in discussione a maggio;

- sempre l'articolo 28 impone restrizioni nel riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici; ci sono un paio di questioni bizzarre: la richiesta di autorizzazione preventiva al Garante, nonostante il GDPR, volontariamente, non la preveda più, e l'introduzione del silenzio-rigetto (ulteriore aberrazione);

- l'articolo 29 stanzia maggiori fondi al Garante e permette l'aumento di organico (mi viene da pensare che prevedono maggiori introiti grazie alle nuove sanzioni amministrative).

Sembra che questo non sia il provvedimento per allineare la 196 al GDPR. Per quello dovremo aspettare un altro atto.

Criteri per scegliere il DPO

Pierfrancesco Maistrello mi ha segnalato tre begli articoli (in inglese) su come scegliere il DPO.

Il primo ha titolo "What skills should your DPO absolutely have?":
- https://iapp.org/news/a/what-skills-should-your-dpo-absolutely-have/.

Il secondo ha titolo "Outsourcing your DPO: Questions to ask":
- https://iapp.org/news/a/what-to-ask-your-potential-dpo/.

Il terzo ha titolo "How to contract with your outsourced DPO":
- https://iapp.org/news/a/how-to-contract-with-your-outsourced-dpo/.

Aggiungo che sappiamo bene che il DPO non è sempre necessario in tutte le organizzazioni. Però le stesse cose sono applicabili (con pochi cambiamenti) anche ai consulenti privacy e (con maggiori cambiamenti) a tutti gli altri consulenti.

Il caso Uber

Prendo spunto da questi due articoli di DarkReading:
- https://www.darkreading.com/attacks-breaches/ubers-security-slip-ups-what-went-wrong/d/d-id/1330496;
- https://www.darkreading.com/application-security/git-some-security-locking-down-github-hygiene/d/d-id/1330511.

Il primo riassume il caso Uber: a ottobre 2016 dei malintenzionati sono riusciti a raccogliere i dati di 57 milioni di autisti e clienti di Uber; Uber li ha pagati 100mila dollari per cancellare i dati rubati e non divulgare la notizia. La notizia si è però diffusa e Uber è ritenuta colpevole di non aver avvisato gli interessati della violazione ai loro dati personali (misura del GPDR, nuova per alcuni, ma già presente in altre normative).

Il secondo articolo discute le questioni tecniche, altrettanto interessanti. Gli sviluppatori usavano un ambiente GitHub, in cui archiviavano codice e dati, inclusi quelli poi compromessi. Qui i punti dolenti sono vari: gli sviluppatori non avrebbero dovuto avere accesso a quella mole di dati, né salvarli in un ambiente non completamente controllato.

GitHub ha sicuramente messo a disposizione degli sviluppatori una serie di strumenti per assicurare la sicurezza dei dati (controllo di assenza di dati critici, di configurazioni e di credenziali, il controllo accessi solo a utenti "aziendali" e non "pubblici", l'impostazione degli archivi come "privati", la possibilità di verificare le autorizzazioni, la possibilità di attivare la strong authentication), ma probabilmente non erano stati attivati (ci si chiede anche se l'uso di GitHub era stato in qualche modo analizzato dai responsabili della sicurezza di Uber, oppure se era un'iniziativa degli sviluppatori).

GPG 2018 per la business continuity

È stata pubblicata la nuova versione delle Good practice guidelines del BCI:
- https://www.thebci.org/training-qualifications/good-practice-guidelines.html.

Sono il riferimento per quanto riguarda la business continuity e mi sembrano ben fatte.

UNI 11697 per le certificazioni delle competenze privacy

E' stata pubblicata la UNI 11697:2017, che definisce le competenze dei professionisti che si occupano di privacy.

Credo che l'articolo su Linea EDP sia più che esplicativo (anche dove ricorda il far west:
- http://www.lineaedp.it/news/33253/attivita-professionali-non-regolamentate-la-norma-uni/.

Dove comprarla:
- http://store.uni.com/catalogo/index.php/uni-11697-2017.html.

Qualche nota amena:
- grazie a Pietro degli Idraulici della privacy e Franco Ferrari per avermi dato la notizia per primi;
- Monica Perego ha fatto notare che il numero della norma UNI (finisce per 697) è un anagramma del numero del GDPR (679);
- il giorno stesso della pubblicazione avevo tenuto una presentazione in cui avevo detto "chissà quando sarà pubblicato"; accipicchia!

venerdì 17 novembre 2017

Mio intervento l'11 dicembre a Napoli

Lunedì 11 dicembre terrò un intervento per l'evento "Sicurezza delle informazioni" organizzato da ITAdvice a Napoli, presso il Grand Hotel Parker's.

