mercoledì 17 aprile 2019

ITILv4 (solo Foundation)

Axelos (la società che mantiene ITIL) da tempo aveva annunciato la
pubblicazione prevista per il 2019 di ITILv4, ossia la nuova edizione di
ITIL (ricordo che la precedente edizione era la ITIL 2011, a sua volta un
aggiornamento minore di ITILv3):
- https://www.axelos.com/best-practice-solutions/itil/what-is-itil.

Interessante il fatto che al momento non risulta pubblicato ITILv4, per lo
meno come lo intenderemmo dopo aver visto i 5 (non agili) volumi di ITILv3 e
ITIL 2011. Risulta pubblicato solo il manuale per sostenere l'esame ITILv4
Foundation.

L'esame è disponibile dal 28 febbraio:
-
https://www.axelos.com/certifications/itil-certifications/itil-foundation-le
vel.

Da quanto è scritto sul sito di Axelos, ITILv4 ruoterà interno al concetto
di "sistema del valore del servizio" (service value system, SVS) e si
concentrerà sulla "co-creazione del valore attraverso le relazioni
determinate dal servizio". Il SVS rappresenta come i componenti e le
attività possono lavorare insieme per facilitare la creazione del valore
attraverso i servizi.

Tanti bei paroloni (appare, ma non l'ho riportato, anche "olistico", che è
un indicatore del livello di fuffa di un testo). Ho i miei timori.

sabato 13 aprile 2019

Mio articolo su sicurezza e selezione del personale

Segnalo questo mio articolo dal titolo "Sicurezza e selezione del personale":
- https://www.ictsecuritymagazine.com/articoli/sicurezza-e-selezione-del-personale/.

Si tratta di alcune mie riflessioni sulla materia. Sicuramente alcuni non concorderanno con alcune mie posizioni; nel caso, sono aperto a ricevere controdeduzioni.

15 aprile 1999-2019: 20 di consulenza in sicurezza delle informazioni

Il 15 aprile 1999 iniziai a lavorare come consulente di sicurezza delle informazioni.

Più che altro, entrai negli uffici di Securteam di Milano e mi diedero da studiare ITSEC e la metodologia aziendale Defender (dopo pranzo ebbi anche un abbiocco!).

Erano altri tempi: la BS 7799 (oggi ISO/IEC 27001) era roba per pochi, il DPR 318 non era ancora stato pubblicato, la prima certificazione italiana in materia di sicurezza delle informazioni non era stata neanche pensata e si pensava che "sicurezza delle informazioni" fosse un'espressione più significativa di "sicurezza informatica" (e non si parlava proprio di "cyber-security"). Per contro c'era già chi parlava di "visione olistica della sicurezza" e "sicurezza a 360 gradi".

Fui assunto da Securteam grazie all'apprezzamento che ebbi da Giulio Carducci dopo il colloquio fissato grazie all'invio del mio CV "a pioggia" (in cui dicevo che non sapevo quasi nulla di sicurezza delle informazioni, ma avevo fatto la tesi su crittorafia e crittanalisi). E poi negli uffici di Securteam trovai Maurizio (il responsabile dell'ufficio di Milano), Andrea, Laura, Donatella e Nino. Li anonimizzo perché è da tanto che non li sento, anche se sento che un filo di amicizia "silenziosa" ci leghi ancora tutti.

A loro va tutto il mio affetto e la mia stima e i miei ringraziamenti. Mi insegnarono a lavorare nel rispetto dei clienti, a studiare come un pazzo per svolgere al meglio il mio lavoro, a confrontarmi con i colleghi e a divertirmi a fare consulenza. Mi insegnarono anche che quella era la mia strada: loro lo avevano capito, mentre io nutrivo ancora dubbi.

venerdì 12 aprile 2019

Approvato il EU Cybersecurity Act

Alessandro Cosenza di BTicino mi ha segnalato che il 9 aprile, il Consiglio UE ha approvato definitivamente il Cyber security Act. La pagina ufficiale del Consiglio con l'atto:
- https://www.consilium.europa.eu/it/press/press-releases/2019/04/09/legislative-acts-adopted-by-the-general-affairs-council/

Dalla pagina è possibile scaricare il testo definitivo e accedere al comunicato stampa (di dicembre, ma evidentemente ancora valido):
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

Nei prossimi giorni sarà pubblicato in Gazzetta Europea. Ricordo che si tratta di un Regolamento e pertanto non deve essere recepito dai singoli Stati membri.

Ora credo che il punto più importante da guardare per il futuro riguarderà gli schemi di certificazione che saranno promossi, senza sottovalutare le attività di miglioramento della sicurezza promosse da ENISA.

mercoledì 10 aprile 2019

Stato delle norme ISO/IEC 27xxx - Aprile 2019

La prima settimana di aprile 2019 a Tel Aviv (Israele) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Al WG 1 (quello che si occupa della ISO/IEC 27001 e delle norme ad essa collegati) i registrati erano 143; al WG 5 (quello che si occupa di norme relative alla privacy) i registrati erano 139. La delegazione italiana era composta da ben 4 persone distribuite tra i WG 1, 4 e 5 (ringrazio quindi Fabio Guasconi, Alessandro Cosenza e *dato anonimizzato* per avermi aiutato anche con questa mia relazione).

Durante questo meeting, molte norme erano o in stato troppo avanzato o in stato troppo arretrato e quindi le discussioni erano relative o ai dettagli editoriali o all'impostazione del documento. In generale, quindi, poco interessanti.

Come sempre, segnalo le cose a mio parere più interessanti. Infatti i temi sono stati molto numerosi.

Per quanto riguarda le norme legate alla ISO/IEC 27001:
- la ISO/IEC 27001 per il momento non si tocca, ma nel prossimo futuro sarà aggiornata per essere pubblicata intorno al 2021 per includere la nuova lista dei controlli, per recepire le nuove richieste editoriali per tutti gli standard (p.e. la richiesta di avere termini e definizioni all'interno dello stesso documento, mentre oggi sono nella ISO/IEC 27000) e per discutere dell'utilità della Dichiarazione di applicabilità;
- per la ISO/IEC 27002, la discussione ha riguardato soprattutto quali controlli includere, quali eliminare e quali unire; si spera di affrontare discussioni più tecniche dal prossimo meeting;
- la ISO/IEC 27005 è ritornata al via e quindi la discussione ha riguardato l'impostazione; su questa norma, segnalo che il BSI ha pubblicato un suo aggiornamento; per quanto sono riuscito a leggere sembra interessante;
- per la ISO/IEC 27006, si sono affrontate alcune correzioni per la sua futura versione; purtroppo non ho seguito i lavori precedenti e, quindi, non ho contribuito come avrei voluto;
- per la ISO/IEC 27013, si è discusso della necessità di avviare il lavoro, visto che il gruppo che si occupa della ISO/IEC 20000 sta già pubblicando una norma simile (ISO/IEC 20000-7, che include anche riferimenti alla ISO 9001.

