martedì 23 agosto 2016

Firme elettroniche nel mondo

Stefano Ramacciotti mi ha segnalato (commentandola come non molto scientifica né approfondita, ma comunque interessante) la seguente presentazione relativa alle firme elettroniche nel mondo:
- https://www.esignlive.com/resource-center/electronic-signature-laws-around-the-world/.

Se non riuscite a sopportare il fatto che si tratta di una presentazione commerciale o se volete confrontarvi direttamente con le legislazioni nazionali, segnalo che la presentazione riporta il seguente sito:
- http://193.62.18.232/dbtw-wpd/textbase/esiglaws.htm.

Il problema di questo sito è che elenca sì la normativa nazionale pertinente per ogni Paese (anche se per l'Italia mancano tutti i provvedimenti tecnici), ma non dice come consultarla. Però faccio i complimenti al Institute of Advanced Legal Studies (IALS), School of Advanced Study, University of London, che ha avviato questo lavoro.

Per quanto riguarda la presentazione, Andrea Caccia mi ha segnalato che, quando tratta delle "certificate signature", sostiene erroneamente l'equivalenza tra una firma elettronica basata su certificato e la firma qualificata.

Linee guida NIST sul BYOD

Il NIST ha pubblicato due documenti dedicato al BYOD e, in generale, al lavoro da remoto.

La prima è la SP 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf.

La seconda è la SP 800-114 Revision 1, User's Guide to Telework and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf.

La pagina web dove sono annunciate queste due pubblicazioni:
- http://csrc.nist.gov/news_events/#pub2and3.

La prima è rivolta alle aziende, la seconda ai "lavoratori remoti". Mi chiedo quali "lavoratori remoti" si possano leggere il malloppo tecnico di 44 pagine proposto dal NIST.

Io sono un estimatore delle SP del NIST: chiare ed esaustive. Purtroppo negli ultimi anni non posso aggiungere l'aggettivo "sintetiche".

Intendiamoci: sono ottime per chi non conosce l'argomento. Ma chi lo conosce già, e vorrebbe verificare la completezza delle proprie competenze, è costretto ad affrontare un testo molto didattico e poco sintetico (e anche i "riassumento" sono un po' troppo verbosi).

Comunque sia, chiunque si occupa di sicurezza delle informazioni dovrebbe leggerle.

NIST e l'autenticazione via SMS

Da Crypto-gram di Bruce Schneier leggo che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63:
- https://pages.nist.gov/800-63-3/sp800-63b.html.

Nella newsletter Bruce Schneier fornisce alcuni link ad alcuni articoli:
- https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/
- http://www.eweek.com/security/nist-says-sms-based-two-factor-authentication-isnt-secure.html;
- https://threatpost.com/nist-recommends-sms-two-factor-authentication-deprecation/119507/;
- http://fortune.com/2016/07/26/nist-sms-two-factor/.

Alcuni di questi articoli citano come alternative (ma dovrei capire meglio quanto sono ancora in fase di studio) il Code Generator di Facebook o il Google Authenticator o il Google Promt. Ovviamente ci sono anche il RSA SecurID (con token o meno), i dongle (un po' difficili da usare sui dispositivi mobili) e le caratteristiche biometriche (anch'esse difficili da usare su molti dispositivi).

Vedremo. Per intanto è brutto vedere che una misura di sicurezza che positivamente ma lentamente si stava diffondendo è già obsoleta.

Cambiare password è improduttivo

Avevo già segnalato un articolo contrario al troppo frequente cambio di password.

Ma in agosto Bruce Schneier ha asserito che è una cosa che dice da anni e segnala il seguente articolo:
http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/.

Io lo dico solo da qualche mese, ma penso sia il caso di rifletterci.

Ovviamente, le password che non si cambiano devono essere accompagnate da meccanismi quali: blocco (o allarme che si possa distinguere dal phishing) dopo pochi tentativi sbagliati, lunghezza di almeno 16 caratteri, complessità elevata.

Schneier e IoT

Trovo sempre piacevole leggere Bruce Schneier. Questo è un suo articolo sui rischi dell'Internet of Things:
https://motherboard.vice.com/read/the-internet-of-things-will-cause-the-first-ever-large-scale-internet-disaster.

Credo dica cose originali e interessanti. Certamente ignorate dai produttori e utilizzatori di dispositivi (anche se non capisco perché entusiasmarsi per una lavatrice che posso governare a distanza).

ISO/IEC 20000-6

Tony Coletta mi ha segnalato la prossima pubblicazione della ISO/IEC 20000-6 dal titolo "Requirements for bodies providing audit and certification of service management systems". In altre parole, si tratta delle regole per gli organismi di certificazione che offrono certificazioni ISO/IEC 20000-1. Ora lo standard si trova in stato di bozza finale:
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64681.

Lettura consigliata solo agli organismi di certificazione.

mercoledì 27 luglio 2016

Perfezionisti e ottimalisti

Segnalo questo articolo di Anna Gallotti (sì... è mia sorella!):
- http://share-coach.com/ita/articoli.php?id=73&read=storia

Lo trovo interessante perché riguarda due aspetti fondamentali per chi si occupa di processi aziendali:
1- quando gli interlocutori sono perfezionisti rallentano l'attuazione di quanto necessario (ovviamente, qui non si sta parlando di "resistenza al cambiamento", che è altra materia); certamente è importante considerare le loro questioni, ma bisogna stare attenti a non bloccare tutto per essere perfetti;
2- i perfezionisti tendono a nascondere gli errori (e criticare quelli altrui), con l'ovvio risultato che poi non si migliora.

venerdì 22 luglio 2016

ISO/IEC 33072 sui processi della sicurezza delle informazioni

Tony Coletta, delegato italiano al ISO/IEC SC 7 WG 10, mi ha informato della recente pubblicazione del nuovo standard ISO/IEC 33072 ddal titolo "Process capability assessment model for information security management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=70803.

Si tratta, in poche parole, di una riscrittura della ISO/IEC 27001 descrivendone i processi e controlli come processi valutabili secondo la scala di capability, da 0 a 5, descritta nella ISO/IEC 33020. Per chi è abituato ad un'altra terminologia, ormai vecchia, traduco dicendo che si tratta di un modello per la valutazione della maturità del sistema di gestione per la sicurezza delle informazioni.

Si tratta di una lettura non veloce (194 pagine!) e impegnativa. Dubito che un esercizio di questo genere sia veramente utile per migliorare la sicurezza delle informazioni, soprattutto considerando che in troppe organizzazioni vedo processi talmente mal gestiti che raggiungere un livello di capacità pari ad 1 sarebbe già un bel risultato.

venerdì 15 luglio 2016

Sulle misure minime

Pierfrancesco Maistrello di Vecomp mi ha scritto un'interessante riflessione sulle misure minime.

Intanto mi ricorda che le misure minime sono considerate obsolete da tempo, come dimostrano anche le due segnalazioni del garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3531329;
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4575782.

E questo mi sembra pacifico. Aggiungo che in alcuni casi erano obsolete anche nel 2003.

Pierfrancesco mi ricorda che l'articolo 36 del Codice Privacy riporta: "Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore".

Pierfrancesco non ironizza, come tutti, sul fatto che l'aggiornamento dal 2003 al 2016 non c'è mai stato. Ma dice: "Sembra quasi una garanzia di immutabilità, dato che il ministro per le innovazioni e le tecnologie non si chiama neanche più così!".

Poi Pierfrancesco mi cita la relazione 2015 del Garante da poco pubblicata: "permangono numerose le violazioni delle misure minime di sicurezza; ciò, nonostante si tratti di adempimenti di non particolare complessità, in vigore da più di dieci anni, che dovrebbero essere stati oramai "metabolizzati" sia dalle imprese che dagli enti pubblici. Deve essere nuovamente segnalata la ormai indifferibile esigenza di aggiornare il Disciplinare tecnico in materia di misure minime di sicurezza, All. B al Codice in vigore dal 2003, le cui prescrizioni appaiono in buona parte non più adeguate allo stato dell'evoluzione tecnica, anche alla luce della ormai consistente esperienza maturata dall'Autorità in sede di controllo. Tale revisione dovrebbe essere ispirata a criteri di semplificazione, rispetto ad adempimenti di natura prettamente burocratica oggi previsti dalle disposizioni, e di maggiore effettività delle misure, prevedendo adeguati accorgimenti tecnici che intervengano in modo progressivo in funzione della quantità e della qualità dei dati, nonché della complessità della struttura tecnologica utilizzata e del numero di incaricati che vi hanno accesso".

Conclude quindi dicendomi "credo che l'abrogazione delle misure minime vigenti sia quantomeno auspicabile".

A me non resta che sottoscrivere e ringraziarlo per questa analisi approfondita.

mercoledì 13 luglio 2016

Standard ETSI per eIDAS

Segnalo questo articolo di Daniele Tumietto che elenca gli standard ETSI necessari all'attuazione di quanto previsto dal Regolamento eIDAS sull'identificazione elettronica e i servizi digitali fiduciari:
- https://www.linkedin.com/pulse/etsi-publishes-european-standards-support-eidas-eseals-tumietto.

Link Diretto alla lista di ETSI:
- https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx.

Privacy shield approvato

Il 12 luglio, più o meno, entra in vigore il Privacy shield, ossia il nuovo accordo USA-EU che sostituisce Safe Harbour, invalidato qualche tempo fa.

Questo accordo permette il trasferimento di dati personali da EU a USA, evitando una serie di adempimenti da parte delle aziende europee. Le aziende USA che vogliono importare dati personali (pensate per esempio ai tanti fornitori di servizi IT, in particolare quelli di hosting e cloud), dal 1 agosto potranno aderire ad un protocollo del U.S. Department of Commerce, in modo simile a quanto avveniva con Safe Harbour.

Al momento non sono riuscito a capire cosa dice il protocollo né in quale sito poter vedere quali aziende aderiscono.

Quindi segnalo qualche link esplicativo (grazie a tweet di @Leilyllia, @roberta_zappala). Segnalo che le traduzioni automatiche in italiano sono piuttosto divertenti:
- http://europa.eu/rapid/press-release_IP-16-2461_en.htm;
- http://europa.eu/rapid/press-release_STATEMENT-16-2443_en.htm;
- http://www.dimt.it/2016/07/12/via-libera-al-privacy-shield-per-la-protezione-dei-dati-trasferiti-tra-ue-e-usa/.