L'evento sarà la mattina e, oltre al mio, ci saranno interventi di Massimiliano Musto, Silvio Tortora Maione, Biagio Lammoglia, Emanuela Franco.

Su LinkedIn e Twitter posterò, quando sarà disponibile, il link ufficiale all'evento.

Personalmente sono molto contento di partecipare perché avrò l'opportunità di confrontarmi con Biagio su come mettere insieme in modo furbo la 27001 e il GDPR (da notare che saremmo capaci di metterli insieme in modo non furbo!).

Mio intervento il 30 novembre alla Statale di Milano (e iscrizioni Corso di Perfezionamento)

Segnalo questo evento in cui interverrò:
- https://www.linkedin.com/feed/update/urn:li:activity:6336633715602653184.

30 novembre 2017 ore 15-19 Statale di Milano.
"Dalla data protection alla data governance: il GDPR". Previsto intervento prof. Francesco Pizzetti.

Un sacco di gente interessante (chissà io che ci faccio).

Questo evento è collegato al Corso di perfezionamento "Data Protection e Data Governance" promosso dalla Statale di Milano. E' possibile presentare la richiesta di ammissione entro il 12 dicembre:
- http://www.unimi.it/studenti/corsiperf/112084.htm.

lunedì 13 novembre 2017

Delega al Governo per modificare il Dlgs 196 del 2003

Legge di delegazione europea 2016-2017. L'articolo 13 tratta proprio del D. Lgs. 196 del 2003 (Codice privacy):
http://www.altalex.com/documents/news/2017/11/07/legge-di-delegazione-europea-2016.

In poche parole: il D. Lgs. 196 sarà modificato per abrogare quanto in contrasto con il GDPR e allineare tutto ciò che c'è da allineare. Non darò notizie sulle varie bozze del D. Lgs. 196 modificato perché non credo sia utile agitarsi per delle bozze.

Ringrazio Pietro degli Idraulici della privacy (e Monica Perego per averli creati).

giovedì 9 novembre 2017

Stato delle norme ISO/IEC 270xx - Novembre 2017

Dal 30 ottobre al 3 novembre 2017 si è tenuto a Berlino il 56mo meeting del ISO/IEC JTC 1 SC 27, ossia del gruppo che si occupa delle norme internazionali della serie ISO/IEC 270xx, dei Common criteria e della privacy.

Questa volta ho partecipato molto poco ai lavori (la delegazione italiana era composta da 4 persone: me, Fabio Guasconi, Stefano Ramacciotti e una rappresentante del Garante privacy). Ciò non ostante, segnalo le cose a mio avviso più interessanti (ringrazio gli altri 3 delegati per aver verificato l'assenza di errori da questo mio resoconto, e per aver fornito alcuni contributi; le opinioni espresse sono unicamente mie).

ISO/IEC 27005 (information security risk management): di questa norma verrà pubblicato a breve un aggiornamento; si tratta in realtà di correzioni necessarie per l'allineamento ad altre norme. Nella sostanza non cambierà nulla. Le discussioni per una nuova versione della norma, con contenuti aggiornati allo stato dell'arte, stanno comunque proseguendo.

ISO/IEC 27006 (requisiti per gli organismi di certificazione): sono stati rilevati possibili errori nella norma e sono pertanto in fase di studio.

ISO/IEC 27552 (Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management – Requirements and guidelines). A mio parere si tratta di uno schema troppo oneroso, visto che richiede, come prerequisito, la certificazione ISO/IEC 27001. Penso che anche altri stiano maturando lo stesso sospetto, ma questo non è emerso compiutamente durante il meeting (confesso che io stesso sono indeciso perché vedo sì uno standard poco invitante, ma forse uno standard più "leggero" sarebbe da evitare in quanto potrebbe avere conseguenze negative). Vedremo come evolveranno le cose: lo standard è ancora in stato di CD e si prevede la pubblicazione a novembre 2019.

Tra l'altro, mi hanno spiegato che forse la ISO/IEC 27552 non sarebbe lo schema di certificazione privacy previsto dal GDPR: essa è infatti uno standard per sistemi di gestione, mentre il GDPR richiede che gli organismi di certificazione lavorino in conformità alla ISO/IEC 17065, norma relativa alla certificazione di prodotti, processi e servizi e non ai sistemi di gestione. Sono in corso riflessioni in merito, dimostrando così che la faccenda non è banale.