Il WG 1 si occupa anche di norme che richiamano più direttamente la cyber-security. In particolare, la ISO/IEC 27102 (sulle cyber-insurance) sarà promossa in "bozza finale" e quindi sarà pubblicata, dopo un ulteriore giro di controllo editoriale, a cavallo del 2019-2020.

Il WG 4 ha discusso di argomenti su cui pubblicare standard (al momento i lavori sono però molto indietro):
- IoT e domotica (in particolare la ISO/IEC 27030, linea guida su rischi, principi e controlli per la sicurezza e la privacy di IoT; attualmente al terzo working draft); per tutti i lavori IoT c'è una forte sinergia con l'SC 41;
- modello per i sistemi industriali.

Per quanto riguarda le norme legate alla privacy, segnalo che si sono conclusi i lavori sulla ISO/IEC 27552 (la norma per certificare i "sistemi di gestione per la privacy") e sarà pubblicata, probabilmente, entro giugno. Però manca una norma di supporto alla certificazione. Un'idea sarebbe quella di estendere la ISO/IEC 27006 (che a sua volta è un'estensione della ISO/IEC 17021 per la ISO/IEC 27001); per discutere compiutamente dell'argomento, si è avviata una richiesta di contributi che si concluderà tra 6 mesi (su questo penso che per il momento si potrebbe usare la ISO/IEC 17021; inoltre segnalo che al momento non è previsto l'uso della ISO/IEC 17065, come richiesto dal GDPR e pertanto bisognerà valutare la questione (in questi mesi cercherò di capire meglio come funziona la certificazione dei prodotti)).

Altri lavori di interesse per quanto riguarda la privacy:
- proseguiti i lavori sulla ISO/IEC 29184 sull'informativa e il consenso online;
- proseguiti i lavori anche su ISO/IEC 27045 dal titolo "Big data security and privacy – Processes" (per definire modelli di riferimento, valutazione e maturità del processo per il dominio della sicurezza e della privacy dei big data); altre norme legate ai big data sono le ISO/IEC 20546 e 20547.

Infine, importantissimo e sempre relativamente alla privacy, è con orgoglio che segnalo che un membro della delegazione italiana (quello anonimo!) è editor della norma ISO/IEC 27555, sulla cancellazione dei dati personali.

Il prossimo meeting sarà a ottobre a Parigi.

venerdì 5 aprile 2019

CIS Controls v 7.1

Franco Vincenzo Ferrari del DNV GL mi ha segnalato la pubblicazione della versione 7.1 dei CIS Controls.

Avevo già parlato della versione 7 e non mi ripeto:
- http://blog.cesaregallotti.it/2018/03/i-controlli-di-sicurezza-del-cis.html.


La pagina da dove scaricare il materiale:
- https://www.cisecurity.org/controls/.

mercoledì 3 aprile 2019

Sulle valutazioni del rischio oggettive (e quantitative)

In questi pochi mesi sto assistendo ad un ritorno dell'idea delle valutazioni del rischio quantitative e su quelle oggettive.

Pierfrancesco Maistrello mi ha ricordato, tra le altre cose, che c'è un Provvedimento del Garante sul data breach:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378.

In un paragrafo, c'è scritto: "VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva".

Io e Pierfrancesco siamo d'accordo nel dire che si possono anche seguire approcci qualitativi (con valori semplici come "alto", "medio" e "basso"), ma i valori assegnati vanno giustificati, dimostrando così l'oggettività della valutazione. Sempre Pierfrancesco mi ricorda che un'ulteriore attività di supporto all'oggettività è la conduzione di un vulnerability assessment.

Delle valutazioni del rischio quantitative ho già scritto in passato e ripeto in sintesi i punti: i dati a disposizione sono troppo pochi e inaffidabili e valutazioni quantitative (se pure fossero possibili) richiederebbero un eccessivo dispendio di energie senza apprezzabili miglioramenti.

PS: più recentemente ho visto anche valutazioni del rischio sulla salute dei lavoratori e anch'esse sono spesso di tipo qualitativo (anche perché diventa difficile assegnare un valore economico alla vita delle persone).

Sistemi di sorveglianza e sicurezza

Un mio articolo per ICT Security Magazine dal titolo "Sistemi di sorveglianza e sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sistemi-di-sorveglianza-e-sicurezza/.

Atti del Security Summit 2019 di Milano

Segnalo la pubblicazione degli atti (ossia delle presentazioni) del Security Summit 2019 organizzato dal Clusit e che si è tenuto a Milano il 12, 13 e 14 marzo:
- https://securitysummit.it/event/Milano-2019/atti.

Personalmente ho assistito a poche presentazioni. Leggendo le slide, ecco quelle che mi hanno interessato di più:
- "E se fosse un attacco mirato proprio contro la tua organizzazione sapresti gestirlo", a cura di Alessio Pennasilico e Giorgio Di Grazia (presentazione principalmente didattica, e poi promotrice di uno specifico servizio);
- "Da molti giorni a pochi minuti, come fermare rapidamente gli attacchi di phishing in corso con Cofense", a cura di Angelo Salice e Claudia Pollio (simile alla precedente);
- "La tua rete, gli applicativi e i database sono performanti e protetti come vuoi, Il tuo traffico di rete è davvero il tuo, Il monitoraggio di rete ti fornisce una piena visibilità e una sicura analisi comportamentale" (promozione del prodotto Flowmon; mi è piaciuto l'approccio della presentazione, ossia la presentazione di casi reali; questo è un approccio opposto alle presentazioni precedenti, più didattiche);
- "Cloud a volo d'uccello", a cura di Daniele Catteddu (le slide le ho trovate insipide, mentre l'intervento, a cui ho assistito, mi è piaciuto molto; peccato non ne rimanga niente se non nella mia memoria);
- "Siamo sicuri della blockchain", a cura di Andrea Reghelin (in realtà, parla degli smart contract, argomento molto recente; questa presentazione facilita un primo approccio all'argomento).

venerdì 29 marzo 2019

Convenzione tra Garante privacy e Accredia (nulla di nuovo)

Il 20 marzo 2019, Garante privacy e Accredia hanno firmato un accordo di collaborazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9099558.

Se leggo correttamente, non avvia alcun schema di certificazione comeprev isto dal GDPR. Mette solo le basi affinché questo possa accadere in futuro. Infatti non sono stati ancora approvati schemi di certificazione a livello nazionale e dinanzi al Comitato Europeo per la Protezione dei Dati.

martedì 26 marzo 2019

Microsoft Threat Modeling Tool

Qualche tempo fa, Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che lui usa, per lo sviluppo del software sicuro, il Microsoft Threat Modeling Tool:
- https://docs.microsoft.com/en-us/azure/security/azure-security-threat-modeling-tool.

Si tratta di un modello basato su quello STRIDE ed è orientato all'analisi delle applicazioni informatiche.

