giovedì 29 dicembre 2011

Decreto Monti e Privacy

Come noto, il Decreto Monti (DL 201 del 2011) è diventato Legge (Legge 214 del 2011) il 22 dicembre ed ha apportato modifiche alla normativa sulla privacy.

Per evitare di ripetere cose già scritte, segnalo questo articolo dove sono riportate le novità:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2559

Il testo attuale del Codice Privacy lo trovate su Normattiva:
www.normattiva.it

ISO/IEC/IEEE 42010:2011 - Architetture dei sistemi

Dal Gruppo di LinkedIn "ISO/IEC JTC 1/SC7 Software and Systems Engineering", ricevo notizia della nuova edizione della ISO/IEC/IEEE 42010:2011.

Lo standard ha titolo "Systems and software engineering — Architecture description" e tratta, in modo astratto, delle modalità con cui devono essere espresse e organizzate le descrizioni delle architettutre dei sistemi IT.

Per chi fosse interessato alla materia, suggerisco:
- il sito dello standard:
http://www.iso-architecture.org/
- il MOD Architecture Framework del Ministero della Difesa UK: http://www.modaf.org.uk
- The Open Group Architecture Framework (TOGAF) http://www.opengroup.org/togaf/
- The Open Group Archimate: http://www.archimate.org/
- la pagina ABLE della CMU: http://www.cs.cmu.edu/~able/

venerdì 16 dicembre 2011

Stato delle norme della famiglia ISO/IEC 270xx (seconda parte)

Pubblico qui alcuni commenti di Fabio Guasconi, Presidente Commissione SC27, che ha partecipato al meeting SC27 a Nairobi.

- ISO/IEC 27001: ancora molto immatura: si è rimasti allo stadio di CD
- ISO/IEC 27006 (per gli Organismi di Certificazione), approvata per pubblicazione; rispetto alla versione precedente, recepisce i soli aggiornamenti richiesti per allinearla alla ISO/IEC 17021:2011; un riesame sistematico partirà a maggio (rimane invariato l'Allegato C con le giornate uomo richiesta per gli audit di certificazione)
- ISO/IEC 27007, estensione della ISO 19011 sull'auditing dei sistemi di gestione, approvata per pubblicazione
- ISO/IEC 27008:2011, sull'audit dei controlli di sicurezza, già pubblicata
- ISO/IEC 27010, supplemento ai controlli della 27002 per lo scambio di informazioni, passata allo stadio di FDIS
- ISO/IEC 27014, Governance of information security, passata allo stadio di DIS,
- ISO/IEC 27015 sui controlli di sicurezza per i servizi finanziari e assicurativi, è allo stadio di WD e sarà un TR e non un International Standard anche a causa delle perplessità degli inglesi
- ISO/IEC 27017 sull'uso dei servizi cloud; approvato l'avvio dei lavori
- ISO/IEC 27037 sulla digital forensics, lavori in corso
- ISO/IEC 27043: approvato l'avvio dei lavori per una norma su "Investigation principles and processes"
- avviati i lavori per uno standard sul Air traffic management


Due commenti su un paio di aspetti della nuova ISO/IEC 27001:
- Il risk assessment sarà nel capitolo dedicato alle "Operations" e non al "Planning" perché si distinguono i rischi del sistema di gestione rispetto a quelli operativi
- il SOA non sarà più obbligatorio, dovranno però essere documentate e giustificate le esclusioni rispetto all'Allegato A
- sono state avanzate alcune proposte di modifica rispetto al testo della ISO Guide 83, ma non sono ancora pervenute risposte dal comitato specifico
- il rischio residuale dovrà essere approvato dalla Direzione
- non saranno esplicitati, come input al Riesame della Direzione, i risultati del risk assessment perché si ritiene che il testo attuale già lo richieda

Progetti standardizzazione norme di certificazione dei prodotti

Il 25 novembre, Stefano Ramacciotti ha fatto un'interessante presentazione in Uninfo sui lavori di ottobre del Gruppo di Lavoro WG3 del SC27 di ISO/IEC JTC1.

Questi gli standard trattati dal Gruppo:
- ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008; ISO/IEC 15408-3:2008: si tratta dei Common Criteria e potete scaricarli da
http://www.commoncriteriaportal.org/; le versioni attuali saranno riesaminate a partire dal 2013
- ISO/IEC 15292:2001 "ProtecHon Profile registraHon procedures": non è stato oggetto di discussione
- ISO/IEC TR 15443 "A framework for IT Security assurance": sarà rielaborata l'attuale versione del 2005
- ISO/IEC TR 15446:2009 "Guide for the producHon of ProtecHon Profiles and Security Targets": non è stato oggetto di discussione
- ISO/IEC 18045:2008 "Methodology for IT security evaluaHon", il CEM: sarà riesaminata dal 2013
- ISO/IEC 19790:2006 "Security requirements for cryptographic modules", corrispondente del NIST FIPS 140-2: ne è stato avviato il riesame
- ISO/IEC TR 19791:2010 "Security assessment of operaHonal systems": non è stato oggetto di discussione
- ISO/IEC 19792:2009 "Security evaluaHon of biometrics": non è stato oggetto di discussione
- ISO/IEC 21827:2008 "Systems Security Engineering - Capability Maturity Model® (SSE-­�CMM®)": non è stato oggetto di discussione
- ISO/IEC 24759:2008 "Test requirements for cryptographic modules", corrispondente al NIST DTR per la NIST FIPS 140-2: ne è stato avviato il riesame