Non mancano le critiche. Joe McNamee, Executive Director of European Digital Rights , ha detto chee questo accordo sarà presto giudicato illegale. Ma non è il solo (grazie a tweet di @edri, @alexsib17, @madmaus:
- https://edri.org/privacy-shield-privacy-sham/;
- http://arstechnica.co.uk/tech-policy/2016/07/privacy-shield-to-be-dragged-across-finish-line-sources/;
- http://www.infosecurity-magazine.com/news/privacy-shield-approved-expected.

Nota: alcuni di questi articoli sono precedenti al 12 luglio, quando l'accordo è diventato operativo.

Anche questa volta mi congedo con un tweet di @DailyPratchett. Terry Pratchett era un genio della letteratura (a mio immodesto avviso) e forse pensava a questo Privacy shield: "The innocent would have nothing to fear, d'you think? I wouldn't bet tuppence".

App per smartphone rischiose

Trovo interessante il caso di Pokemon GO, un gioco per smartphone Android molto popolare e scaricato più di WhatsApp e Snapchat. Il fatto è che l'applicazione chiede permessi quasi totali per accedere ai dati presenti sullo smartphone. E, ovviamente, gli utenti li danno!

I creatori di Pokemon GO hanno scaricato questi dati e pensano di farci qualcosa? Oppure si tratta veramente di un errore di programmazione?

Il problema è che troppi utenti danno piene autorizzazioni alle app per cellulare, senza preoccuparsi delle conseguenze. Anche quando usano cellulari aziendali!

Due articoli, uno in italiano e uno in inglese (grazie ai tweet di @NowSecureMobile e di @roberta_zappala):
- https://www.nowsecure.com/blog/2016/07/12/pokemon-go-security-risks-what-cisos-and-security-pros-need-to-know/;
- [ITA] http://www.ansa.it/sito/notizie/tecnologia/software_app/2016/07/12/pokemon-go-primi-grattacapi-sicurezza_f8fb97f7-13ca-459e-8899-f5e45d065076.html.

Ma anche altre app sono assai rischiose. Segnalo questo articolo di Paolo Perego su Flash Keyboard:
- https://codiceinsicuro.it//blog/quando-la-spia-e-la-tastiera-del-tuo-smartphone-il-caso-flash-keyboard/.

Videosorveglianza: dove va posta l'informativa

Notizia da tweet di @a_oliveri dal titolo "Privacy - Cassazione Civile: l'informativa in materia di videosorveglianza va sempre posta prima del raggio d'azione della telecamera":
- http://www.filodiritto.com/news/2016/privacy-cassazione-civile-linformativa-in-materia-di-videosorveglianza-va-sempre-posta-prima-del-raggio-dazione-della.html.

Penso che il titolo dica già tutto.

Licenziato chi sta troppo tempo su Facebook

Notizia da tweet di @a_oliveri dal titolo "Licenziato chi sta troppo tempo su Facebook":
- http://www.ilsole24ore.com/art/norme-e-tributi/2016-07-08/licenziato-chi-sta-troppo-tempo-facebook-163506.shtml.

Penso che l'articolo dica già tutto in estrema sintesi e credo sia molto interessante per capire come sono interpretate alcune attività di indagine, per quanto artigianali e condotte senza strumenti sofisticati.

Penso che rimanga da vedere se verrà presentato ricorso in appello e poi, forse, in Cassazione e, quindi, i risultati di questi ricorsi.

martedì 12 luglio 2016

ISO 27799:2016: sicurezza nella sanità

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della nuova versione del 2016 dell ISO 27799 dal titolo "Health informatics -- Information security management in health using ISO/IEC 27002":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62777.

La lettura (confesso che ho sfogliato rapidamente) ha degli alti e dei bassi. Gli alti sono rappresentati da considerazioni in merito alle specificità del settore della sanità (per esempio la gestione delle emergenze), un elenco di minacce da considerare e una guida per l'attuazione della sicurezza delle informazioni.

La mia critica principale riguarda proprio questa guida per l'attuazione, che trovo un po' rigida e "vecchia maniera" e quindi difficile da seguire da quelle strutture che oggi non hanno un approccio ben strutturato alla sicurezza delle informazioni.

domenica 10 luglio 2016

Abrogazione misure minime privacy?

In questi giorni leggo e sento che saranno abrogate le misure minime per la privacy, a causa dell'entrata in vigore del Regolamento europeo sulla protezione dei dati personali.

In realtà, quanto riportato dal Codice privacy italiano (D. Lgs. 196 del 2003) rimane in vigore, purché non in conflitto con il Regolamento. È vero che le misure minime non sono richieste dal Regolamento europeo, ma la loro obbligatorietà, prevista dall'ordinamento italiano, non è in conflitto con esso.

Ovviamente il Parlamento dovrebbe emendare il Codice privacy per evitare confusione e armonizzare completamente la normativa italiana con quella europea (problema che oggi abbiamo con il Codice dell'amministrazione digitale, che non è ancora stato modificato considerando quanto previsto dal Regolamento eIDAS). Probabilmente le misure minime saranno cancellate, ma fino ad allora sono ancora in vigore.

Ho chiesto aiuto a Pierluigi Perri, della Facoltà di Giurisprudenza Università degli Studi di Milano, che ringrazio. Mi ha confermato quanto da me capito. E, anzi, aggiunge: "Il Regolamento espressamente demanda agli Stati membri la definizione delle sanzioni penali (cfr. Considerando n. 149) per cui, visto che allo stato attuale delle cose la violazione delle misure minime è punita penalmente, nulla vieta che vengano riproposte dal nostro Legislatore, in quanto non contrastano con le previsioni di cui all'art. 32 del Regolamento".

giovedì 7 luglio 2016

Come rubare un profilo Facebook senza essere esperti informatici

Questo articolo mi interessa perché dimostra ancora una volta come certe "misure di sicurezza" siano in realtà delle bufale:
- http://attivissimo.blogspot.it/2016/07/come-rubare-un-profilo-facebook-senza.html.

Un malintenzionato ha convinto facilmente Facebook di dargli le credenziali di un altro utente. È bastato inviare una scansione di un documento di identità (falso, in questo caso; ma è facile ottenere una scansione della carta di identità di qualcuno, visto che tutti la richiedono).

Certamente non è facile pensare a meccanismi più sicuri, ma dovremmo farlo.

mercoledì 6 luglio 2016

Direttiva NIS

È stata approvata la Directive on Security of Network and Information Systems (NIS Directive).

Segnalo dei link (grazie ad una segnalazione di Pierfrancesco Maistrello di Vecomp e ad un tweet di @francescotozzi9):
- http://europa.eu/rapid/press-release_MEMO-16-2422_en.htm;
- http://www.europarl.europa.eu/news/en/news-room/20160701STO34371/Cyber-security-new-rules-to-protect-Europe's-infrastructure.

Dal memo della Commissione europea sintetizzo ulteriormente:
- ogni Stato dovrà redigere una strategia sulla sicurezza informatica, dovrà istituire un'autorità relativa, designare uno o più Computer Security Incident Response Teams (CSIRTs);
- gli Stati dovranno collaborare e stabilire un programma di lavoro, condividere informazioni in merito alle minacce;
- la Direttiva riguarda aziende dei settori energia, trasporto, bancario, infrastrutture finanziarie, sanità, fornitura acqua, infrastrutture digitali.

Comunque la Direttiva (a differenza di un Regolamento), per essere completamente applicabile in Italia, deve essere tradotta in Decreto legislativo entro maggio 2018. E quindi è bene studiarla, ma consapevoli che il D. Lgs. potrà avere delle peculiarità a cui stare attenti.

PS: altro link, in italiano, lo segnalo da un tweet di :
- http://www.europarl.europa.eu/news/it/news-room/20160701IPR34481/Sicurezza-online-il-PE-approva-nuove-norme-contro-gli-attacchi-informatici

martedì 5 luglio 2016

Privacy: elenco BCR

La normativa sulla privacy permette il trasferimento dei dati extra-UE in vari casi. Uno di questi riguarda le multinazionali, che possono fornire adeguate garanzie di sicurezza attraverso regole aziendali (Binding corporate rules, BCR) approvate da un'autorità garante europea.

Ivo Trotti di TNS Italia mi ha segnalato il link ufficiale dove sono elencate le imprese con BCR approvate:
- http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm.

lunedì 4 luglio 2016

eIDAS è entrato in vigore

Il 1 luglio 2016 è entrato in vigore il Regolamento europeo eIDAS, su firme elettroniche e altro. Segnalo quindi qualche articolo.

Le domande e risposte della Commissione europea su eIDAS:
- https://ec.europa.eu/digital-single-market/en/news/questions-answers-trust-services-under-eidas.

Un articolo di Daniele Tumietto che spiega cosa è eIDAS, i suoi benefici e le sue relazioni con il CAD:
- https://www.linkedin.com/pulse/eidas-rappresenta-uno-nuovo-strumento-per-nuovi-modelli-tumietto.

Un articolo in inglese che spiega anch'esso cosa è eIDAS:
- https://ec.europa.eu/commission/2014-2019/ansip/blog/building-online-trust-and-confidence-role-eidas-and-digital-identity_en.

Garante: autorizzata rilevazione GPS

Pierfrancesco Maistrello di Vecomp mi ha segnalato questo Provvedimento del Garante privacy:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5217175.

Il Garante ha autorizzato l'uso del cellulare (con GPS!) per calcolare la prestazione lavorativa.

Scrive Pierfrancesco: "precedentemente avevo visto le autorizzazioni per Wind ed Eriksson, che però erano incentrate sulle finalità di sicurezza, con problemi di lavoro isolato, ecc.).

Interessanti le misure: log obbligatori, utenze specifiche con profili determinati e una bella icona obbligatoria sullo schermo del telefonino.

E il titolare, secondo me, è stato fortunato ad avere sindacati collaborativi. Una soluzione del genere, prospettata a qualche ispettore del lavoro, avrebbe creato delle difficoltà.