Stanno proseguendo i lavori per altre norme, in particolare:
- ISO/IEC 27102 (Guidelines for cyber insurance);
- ISO/IEC 27002, per una nuova impostazione dei controlli, auspicabilmente più snella (da pubblicare tra qualche anno);
- ISO/IEC 27008 (Guidelines for the assessment of information security controls).

Il gruppo che si sta occupando di Common Criteria (ISO/IEC 15408), ha avviato la revisione delle norme (quindi le nuove versioni saranno pubblicate tra qualche anno). L'obiettivo è quello di pubblicare la versione 4 dei CC nel 2020. Lo standard sarà articolato su un maggior numero di volumi dell'attuale e si preannunciano importanti novità che tengono conto della notevole evoluzione che c'è stata in questi anni.

Sarà a breve pubblicata la ISO/IEC TR 27103, dal titolo "Cybersecurity and ISO and IEC Standards" (si tratta di uno studio che, in parole povere, ricorda che la cybersecurity, così come intesa dal CSF del NIST, è già inclusa nelle ISO/IEC 27001 e ISO/IEC 27002).

Sono stati aperti ulteriori studi in merito alla possibilità di pubblicare ulteriori standard sulla cybersecurity, posto che la prima necessità è quella di concordare in cosa si distingue dalla "sicurezza delle informazioni".

Ulteriore elemento di interesse è l'avvio di uno Study period per discutere dell'utilità (o meno) dello Statement of applicability (o Dichiarazione di applicabilità). Di questo si era discusso molto durante la redazione della ISO/IEC 27001:2013, ma senza, in realtà, che i sostenitori delle diverse posizioni si ascoltassero veramente. Personalmente non sono convinto né della sua utilità né della sua inutilità, ma spero che questo Study period sia l'occasione per capire meglio tutte le posizioni e arrivare più sereni alla redazione della prossima versione della ISO/IEC 27001 (tra qualche anno).

Il prossimo meeting si terrà a Wuhan, in Cina, a metà aprile 2018.

mercoledì 8 novembre 2017

Rischi delle tecnologie sanitarie

Marco Fabbrini, che ringrazio, mi segnala il report "Top 10 Health Technology Hazards for 2018" dell'ECRI Institute:
- https://www.ecri.org/Pages/2018-Hazards.aspx.

Ecco cosa mi scrive Marco: "Alla fine i rischi sulla sicurezza IT sono arrivati in cima alla classifica. In particolare da notare il primo della classifica (Ransomware and Other Cybersecurity Threats), ma anche il nono (Flaws in Medical Device Networking Can Lead to Delayed or Inappropriate Care).

Il nuovo regolamento MED, per fortuna, prende in considerazione in maniera forte gli aspetti legati al software ad alla parte IT, punto molto debole fino ad oggi nella gestione dei dispositivi e sistemi medicali".

martedì 31 ottobre 2017

VERA 4.4

Ho pubblicato le nuove versioni (in inglese e italiano) di VERA, il mio foglio di calcolo per la valutazione del rischio relativo alla sicurezza delle informazioni. Siamo alla 4.4.

Non grandi cambiamenti, tranne l'aggiunta di una minaccia ("perdita di fornitori").

Ho poi corretto alcuni (troppi!) errori di battitura, sia in italiano sia in inglese. Nessuno me li aveva mai segnalati. Forse nessuno li aveva mai notati?

Per questa versione ringrazio Ivana Catic, Andrea Colato, Vito Losacco, Luciano Quartarone e Giovanni Sadun. Non ho usato tutti i loro suggerimenti, ma sono stati utili e interessanti.

Trovate il file qui:
http://www.cesaregallotti.it/Pubblicazioni.html.

mercoledì 18 ottobre 2017

ISO/IEC 27007 per gli audit ISO/IEC 27001

E' stata pubblicata la nuova edizione della ISO/IEC 27007 dal titolo "Guidelines for information security management systems auditing":
- https://www.iso.org/standard/67398.html.

Il documento riporta requisiti aggiuntivi rispetto alla ISO 19011. Le pagine sono tante perché è stata aggiunta un'Appendice con interpretazioni di alcuni requisiti della ISO/IEC 27001, compito svolto già dalla ISO/IEC 27003.

Parere personale: non la trovo utile.