Sono inoltre in corso dei progetti sulle seguenti norme:
- ISO/IEC 29147 "Responsible vulnerability disclosure": prevista la pubblicazione nel 2013
- ISO/IEC 29193 "Secure System Engineering Principles and Techniques": prevista la pubblicazione nel 2013

Stato delle norme della famiglia ISO/IEC 270xx

A ottobre si è svolto il meeting del SC27 in Kenya.

Questi alcuni dei risultati:
- la ISO/IEC 27001 è allo stato di secondo CD
- la ISO/IEC 27002 è al primo CD
- la ISO/IEC 27007, come già sapete, è stata pubblicata
- la ISO/IEC 27013 (rapporti ISO/IEC 27001 e ISO/IEC 20000-1) rimane allo stato di DIS
- la ISO/IEC 27014 (Governance) è allo stato di DIS
- la ISO/IEC TR 27016 (Organizational economics) è allo stato di terzo WD
- la ISO/IEC WD 27033-4 (Securing Communications between networks using security gateways) è al quarto WD
- la ISO/IEC 27034-1 (Application security — Part 1: Overview and concepts) è stata pubblicata

Al di fuori della famiglia ISO/IEC 270xx, ho avuto notizia che la ISO 22301 (Requisiti per il Business Continuity Management System) è allo stato di FDIS e la pubblicazione è prevista per metà del 2012. La corrispondente Linea Guida, ISO 22313 è prevista per fine 2012. Queste due norme sostituiranno, rispettivamente, la BS 25999-2 e BS 25999-1.

Ricordo che gli stati degli standard sono i seguenti (riassumo):
WD -> CD -> DIS -> FDIS -> Pubblicazione

Per il passaggio da uno stato all'altro (quando non rimangono allo stesso stato), normalmente, devono passare almeno 6 mesi. Quindi, se calcolo correttamente, la nuova 27001 sarà pubblicata non prima del 2013.

Ulteriori dettagli a gennaio (devo ancora studiare!).

mercoledì 14 dicembre 2011

Nuovo Codice di Autodisciplina per le aziende quotate

A dicembre 2011 è stato pubblicato il nuovo "Codice di Autodisciplina" rivolto a "ogni società italiana con azioni quotate".

Il Codice è focalizzato sui controlli di garanzia contabile e finanziaria. Però, la lettura dell'articolo 7 "Sistema di controllo interno e di gestione dei rischi", può accendere qualche lampadina a chi si occupa di sicurezza delle informazioni (materia collegata ai rischi operativi, trattati dal Codice).

In particolare, il nuovo Codice stabilisce i ruoli e le caratteristiche del consiglio di amministrazione, di una figura di riferimento detta "amministratore incaricato del sistema di controllo interno e di gestione dei rischi", di un comitato controllo e rischi, dell'internal audit.

E' possibile scaricare il Codice da:
-
http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/corporategovernance.htm
Il link direto è:
-
http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/codicecorpgov2011clean_pdf.htm

Ho trovato la notizia sulla newsletter di Protiviti, di cui do il link per altri approfondimenti:
-
http://hqp-as-prdaut01:95/it-IT/Insights/Newsletters/Insight%20-%20Newsletter-di-Protiviti-Italia/Documents/Newsletter_35%20-%20Dic_2011.pdf

Corte di Giustizia UE: Opt-in e Diritto di Opposizione

Segnalo questa sentenza della Corte di Giustizia UE:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3487

Arrivo direttamente alla conclusione (cancellando qualche inciso che ne rende la lettura quasi impossibile):
"La Direttiva del Parlamento europeo 95/46/CE osta ad una normativa nazionale che, in assenza del consenso della persona interessata e per autorizzare il trattamento dei suoi dati personali, richiede che i dati in parola figurino in fonti accessibili al pubblico"

Spero di poter tradurre così: il comma 3-bis dell'articolo 130 del Codice Privacy ("il
trattamento dei dati su pubblici elenchi,  mediante l'impiego del telefono e della posta cartacea per le finalita' di invio di materiale pubblicitario e' consentito nei  confronti
di chi non abbia esercitato il diritto di opposizione") è contrario a quanto previsto dalla Direttiva Europea e, pertanto, dovrà essere eliminato.

A questa speranza, aggiungo quindi la speranza che qualcuno porti avanti questa richiesta.

Virus blocca un ospedale negli USA

Dalla newsletter SANS Newsbyte del 13 dicembe 2011, trovo la notizia di un ospedale bloccato per due giorni causa virus IT. E' una delle tante storie dell'orrore sulla sicurezza delle informazioni e questa mi pare degna di essere segnalata.