Altro aspetto da segnalare è la velocità di risposta del Garante: l'istanza è di settembre 2015 e la risposta del 18 maggio. Tempi non brevissimi ma neanche lunghissimi".

martedì 28 giugno 2016

Survey Deloitte su dispositivi medici

Pasquale Tarallo mi ha segnalato questo articolo di Sanità 24 dal titolo "Biomedicali a rischio hacker: Deloitte lancia l'allarme sulla cyber security":
- http://www.sanita24.ilsole24ore.com/art/imprese-e-mercato/2016-06-24/biomedicali-rischio-hacker-deloitte-lancia-l-allarme--cyber-security-162350.php?uuid=AD1elbi.

L'articolo fa riferimento ad una survey di Deloitte dal titolo "Cyber security of networkconnected medical devices in (EMEA) Hospitals 2016" (il link l'ho trovato io con Google):
- http://www2.deloitte.com/nl/nl/pages/over-deloitte/articles/medical-devices-cybersecurity-vulnerable.html.

Non mi interessano i risultati della survey (che trovo sempre poco utili, anche se ormai di moda), ma l'elenco delle misure specifiche, riassunto dall'articolo di Sanità24, mi sembra utile come base di partenza quando si tratta di sicurezza informatica dei dispositivi medici.

ISO/IEC 27009 - Il metastandard

Ho ricevuto notizia che il 6 giugno è stata pubblicata la ISO/IEC 27009 dal titolo "Sector-specific application of ISO/IEC 27001 -- Requirements":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42508.

Si tratta, come dice Fabio Guasconi, un meta-standard, ossia uno standard per scrivere standard relativi ai "controlli per specifici settori" come la ISO/IEC 27011 o la ISO/IEC 27017. In altre parole, uno standard non utile per chi non partecipa alla scrittura degli standard della famiglia ISO/IEC 27000.

venerdì 24 giugno 2016

Videosorveglianza "lunga"

Franco Ferrari di DNV GL mi ha segnalato un articolo del Garante privacy, relativo a due recenti provvedimenti del Garante stesso che autorizzano la conservazione di videoregistrazioni per 30 e 45 giorni:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933227;
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933452.

Si tratta di concessioni per aziende che si occupano di produzione o trattamento di materiali particolarmente critici (microprocessori per carte di pagamento e materiale classificato per il settore marino).

Nuova versione del COSO ERM Framework

Per chi non lo conoscesse, il COSO ERM Framework è un documento del "Committee of sponsoring organizations of the treadway commission" (COSO) dedicato all'Entreprise risk management. Per vari motivi, esso è diventato un punto di riferimento per quanto riguarda la gestione delle aziende con un approccio basato sul rischio.

Protiviti, attraverso la sua newsletter, mi ha informato che il COSO ha reso pubblica una bozza della nuova versione dell'ERM framework.

La pagina dove trovare la bozza del nuovo COSO ERM Framework:
- http://erm.coso.org/Pages/default.aspx.

La pagina dove trovare il bollettino di Protiviti, che spiega in sintesi le ragioni del cambiamento e le novità:
- http://www.protiviti.com/cosoerm

Sicuramente l'approccio ha dei punti di interesse, ma mi preme sottolinearne una: il fatto che l'applicazione del framework è stata spesso sbagliata perché concentrata sui dettagli e non usata per impostare le strategie.

Come non riflettere, ancora una volta, sul fatto che troppe valutazioni del rischio si perdono nei dettagli e perdono di vista il loro vero obiettivo, seppellite da troppi dettagli?

Mi fermo qui, per non ripetere cose già dette e ripetute in precedenza (incluse le critiche ai software per valutare il rischio).

martedì 7 giugno 2016

ISO/IEC 27000:2016 disponibile gratuitamente

La ISO/IEC 27000:2016, dal titolo "Information security management systems — Overview and vocabulary", è ora disponbile gratuitamente al seguente indirizzo:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/.

Grazie a Luciano Quartarone per l'aggiornamento.

sabato 28 maggio 2016

Certificazioni IoT

Dal Sans NewsBites del 27 maggio leggo la notizia che ICSA (ossia Verizon) ha lanciato un programma di certificazione dei dispositivi IoT. Segnalo l'articolo di Computerworld (più serio e completo di quello di DarkReading):
- http://www.computerworld.com/article/3075438/security/iot-security-is-getting-its-own-crash-tests.html.

La pagina di ICSA non aiuta perché promuove i test ma non dà indicazioni su quali sono i requisiti da rispettare. Trovo poco serio leggere di "sicurezza dalla progettazione" e poi, ipocritamente, trovare approfondimenti solo sui test:
- https://www.icsalabs.com/technology-program/iot-testing.

Segnalo quindi l'iniziativa della Online Trust Alliance, che ha pubblicato 30 principi per dispositivi sicuri (si trova la sintesi in versione definitiva e la guida completa in bozza):
- https://otalliance.org/initiatives/internet-things.

PS: l'articolo di DarkReading non riporta link per approfondire la notizia. Inoltre usa "cyber" a sproposito e "ecosistema" per "sistema informatico"; due indicatori di competenza acquisita sulle brochure commerciali.

giovedì 26 maggio 2016

Aggiornamenti su eIDAS

Il nuovo CAD, per allinearsi al Regolamento eIDAS, sarà modificato a breve. Per chi vuole approfondire lo stato dell'arte, segnalo questo articolo (da un tweet di @fpmicozzi):
- http://www.ilquotidianodellapa.it/_contents/news/2016/maggio/1463684793525.html.

ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato un report con raccomandazioni in merito all'uso di certificati digitali per i siti web:
- https://www.enisa.europa.eu/publications/qualified-website-authentication-certificates.

Il report riguarda soprattutto le strategie generali per l'Europa, la prima delle quali è orientata, nel breve periodo, all'aumento di siti web che usano certificati digitali, la seconda è migliorare il mercato dei certificati digitali per i siti web.

In questi giorni saranno pubblicate le regole di Accredia per essere "certificati" come Trust service provider (TSP) anche per la vendita di certificati digitali per i siti web. Il numero minimo di giornate di audit per ottenere la qualifica è decisamente elevato.

Certo è che se ai fornitori sono richiesti molti soldi per qualificarsi come fornitore qualificato, il costo di questi certificati sarà troppo elevato e, quindi, questa strategia non avrà successo. Parere mio, per quanto poco possa valere.

Direttiva europea sulla sicurezza informatica

Da tempo si parla della Direttiva europea relativa alla sicurezza delle reti e delle informazioni (network and information security, NIS).

Credo sia il caso di tenere sotto controllo il suo percorso. Essa dovrebbe essere attiva da agosto 2016. Ma, per avere una vera validità in Italia, è necessario vengano emessi degli opportuni Decreti legislativi. Quindi spero che non si scateni il panico che abbiamo già visto per il Regolamento privacy.

Per saperne un po' di più, segnalo la pagina del Consiglio EU:
- http://www.consilium.europa.eu/en/press/press-releases/2016/05/17-wide-cybersecurity-rule-adopted/.

Privacy online

Segnalo questo interessante articolo dal titolo "Going dark: online privacy and anonymity for normal people" (da un tweet di @fpietrosanti):
- https://www.troyhunt.com/going-dark-online-privacy-and-anonymity-for-normal-people/.

Un articolo che spiega perché non è male cercare di restare anonimi online.

A questo problema era collegato il mio post sulle email temporanee:
- http://blog.cesaregallotti.it/2016/05/email-temporanee.html.

Una mia amica (anonimizzata) mi ha segnalato altri servizi di posta temporanea: emailtemporanea.net, spaml.com, bigstring.com, 2prong.com, rppkn.com, ominutemail.com, spambox.us, mailinator.com, veryrealemail.com, mytrashmail.com, tempemail.net, tempinbox.com.

La mia anonima amica mi segnala che alcuni siti non permettono la registrazione con queste.

Ne approfitto a segnalare una frase di Terry Pratchett (da @DailyPratchett), di cui sono un fan, appropriata a questo argomento: "Ah, the rights of the individual, a famous Ankh-Morpork invention, so they say. But what rights are they, really, and whence do they come?"

Il caos degli standard per l'IoT

Segnalo questo articolo dal titolo "Chaos Theory of Standardization in IOT":

La tesi è semplice: sono presenti troppi protocolli di comunicazione per l’IoT e questo non potrà che generare problemi di funzionalità e di sicurezza.

Ho i miei timori: il tentativo di standardizzazione, se mai riuscirà, porterà ad un compromesso al ribasso in termini di sicurezza.

Sicurezza dei pagamenti via Internet

Enrico Toso di DB Consorzio mi ha segnalato che Banca d'Italia ha emesso l'aggiornamento 16 delle Disposizioni di Vigilanza per le Banche - circolare 285 dove ha recepito gli Orientamenti EBA sulla Sicurezza dei pagamenti via Internet. Era un atto formale atteso dallo scorso 3 agosto 2015.

Enrico ricorda che la temuta conversione delle best practice (incluse nell'allegato 1 degli orientamenti) in misure obbligatorie non c'è stata e che, a partire dal 30 settembre 2016, le formule di adeguamento potranno contemplare la sola clausola del "comply" poiché la precedente formula "comply or explain" non sarà verosimilmente più percorribile.

Personalmente, trovo molto interessante il fatto che vogliono migliorare le misure di pagamento elettronico. Forse questo migliorerà le misure anche degli altri siti che non c'entrano nulla con le banche (visto che si innalzerà la qualità desiderata degli utenti). Enrico però mi ricorda che sarà necessario valutare ogni transazione per dimensionare correttamente la robustezza della sicurezza richiesta.

Il testo integrale della nuova Circolare 285 è disponibile al seguente link (A pag 350 / 628 c'e' la sezione VII che riporta il testo dell'aggiornamento):
- http://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/Circ_285_16_Aggto_testo_integrale_segnalibri.pdf

DevOps e SIAM - Integrazioni

A inizio maggio avevo scritto su DevOps e SIAM:
http://blog.cesaregallotti.it/2016/05/devops-e-siam.html.

Deborah Monaco di Quint Wellington Redwood mi ha scritto per DevOps è attiva la DevOps Agile Skills Association (DASA), dedicata allo sviluppo delle competenze DevOps e Agile.

Questa associazione ha l'obiettivo, tra gli altri, di definire un programma di qualifiche DevOps. Da metà giugno 2016 saranno disponibili le certificazioni.