Consiglio la lettura di questo materiale messo a disposizione da Microsoft per ragionare sugli approcci di valutazione del rischio. Anche se questo MTM è dedicato allo sviluppo di software, i suoi principi possono essere facilmente estesi ad ambiti più ampi come i sistemi di gestione per la sicurezza delle informazioni e il GDPR. Da notare che qui non è prevista l'assegnazione di valori per calcolare un livello di rischio (penso sia necessario assegnare valori qualitativi; purtroppo stanno riemergendo auditor che ripropongono la folle idea di approcci quantitativi senza che però ne siano disponibili e consigliati pubblicamente, a differenza di approcci qualitativi o, come questo, che non sono né l'uno né l'altro).

Il caso delle password in chiaro di Facebook

A fine marzo è emersa la notizia che Facebook conservava le password dei propri utenti in chiaro. Per questo segnalo questo articolo di Wired:
- https://www.wired.com/story/facebook-passwords-plaintext-change-yours/.

La notizia ufficiale di Facebook:
- https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/.

Un commento, a mio parere molto interessante, su Twitter, che io intitolerei "Facebook is more secure than 99.9% of other websites":
- https://twitter.com/ErrataRob/status/1109557359360131072.

Non sono un fan di Facebook e, come molti sanno, il problema di Facebook è come usano i dati dei loro utenti.

Qui si è fatto grande clamore per una notizia fornita da Facebook stessa (che ha commissionato un'analisi tecnica dei propri sistemi, che ha evidenziato un errore tecnico del sistema di logging degli accessi) e non un bug scoperto da un "ricercatore indipendente" o evidenziato da una violazione dei dati.

Il caso della Boeing e del software

Credo sia nota a tutti la brutta notizia del Boeing dell'Ethiopian Airlines precipitato il 10 marzo 2019.

L'incidente, gravissimo, è stato originato da un bug del software. Incredibilmente i comandi del software non potevano essere contrastati da un'azione umana, contrariamente a quanto raccomandato per tutti gli impianti con impatto sulla sicurezza delle persone. Inoltre sembra che la correzione al bug fosse già disponibile, ma solo a pagamento.

Penso che ogni commento sia superfluo.

Un articolo sul fatto che i fix fossero a pagamento dal titolo "Doomed Boeing Jets Lacked 2 Safety Features That Company Sold Only as Extras":
- https://www.nytimes.com/2019/03/21/business/boeing-safety-features-charge.html.

Un'analisi sull'errore del software dal titolo "Storie di aerei caduti e del loro software":
- https://www.zeusnews.it/n.php?c=27193.

lunedì 25 marzo 2019

Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli

Segnalo questo articolo di Altalex dal titolo "Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli, anche anteriori":
- https://www.altalex.com/documents/news/2019/03/18/rapporto-di-lavoro-incidenza-dei-comportamenti-extralavorativi-riprovevoli-anche-anteriori.

Si tratta di un argomento che mi dà molto da pensare, dal punto di vista etico e da quello tecnico (i limiti imposti dal GDPR, la relazione tra comportamenti passati e quelli futuri).

sabato 16 marzo 2019

Rapporto Clusit 2019

Segnalo l'uscita (in occasione del Security summit a Milano) del Rapporto Clusit 2019 sulla sicurezza ICT in Italia:
- https://clusit.it/rapporto-clusit/.

Il Rapporto è in realtà una doppia pubblicazione. La prima è il rapporto vero e proprio con dati e analisi sugli eventi del 2018 e sulle previsioni per il 2019. Parere personale: la quantità di dati è enorme ma, alla fine, non aiutano a migliorare la sicurezza informatica (qualcuno potrebbe supporre che i "non esperti" potrebbero interessarsi a questi numeri e quindi avviare dei processi di miglioramento, ma la mia esperienza mi dice di no).

La seconda parte del rapporto è una raccolta di articoli, alcuni decisamente interessanti.

mercoledì 13 marzo 2019

Libro "Consapevolmente cloud"

E' stato pubblicato il libro "Consapevolmente cloud", a cura della Oracle Community for Security e con l'obiettivo di presentare alcuni aspetti utili alle organizzazioni che vogliono usare servizi cloud:
- https://consapevolmentecloud.clusit.it.

Lo segnalo perché ho partecipato come revisore. Non mi pare che il libro abbia contenuti particolarmente innovativi rispetto alle numerose pubblicazioni già a disposizione. Qualche spunto però l'ho colto e mi ha fatto piacere avere la possibilità di leggerlo e commentarlo in anteprima.

lunedì 11 marzo 2019

Sweep 2018: l'analisi dei Garanti sull'attuazione del GDRP

I Garanti europei hanno condotto nell'ultimo quadrimestre del 2018 un'indagine "a tappeto" sullo stato di attuazione del GDPR. Il nostro Garante ha pubblicato una sintesi dei risultati:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9088164.

Si scopre che, in realtà, l'indagine non è veramente "a tappeto", visto che è stata condotta su soggetti selezionati. In Italia sono stati selezionati Regioni e Province autonome, nonché le rispettive società controllate. I risultati non sono particolarmente soprendenti, ma forniscono un'indicazione sui punti considerati più importanti dalle autorità Garanti.

martedì 5 marzo 2019

Articolo sul Cybersecurity Act

A dicembre è stato raggiunto l'accordo per il Regolamento europeo detto "Cybersecurity act".

Questo Regolamento è importante perché:
- affida ad ENISA un ruolo più operativo, in particolare per quanto riguarda la gestione degli incidenti;
- introduce lo schema di certificazione europeo per i prodotti e i servizi informatici (che dovrà comunque essere ulteriormente specificato).

Su questo tema, segnalo questo articolo (anche se usa malamente il termine "cibernetico") dal titolo "Cybersecurity Act, ecco cosa ci aspetta dopo la Direttiva NIS":
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Segnalo che non approfondisce gli schemi di certificazione dei prodotti. Oggi, come indicato, ne sono in vigore alcuni, ma basati su schemi diversi; in particolare in Italia sono usati i Common criteria (ISO/IEC 15408), mentre in altri Paesi sono stati introdotti altri requisiti. Sarebbe interessante fosse condotta un'analisi su questi schemi (nel caso fosse già stata fatta, invito a segnalarmela).

mercoledì 27 febbraio 2019

Violenza privata impedire all'internal audit di svolgere le proprie mansioni

Luca de Grazia mi ha segnalato questo articolo de Il quotidiano giuridico, dal titolo "È violenza privata impedire all'internal audit di entrare in azienda e svolgere le proprie mansioni", relativo ad un'interessante sentenza della Cassazione penale:
- http://www.quotidianogiuridico.it/documents/2019/02/25/e-violenza-privata-impedire-all-internal-audit-di-entrare-in-azienda-e-svolgere-le-proprie-mansioni#.

La sentenza l'ho trovata sul sito http://www.italgiure.giustizia.it/sncass/,
inserendo nel campo di ricerca 4779/2019.