Un articolo (in inglese):
-
https://www.ajc.com/news/gwinnett/ambulances-turned-away-as-1255750.html

lunedì 12 dicembre 2011

Digital profiling

Segnalo l'articolo "Digital Profiling" di Clara Maria Colombini.

Il Digital Profiling rappresenta uno strumento di indagine informatica mirato all'estrazione di informazioni utili all'identificazione di soggetti, dall'analisi dei dati contenuti nella memoria di un qualsiasi dispositivo digitale.

L'articolo è molto interessante, anche per chi non si occupa di Digital Forensics. 


Link: http://www.marcomattiucci.it/CMColombini.art.02.v1.0.pdf

sabato 10 dicembre 2011

ISO Guide 83 - Common text for management system standards

Come avevo già detto parlando della nuova ISO/IEC 27001, l'ISO sta promuovendo l'uso di un modello comune per tutti gli standard dei sistemi di gestione (ISO 9001, ISO 14001, ISO/IEC 27001, eccetera).

La guida è denominata "ISO Guide 83" e la sua versione finale dovrebbe essere disponibile a febbraio 2012.

Per saperne di più, segnalo l'articolo dell'IRCA:
http://www.irca.org/inform/issue32/DSmith.html?dm_i=4VM,MN6H,HZSOT,1U0IS,1

Internet, stampa e controllo dell'editore

Da Interlex riporto questo testo:
Un periodico on line non può essere considerato "stampa". La nuova sentenza della Corte di cassazione (Sentenza n. 44126 del 28.10.2011) conferma i precedenti orientamenti, ma lascia aperte diverse questioni sulla responsabilità di chi immette contenuti on line.
http://www.mcreporter.info/giurisprudenza/cass11_44126.pdf

Aggiungo che l'evento riguarda un post inserito da un lettore, non un articolo del giornale stesso.

Video digital forensics

Segnalo i primi due video di Marco Mattiucci sulla Digital Forensics.

Molto interessanti:
- Definizioni:
http://www.ustream.tv/recorded/18774982
- Digital forensics e digital investigation: http://www.ustream.tv/recorded/18925489

Sulla rete e in letteratura si trovano moltissimi contributi per l'ambito penale. Purtroppo, ho trovato pochissimo per l'ambito civile. Se qualcuno ha segnalazioni, sono le benvenute.

lunedì 5 dicembre 2011

ISO 13053 - Quantitative methods in process improvement - Six Sigma

Il 1 settembre 2011 sono state pubblicate le prime due parti della ISO 13053 "Quantitative methods in process improvement — Six Sigma". In particolare:
- ISO 13053-1:2011: DMAIC methodology
- ISO 13053-2:2011: Tools and techniques

Si tratta, in sostanza, del recepimento da parte dell'ISO della metodologia Six Sigma.

La lettura è interessante, soprattutto del secondo documento, dove sono illustrati brevemente 31 strumenti per la qualità.

Per chi non abbia a disposizione i documenti ISO, segnalo comunque la presenza di molto materiale su Internet. Un buon punto di partenza è Wikipedia:
- italiano:
https://it.wikipedia.org/wiki/Sei_Sigma
- inglese: https://en.wikipedia.org/wiki/Six_Sigma

sabato 3 dicembre 2011

UNI 11200 e UNI EN 15838 del 2010

La UNI 11200 e la UNI EN 15838 sono due norme, tra loro collegate, sulla qualità dei Centri di Contatto. In Italia, era stata pubblicata nel 2006 la prima norma in materia (UNI 11200:2006), con la quale era possibile certificare un Centro di Contatto.

A novembre del 2009, il CEN ha pubblicato la norma europea EN 15838 ("Centri di contatto - Requisiti del Servizio"), recepita in Italia come UNI EN 15838:2010 nel luglio del 2010. Sempre a luglio, la UNI ha emesso la norma italiana UNI 11200.

Questa seconda norma (come leggo dal sito dell'UNI www.uni.com) "definisce i parametri di riferimento dei requisiti di servizio fornito dai centri di contatto (come indicati dalle appendici A e B della UNI EN 15838:2010), al fine di garantire una valutazione oggettiva del livello di qualità del servizio medesimo, indipendentemente dal modello organizzativo o dalla tecnologia utilizzati". Forse, potevamo fare a meno di una ulteriore norma nazionale (non ho trovato, leggendo la EN 15838, alcuna richiesta di emissione di ulteriori norme). Forse, alle persone che hanno lavorato sulla UNI 11200:2006 dispiaceva perdere le esperienze maturate.

A parte queste riflessioni, la norma EN 15838 riprende molti concetti della precedente UNI 11200. Soprattutto, a differenza di altre norme, i requisiti sono molto specifici, fino ad elencare gli indicatori (KPI) che un Centro di Contatto deve tenere sotto controllo. La UNI 11200:2010 richiede ulteriori KPI e impone anche le soglie di attenzione ("valori di riferimento").