Stefano Ramacciotti mi ha invece suggerito di considerare le certificazioni, di ISC2, CSSLP, ISSEP e CCSP. Esse hanno dei moduli dove parlano della parte sicurezza delle DevOps, o meglio dell'SDLC, e promuovono la sicurezza in ogni fase del SDLC, per evitare di aggiungerla ex post, come un add-on.

Secondo Stefano, le metodologie più classiche e consolidate garantiscono un livello di sicurezza decisamente superiore.

Stefano ha anche avuto la brutta esperienza, di avere incontrato giovani programmatori che non hanno alcuna idea della sicurezza né della sua importanza. Certificazioni non di sicurezza (come, appunto, quelle di DevOps) dovrebbero integrare la sicurezza.

giovedì 19 maggio 2016

eIDAS: norme di sicurezza per dispositivi (precisazione)

Leggendo la mia notizia in merito alla pubblicazione della decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea relativa alle norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS, Andrea Caccia mi ha segnalato una precisazione importante: questa decisione di esecuzione 2016/650 si applica limitatamente ai dispositivi sotto il diretto controllo dell'utilizzatore degli stessi (smart card, token USB, micro SD, eccetera); non si applica dunque (ad esempio) ai dispositivi (HSM) di firma remota.

La mia notizia originale:
http://blog.cesaregallotti.it/2016/05/eidas-norme-di-sicurezza-per.html.

martedì 17 maggio 2016

Report di sicurezza delle informazioni 2016

Verizon ha pubblicato il suo Data Breach Investigations Report (DBIR) 2016:
- http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/.

Non mi pare dica niente di fondamentale e non riesco a capirne fino in fondo l'impostazione (sono analizzate alcune minacce in modo un po' disomogeneo; ci sono delle raccomandazioni, ma non mi sembrano sempre pertinenti alla minaccia in questione). Chi vuole leggere la versione breve, segnalo questo articolo di DarkReading:
- http://www.darkreading.com/endpoint/verizon-dbir-over-half-of-data-breaches-exploited-legitimate-passwords-in-2015/d/d-id/1325242.

Anche la Microsoft ha pubblicato il suo report "Security Intelligence Report (SIR)" relativo al secondo semestre 2015 (a tweet di @skhemissa):
http://www.neowin.net/news/microsoft-publishes-security-intelligence-report-
including-cloud-data-for-the-first-time
.

Non basta? Ecco un elenco di 9 report sulla sicurezza (da un tweet di . Ce n'è per tutti i gusti (segnalo però che il report di Juniper è segnalato malamente, subito dopo quello di Verizon, di cui ho già scritto qui sopra):
- http://www.forbes.com/sites/stevemorgan/2016/05/09/top-2016-cybersecurity-reports-out-from-att-cisco-dell-google-ibm-mcafee-symantec-and-verizon/#49a0a0333edb.

giovedì 5 maggio 2016

Pubblicato il nuovo Regolamento privacy

Sulla Gazzetta ufficiale della UE è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

In realtà è stato pubblicato tutto il "nuovo pacchetto privacy", che include anche 2 Direttive (segnalo che il mese scorso avevo segnalato solo l'approvazione del Regolamento, dimenticandomi delle Direttive; Agostino Oliveri mi ha segnalato l'errore e io mi scuso per l'incompletezza dell'informazione):
  • Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio 
  • Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

Qui il link al testo ufficiale, da cui può essere letto in tutte le lingue dell'Unione:
- http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L:2016:119:TOC.

Il Regolamento sostituirà quindi il nostro Dlgs 196/2003 (cosiddetto "Codice privacy"). Le Direttive, invece, dovranno essere recepite da nostri Decreti legislativi. Entro il 24 maggio 2018 tutte le aziende dovranno adeguarsi al nuovo Regolamento.

Dovremo quindi vedere, nel futuro, se il Dlgs 196 verrà abrogato totalmente o parzialmente (e quindi, per esempio, se rimarrà in vigore l'Allegato B e altre sue parti non previste dal Regolamento. Dovremo anche vedere come il nostro Garante modificherà o abrogherà i Provvedimenti generali o settoriali emessi negli anni (spero che sarà quanto prima creata una pagina dedicata a questo argomento).

Segnalo alcuni punti a mio parere fondamentali se confrontati a quanto già previsto dal nostro Dlgs 196 del 2003:
  • necessità di minimizzare i dati raccolti e trattati considerando le diverse finalità;
  • inserimento, nell'informativa, dei tempi di conservazione dei dati e diritto all'oblio;
  • diritto di portabilità dei dati;
  • possibilità di certificazioni che possono dimostrare gli obblighi del titolare del trattamento;
  • principi di protezione fin dei dati fin dalla progettazione e di default;
  • nessuna considerazione delle attuali filiere di fornitura "lunghe" (ma questa non è una novità, purtroppo);
  • predisposizione di un "registro dei trattamenti" per molte aziende;
  • comunicazione al Garante da parte di qualunque titolare che subisce delle violazioni dei dati trattati;
  • valutazione degli impatti in caso di specifici trattamenti e condizioni (con indice del rapporto);
  • previsione di un "referente (o responsabile) della protezione dei dati" in casi particolari (che però fa riferimento a "trattamenti di dati sensibili su larga scala", senza specificare cosa "su larga scala" significa).

Segnalo quindi questo articolo (da tweet di @europrivacy) dal titolo "Lack of EU Data Reg Guidance Has Companies Uncertain":
- http://www.bna.com/lack-eu-data-n57982070660/.

Ne approfitto per segnalare questo sito web del CNIL che spiega, per ogni Paese del mondo, le regole da seguire per trasferirvi i dati personali:
- https://www.cnil.fr/en/data-protection-around-the-world.

Qualche mia domanda ironica:
  • fino a che anno leggeremo documenti con scritto "il nuovo Regolamento europeo sulla privacy";
  • fino a che anno leggeremo informative e documenti con riferimento al Dlgs 196/2003 (io ho visto riferimenti alla L. 675/1996, abrogato nel 2003, anche nel 2014).

Non dimentico di ringraziare chi mi ha avvisato della pubblicazione del Regolamento: Fabrizio Bottacin del Politecnico di Milano (che mi ha anche allegato il file in italiano); Biagio Lammoglia (che mi ha inviato i link al "pacchetto privacy" sia in inglese che in italiano); Pierfrancesco Maistrello di Vecomp (che però mi ha fornito il link alla sola versione in italiano) e Pasquale Tarallo (anche lui con la sola versione in italiano). Anche se ho ricevuto la medesima notizia molte volte, mi ha fatto piacere in tutti i casi.

L'FBI può attaccare qualunque computer nel mondo

La notizia è decisamente inquietante (da tweet di @F_Traficante): la Corte suprema USA ha sancito nuove regole per le investigazioni digitali dell'FBI che a breve potrà hackerare più facilmente i computer di chiunque, ovunque si trovi, sia indiziato di un qualsiasi reato:
- http://www.repubblica.it/tecnologia/sicurezza/2016/04/29/news/corte_suprema_usa_intercettazioni-138732392/.

Questo articolo ("U.S. Supreme Court allows the FBI to Hack any Computer in the World") è in inglese (da tweet di @mayhemspp):
- http://thehackernews.com/2016/04/fbi-hacking-power.html.

eIDAS: norme di sicurezza per dispositivi di creazione di firme e sigilli elettronici

Da un tweet di @fposati, segnalo che è stata pubblicata in Gazzetta ufficiale UE la decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea. Essa stabilisce le norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS.

Riporto il link a Diritto&Internet con la notizia e il link alla decisione:
- http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/sicurezza-e-firma-elettroniche-pubblicate-le-norme-ue/.

Questa decisione si affianca alle alte già pubblicate per l'esecuzione delle disposizioni del Regolamento eIDAS di cui ho già parlato in altri articoli (dovrei cercare di realizzare un elenco di quante decisioni sono previste e quante pubblicate).

Ricordo la pagina della Commissione europea dedicata a questo tema, anche se non aggiornata con questa ultima decisione:
- https://ec.europa.eu/digital-single-market/en/trust-services-and-eid.

Email temporanee

Non sapevo esistessero i servizi di email temporanee (e gratuite). Grazie ad un tweet di @enigmadt ora lo so e condivido questa informazione:
- http://focustech.it/email-temporanea-mail-gratuita-come-107163.

martedì 3 maggio 2016

ISO/IEC 29147 sulla gestione delle vulnerabilità è gratis

Da un tweet di @mattia_reggiani, segnalo che la ISO/IEC 29147, dal titolo "Information technology -- Security techniques -- Vulnerability disclosure" è ora gratuita:
- http://www.itnews.com.au/news/iso-vulnerability-disclosure-standard-now-free-418253.

L'articolo segnalato fornisce qualche dettaglio in più su questo standard e quanto è collegato ad esso.

Garante privacy: Facebook e il furto di identità

È stata sufficientemente pubblicizzata la notizia relativa alla pronuncia del Garante privacy in merito alle false utenze su Facebook:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4833448.

Ho trovato molto interessante questo articolo che ne spiega l'importanza:
- http://www.webnews.it/2016/04/27/garante-facebook-fake/.

Riassumendo molto, una persona ha subito un furto di identità su Facebook e ha chiesto aiuto al social network, ma "la richiesta di cancellazione o del blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake, non sembravano un percorso fattibile".

Il Garante privacy ha quindi dato ragione alla vittima.

lunedì 2 maggio 2016

Modulo unificato per videosorveglianza e GPS

Il Ministero del lavoro ha pubblicato un modulo, valevole a livello nazionale, per richiedere l'autorizzazione all'installazione di impianti di videosorveglianza e all'installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali:
http://www.assodpo.it/News/tabid/98/articleId/112/articlesListTabId/98/artic
lesListModId/541/articleDetailsModId/541/listType/templateBased/Default.aspx
.

Qual è la novità? Che in precedenza ogni Direzione territoriale aveva il proprio modulo, mentre oggi ce n'è uno solo.

Questa notizia mi è stata data da Massimo Cottafavi di Snam, che ringrazio.

DevOps e SIAM

Federico Corradi di Cogitek mi ha scritto qualche tempo fa per chiedermi se fossi a conoscenza di certificazioni personali in ambito DevOps e SIAM.

Confesso che, pur avendo letto in giro di DevOps, gli dissi che non ne sapevo quasi nulla. Federico Corradi continuò le sue ricerche e me ne ha reso partecipe. Ritengo che sia quindi utile condividerne una sintesi.