ETSI TS 103 645 Cyber Security for Consumer Internet of Things

Segnalo questa pubblicazione di ETSI dal titolo "Cyber Security for Consumer Internet of Things":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=54761.

E' scaricabile gratuitamente e senza registrazione.

Non l'ho studiata né confrontata con la mia lista di requisiti per l'IoT (lo farò quando mai dovrò lavorarci sopra), però mi pare interessante e scritta bene, con requisiti chiari e sintetici. Sapendo che ci hanno lavorato persone competenti, sicuramente sarà completa.

La sicurezza delle informazioni non è un'opportunità

E' stato pubblicato questo mio articolo per ICT security magazine, dal titolo "La sicurezza delle informazioni non è un'opportunità":
- https://www.ictsecuritymagazine.com/articoli/la-sicurezza-delle-informazioni-non-e-unopportunita/

Era nato come una risposta provocatoria ad un post su LinkedIn. Poi ho elaborato ulteriormente i concetti.

martedì 26 febbraio 2019

CrowdStrike Global Threat Report 2019

Non conoscevo questa CrowdStrike, ma anch'essa si è messa a pubblicare report sulla sicurezza (come segnalato dal SANS NewsBites del 22 febbraio 2019):
- https://www.crowdstrike.com/resources/reports/2019-crowdstrike-global-threat-report/.

Divertente leggere la classificazione dei gruppi di criminali sulla base della provenienza geografica e facendo uso di nomi come Kryptonite Panda o Vodoo Bear. Per il resto queste sono altre statistiche che non mi hanno insegnato niente (a me non sembra interessante sapere la velocità, peraltro alta, con cui, una volta compromessa una rete, i criminali possono acquisire i privilegi massimi).

Il SANS segnala, tra gli altri, questo sito che riporta i risultati in sintesi:
- https://www.fifthdomain.com/industry/2019/02/21/new-report-questions-effectiveness-of-cyber-indictments/.

Symantec Internet Security Threat Report 2019

Symantec, come segnalato dal SANS NewsBites del 22 febbraio ha pubblicato il suo Internet Security Threat Report:
- https://www.symantec.com/security-center/threat-report.

Dice qualcosa di nuovo? A me non sembra perché ricorda che gli attacchi più frequenti sono: formjacking (particolare forma di injection), Ransomware, IaaS in cloud mal configurati (in particolare S3), IoT. Non ho capito benissimo cosa siano gli attacchi Living off the Land, ma non vorrei siano gli attacchi condotti da persone interne (o comunque con accesso alla rete interna) con "normali" strumenti di amministrazione. Insomma... cose già viste e sentite.

Segnalo che non ho scaricato il report completo perché mi chiede i miei dati di contatto. Forse ci sono cose più interessanti e, se qualcuno ne dovesse avere notizia, lo prego di segnalarmelo.

venerdì 22 febbraio 2019

Prima bozza dei criteri per la certificazione GDPR

L'European Data Protection Board (EDPB) ha pubblicato la bozza ("versione per consultazione pubblica") delle "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en.

Siamo ancora lontani dall'avere i criteri di certificazione rispetto al GDPR. Questi sono i criteri per valutare i criteri di certificazione. Sono, insomma, meta-criteri.

BCI Horizon Scan Report 2019

Segnalo il BCI Horizon Scan Report 2019:
https://www.thebci.org/resource/horizon-scan-report-2019.html.

Un altro report con le impressioni e i sentimenti degli intervistati, che elencano i rischi che più temono. Cosa mi ha insegnato questo report? Niente. Ma io lo segnalo lo stesso perché so che a molti interessa.

mercoledì 20 febbraio 2019

Mio libro "Sicurezza delle informazioni" edizione 2019 (in italiano e inglese)

Ho pubblicato un aggiornamento del mio libro "Sicurezza delle informazioni". Ho voluto tradurlo in inglese (con l'aiuto di altra persona!) e, nel farlo, ho trovato cose da correggere o da aggiornare anche nell'edizione italiana.

Tutti gli aggiornamenti sono apparsi prima sul mio blog (http://blog.cesaregallotti.it/) e sulla newsletter (http://www.cesaregallotti.it/Newsletter.html) e quindi niente per cui correre a comprare la nuova edizione.

La cosa più importante è che ho accreditato in copertina l'aiuto che avevo ricevuto nel 2014 da Massimo Cottafavi e Stefano Ramacciotti; il mio ritardo è inqualificabile e me ne scuso.

Per acquistarlo, consiglio di comprarlo sul sito degli editori (fornitori di piattaforme di self-publishing):
- per pdf in A4 e epub in italiano e inglese: https://store.streetlib.com;
- per il formato cartaceo in italiano e inglese: www.lulu.com/shop.

Alcuni appunti:
- il libro è disponibile su tutte le librerie virtuali e credo si possa anche noleggiare;
- dovrebbe essere disponibile solo l'edizione del 2019, ma vi prego di prestare comunque attenzione all'edizione che acquistate, visto che siamo ancora in fase di transizione dalla vecchia del 2017 alla nuova e alcuni negozi virtuali le vendono tutte e due);
- su Lulu, c'è un'edizione cartacea più economica; per motivi a me ignoti, è possibile creare una versione più economica (avendo gli stessi guadagni) vendibile solo su Lulu e così ho fatto;
- Lulu in questo momento è molto lenta nell'inviare la versione in italiano (ho avuto conferma della spedizione il 31 gennaio ma non mi è ancora arrivato il 18 febbraio), mentre è stata molto celere con quella in inglese.

martedì 19 febbraio 2019

DM per sicurezza operatori TLC

Andrea Evangelista via LinkedIn mi ha segnalato la pubblicazione del DM del 12 dicembre 2018 del Ministero dello sviluppo economico e pubblicato in G.U. il 21 gen 2019 "Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi":
- www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/s.

Andrea Evangelista mi dice "dettaglia l'art. 16bis e ter del Codice delle comunicazioni elettroniche. E' un po' l'equivalente del D. NIS per i servizi di comunicazione elettronica e i fornitori di reti e servizi di comunicazione".

Per completezza, il link al Codice delle comunicazioni elettroniche:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-08-01;259!vig=

Qualche riflessione (cerco di unire le mie con quelle di Andrea; ogni errore e mio):
- i destinatari sono i "fornitori di servizi di reti e servizi di comunicazione elettronica", ossia i fornitori di connessione (Telco) e le società cosiddette "wholesale only", ossia quelle che hanno una concessione ex art. 25 del Codice delle comunicazioni elettroniche; non è indirizzato ai fornitori di contenuti;
- quando parla di incidenti (articolo 5), li intende solo come con impatto sulla disponibilità e non su integrità (dei dati) e riservatezza (ha come obiettivo di garantire la disponibilità e continuità dei servizi sulle reti e prevenire i cosiddetti incidenti significativi che creano "disservizi");
- interessante il sunto di un sistema di gestione per la sicurezza delle informazioni dell'articolo 4 (anche se certe rigidità normative possono essere discusse);
- interessante anche quando all'art. 6 comma 2 tratta "dell'eventuale possesso di certificazioni di conformità...";
- meno apprezzabile il ricorso agli "asset" come base per la valutazione del rischio, concetto ormai ritenuto superato (ma va detto che il testo è sufficientemente ambiguo e può essere letto anche pensando alla necessità di descrivere correttamente i servizi e identificare i rischi non necessariamente per ciascun asset; usa termini come "potenzialmente in grado" e "asset propri o di terzi che contribuiscono anche parzialmente alla fornitura dei servizi...").

lunedì 18 febbraio 2019

Un altro articolo negativo su blockchain

Per quanto poco io capisca di blockchain o, come dicono quelli che vogliono essere "meno modaioli", di distributed ledger technology (DLT), penso che sia una boiata pazzesca (a differenza della Corazzata Potemkin, che è un grande film).