Aggiungo che queste due norme hanno anche degli approfondimenti sulla sicurezza dei dati dei clienti e delle persone contattate e hanno anche dei requisiti su come deve essere gestito correttamente il rapporto di lavoro con i collaboratori (sappiamo che in Italia la situazione non è sempre buona).

Si raccomanda quindi la lettura della norma a quanti si occupano di Centri di Contatto.

Ringrazio Deborah Monaco di Quint per avermi segnalato l'uscita della UNI 11200:2010.

mercoledì 30 novembre 2011

Linee guida per il DR delle PA

Il 23 novembre 2011, è stata pubblicata la versione definitiva delle "Linee guida per il Disaster Recovery delle Pubbliche Amministrazioni". Questo in ottemperanza a quanto disposto dall'articolo 50-bis del Dlgs 82 del 2005, così come aggiornato nel 2010.

- La pagina della DigitPA:
http://www.digitpa.gov.it/altre-attivit/linee-guida-disaster-recovery-delle-pubbliche-amministrazioni
- Il link al documento in pdf: http://www.digitpa.gov.it/sites/default/files/notizie/LINEE%20GUIDA%20PER%20IL%20DISASTER%20RECOVERY%20DELLE%20PA.pdf

Note polemiche:
- non mi sembra ben delineata la differenza tra Business Continuity (Continuità Operativa) e Disaster Recovery; sebbene le definizioni fornite siano corrette, in alcuni punti del documento si rileva un utilizzo non rigoroso di questi termini
- malgrado quanto specificato nella sezione 4.10 dello stesso documento, questo è pubblicato senza data e senza versione
- avrei preferito un documento più schematico.

A parte queste piccolezze, ho trovato interessante la lettura del documento e ho individuato alcuni interessanti spunti.

Altri elementi di interesse:
- insieme alle Linee Guida, è possibile scaricare dalla pagina della DigitPA anche anche un "tool di autovalutazione" (lo chiamerei "tool per una BIA in ambito non-profit")
- l'appendice D, con le caratteristiche di un sito di DR (certamente da estendere anche al sito primario)
- il capitolo 8 sulle Infrastrutture Critiche (anche se i riferimenti bibliografici non sono disponibili)
- i capitoli 2 e 5 con i riferimenti giuridici 


Ringrazio Franco Guidi per la segnalazione della pubblicazione delle Linee Guida.

venerdì 25 novembre 2011

Privacy: Limiti (ma non troppi) al telemarketing

Max Cottafavi di Reply mi ha fatto tornare sul comma 4 dell'articolo 130 del Codice Privacy. Il testo recita: "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni".
Insomma, mi ha fatto notare (l'avevo rimosso dalla mia memoria) come in questo caso viga l'opt-out.
Per il telefono e la posta cartacea, vige quanto previsto dal comma 3-bis (quello sul Diritto di Opposizione che, tra l'altro, alcuni mi hanno segnalato non funzionare correttamente per le numerazioni non comprese nel solo elenco di Telecom Italia... ahinoi).

Il Garante, quasi contemporaneamente, ha segnalato nella sua newsletter un recente Provvedimento di divieto proprio perché una società si è "allargata" il significato del comma (già di per sé discutibile).

Il riassunto del Provvedimento:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1852586#1
Il Provvedimento completo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1851415

giovedì 24 novembre 2011

BSI PAS 200 sul Crisis Management

Il BSI segnala la pubblicazione della PAS 200 sul Crisis Management.
Questa è una materia molto importante quando si parla di di gestione degli incidenti e di Business Continuity.

Ovviamente, il suo ambito non è solo ristretto a questi due processi, ma può riguardare ogni genere di evento "critico" per un'azienda (e non solo; penso a Zapatero che ha vinto le elezioni 7 anni fa perché Aznar non ha saputo gestire una crisi e le ha perse pochi giorni fa perché a sua volta non è riuscito a gestire un'altra crisi, anche se diversa).

Attualità a parte, il documento costa 100 sterline e potete trovarlo al link sottostante.
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030252035&utm_source=QUALL-NA&utm_medium=et_mail&utm_content=2497212&utm_campaign=QUALL-NA_24_November_2011&utm_term=PAS+200

Per i più parsimoniosi, l'indice può già essere d'aiuto.

ISO 19011:2011

Per primo, Attilio Rampazzo mi ha segnalato la pubblicazione, in data 15 novembre 2011, della ISO 19011:2011 dal titolo "Guidelines for auditing management systems".

La precedente versione era del 2002 e riguardava solo i sistemi di gestione per la qualità e per l'ambiente (ISO 9001 e ISO 14001). Oggi la norma è estesa a tutti i sistemi di gestione (inclusi quindi quelli per la sicurezza delle informazioni e per i servizi IT). Per alcuni schemi, sono state emesse norme specifiche per la conduzione degli audit e bisognerà fare riferimento a tutte e due le norme (ricordo che è stata pubblicata la ISO/IEC 27007 "Guidelines for information security management systems auditing", già allineata con la nuova versione della ISO 19011).