DevOps si occupa del rapporto tra sviluppatori di applicazioni IT (normalmente già strutturati con metodo Agile) e le operation (gestori dei sistemi, ma non solo). Materia fondamentale e molto antica, ma un po' dimenticata in questi anni in cui si è puntato soprattutto a migliorare il rapporto tra utilizzatori (o "business") e sviluppatori di servizi IT.

Per quanto riguarda esami e certificazioni personali DevOps, Federico Corradi ha visto che Exin ha annunciato una Devops Master Certification (mi era sembrato di averla vista in qualche email da parte di Exin, visto che con loro collaboro!) che dovrebbe essere disponibile entro l'estate 2016. Anche itskeptic ha annunciato che OGC (!) si dedicherà a Devops e questa certificazione entrerà nel catalogo dei "soliti noti", Exin inclusa.

Federico Corradi ha anche contattato il "Devops Iinsitute", che propone un corso dedicato (DevOps Foundation) e poi due corsi Agile con argomenti DevOps (Certified Agile Service Management o CASM; Certified Agile Process Owner o CAPO).

SIAM (Service Integration and Management) si occupa della gestione di contratti multi-sourcing, ossia contratti con vari fornitori che devono essere tra loro integrati. Anche questa è materia molto antica, soprattutto in ambito manifatturiero, anch'essa negletta in ambito IT soprattutto in questi anni in cui sembra che gli unici fornitori degni di nota siano quelli di servizi cloud.

Federico Corradi è riuscito a trovare due pubblicazioni promozionali sul SIAM:
- una di Axelos:
https://www.axelos.com/case-studies-and-white-papers/who-is-the-king-of-siam;
- una del Information Services Group (ISG; www.isg-one.com): "Assembling the jigsaw: Service Integration and Management in a Multisourced Operating Model".

Sembra però che questa materia sia troppo recente e, quindi, non sono disponibili certificazioni in materia.

sabato 30 aprile 2016

Nuovo PCI DSS 3.2

Enos mi ha segnalato la nuova versione del PCI DSS, ora arrivata alla 3.2.

Segnala l'articolo del SANS (che insiste soprattutto sull'aggiornamento a TLS 1.2):
- https://isc.sans.edu/forums/diary/New+release+of+PCI+DSS+version+32+is+available/21003/

Un documento più tecnico, nonché ufficiale, è il "Summary of changes":
- https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_Summary_of_Changes.pdf

Un articolo (da tweet di @mattia_reggiani):
- https://www.helpnetsecurity.com/2016/04/28/pci-dss-3-2-whats-new/

Anche se non ci si occupa di circuiti di carte di credito, è importante conoscere il PCI DSS perché, con tutte le cautele del caso, rappresenta uno stato dell'arte della sicurezza informatica.

venerdì 29 aprile 2016

Stato delle norme ISO/IEC 270xx

Venerdì 15 aprile si è concluso a Tampa (Florida, USA) il 52mo meeting dell'SC 27 dell'ISO/IEC JTC 1, ossia il gruppo che si occupa della redazione e aggiornamento delle norme collegate alla ISO/IEC 27001 e a cui ho partecipato come delegato italiano.

Rapidamente elenco lo stato delle norme discusse:
  • ISO/IEC 27001: si è deciso di non procedere, per ora, al suo aggiornamento, ritenendo adeguata l'attuale versione del 2013;
  • ISO/IEC 27002: si è deciso di avviarne l'aggiornamento (richiederà comunque qualche anno);
  • ISO/IEC 27003 (guida alla ISO/IEC 27001): non è stata discussa e se ne è rimandata la discussione a giugno in modo da redigere la bozza finale (FDIS) e, spero pubblicarla per fine 2016;
  • ISO/IEC 27004 (guida alle misurazioni della sicurezza): come la ISO/IEC 27003, la discussione è stata rimandata a giugno;
  • ISO/IEC 27005 (guida alla valutazione del rischio): dopo anni di discussione su una bozza, si è deciso di ripartire da zero; questo, ahimè, rimanderà l'aggiornamento (necessario) di questa norma importantissima di almeno 3 anni;
  • ISO/IEC 27007 (guida all'audit sulla ISO/IEC 27001): si è proceduto a migliorare la bozza della sua nuova versione (non ritengo si tratti comunque di una norma fondamentale);
  • ISO/IEC 27008 (guida alla valutazione dei controlli di sicurezza): come per la ISO/IEC 27007, si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27009 (uso della ISO/IEC 27001 in specifici settori): si è discusso della bozza finale in modo che venga pubblicata quanto prima; 
  • ISO/IEC 27011 (controlli per il settore delle telecomunicazioni): si è discusso in modo da predisporre la bozza finale di una nuova versione di questa norma;
  • ISO/IEC 27014 (governance della sicurezza delle informazioni): si è deciso di aggiornare questa norma; i lavori quindi partiranno al prossimo incontro;
  • ISO/IEC 27019 (controlli per il settore dell'energia): si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27021 (competenze sui sistemi di gestione per la sicurezza delle informazioni): si è discusso delle bozze di questa nuova norma.

Si sono discusse anche molte altre cose. Mi piace segnalare solo che sono stati avviati i lavori per una norma sulle "cyber insurance".

Rapporto semestrale MELANI

È pubblicato il 22o rapporto semestrale della "Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI" della Confederazione Svizzera:
- https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/rapporto_semestrale-2-2015.html.

Si trova anche in inglese.

In questo numero il tema principale è la gestione delle vulnerabilità (ma purtroppo non dà raccomandazioni complete per aggiornarsi).

Io sono un fan dei rapporti MELANI e ne consiglio sempre la lettura.

venerdì 22 aprile 2016

qSOA

Luciano Quartarone ha reso pubblico un suo foglio Excel per realizzare una Dichiarazione di applicabilità (o Statement of applicability o SOA) utilizzabile per la conformità alla ISO/IEC 27001 o per una valutazione dei controlli di sicurezza:
- http://www.lucianoquartarone.it/wp/?p=752.

Gentilmente, Luciano fa notare che si può integrare con il mio foglio di calcolo VERA per calcolare dei livelli di rischio.

Nuova Direttiva europea sulla privacy

Agostino Oliveri di Sicurdata mi ha fatto notare che ho segnalato la pubblicazione del nuovo  Regolamento europeo sulla privacy, ma mi sono dimenticato di dire che (come scrive Agostino): "nella stessa data (14 aprile 2016) di approvazione del regolamento EU, il Parlamento Europeo ha approvato la Direttiva privacy relativa al trattamento di dati personali da parte delle autorità competenti ai fini di prevenzione, ricerca, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché la normativa PNR".

Mi scuso per la mia mancanza e ringrazio Agostino.

Per approfondimenti rimando ancora alla pagina informativa del nostro Garante della privacy:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361.

Come si pronuncia "auditor"? (2a parte)

Il mese scorso avevo scritto un piccolo articolo sulla pronuncia della parola "auditor":
- http://blog.cesaregallotti.it/2016/03/come-si-pronuncia-auditor.html.

Dicevo che l'Accademia della crusca segnalava che la pronuncia in italiano di "auditor" poteva basarsi su una raccomandazione della ISO 9000:2005. Però io questa raccomandazione non l'avevo trovata.

Stefano Brancolini di Engineering, che ringrazio, mi ha segnalato che questa questione è riportata nella UNI EN ISO 19011 (evidentemente c'è un refuso sul sito dell'Accademia della crusca), dove non si parla in modo esplicito della pronuncia, ma della derivazione latina.

Franco Ruggieri ha colto l'occasione per segnalarmi che nell'ordine dei cavalieri di S. Stefano, creato nel 1562 da Cosimo I de' Medici con sede a Pisa, c'era la carica dello "Auditore" che aveva il compito di controllare tutto l'Ordine. In effetti ne era il vero Capo. Quindi, ben prima che ereditassimo dagli anglo-sassoni il termine "auditor", c'era già in vigore una carica con tale nome. Ergo: il termine è di origine latina e non britannica!

Grazie Franco: un po' di cultura storica non fa mai male (anzi!).

giovedì 14 aprile 2016

Approvato il Regolamento europeo sulla privacy

Finalmente, dopo diversi anni di elaborazione è stato approvato il Regolamento europeo sulla privacy:
- http://www.europarl.europa.eu/news/en/news-room/20160407IPR21776/Data-protection-reform-Parliament-approves-new-rules-fit-for-the-digital-era.

Qualche approfondimento dal Parlamento europeo sulla riforma:
- http://www.europarl.europa.eu/news/en/news-room/20160413BKG22980/QA-new-EU-rules-on-data-protection-put-the-citizen-back-in-the-driving-seat.

La pagina informativa del Garante (grazie a Pierfrancesco Maistrello per la segnalazione):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361.

Ricordiamolo: questo Regolamento sostituirà il nostro Dlgs 196 del 2003 e sarà applicabile in tutta Europa.

I tempi: intorno a giugno sarà pubblicato nella Gazzetta ufficiale europea (EU Official Journal) e dopo 2 anni e 20 giorni dovrà essere applicato. Quindi c'è ancora un po' di tempo.

Il testo definitivo approvato ancora non ce l'ho. Non so se prendere per buono quello che circola da gennaio e quindi aspetto. Sul sito del Garante ci sono comunque i testi in italiano e alcuni hanno gioito per il ritorno dei termini "Titolare" e "Responsabile" (http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4884272).

Confesso che mi mancheranno i consulenti che vendevano (dal 2012!) questo regolamento come imminente. Era una buona cartina di tornasole per capire la loro preparazione e prudenza.

A questo aggiungo altre due notizie. La prima, grazie anche per questo a Pierfrancesco Maistrello, riguarda l'inizio della revisione della "ePrivacy Directive" (quella dei cookies, per intenderci):
- https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive.

La seconda riguarda l'avanzamento del Privacy Shield, ossia l'accordo tra USA e Europa in merito alla privacy. Il WP Art. 29 ha dato il suo parere (grazie a un tweet di @EU_EDPS) con la "Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision"
- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

EN 16234-1:2016 sulle competenze digitali

Da AgID ricevo la notizia della pubblicazione della EN 16234-1:2016 "e-Competence Framework (e-CF) – A common European Framework for ICT Professionals in all industry sectors – Part 1: Framework":
- http://www.agid.gov.it/notizie/2016/04/07/nasce-il-framework-europeo-competenze-digitali.