Il mio parere, come già scrissi tempo fa, è da prendere con prudenza. Ma quello di Bruce Schneier, uno degli esperti di sicurezza veramente competenti e che ragiona invece di ripetere a pappagallo quello che dicono altri, va preso molto seriamente (scrive anche benissimo, tra gli altri suoi pregi).

Quindi io segnalo il suo articolo "Blockchain and Trust":
- https://www.schneier.com/blog/archives/2019/02/blockchain_and_.html.

In sintesi, anche lui pensa che la blockchain sia un termine di moda e che, nella realtà, la sua tecnologia non migliora la sicurezza e sicuramente peggiora l'efficienza dei sistemi. Lui parla di blockchain pubblica, visto che quella privata è realizzabile in mille altri modi e tecnicamente avrebbe altri nomi (è indicata con il termine "blockchain" solo perché di moda).

Milano, 10 aprile 2019: DFA Open day 2019

Il 10 aprile pomeriggio si terrà a Milano l'annuale DFA Open day (gratuito). Per iscriversi:
- https://www.eventbrite.it/e/biglietti-dfa-open-day-2019-56637583537.

Il programma non lo abbiamo ancora stabilito completamente, ma parleremo di digital forensics (lato tecnologico e lato legale), di GDPR e chissà che altro.

Per la cronaca, sono presidente dell'associazione.

giovedì 14 febbraio 2019

ITIL 4 in uscita

In questi mesi (primo trimestre 2019) è prevista l'uscita di ITIL 4. Sicuramente è frutto di varie riflessioni (incluso il nome, dato che nel 2011 avevano decretato che le future versioni di ITIL non avrebbero più avuto una "versione" e invece oggi si parla di ITIL 4).

Per prepararsi (anche per capire come mantenere le certificazioni personali), segnalo questo articolo dal titolo "ITIL 4: aria di rinnovamento" che, mi pare, dica tutto:
- https://www.zerounoweb.it/cio-innovation/organizzazione/itil-4-aria-di-rinnovamento/.

La pagina ufficiale sull'aggiornamento di ITIL è quella del sito di Axelos:
- https://www.axelos.com/itil-update.

Cassazione: licenziamento lecito per troppo uso di Facebook

L'articolo ha titolo "Facebook per troppe ore al lavoro, la Cassazione ribadisce il licenziamento":
- https://www.repubblica.it/cronaca/2019/02/01/news/facebook_per_troppe_ore_la_cassazione_ribadisce_il_licenziamento-218017328

Notare che i giudici hanno stabilito che non c'è stata nessuna violazione delle regole sulla tutela della privacy. Spero qualcuno possa segnalare qualche articolo di maggiore riflessione in merito a questa sentenza.

ENISA e misure di sicurezza per le app per smartphone

ENISA pubblicò a inizio 2017 un documento dal titolo "Smartphone Secure Development Guidelines". Lo segnalo, con colpevole ritardo:
- https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines-2016.

Ora ha reso in formato xls le misure di sicurezza e, forse un po' troppo pomposamente, lo ha denominato SMASHING Tool. Al di là della mia ironia sull'eccesso di enfasi, penso che l'iniziativa sia più che apprezzabile:
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool.

domenica 10 febbraio 2019

Manutenzione impianti elettrici

La sicurezza degli impianti elettrici è un elemento, non principale e spesso dimenticato, della sicurezza informatica. Per questo, ricordando che le competenze in materia di sicurezza dei lavoratori e di sicurezza delle informazioni sono diverse, è bene saperne qualcosa.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo di PuntoSicuro dal titolo "Linee guida per la verifica e il controllo degli impianti elettrici":
- https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/tipologie-di-contenuto-C-6/linee-guida-buone-prassi-C-62/linee-guida-per-la-verifica-il-controllo-degli-impianti-elettrici-AR-18793/.

L'articolo riassume i punti salienti di una linea guida del CNPI sulla sicurezza degli impianti elettrici. La pagina del CNPI è la seguente:
- http://www.cnpi.eu/dal-cnpi-la-linea-guida-sulla-sicurezza-degli-impianti-elettrici/.

Nel 2008 avevo copiato un articolo di Filodiritto (www.filodiritto.it) che, ahimé, non riesco più a trovare. Segue quindi quanto avevo copiato (e forse sintetizzato... non ricordo). Segnalo che la linea guida del CNPI non cita il DPR 392 del 1994, che sembra comunque in vigore.

Il Decreto Ministeriale n. 37 del 22 gennaio 2008 è stato emanato al fine di riordinare tutte le disposizioni in tema di attività di installazione e di sicurezza degli impianti all'interno di edifici di diversa tipologia. Il riordino delle disposizioni vigenti in materia ha comportato l'abrogazione delle norme contenute:
- nella Legge n. 46 del 5 marzo 1990 "Norme sulla sicurezza degli impianti" (ad eccezione degli articoli 8, 14, 16 sulle sanzioni applicabili);
- nel Decreto del Presidente della Repubblica n. 447 del 6 dicembre 1991 "Regolamento di attuazione della legge 46/1990 in materia di sicurezza degli impianti";
- nel Capo V parte II artt. dal 107 al 121 "Norme per la sicurezza degli impianti" del Testo Unico in materia edilizia di cui al Decreto del Presidente della Repubblica n. 380 del 6 giugno 2001.

Pertanto, a partire dal 27 marzo 2008 (data di entrata in vigore del Decreto Ministeriale n. 37/2008), tutta la materia dell'installazione e della sicurezza degli impianti è disciplinata:
- dal citato decreto 37/2008;
- dagli articoli 8, 14 e 16 della legge n. 46/1990;
- dal Decreto del Presidente della Repubblica n. 392 del 18 aprile 1994 "Regolamento per la disciplina del procedimento di riconoscimento delle imprese ai fini dell'installazione, ampliamento e trasformazione degli impianti nel rispetto delle norme di sicurezza".