Mio articolo sui requisiti di sicurezza delle applicazioni

Questo, dal titolo " Sviluppo sicuro delle applicazioni: i requisiti" l'ho scritto io:
https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-requisiti/.

martedì 17 ottobre 2017

Linee guida WP 29 sulla DPIA

Premetto che, come spesso succede ultimamente, devo ringraziare Pierfrancesco Maistrello per la segnalazione e lo scambio di idee.

La notizia è che il Art. 29 WP ha pubblicato le sue linee guida sulla DPIA (Data privacy impact assessment). Si trovano alla pagina seguente, con il lungo titolo di "Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, wp248rev.01":
- http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

L'Art. 29 WP è paragonabile al "centro studi europeo sulla privacy", è collegato alla Commissione europea e i suoi pareri sono molto importanti.

Meglio ricordare che non tutti i titolari (o responsabili) devono predisporre una DPIA. La linea guida fornisce una tabella molto interessante in cui elenca alcuni trattamenti e se per loro è necessaria o meno una DPIA. E' bene comunque ricordare che è previsto che il Garante pubblichi un elenco più esaustivo di trattamenti per cui predisporre una DPIA.

Per il resto, il documento non specifica "come" fare una DPIA (per quello fornisce dei riferimenti in Annex 1), ma solo alcuni principi generali. Importante comunque l'Annex 2, che propone una lista delle caratteristiche che deve avere la DPIA.

Il messaggio, in sostanza, sembra essere: fatela come volete, purché rispetti i punti dell'Annex 2.

In questi giorni il WP 29 ha pubblicato le bozze di altre linee guida (sul data breach e sulla profilazione). Non le commento perché, appunto, sono in bozza.

lunedì 16 ottobre 2017

Riconoscimento facciale e video porno

Letta da un certo punto di vista, la notizia (da Crypto-Gram di ottobre) è divertente: Pornhub vuole attivare un software per riconoscere gli attori (così gli utenti possono seguire i loro favoriti) e le posizioni:
- https://motherboard.vice.com/en_us/article/a3kmpb/facial-recognition-for-porn-stars-is-a-privacy-nightmare-waiting-to-happen.

Il problema sono gli attori amatoriali: un software del genere potrebbe collegarli alla loro identità reale.

Problema simile (sempre da Crypto-Gram) riguarda le persone che hanno due identità su Facebook. Il caso specifico riguarda chi offre servizi di sesso con un'identità e poi vive il resto della vita con un'altra. Facebook riesce comunque a capirlo e suggerisce ai contatti di un'identità di connettersi anche all'altra:
- https://gizmodo.com/how-facebook-outs-sex-workers-1818861596.

Certo, a molti questo fa sorridere. Ma software che sanno riconoscere le facce e software che sanno collegare cose tra loro scollegate su Internet (ma collegate nella vita reale)... pensiamoci...

mercoledì 11 ottobre 2017

Contratti fornitori - una presentazione

Segnalo questa presentazione del Club 27001 dal titolo "Contrôle des prestataires: Erreurs à ne pas commettre" (in francese):
- http://www.club-27001.fr/precedentes-reunions/paris/214-21-septembre-2017-transparents.html

L'ho trovata interessante soprattutto per quanto riguarda le riflessioni sul "diritto di audit". In effetti, spesso troviamo sui contratti una clausola molto generica e semplice. Invece la presentazione ci ricorda di considerare:
- quanti audit prevedere ciascun anno (e possibilità di cambiare la frequenza);
- tempi di preavviso e casi di audit straordinari o a sorpresa;
- garanzie sulla riservatezza delle informazioni raccolte durante l'audit;
- modalità di gestione dei rilievi di audit;
- conseguenze delle non conformità (fino alla rescissione del contratto.

Ho trovato altre cose interessanti nella presentazione e quindi la segnalo.

mercoledì 4 ottobre 2017

Il caso dello spesometro

Da un tweet di @a_oliveri segnalo questo breve articolo sul "caso spesometro" che è finito anche sui giornali:
- https://www.avvenire.it/economia/pagine/spesometro-bloccato-il-sito.

Come è noto non riporto solitamente notizie di attacchi. Ma questa mi permette di ricordare che è corretto pensare agli attacchi e agli hacker e alle intrusioni da Internet, ma è necessario pensare anche agli interni o ai fornitori che fanno errori o che installano aggiornamenti dei software. Anzi, forse questi sono i più difficili da controllare ("dagli amici mi guardi Iddio, che ai nemici ci penso io").