La nuova vesione è molto allineata con la precedente. Ho notato l'aggiunta di considerazioni in merito ai rischi di audit e alla sicurezza delle informazioni trattate durante le verifiche. Ci sono anche molti altri dettagli ulteriori rispetto alla precedente edizione e suggerisco quindi la lettura di questo standard a quanti devono condurre audit.

L'IRCA ha emesso un commento ad agosto, basato sulla bozza finale:
http://www.irca.org/downloads/ISO%20FDIS%2019011%202011%20Briefing%20Note.pdf

venerdì 18 novembre 2011

Errata Corrige - DPS: nessun addio

Daniela Quetti e Vito Losacco mi hanno segnalato il fatto che il Patto di
Stabilità 2012 non riporta l'eliminazione dell'obbligo del DPS. La notizia
data in precedenza è quindi non più attuale

Il DPS rimane quindi un obbligo normativo (tranne le semplificazioni già introdotte nel 2008. Questo per la gioia dei pochi che lo ritengono utile, dei tanti consulenti che ci guadagnano soldi e di quanti hanno ancora qualcosa di cui lamentarsi (l'innocente DPS, mentre possono evitare di affrontare punti più complessi della normativa in vigore).

Vito Lo Sacco  mi ha anche segnalato il seguente articolo:

mercoledì 16 novembre 2011

Voucher per la valutazione dei rischi informatici

La Regione Lombardia e le Camere di Commercio di alcune Province, in accordo con Assintel, intendono finanziare tramite l'utilizzo di voucher a fondo perduto, nominativi e non trasferibili, l'acquisto di un servizio tecnico di valutazione dei rischi informatici.http://www.assintel.it/eventi/810.jsp

La notizia mi è stata segnalata da Simone Tomirotti e potrebbe essere interessante capirne i dettagli. Soprattutto le procedure tecniche che saranno seguite. Sui siti web relativi, non ho trovato nulla in merito. Si accettano ulteriori informazioni.

martedì 15 novembre 2011

Presentazione ISO/IEC 27001

Il 10 novembre ho tenuto un intervento per la DFA sulla "Famiglia delle norme ISO/IEC 270xx".

E' pubblicato su www.cesaregallotti.it/Pubblicazioni.html

domenica 13 novembre 2011

iOS 5

La Apple ha pubblicato la nuova versione dell'iOS per iPhone, iPod e iPad. Oltre al servizio di iCloud, la nuova versione corregge alcune vulnerabilità.

Perché do io questo annuncio, visto che normalmente non tratto questi argomenti? Per denunciare, nel mio piccolo, il fatto che questa nuova versione, con correzione di vulnerabilità, è disponibile per iPhone 3GS e superiori. Per chi ha comprato un iPhone 3G (solo 3 anni fa, non molti), nulla!

E' ovvio, scrivo perché sono persona interessata al problema (ho un iPhone 3G), ma trovo scorretta questa politica di non fornire più alcun supporto giusto giusto 2 anni dopo l'uscita di una nuova versione dell'hardware (il 3GS è uscito nel giugno 2009), quando la garanzia non è più valida. E poi ci lamentiamo della Microsoft!

Attacco a SSL/TLS

Un interessante articolo da "Minded Security Early Warning" segnala il nuovo attacco al protocollo SSL/TLS 1.0 che permette di intercettare le comunicazioni.

Gli sviluppatori dovrebbero passare alle versioni successive.

Segnalo questi link in materia:

- http://www.mindedsecurity.com/fileshare/early_warning/Early_Warning_Ott11.pdf
- http://www.theinquirer.net/inquirer/news/2110508/ssl-tls-attack-secure-communications-risk
- http://vnhacker.blogspot.com/2011/09/beast.html

sabato 5 novembre 2011

Segreto di Stato

Sulla Gazzetta Ufficiale n. 203 del 1 settembre 2011 è stato pubblicato il DPCM 22 luglio 2011 n.4 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate".

Il DPCM è molto focalizzato nella descrizione delle misure di sicurezza fisica. Sulle misure di sicurezza informatica, mi pare sia molto limitato.

Ad ogni modo, il tema merita di essere conosciuto anche da chi non si occupa di sicurezza delle informazioni in ambito militare o del Segreto di Stato. La mia personale biografia è la seguente:
- Legge 124 del 2007 sulla disciplina del Segreto di Stato
- DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (questo è anche sulla classificazione delle informazioni)
- DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (cioè, disposizioni sulle misure di sicurezza)
- Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
- DPR 184 del 2006 "Regolamento  recante  disciplina  in  materia di accesso ai documenti amministrativi."
- DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato

Segnalo quindi la pagina del Comitato parlamentare per la sicurezza della Repubblica che riporta alcune di queste normative:
http://www.parlamento.it/bicamerali/43775/43777/43783/44440/88129/sommario.htm

Infine, segnalo questa pagina della Presidenza del Consiglio dei Ministri:http://www.sicurezzanazionale.gov.it/web.nsf/pagine/segreto_di_stato

sabato 22 ottobre 2011

DPS Addio?