Per la manutenzione degli impianti di ascensori e montacarichi in servizio privato continuano, invece, ad applicarsi le disposizioni del Decreto del Presidente della Repubblica n. 162 del 30 aprile 1999 e le altre disposizioni specifiche in materia.

venerdì 8 febbraio 2019

Differenza tra sicurezza IT e OT

Ho scritto questo breve articolo dal titolo "Differenza tra sicurezza IT e OT":
- https://www.ictsecuritymagazine.com/articoli/differenza-tra-sicurezza-it-e-ot/.

Titolare e responsabile secondo il Garante (e i consulenti del lavoro)

Quest'estate era divampato il dibattito dal titolo "il consulente del lavoro è titolare o responsabile dei trattamenti svolti per i propri clienti?". Ne avevo scritto:
- http://blog.cesaregallotti.it/2018/07/circolare-dei-consulenti-del-lavoro.html.

Il Garante si è finalmente espresso su questo punto, dicendo (in accordo con tutti gli "esperti privacy" che io ritengo veramente tali e non con tanti altri cialtroni) che il consulente del lavoro ha il ruolo di responsabile quando tratta i dati per conto dei propri clienti:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.

Da notare che la risposta del Garante fornisce altri esempi di responsabili: il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza.

Aggiunge anche "la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori", ma su questo ho i miei dubbi, visto che la capogruppo è solitamente non delegata "volontariamente" dalle controllate.

Il business della sicurezza (nelle scuola USA)

Segnalo questo articolo del Corriere della sera dal titolo "Usa, il business sicurezza nelle scuole":
- https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.

Mi occupo di sicurezza delle informazioni e, con le dovute cautele, alcuni parallelismi li possiamo fare. In particolare ho riflettuto sull'unione di due direzioni contrapposte: da una parte quella della sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, dall'altra quella della fiducia totale nei confronti dei venditori delle tecnologie che hanno già dimostrato di potersene approfittare (vedere caso di Cambridge Analytica).

E da questa storia si nota anche la tendenza a rifugiarsi, per la sicurezza, in tecnologie sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, "ho un tool"; oggi sembra la risposta comune. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più negli stipendi del personale che c'è già, nella sua formazione e nella sua crescita numerica.

Penso che in molti casi costerebbero di meno (anche se, ahinoi, nelle spese fisse), e avrebbero maggiori benefici, due persone in più, con la riduzione dello stress in quelli che ci sono già e quindi degli errori, al posto del continuo ricorso a super-fornitori, super-consulenti e super-tecnologie.

Dico questo con l'esperienza di chi ha visto aziende con tanti tecnici sovraccarichi di lavoro e che investono in tecnologie spesso inutili (qualcuno si ricorda i DLP? oggi sono, a ragione, quasi dimenticati) e in consulenze altrettanto inutili (per esempio su fantistici modelli organizzativi che non vedono mai la luce, nonostante gli enormi costi sostenuti per farsi dire che è necessaria un'organizzazione "matriciale" (perché è così che finisce nella maggior parte dei casi; mi si scusi lo spoiler)).

martedì 5 febbraio 2019

Ampliamento Registro delle opposizioni

Luca de Grazia mi ha segnalato l'entrata in vigore del DPR 149 del 2018 che estende il Registro delle opposizioni alla posta cartacea. Il registro era già stato esteso, con la Legge 5 del 2018, ai numeri di cellulari.

Il DPR che istituisce il Registro delle opposizioni è il 178 del 2010 e su Normattiva si trova la sua versione aggiornata. Similmente, si trova la Legge 5 del 2018.

L'indirizzo web di Normattiva è:
- www.normattiva.it.

Il Registro delle opposizioni è il servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato. Il suo indirizzo web è:
- http://www.registrodelleopposizioni.it/.

lunedì 4 febbraio 2019

Articolo sulle assicurazioni IT (un altro)

Recentemente segnalai e commentai un articolo del The Economist sulle assicurazioni IT:
- http://blog.cesaregallotti.it/2019/01/articolo-sulle-assicurazioni-it.html.

Pierfrancesco Maistrello, allora, mi ha segnalato un articolo di IAPP molto simile, dal titolo "Data breach insurance: A three-part problem":
- https://iapp.org/news/a/data-breach-insurance-a-three-part-problem/.

Prende le mosse da una sentenza (credo di un tribunale inglese) che ha imposto ad un'azienda di sottoscrivere un'assicurazione per le multe derivanti dal GDPR. Il fatto è che la questione non è banale per vari motivi: è in dubbio la possibilità di prevedere assicurazioni per inadempimenti legali, sono carenti le statistiche sugli incidenti, è incerta la definizione di "cyber risk", l'assicuratore può non pagare anche per minime carenze dell'assicurato nel seguire le procedure.

L'articolo parla, incidentalmente, anche delle assicurazioni da DPO dicendo che non sono sostanzialmente disponibili.

Due riflessioni:
- la cosa sull'impossibilità di assicurarsi per inadempimenti legali mi è nuova e spero di trovare ulteriori articoli in merito per approfondire la questione (pare purtroppo che gli esperti legali italiani trovino più gusto a ripetere il concetto di accountability);
- le altre cose le so da tempo, eppure troppi "esperti" continuano a proporle e mi chiedo come mai; non si aggiornano o non approfondiscono le cose di cui parlano? si aggiornano facendo affidamento a "esperti" che non sono esperti ma solo imbonitori? sono essi stessi imbonitori senza vera competenza?

venerdì 1 febbraio 2019

ENISA Threat Landscape 2018 report

Tempo di report (solitamente non molto utili, ma molto apprezzati) sulla sicurezza. Ecco il primo del 2019: "ENISA Threat Landscape 2018 report":
- https://www.enisa.europa.eu/news/enisa-news/exposure-to-cyber-attacks-in-the-eu-remains-high/.

Questo rapporto ha il pregio di elencare 15 minacce ritenute particolarmente significative (dal malware allo spionaggio) e di collegarle a misure di mitigazione.

La mia perplessità è che sembra (anche se è faticoso capirlo dal documento) che queste 15 minacce sono state selezionate non sulla base di dati, ma sulla base delle percezioni degli esperti di ENISA. Tutto ragionevole, ma da sapere.

ENISA e materiale di formazione tecnica

Ho notato la recente pubblicazione di ENISA del materiale di formazione tecnica "Introduction to network forensics".

Andando a vedere di cosa si tratta, ho visto che il materiale è pubblicato insieme a tante altre cose in una pagina "Online training material":
- https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational.

Mi sembra tutto molto interessante e pertanto lo segnalo.

ENISA e IoT

ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato negli anni alcuni documenti e raccomandazioni per l'IoT.

In una pagina web è possibile accedere alle raccomandazioni per gli ambiti finora trattati (città, automobili, industria, aeroporti, ospedali). Queste raccomandazioni possono anche essere scaricate in formato Excel.

La pagina "ENISA Good practices for IoT and Smart Infrastructures Tool":
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool

mercoledì 30 gennaio 2019

Articolo sulle assicurazioni IT

Roberto Gallotti (mio papà!) mi ha segnalato un articolo del The Economist dal titolo "The market for cyber-insurance is growing":
- https://www.economist.com/finance-and-economics/2019/01/26/the-market-for-cyber-insurance-is-growing.