Per ora si tratta solo dello schema di riferimento, mentre le caratteristiche dei profili professionali saranno pubblicate in un secondo tempo.

Giusto segnalare che questo schema di riferimento è uguale al e-CF 3.0, disponibile gratuitamente anche in italiano:
- http://www.ecompetences.eu/e-cf-3-0-download/.

Tool per formare le persone sul phishing

Non so come funzioni esattamente questo strumento GoPhish, ma mi piace l'idea: formare il personale in modo pratico affinché riconosca il phishing e non faccia errori che possono compromettere la propria organizzazione o la propria vita privata:
- https://www.helpnetsecurity.com/2016/04/12/gophish-free-phishing-toolkit-training-employees/.

lunedì 11 aprile 2016

Sicurezza nei social media

Pierfrancesco Maistrello mi ha segnalato questa pubblicazione del Clusit e di Oracle Community for Security dal titolo "La sicurezza nei social media":
- http://social.clusit.it.

Come spesso mi succede, faccio questa segnalazione con grande ritardo. Forse non avevo notato la notizia a suo tempo o forse l'avevo ignorata perché ci sono molte pubblicazioni su questo tema. Però questa è fatta bene ed è fatta in italiano. Non ci sono più scuse per ignorare questo argomento.

martedì 5 aprile 2016

Attacco ad una centrale idrica

Pierfrancesco Maistrello di Vecomp mi ha segnalato questo attacco ad una centrale idrica, simile a quello condotto contro la centrale elettrica in Ucraina:
- http://www.securityweek.com/attackers-alter-water-treatment-systems-utility-hack-report.

La segnalazione viene da Verizon, che ha modificato il nome della centrale idrica e non ha rivelato dove si trova.

Qui la situazione credo sia incredibile: lo stesso sistema per controllare l'impianto era usato per i pagamenti on-line.

Pierfrancesco (ovviamente) concorda con me: "non credo affatto che qualsivoglia esigenza legata al business possa imporre un'esposizione di queste reti all'esterno".

ISO 22318 - Continuità della filiera di fornitura

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione (a settembre!) della ISO/TS 22318 dal titolo "Societal security — Business continuity management systems — Guidelines for supply chain continuity":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=65336.

Questa norma fornisce alcuni spunti interessanti sulla gestione dei fornitori relativamente alla continuità operativa. Soprattutto non riduce erroneamente il tutto a "chiedere ai fornitori di avere un piano di continuità operativa".

Una riflessione su questi standard: sono utili? Per studiare la continuità operativa non sarebbe meglio leggere un libro piuttosto che uno standard?

Scusatemi, per una volta che non parlo male di uno standard ISO, riesco a lamentarmi lo stesso...

martedì 29 marzo 2016

ISO/IEC 30121 - Governance of digital forensic

A marzo 2015 è stata pubblicata la ISO/IEC 30121 dal titolo "Governance of digital forensic risk framework":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=53241.

Se togliamo copertina, indice, appendici e altre cose, rimangono 3 pagine. Queste 3 pagine non dicono nulla né di interessante né di utile. Mi chiedo perché l'abbiano voluta pubblicare.

In realtà lo so: qualcuno ha proposto al comitato (ISO/IEC JTC1 SC40) la norma e nessuno ha avuto la voglia di bocciare l'idea. In realtà, alcuni l'hanno appoggiata per potersi poi vantare con amici, parenti, clienti e potenziali clienti di aver scritto uno standard sulla digital forensics. Con la speranza che nessuno vada a vedere quale (nullo) contributo sia stato dato alla materia.

Se però sbaglio, vi prego di dirmelo e mi scuserò.

PS. Angus Marshall su LinkedIn mi ha fatto notare che questo standard ha almeno una funzione:  usando il termine "governance", rende la digital forensics aziendale un tema della Direzione e non solo dei tecnici. Io continuo a pensare che mi sembra un po' poco per un nuovo standard, ma almeno ne ho capito la finalità.

sabato 26 marzo 2016

SPID già in difficoltà

Segnalo questo posti di Daniele Tumietto:
- https://www.linkedin.com/pulse/il-consiglio-di-stato-annulla-definitivamente -i-criteri-tumietto.

Come noto, SPID è il sistema pubblico di identità digitale, lanciato ufficialmente il 15 marzo scorso.

Il Consiglio di Stato ha però bocciato i criteri di qualifica dei fornitori di SPID, che prevedevano 5 milioni di capitale sociale. Il modello era infatti incentrato sulla presenza di pochissimi fornitori di grandi proporzioni economiche.

Vedremo cosa succederà.

venerdì 25 marzo 2016

Rapporto Clusit 2016

Segnalo la pubblicazione del Rapporto Clusit 2016, forse la pubblicazione italiana più importante in materia di sicurezza informatica (tranne la mia newsletter, ovviamente!):
- http://clusit.it/rapportoclusit/.

A parte gli scherzi, una prima e veloce lettura mi è sembrata molto interessante. Per esempio ho imparato che il nostro CERT nazionale è attivo e ha un sito web interessante (https://www.certnazionale.it/), con diverse segnalazioni utili. C'è anche il CERT di Poste Italiane (www.picert.it), ma il loro sito mi è sembrato meno interessante e meno aggiornato.

C'è altro ancora, ma, per saperlo, vi consiglio di leggerlo.

mercoledì 23 marzo 2016

Analisi attacco a centrale elettrica ucraina

ll SANS ha pubblicato un'analisi dell'attacco del 23 dicembre 2015 ad una centra elettrica ucraina:
- http://www.darkreading.com/vulnerabilities---threats/lessons-from-the-ukraine-electric-grid-hack/d/d-id/1324743.

Ho segnalato l'articolo di Darkreading perché è una pagina web dove si trova il link al pdf del SANS. E poi riporta le stesse cose ma più sinteticamente.

Io l'ho capita così: gli attaccanti hanno inviato email mirate (spear phishing) a degli addetti della centrale. Hanno anche allegato dei file (Word, Excel) con delle macro nocive. Gli addetti hanno aperto i file ed è stato l'inizio della fine.

L'articolo prosegue indicando le misure di sicurezza da prevedere per evitare questi attacchi. A me sembrano decisamente complicate. Io tornerei alle basi: se si lavora in un impianto critico, la rete industriale deve essere completamente separata da quella usata per navigare su Internet e per ricevere l'email. Se gli operatori ne hanno bisogno, date loro 2 pc collegati alle due diverse reti.

Troppo semplice? Dove sbaglio?

PS: Su LinkedIn, Damiano Bolsoni mi ha risposto dicendo che non pensa sia possibile avere due reti completamente separate. Infatti altre aree aziendali hanno la necessità di avere dati sulla produzione in tempo reale. Si possono attuare strategie di controllo di questo traffico, ma non è semplice.

Damiano Bolsoni, inoltre, mi ha fatto notare che l'attacco iniziale in Ucraina ha permesso ai malintenzionati di individuare le credenziali per usare le connessioni VPN. Se le VPN avessero avuto un meccanismo di autenticazione basato su due fattori e la rete ben segmentata, questo avrebbe migliorato le difese.

lunedì 21 marzo 2016

Diffamare via mail è reato, ma non aggravato

Questa sentenza mi sembra interessante: inviare un'email "diffamatoria" via email ad un preciso insieme di destinatari, per quanto numeroso, è sì reato, ma non aggravato:
- http://www.penalecontemporaneo.it/area/2-/6-/15-/4506-diffamazione_tramite_e_mail__aggravante_del_fatto_commesso___col_mezzo_della_stampa_o_con_qualsias
i_mezzo_di_pubblicit_____ed_eventuale_competenza_del_giudice_di_pace__una_se
ntenza_del_tribunale_di_milano/

La notizia l'ho ricevuta da un tweet di @Silvia_Mar_, che fornisce il seguente link, ma questo richiede la registrazione:
- http://www.quotidianogiuridico.it/documents/2016/03/18/diffamare-via-mail-e-reato-ma-non-aggravato.

Il caso dell’attacco informatico a Staminus Communications

Da un tweet di @TechEcon, una descrizione di un attacco (in italiano):
- http://www.techeconomy.it/2016/03/18/92899/.

Lascia perplessi l'elenco delle vulnerabilità sfruttate per condurre l'attacco. Alcune cose sono sì diffuse, ma presso una società di sicurezza fa effetto.

Nota sociale: la Staminus Communications è una società USA, quindi non è vero che gli italiani non applicano la sicurezza per "questioni culturali", ma è vero che molte aziende non applicano la sicurezza perché alla Direzione non interessa.

Cisco 2016: Annual Security Report

Fabrizio Cirilli mi ha segnalato il "Cisco 2016: Annual Security Report".

In inglese:
- http://www.cisco.com/c/m/en_us/products/security/offers/cybersecurity-reports.html?Keycode=001124371.

In Italiano:
- http://www.cisco.com/c/dam/m/it_it/offers/assets/pdfs/cisco_2016_asr_011116_it.pdf.

giovedì 17 marzo 2016

Ricette mediche elettroniche - riferimenti normativi

Mi hanno segnalato un riferimento autorevole per approfondire il decreto del Ministero economia e finanze del 2 novembre 2011, che norma la dematerializzazione della ricetta medica per le prescrizioni a carico del Servizio sanitario nazionale:
http://sistemats1.sanita.finanze.it/wps/content/portale_tessera_sanitaria/sts_sanita/home/sistema+ts+informa/medici+in+rete/ricetta+dematerializzata+dm+2+novembre+2011.

Inoltre, questo DM, che riguarda la tessera sanitaria, un collettore di svariati dati personali (!), non è stato sottoposto al parere del Garante privacy, come denunciato dal Garante stesso nella sua relazione del 2011:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2148180.

Un grazie al mio anonimo corrispondente.

Fornitori e ruoli privacy (parte 2)

In merito alla mia riflessione su fornitori e ruoli privacy (http://blog.cesaregallotti.it/2016/03/fornitori-e-ruoli-privacy.html), mi hanno fatto notare quanto segue.

Il Garante non si è mai espresso poiché il ricorso a sub-fornitori non è una pratica vista di buon occhio (anzi, ci sono delle posizioni negative). In altre parole, il titolare può nominare il responsabile, che però non può demandare a terzi.