Attilio Rampazzo di segnala un articolo su Italia Oggi sulle ulteriori semplificazioni alla normativa privacy.http://www.italiaoggi.it/news/dettaglio_news.asp?id=201110211204007588&chkAgenzie=ITALIAOGGI&sez=newsPP&titolo=Privacy,%20Dps%20addio

Attilio si chiede: "A questo punto, anche se è una nuova proposta per superare la crisi, invece di tutte queste semplificazioni ovvero mutilazioni, non è meglio a questo punto abrogare tutta la legge visto che,se sarà vero, non rimane quasi più nulla di tutela dei dati personali?"

Convengo che la cosa mi inquieta.

Un pochino per quei pochi euro che mi portava "l'aggiornamento del DPS", ma tanto per la mia sensibilità in materia di sicurezza.

Purtroppo, alcune pessime disposizioni dell'Allegato B (ereditate dal 318/1999, e ampliate da amenità quali la "data certa" e altri Provvedimenti del Garante) e un nugolo di cani affamati di soldi (i consulenti), hanno reso l'esercizio del DPS molto oneroso e incomprensibile, ridotto alla produzione di plichi di centinaia di pagine anche in piccole realtà (li ho visti! lo giuro!).

Se a questo aggiungiamo che il Governo attualmente in carica non è molto sensibile alla materia (vedere Registro delle Opposizioni, che inverte il precedente principio di opt-in nel principio di opt-out), il gioco è fatto.

Non ci rimane che guardare cosa succede: una nostra manifestazione sotto il Parlamento richiamerebbe al massimo una decina di persone ;-)

venerdì 21 ottobre 2011

Glossario ITIL 2011

Sul sito ufficiale di ITIL è stato pubblicato il glossario 2011, anche in italiano (può anche far riflettere il fatto che ci sia un glossario spagnolo per la Spagna e uno spagnolo per l'America Latina).

E' noto che non tutte le definizioni di ITIL sono condivisibili (pensate a quella di known error, per cui non basta avere il workaround, ma anche la causa documentata, mentre nella realtà si hanno spesso workaround senza causa documentata e sono comunque denominati known error) e alcuni termini rimangono confinati a ITIL e non usati nella maggioranza dei casi ("operation bridge" su tutti).

E' anche noto che alcune traduzioni in italiano dei termini informatici possono sembrare forzate.

Però, in questo glossario ci sono anche cose interessanti e che meritano di essere capite e utilizzate.

La pagina dei glossari: http://www.itil-officialsite.com/InternationalActivities/ITILGlossaries_2.aspx

giovedì 20 ottobre 2011

Pubblicata la ISO/IEC TR 27008 - Tecniche di audit

Attilio Rampazzo mi informa della pubblicazione, il 6 ottobre 2011, della
ISO/IEC TR 27008:2011 - Information technology -- Security techniques -- Guidelines for auditors on information security controls.

E' una linea guida, quindi non è necessario seguirla. Come tutte le norme di questo tipo, ci sono cose interessante e altre risapute.

lunedì 17 ottobre 2011

Incidente al Blackberry

Il 10 ottobre, i servizi Blackberry hanno subito un crash con conseguente indisponibilità di 3-4 giorni.

Clienti arrabbiati, investitori infastiditi e altre amenità di questo genere:
-
http://www.bbc.co.uk/news/technology-15287072
- http://money.cnn.com/2011/10/13/technology/blackberry_outage/index.htm
La Blackberry ha detto che condurrà una "root cause analysis" su un "problema hardware". Spero che non diventi una "caccia al colpevole per punire un innocente", ma sia una roba seria (mi chiedo quale possa essere stato il guasto che ha colpito un'infrastruttura forse in non-così-alta-affidabilità).

Detto questo, l'incidente ci deve ricordare che l'e-mail (come la posta tradizionale, come gli SMS) è basata su un protocollo "inaffidabile". Se volete essere certi che il destinatario riceva una vostra comunicazione, dovete telefonargli!

Dilbert sugli standard

Da Crypto-Gram del 15 ottobre 2011, segnalo questa vignetta di Dilbert:http://dilbert.com/fast/2011-08-02/

In inglese. Ma mi ha ricordato cose italiane...

mercoledì 12 ottobre 2011

Dispositivi mobili aziendal-personali

Lo scorso dicembre segnalai il fatto che oggi sempre più smartphones e tablet personali (per non parlare del pc di casa) sono utilizzati per il lavoro, visto che sono spesso migliori della strumentazione fornita dall'azienda.http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html

Ora scopro che questa modalità ha un nome: BYOD, Bring your own device.

Segnalo quindi questo breve articolo pubblicato sul sito web dell'ISACA dal titolo "5 Information Risk Management and Security Tips When Adopting a BYOD Strategy for Mobile Devices":
http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/at-ISACA-Volume-21-12-October-2011.aspx?utm_source=informz&utm_medium=email&utm_campaign=informz#2

Divieto di concorrenza

Da Filodiritto trovo questa sentenza della Cassazione sul divieto di concorrenza: la cessione del "solo" 40% delle quote societarie non implica il divieto di concorrenza previsto dall'articolo 2557 del Codice Civile.