La sostanza è che il mercato delle assicurazioni IT (o cyber-insurance) è ancora immaturo.

Ne avevo scritto già prima del 2011, poi nel 2011 e poi, grazie ad uno studio di ENISA, nel 2012 (http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html). Nulla è cambiato, neanche quelli che, senza aver studiato l'argomento, continuano a promuovere assicurazioni ancora inadeguate.

lunedì 28 gennaio 2019

Pubblicata la nuova ISO/IEC 27008

E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27008 dal titolo "Guidelines for the assessment of information security controls":
- https://www.iso.org/standard/67397.html.

La precedente versione era la ISO/IEC 27008:2011. Questa è stata indicata come "revisione maggiore", anche perché ora si basa sui controlli della ISO/IEC 27002:2013.

Questo standard non mi piace perché in alcuni punti coglie l'occasione per "migliorare" la ISO/IEC 27002.

Pubblicata la nuova ISO/IEC 27018

E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27018 dal titolo "Code of practice for PII protection in public clouds acting as PII processors":
- https://www.iso.org/standard/76559.html.

La precedente versione era la ISO/IEC 27018:2014 e questa nuova versione è indicata come "revisione minore" e sembra dovuta al solo fatto che ci fossero dei riferimenti incrociati sbagliati (questo è quello che ho trovato scritto nella "giustificazione per la revisione").

Ricordo che questa norma riporta controlli privacy che possono essere usati per estendere quelli di sicurezza della ISO/IEC 27001 e ottenere una certificazione rispetto alla ISO/IEC 27001 "estesa" con la ISO/IEC 27018. È applicabile ai fornitori di servizi cloud pubblici, che agiscono con ruolo di responsabili (e non titolari!).

giovedì 24 gennaio 2019

Cassazione: accesso a Facebook con le credenziali della moglie

Luca De Grazia mi ha segnalato, con il titolo "Condannato per essere entrato nel profilo Facebook della moglie e aver fotografato una chat", una sentenza della Cassazione.

Il commento sintetico mi pare dica tutto: "Evidente, secondo i Giudici, l'interferenza compiuta dal marito ai danni della vita privata della consorte. Irrilevante il fatto che le credenziali di accesso fossero state fornite tempo addietro dalla donna al marito".

Segnalo questo articolo (il primo che ho trovato):
- http://www.studiolegalezuco.it/accesso-abusivo-sistema-informatico-615-ter-profilo-facebook-conoscenza-credenziali-cassazione-penale-2905-2019/.

Mi pare interessante, anche perché ritorna sul caso in cui una persona condivide le proprie password con un'altra. Anche questo caso ci insegna che è sempre una cattiva idea.

mercoledì 23 gennaio 2019

Google multata in Francia per 50 milioni per mancato rispetto del GDPR

Una prima multa milionaria per il mancato rispetto del GDPR. In questo caso, il Garante francese ha multato Google perché Android non presenta chiaramente i consensi necessari per il trattamento dei dati.

Un articolo in italiano dal titolo "Consenso alla privacy poco chiaro, in Francia multa da 50 milioni di euro per Google":
- https://www.lastampa.it/2019/01/21/tecnologia/consenso-alla-privacy-poco-chiaro-in-francia-multa-da-milioni-di-euro-per-google-aDmrdULxnqJU2oMdLJeBsI/pagina.html.

Un articolo in inglese dal titolo "GDPR: Google hit with €50 million fine by French data protection watchdog":
- https://www.zdnet.com/article/gdpr-google-hit-with-eur50-million-fine-by-french-data-protection-watchdog/.

Dipendente che usa registrazioni per scopi difensivi

Questa mattina un cliente mi ha fatto una domanda per cui sono dovuto andare a ricercare questa notizia di Filodiritto dal titolo "Cassazione Civile: è illegittimo il licenziamento del dipendente che utilizza le registrazioni fonografiche occulte per scopi difensivi":
- https://www.filodiritto.com/news/2018/licenziamento-cassazione-civile-illegittimo-il-licenziamento-del-dipendente-che-utilizza-le-registrazioni-fonografiche.html.

Penso che possa di essere interesse anche per i miei lettori.

Mi ha stupito il fatto che la sentenza faccia riferimento al GDPR. Infatti mi sembrava dovesse essere escluso in quanto non "trattamento interamente o parzialmente automatizzato di dati personali" o "di trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi" e, anzi, "attività a carattere esclusivamente personale". Sicuramente ha ragione la Cassazione.

martedì 15 gennaio 2019

Foto dei figli sui social network

Da un tweet di @a_oliveri, segnalo questo articolo dal titolo "Foto sui social dei figli minorenni, i genitori rischiano fino a 10mila euro di multa":
- https://www.repubblica.it/tecnologia/2018/01/08/news/multa_foto_figli_social-186077784/.

Credo che queste vicende dicano tanto sulla cultura del "non abbiamo segreti per nessuno; anzi... facciamo vedere a tutti i fatti nostri!". Questa cultura va capita da chi si occupa di sicurezza delle informazioni e di privacy, perché si concretizza in violazioni di dati.

giovedì 10 gennaio 2019

Sensibilizzazione 04 - Materiale NCSC

Dark Reading Weekly segnala che lo statunitense National Counterintelligence and Security Center (NCSC) ha messo online del materiale di sensibilizzazione:
- https://www.dni.gov/index.php/ncsc-how-we-work/ncsc-know-the-risk-raise-your-shield/ncsc-awareness-materials.

I video mi sembrano molto interessanti. Non proprio divertentissimi, ma interessanti. Il resto del materiale mi sembra di difficile interpretazione (io, perlomeno, faccio fatica a capirlo). Tutto è in inglese, ma può isprirare inziative in italiano (per chi ne avesse voglia).

mercoledì 9 gennaio 2019

Differenze tra sicurezza IT e sicurezza ICS (e non solo)

Da un tweet di @yvetteagostini, segnalo questa breve riflessione dal titolo "IT+OT Cyber security experts?":
- lnkd.in/eE5j5qs.

In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".

Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.

È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".

È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT  o OT, a seconda dell'interlocutore.

Bufale su Internet

Penso che le bufale (o "fake news", come si usa dire oggi in inglese) siano un argomento non proprio pertinente il mio mestiere, ma comunque interessante.

Infatti siamo testimoni di bufale relative alle misure di sicurezza o adempimenti inesistenti (o non più inesistenti). Siamo anche testimoni di paure ingiustificate su possibili attacchi quasi impossibili (inclusi i terremoti a Milano) e di sottovalutazione di attacchi molto più probabili (come quelli su alcuni servizi accessibili dal web).