Ma…..poiché la realtà è quella che è, la linea da seguire è analoga a quanto previsto nei diversi provvedimenti per i trasferimenti all'estero: ci deve essere un mandato generale o specifico affinché il responsabile possa contrarre accordi con sub-fornitori, purché ne informi il titolare e ne abbia l'approvazione.

Ecco quindi che la situazione non migliora! E il Garante, ahinoi, continua a pensare che:
a) una filiera di fornitura corta sia meglio di una lunga; non avrebbe torto, ma dovrebbe considerare che in Italia il 99% delle aziende sono PMI ultra specializzate, ed è meglio avere una filiera lunga di gente capace che una filiera corta di gente incapace; e anche all'estero è così;
b) le aziende si possano adeguare ad avere una filiera di fornitura corta; dovrebbe invece dare istruzioni chiare e praticabili su come gestire una filiera lunga;
c) tutti dovremmo nominare certi grandi operatori (o i suoi concorrenti) come responsabili esterni e chiedere di autorizzare i suoi sub-fornitori...

Differenze tra SPID e servizi fiduciari eIDAS

Andrea Caccia mi ha segnalato questo suo articolo dal titolo "Regolamento eIDAS: differenza tra i servizi di identificazione come SPID e i servizi fiduciari":
- https://www.linkedin.com/pulse/regolamento-eidas-differenza-tra-i-servizi-di-come-spid-andrea-caccia.

In questo post, come mi segnala Andrea, anche collegato al tema assicurazioni, viene illustrato il grosso dibattito in corso con riferimento alle modifiche presenti nella proposta di modifica al CAD.

Avevo un dubbio sulla PEC e Andrea (grazie!) mi ha risposto così: la PEC nella terminologia eIDAS, è un "servizio di recapito elettronico certificato".

Come si pronuncia "auditor"?

A marzo avevo dato la notizia della pubblicazione delle nuove versioni di ISO 9000 e ISO/IEC 27000, dedicate alle definizioni in ambito qualità e sicurezza delle informazioni.

Fabrizio Cirilli, che ringrazio, ha approfittato di questo per segnalarmi questo articolo dell'Accademia della crusca in merito alla pronuncia di audit, auditor, eccetera:
- http://www.accademiadellacrusca.it/it/lingua-italiana/consulenza-linguistica/domande-risposte/storia-pronuncia-termine-audit.

Pare che, in Italia, sia preferibile pronunciare "audit" alla latina e non "odit" all'inglese.

L'articolo fa riferimento a una raccomandazione riportata nella ISO 9000:2005. Confesso che non ho trovato il passaggio, ma mi adeguerò.

ISO 8000-8:2015

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della ISO 8000-8:2015 dal titolo "Information and data quality: Concepts and measuring":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60805.

Mi sembra interessante perché definisce cosa si intende per "qualità dei dati" nelle tre categorie di sintassi, semantica e pragmatica (questa è la più complessa, in quanto comprende sicurezza, accessibilità e completezza).

Vedo che si tratta di uno standard di "requisiti", ossia certificabile, in quanto usa la forma verbale "shall".

Da notare un'altra cosa: è pubblicata anche un'altra norma sulla qualità dei dati. È la ISO/IEC 25012:2008 dal titolo "Software engineering -- Software product Quality Requirements and Evaluation (SQuaRE) -- Data quality model". Giusto per creare un po' di confusione.

Presentazione UNINFO al Security summit

Ringrazio Domenico Squillace, presidente UNINFO, per aver messo a disposizione le slide della nostra presentazione del 16 marzo al Security summit di Milano.

L'incontro aveva come titolo "Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni: ultime novità" e si trovano a questo link:
- http://www.slideshare.net/uninfoit/norme-tecniche-nazionali-e-internazionali-sulla-sicurezza-delle-informazioni-ultime-novit.

Google Vendor Security Assessment Questionnaire (VSAQ) Framework

Google ha reso disponibile il questionario che sottopone ai propri fornitori.

Il questionario è dinamico. Se la risposta non è "perfetta", l'utente è indirizzato verso una spiegazione del perché quanto dichiarato rappresenta un rischio e verso un campo in cui elencare eventuali controlli compensativi.

Penso sia il caso di leggerlo con attenzione e trarne esempio.

La pagine di Google, da cui scaricare il sorgente del questionario o accedere alla demo:
- http://google-opensource.blogspot.it/2016/03/scalable-vendor-security-reviews.html.

La notizia mi arriva dal gruppo "Certified Information Systems Auditor" di LinkedIn, che ha inoltrato un post, sempre su LinkedIn, di Aurav Agarwal.

martedì 15 marzo 2016

16 marzo: sarò al Security summit

Mercoledì 16 marzo alle 16.30 terrò un intervento al Security summit di Milano su "Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni: ultime novità":
- https://www.securitysummit.it/milano-2016/seminari-associazioni/talk-244/.

Cambiare le password più raramente?

Da un tweet di @MarcoCiappelli, segnalo questo articolo dal titolo "Want safer passwords? Don't change them so often":
- http://www.wired.com/2016/03/want-safer-passwords-dont-change-often/.

In breve l'autore dice che, se si cambiano le password troppo spesso, queste risultano o banali o sempre le stesse (per esempio pippo01, pippo02, pippo03, eccetera). Si dovrebbe invece prevedere un cambio meno frequente, per esempio annuale, e chiedere di creare password più robuste e più lunghe.

Credo si debba riflettere su questo punto, non solo ricordando che la normativa italiana in materia di privacy richiede di cambiare la password ogni 3 o 6 mesi.

Se la password è lunga meno di 15 caratteri, un attaccante la individua dopo pochi minuti e quindi cambiarla dopo 3 mesi, 6 mesi o mai non cambia nulla. E oggi, forse, anche 15 caratteri non sono sufficienti.

Si potrebbe richiedere di usare dei generatori-archivi di password complesse (come ricordato dall'autore dell'articolo), ma poi nessuno vorrà bloccare il pc quando lo lascia incustodito per la pausa caffè.

In realtà, non dimentichiamocelo, uno dei motivi per chiedere di cambiare periodicamente la password è che troppi utenti, nonostante le regole fornite, la comunicano ad amici, colleghi e parenti. Cambiarla periodicamente, almeno, riduce il numero di persone che ne è in possesso. Purtroppo gli amministratori di sistema sono i primi a condividere tra loro le password e non cambiarle mai, nonostante negli anni le persone che le conoscono, a causa dei cambi di mansione o di dimissioni, sono sempre più numerose.

Fornitori e ruoli privacy

Tempo addietro mi ero lamentato di come la normativa privacy attuale (non) tratta compiutamente le filiere di fornitura (il post iniziale, a cui ne sono seguiti altri 3, è il seguente:
http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili.html).

In sostanza, un titolare (controller) può scegliere un responsabile (processor), ma un responsabile (processor) non può scegliere un sub-responsabile (sub-processor) per gli stessi trattamenti.

In molti casi si vedono dei responsabili che nominano i propri fornitori come... responsabili, anche se solo il titolare può nominare i responsabili.

Questi casi, purtroppo, non sono stati discussi compiutamente in questi 20 anni di normativa privacy, nonostante le filiere di fornitura diventino sempre più lunghe a causa del principio di specializzazione. In Italia, senza pensarci troppo, si nominano i fornitori come "responsabili esterni", nonostante questo sia discutibile.

L'ultima bozza d dicembre del Regolamento europeo sulla privacy sembra considerare il problema e permette ai responsabili di "coinvolgere altri responsabili", purché ne informino il titolare.

Però anche questa soluzione non è ottimale, né è adeguata ai nostri tempi. Si pensi ad una PMI che usa dei servizi di un grande operatore di telecomunicazioni o di servizi cloud: deve essere aggiornata su ogni cambiamento operato dal grande operatore? il grande operatore deve informare tutti i suoi clienti?

Pensiamo ad una normale catena di fornitura: un'azienda ha un fornitore per i servizi di predisposizione buste paga, il quale ha un fornitore per il servizio applicativo con cui predisporre le buste paga, il quale ha un fornitore di hosting, il quale ha un fornitore di manutenzione (per non parlare poi di consulenti, legali, auditor e altri coinvolti nelle attività).

Ma pensiamoci bene. Un operatore di telecomunicazioni non è un titolare? È lui quello che "determina le finalità e i mezzi per elaborare i dati personali". Un suo cliente compra quei servizi e, nella migliore delle ipotesi, dovrebbe chiedere dettagli su tali finalità e mezzi, valutare se sono allineate con le proprie finalità e misure di sicurezza, decidere se continuare ad averlo come fornitore. Il viceversa (ogni cliente chiede ai propri fornitori di seguire le proprie regole) è inapplicabile quando i numeri diventano grandi, ossia quando un fornitore ha tanti clienti e non può modificare i propri processi e meccanismi di sicurezza per ogni singolo cliente.

La bozza di Regolamento introduce le "terze parti", ma non è chiaro come interpretarle.

Speriamo questo argomento sia discusso con maggiore attenzione nel prossimo futuro.

domenica 13 marzo 2016

Check list amministratori di sistema

Luciano Quartarone (che ringrazio per la seconda volta) mi ha segnalato un'altra sua pubblicazione: una checklist per i controlli sugli Amministratori di sistema previsti dal Provvedimento del Garante privacy:
- http://www.lucianoquartarone.it/wp/?p=687.

Sono contento che abbia ripreso e migliorato il mio lavoro di qualche anno fa. Mi dimostra che si può fare sempre di meglio. E io da domani userò la sua check list.

Luciano teme che la normativa sugli Amministratori di sistema abbia "i giorni contati". Io non ne sono così convinto perché dovremo vedere gli impatti del Regolamento europeo privacy (se e quando sarà approvato) sulla normativa secondaria fin qui prodotta dal Garante. Se qualcuno ha già delle idee, lo/la prego di condividerle.

Materiale per verifiche presso CA

Luciano Quartarone (che ringrazio perché distribuisce il proprio sapere) mi ha segnalato il suo post "Framework per Certification Authority che pubblicano Certificati di Root". Oltre alla solita sbrodolata di link necessari per mettere in fila i requisiti normativi, in fondo c'è una checklist che ho utilizzato come self-assessment per impostare degli audit presso alcune CA: spero possa essere interessante.