La notizia, di per se, non riguarderebbe i temi di questo blog. Però ho capito il perché, in alcuni contratti, si impone la clausola di riservatezza per "almeno cinque anni" (per me dovrebbe valere per sempre, a meno che le informazioni non diventino pubbliche) dopo il termine del rapporto di lavoro per dipendenti) o del contratto per fornitori.

Infatti, l'articolo 2557 recita "Il patto di astenersi dalla concorrenza in limiti più ampi di quelli previsti dal comma precedente è valido, purché non impedisca ogni attività professionale dell'alienante. Esso non può eccedere la durata di cinque anni dal trasferimento."

L'articolo:
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3368

Posta Elettronica Certificata -- Scadenza e professionisti

Prendendo spunto da una pubblicità che mi è arrivata, ricordo che "La legge n.2 del 2009 impone a tutte le Aziende, entro il 29/11/2011, di comunicare al registro imprese della C.C.I.A.A. il proprio indirizzo di casella PEC - Posta Elettronica Certificata."

Io non sono un'impresa, ma a breve attiverò la PEC.

Ha i suoi limiti (tra gli altri, vi segnalo l'articolo di Andrea Monti su Interlex "Posta certificata: troppe questioni ancora aperte"), ma mi pare sia utile.

L'articolo di Andrea Monti:
http://www.interlex.it/docdigit/amonti92.htm
Inoltre segnalo questo articolo di Filodiritto sulla PEC per i professionisti iscritti agli albi professionali:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2457

Infine, segnalo anche questo sulla condanna alla Regione Basilicata per "mancato uso di PEC":
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2456

Videosorveglianza, standard ISO e Garante Privacy

Il 14 luglio il Garante Privacy ha emesso un provvedimento che permette alla società DNP Photomask Europe S.p.A. di conservare alcune immagini videoregistrate per 90 giorni, contrariamente al Provvedimento Generale del 8 aprile 2010 che impone un limite di 24 ore, a meno di eccezioni che possono portare fino al limite massimo di 7 giorni.

-
http://www.garanteprivacy.it/garante/doc.jsp?ID=1836335

Cos'è successo? In altre occasioni il Garante ha chiesto di limitare il tempo di conservazione, qui addirittura permette di estenderlo fino a 13 volte il limite massimo ed eccezionale.

Un potenziale cliente (Infineon, tedesco) della società DNP ha richiesto alla DNP di adottare delle misure di sicurezza, tra cui la conservazione per 90 giorni delle immagini, in conformità alle loro procedure, "conformi alla ISO/IEC 17799 e alla ISO/IEC 15408".

Per i pignoli: il Provvedimento dice che la Infineon "opera rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", non che sono certificati (anche se un prodotto della Infineon è effettivamente certificato EAL5+)

Quindi, al punto 3 del Provvedimento, il Garante (Relatore: Fortunato) elogia gli standard internazionali dicendo alcune cose corrette e osservando che queste norme fissano "stringenti criteri" da prendere per buoni. Il tutto si conclude con: "si ammette la conservazione delle immagini per 90 giorni".

Ecco cosa c'è di sbagliato:
- il Provvedimento è del 14 luglio 2011; ormai da 6 (sei) anni, la ISO/IEC 17799 si chiama ISO/IEC 27002 (peccato veniale, ma allora sentiamoci autorizzati di citare la Legge 675 del 1996)
- le norme citate sono ISO/IEC non ISO (altro peccato veniale)
- la ISO/IEC 27002 (o 17799) non c'entra nulla con il "protocollo EAL5+"
- nessuna delle due norme citate fissa "stringenti criteri"; l'unico "stringente criterio" è che (semplifico) le misure di sicurezza devono essere commisurate al rischio analizzato dall'impresa; non si parla di "videosorveglianza", "90 giorni", "TVCC" o altre cose del genere (ho trovato solo un "suitable intruder detection systems")
- la ISO/IEC 27002 non fornisce "stringenti criteri" per sua natura (è una linea guida, da adattare caso per caso)

Alla luce di tutto ciò, provo a tradurre quello che è successo: la Infineon ha fatto le sue analisi del rischio (secondo un metodo e con risultati non riportati dal Provvedimento) e ha stabilito che il tempo giusto per conservare le immagini per lei e i suoi fornitori è di 90 giorni, lo richiede alla DNP, la quale DNP lo richiede al Garante, che dice "OK". Sintetizzo ancora: il Garante ha detto "se mi dite che avete fatto un'analisi dei rischi (che non vorrò vedere) che vi dice di conservare le immagini per 90 giorni, io approvo".

Non credo fosse quello il suo intendimento. Purtroppo, avendo accettato di trattare un argomento senza conoscerlo e senza averlo studiato, questo è il risultato.

Ma c'è un ulteriore effetto negativo della storia: si dà alle norme ISO/IEC citate un valore inesatto, esattamente come lo si dà alla ISO 9001. Come la ISO 9001 non garantisce l'alta qualità dei prodotti o servizi offerti, così la 27002 e la 15408 non garantiscono l'alta sicurezza dei prodotti o servizi o dell'azienda in assoluto. Non la faccio lunga, ma ricordo che Windows NT fu certificato EAL3, e oggi molti sistemi operativi Windows sono certificati EAL 4+... questo intuitivamente vi fa capire che non basta sapere "certificato", bisogna andare un poco oltre.