E' per questo che segnalo qualche link che @sramakk ha condiviso su Twitter sulle bufale su Wikipedia (forse in questi giorni avrà notato qualche esempio o avrà incontrato qualcuno troppo entusiasta di Wikipedia). Uno è di uno che è riuscito a far circolare false citazioni (sperando che a sua volta non sia una bufala):
- https://www.wired.it/internet/2014/01/15/come-ho-fregato-tg-politici-e-giornali-con-wikipedia/.

Un altro è su alcune bufale particolarmente significative:
- https://www.ilpost.it/2015/04/18/wikipedia-affidabilita/.

Più o meno negli stessi giorni, ho notato anche questo tweet di @Chronotope che suggeriva un articolo dal titolo "How Much of the Internet Is Fake? Turns Out, a Lot of It, Actually", dedicato al fatto che sono create misure, utenze e contenuti solo per generare numeri utili alla pubblicità (e al denaro, ovviamente):
- https://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html.

E sempre negli stessi giorni ho visto un tweet sulla propaganda politica e sull'uso distorto dei canali di comunicazione (la stessa foto, innocente, usata in più di 180 articoli razzisti!):
- https://twitter.com/bknsty/status/1081954569196879872.

domenica 6 gennaio 2019

GDPR: verificata dal Garante la conformità dei Codici deontologici

Il Garante ha aggiornato i codici deontologici per allinearli al GDPR:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9069732.

Oggi si chiamano "Regole deontologiche". Se ho capito correttamente, non riportano novità rispetto alle precedenti versioni.

Per i più scrupolosi, la notizia è accompagnata da riflessioni sul fatto che non è stata avviata una consultazione pubblica.

Guide per avviare collaborazioni in materia di sicurezza IT

Il National Cyber Security Centre (NCSC) dei Paesi Bassi ha pubblicato delle guide per migliorare le collaborazioni settoriali, geografiche o di filiera in materia di sicurezza informatica:
- https://www.ncsc.nl/english/cooperation.

Questo può essere un ulteriore tassello per l'applicazione della Direttiva NIS (la notizia l'ho ricevuta da un tweet di @enisa_eu). Mi chiedo quanto questo argomento sarà sviluppato. In Italia abbiamo, come elemento positivo, una storia di distretti industriali da cui attingere. Penso però che, alla fine, a meno che qualche Pubblica amministrazione (come già succede in alcuni casi) non promuova alcune collaborazioni, i grandi fornitori di servizi IT metteranno sul mercato i loro servizi di SOC "generalisti".

Sono curioso di vedere come andranno le cose.

Guida ETSI per un SOC

Franco Vincenzo Ferrari di DNV GL mi ha segnalato che ETSI ha pubblicato la ETSI GS ISI 007 V1.1.1 (2018-12) dal titolo "Information Security Indicators (ISI); Guidelines for building and operating a secured Security Operations Center (SOC)":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50920.

Questo documento è importante perché la Direttiva NIS (recepita dal nostro D. Lgs. 65 del 2018) richiede ai fornitori di servizi essenziali di attivare processi di rilevazione, trattamento e segnalazione degli incidenti di sicurezza informatica, spesso compito di un SOC.

Personalmente, non credo che la lettura di una Linea guida come questa possa insegnare veramente come realizzare e operare un SOC (per questo ci sono sicuramente validi libri), ma è certamente un ottimo riferimento.

sabato 5 gennaio 2019

Guida alla sicurezza IT dell'US Dept. of Health and Human Services

Il SANS NewsBites del 4 gennaio (www.sans.org) segnala la pubblicazione della serie di documenti "Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients" da parte dell'US Dept. of Health and Human Services:
- https://www.phe.gov/Preparedness/planning/405d/Pages/hic-practices.aspx.

Un commento di un curatore del SANS segnala che questa guida è un cambio di direzione perché si basa sulle "buone pratiche", non sul "rischio". Secondo molti è un male, ma secondo me è un bene, fino ad un certo punto. Come dice lo stesso curatore del SANS NewsBites, per una vera valutazione del rischio sono necessari tempo e competenze (oltre che soldi) e spesso i risultati non sono poi così strabilianti. Allora ben venga un elenco di "buone pratiche" su cui è possibile ragionare e non un vago richiamo (come oggi va di moda) alla valutazione del rischio senza una seria valutazione delle soluzioni oggi disponibili.

E' vero che domani le soluzioni saranno diverse, ma almeno qualcuno ci spiega quelle di oggi.

A dire il vero, non mi sembra che questa guida presenti cose particolarmente innovative o relative alla sanità (persino la "Cybersecurity Practice #9: Medical Device Security" non mi è sembrata particolarmente significativa). Però confesso di non averla letta con particolare attenzione.

sabato 22 dicembre 2018

Garante privacy e aggiornamenti sulle autorizzazioni generali

Il Garante privacy ha avviato i lavori relativi agli aggiornamenti sulle autorizzazioni generali. La notizia sulla newsletter fa il punto delle autorizzazioni che non sono più valide ("hanno cessato completamente i loro effetti"):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069012.

Il Provvedimento (doc. web 9068972), invece, fa il punto su quelli che risultano compatibili con il GDPR e prevede di avviare una consultazione pubblica per aggiornarle:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972.

Quindi: siamo ancora all'idea di bozze. Ci saranno i soliti che si agiteranno, ma in realtà ci sarà da aspettare.

Penale per Facebook per ritardo nella riattivazione di un account sospeso immotivatamente

Luca De Grazia mi ha informato di un'interessante sentenza: Facebook è stata punita perché disabilitò un'utenza senza assicurarle un minimo di diritto di difesa.

Luca De Grazia mi ha segnalato l'articolo su Quotidiano Giuridico:
- http://www.quotidianogiuridico.it/documents/2018/12/20/sospensione-immotivata-dell-account-penale-per-facebook-in-caso-di-ritardo-nella-riattivazione#.

Segnalo altri due articoli sulla medesima questione. Uno è giornalistico da Italia Oggi:
- https://www.italiaoggi.it/news/stop-alle-censure-immotivate-da-parte-di-facebook-2321752.

Un altro è più tecnico, da Studio Cataldi:
- https://www.studiocataldi.it/articoli/32919-facebook-non-puo-disattivare-un-account-senza-motivo.asp.

venerdì 21 dicembre 2018

NIST Risk management framework

Il NIST ha pubblicato la rev. 2 del SP 800-37 dal titolo "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy":
- https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final.

Solitamente apprezzo le pubblicazioni del NIST, ma questa mi pare un rifacimento di cose vecchie. In particolare ripropone una valutazione del rischio basata sugli asset senza ulteriori riflessioni.

Dal NIST, poi, speravo di ricevere un maggior numero di esempi, che invece non ci sono.

Come pragmatismo, infine, non posso non notare quanto si aggrovigli sui concetti di "autorizzazione", dedicandoci anche due appendici per un totale di 32 pagine. Se ho capito correttamente, si tratta di "approvazione del rischio residuo e del piano di trattamento" e, quindi, parte delle riflessioni riguardano le responsabilità dei sistemi, visto che spesso si intrecciano in forme non facilmente discernibili.