Questo è il link:
- http://www.lucianoquartarone.it/wp/?p=670.

venerdì 11 marzo 2016

Scopre falla Facebook, premiato hacker buono

Una persona ha segnalato a Facebook una vulnerabilità (credo in una versione beta del software). Facebook ha riparato il bug e premiato il segnalante:
- http://www.ansa.it/sito/notizie/tecnologia/internet_social/2016/03/09/hacker-scopre-falla-facebook-premiato_b0fe4987-8fbf-4087-96dd-9112d5f96bfb.html.

Lo segnalo non tanto per il premio, ma per il fatto che, evidentemente, Facebook ha aperto un canale per ricevere segnalazioni e lo usa. Esempio da seguire.

mercoledì 9 marzo 2016

SPID al via

SPID è il "Sistema pubblico di identità digitale", che dovrebbe permettere un più facile interfacciamento con la Pubblica amministrazione. Nelle prossime settimane gli identity provider inizieranno a rilasciare le prime identità digitali.

Per saperne di più, segnalo questo articolo (da tweet di @FrankFormisano):
- http://www.chefuturo.it/2016/03/le-5-cose-da-sapere-su-spid/

martedì 8 marzo 2016

eIDAS: domande e risposte

Da un tweet di @andreacaccia, segnalo la pagina della Commissione EU dedicata ai servizi fiduciari del Regolamento eIDAS:
- https://ec.europa.eu/digital-single-market/news/questions-answers-trust-services-under-eidas.

Per chi si fosse perso qualche puntata: i servizi fiduciari sono quelli di firma elettronica, di sigilli elettronici, di marca temporale e di autenticazione dei siti web. Questi servizi sono oggi oggetto del Regolamento europeo eIDAS (e quindi il nostro CAD, o Codice dell'amministrazione digitale, dovrà essere emendato).

L’evoluzione della sicurezza nazionale italiana

Per chi fosse interessato, segnalo questo studio dal titolo "L'evoluzione della sicurezza nazionale italiana":
- http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/levoluzione-della-sicurezza-nazionale-italiana.html.

Si parla anche di sicurezza del cyber spazio (e, ahimè, anche di minacce "cibernetiche").

DROWN

DROWN è una vulnerabilità dell'HTTPS e quindi di SSL e TLS:
- https://drownattack.com/.

La soluzione è aggiornare i server e disabilitare SSL. L'articolo fornisce chiare indicazioni.

Ovviamente sono ancora tanti (e ne ho ahimè le prove) gli amministratori di sistema che non hanno ancora disabilitato l'SSL, nonostante le numerose vulnerabilità. Anzi, alcuni amministratori di sistema non sanno neanche se l'SSL è attivo e se possono abilitare il TLS. Quando si parla della formazione...

Scheda informativa GDP sul Regolamento EU

Il Garante privacy ha tradotto il manifesto dell'Art. 29 WP sul futuro (forse!) Regolamento EU privacy (GDPR). Lo si trova a questo link, sotto "Altri documenti":
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361.

Non so quanto sia chiaro per i profani, ma le illustrazioni mi piacciono.

Ricette mediche elettroniche

Segnalo questo articolo del Sole 24 Ore dal titolo "La ricetta diventa elettronica. Su carta solo un promemoria":
http://www.ilsole24ore.com/art/norme-e-tributi/2016-02-28/la-ricetta-diventa-elettronica-carta-solo-promemoria-183542.shtml.

Mi paiono interessanti alcune questioni:
- il sistema prevede un piano di continuità operativa basato sulla "vecchia" ricetta cartacea;
- come sempre si vede resistenza al cambiamento;
- però si è cautamente ottimisti ("una semplificazione delle procedure è ancora possibile"), cosa rara.

Non ne so altro (se per esempio sono state fornite indicazioni ai medici di base su come garantire la sicurezza del sistema). Sarà un tema da osservare nel tempo.

Studio sulle assicurazioni informatiche

Segnalo questo bello studio sulle "cyber-assicurazioni":
- http://www.fp7-camino.eu/assets/files/TR-17-2015.pdf.

Mi piace perché presenta una tabella con un'analisi delle assicurazioni oggi sul mercato (ne presenta 14) e ne specifica i limiti.

Ovviamente mi piace perché conferma cose che dico da tempo (come per esempio l'assenza di dati adeguati per calcolare la probabilità di una minaccia) e perché presenta uno studio approfondito sulle tecniche di gestione del rischio.

Ovviamente, non mi piace il termine "cyber-insurance" (che peraltro non viene definito), ma lo si sapeva già.

Privacy shield: testo finale ma ancora non approvato

Stanno girando molte notizie sull'approvazione del Privacy shield, ossia dell'accordo EU-USA per il trasferimento di dati personali che dovrebbe sostituire l'abrogato Safe harbour.

L'ultima notizia riguarda l'accordo sul testo, che però deve essere ancora approvato, come riportato dal comunicato stampa del 29 febbraio (segnalo il testo in inglese, perché quello in italiano è ottenuto tramite traduzione automatica):
- http://europa.eu/rapid/press-release_IP-16-433_en.htm.

Caso Apple - FBI

Il caso FBI - Apple è ormai noto a tutti. L'FBI ha chiesto all'Apple di creare delle backdoor sui propri prodotti in modo da poter condurre indagini quando necessario; Apple si è rifiutata, riaccendendo un dibattito in corso da decenni (ricordate Zimmermann e il PGP? era il 1991) ed evidentemente non concluso.

Mi astengo da ogni commento e segnalo questo confronto su Il quotidiano giuridico tra Giovanni Ziccardi (professore) e Patrizia Caputo (magistrato), forse il modo migliore per affrontare l'argomento senza inutili polemiche:
- http://www.quotidianogiuridico.it/documents/2016/03/02/apple-vs-fbi-voi-cosa-ne-pensate.

lunedì 7 marzo 2016

ISO 5500x su Asset management

Il comitato ISO SC27 (più correttamente ISO/IEC JTC 1/SC 27/WG 1; quello che si occupa della ISO/IEC 27001) di cui faccio parte ha ricevuto un aggiornamento dal comitato ISO/TC 251, che si occupa di "Asset management".

Questa introduzione per spiegare come mi sono imbattuto nelle norme della serie ISO 5500x, dedicate all'asset management. Esse sono 3 e sono tutte del 2014:
- ISO 55000, di introduzione;
- ISO 55001, con i requisiti (certificabili) di un sistema di gestione per gli asset;
- ISO 55002, guida alla gestione degli asset.

Esse derivano dalla PAS 55 del BSI.

Mi sembrano norme decisamente generali, di cui non riesco a capire i confini. Sembra si occupino di tutto (il termine "asset" può denotare sia beni intangibili che beni tangibili di ogni tipo) e in effetti i requisiti sono decisamente generici.

Ho provato anche a leggere la pubblicazione "Asset Management – an anatomy" del The institute of asset management e i miei dubbi sono rimasti tali. Essa è reperibile su:
- https://theiam.org/what-is-asset-management/anatomy-asset-management.

Ogni contributo su questo argomento è benvenuto.

ISO/IEC 27000:2016 - Vocabolario

Franco Ferrari di DNV GL mi ha segnalato l'uscita della nuova versione della ISO/IEC 27000 dal titolo "Overview and vocabulary".

Tra qualche tempo, credo, dovrebbe essere disponibile come standard pubblico al seguente sito (dove si trova ancora la versione del 2014):
- http://standards.iso.org/ittf/PubliclyAvailableStandards/.

Verizon Data breach digest

Segnalo, anche complice la pubblicità che si sono fatti, il "Data breach digest. Scenarios from the field" di Verizon. Si tratta, in definitiva, di 20 scenari di attacco. Nulla di nuovo, ma utile:
- http://www.verizonenterprise.com/verizon-insights/data-breach-digest/2016/.

Un altro elemento interessante è la relazione tra le 20 minacce e i 20 CIS Critical Security Controls, di cui già scrissi qualche tempo fa (http://blog.cesaregallotti.it/2015/11/cis-critical-security-controls.html).

venerdì 19 febbraio 2016

ISO 9000:2015

Tony Coletta mi ha segnalato la nuova versione dello standard ISO 9000:2015 dal titolo "Quality management systems: Fundamentals and vocabulary".

Si tratta di uno standard fondamentale per chiunque si occupa di qualità e non solo.

La pagina web dell'ISO è la seguente (il prezzo è circa 160 Euro, che preferisco non commentare):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=45481.

giovedì 18 febbraio 2016

Un articolo di presentazione del forse futuro GDPR

Da un suggerimento di Franco Ferrari di DNV GL, segnalo questo articolo dal titolo "Sul regolamento europeo per la protezione dei dati":
- http://www.puntosicuro.it/security-C-124/privacy-C-89/sul-regolamento-europeo-per-la-protezione-dei-dati-AR-15630/.

Rispetto ad altre cose che ho letto (spesso elenchi puntati o approfondimenti di singoli punti), questo articolo affronta tutti i punti della bozza di regolamento fornendo degli spunti di lettura.

PS: successivamente a questo articolo, lo stesso autore (Adalberto Biasotti) ne ha pubblicato un altro dedicato alla Direttiva relativa al trattamento dei dati in ambito giudiziario che affiancherà il Regolamento:
- http://www.puntosicuro.it/security-C-124/privacy-C-89/il-trattamento-di-dati-per-finalita-investigative-giudiziarie-AR-15745/.

Continuità e resilienza

Il Business Continuity Institute (BCI) ha pubblicato una dichiarazione per chiarire la differenza tra continuità e resilienza:
- http://www.thebci.org/index.php/news#/news/the-business-continuity-institute-s-position-statement-on-organizational-resilience-150976.

La continuità operativa si occupa del ripristino delle attività a fronte di incidenti che le hanno interrotte e di prevenire le interruzioni.

La resilienza è una materia più ampia. Una definizione di resilienza è "capacità di adattamento di un'organizzazione in un ambiente complesso e mutevole". Non vuole dire molto, per la verità, ma si capisce che la continuità operativa (o business continuity) ne è solo una parte.

Penso che sia utile avere chiare le differenze tra le varie materie (segnalo qui che la ISO 9004 parla di "successo sostenibile" e qualcuno un giorno ci spiegherà la differenza tra questo e la resilienza).