E infatti, da tempo, insieme ad altri colleghi, cerco di far capire che queste affermazioni sono false (il Garante invece ha dimostrato di prenderle per buone, soprattutto l'ultima; sarà forse perché tutte quelle sigle e quei numeri l'hanno confuso?):
- io sono certificato ISO -> sono al sicuro
- il mio fornitore è ISO -> è sicuro anche secondo i miei standard, anche se non glieli ho detti
- ricerco un fornitore ISO -> non ho bisogno di dirgli i miei requisiti di sicurezza perché tanto lui è sicuro -> non ho neanche bisogno di capire cosa c'è scritto sul certificato
- compro un prodotto ISO o da un fornitore ISO -> il prodotto è sicuro
- il mio cliente, fornitore o partner è ISO -> tutto ciò che dice è buono e giusto

Mi limito a concludere dicendo che:
- il Garante ha sbagliato
- se ha sbagliato qui, quante altre volte è stato superficiale nei Provvedimenti?
- come è possibile che il Garante non conosca almeno approssimativamente gli standard internazionali sulla sicurezza delle informazioni?
- allora è vero che emette Provvedimenti con misure di sicurezza da realizzare senza una base condivisa dagli specialisti della materia!

- Il Provvedimento Generale sulla videosorveglianza del 8 aprile 2010:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680#3.4
- il sito ufficiale dei Common Criteria: http://www.commoncriteriaportal.org/

Mi fermo qui. Qualcuno mi dia i riferimenti di un avvocato in caso riceva una querela.

venerdì 30 settembre 2011

Pagina normativa "informatica"

Ho cambiato la pagina sulla normativa in materia informatica: http://www.cesaregallotti.it/Normativa.html

Ho infatti scelto di non allegare più una copia delle norme, ma di riinviare a siti come www.normattiva.it o quello del Garante Privacy (era impossibile tenere aggiornati i files).

Avrò fatto sicuramente molti errori: se li trovate, vi prego di segnalarmeli.

mercoledì 21 settembre 2011

Vulnerabilità SCADA

La newsletter Sans NewsByte del 20 settembre segnala che "Un ricercatore italiano, Luigi Auriemma, ha pubblicato 13 vulnerabilità di alcuni prodotti SCADA (supervisory control and data acquisition). In marzo, Auriemma aveva già pubblicato altre 34 vulnerabilità."

La notizia su Computerworld:
http://www.computerworld.com/s/article/9220099/Researcher_discloses_zero_day_flaws_in_SCADA_systems?taxonomyId=17

Per essere aggiornati in materia, segnalo il ICS-CERT, collegato al "Ministero della Sicurezza Interna" (Department of Homeland Security) degli USA: www.ics-cert.org.

L'ICS-CERT pubblica newsletter mensili e dei Vulnerability Report per gli ICS (o SCADA) che possono interessare i loro utilizzatori.

martedì 20 settembre 2011

Le sanzioni disciplinari nel rapporto di lavoro. Cenni introduttivi

Segnalo questo interessante articolo di Filodiritto sulle sanzioni disciplinari nel rapporto di lavoro.

Come dice il titolo stesso dell'articolo, si tratta di una semplice introduzione. Penso comunque che sia necessaria:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2429

giovedì 15 settembre 2011

Tor Day

Il 28 giugno, alla Statale di Milano, si è tenuto un incontro con Giovanni Ziccardi, Pierluigi Perri, Andrea Trentini e Jan Reister, tutti dell'Università di Milano, dal titolo "TOR day".

Il TOR è un progetto per l'anonimità on line. Nella sua pagina web (
https://www.torproject.org/) è possibile scaricare un browser Firefox con una configurazione specifica e altri software.

Altri miei appunti:
- i siti web per default spesso utilizzano pagine http, anche se sono disponibili quelle https. Il plug-in di Firefox HTTPS Everywhere permette invece di richiedere le pagine https di default
https://www.eff.org/https-everywhere
- per scaricare i video di youtube con TOR o da luoghi dove youtube è censurato: http://pwnyoutube.com o http://deturl.com/
- per creare utenti anonimi, con la possibilità di ricevere files in modo anonimo e per permettere ai mittenti di essere altrettanto anonimi (se usano, ovviamente, TOR): https://privacybox.de/
- via TOR sono poi disponibili diversi "hidden services" (non sempre eticamente accettabili). Per questo, si segnala la pagina http://tor2web.org

martedì 13 settembre 2011

Garante: Cloud e smartphones

Il 23 giugno, il Garante ha pubblicato due "schede di documentazione":
- "Cloud computing: indicazioni per l’utilizzo consapevole dei servizi":
http://www.garanteprivacy.it/garante/document?ID=1819933
- "Smartphone e tablet: scenari attuali e prospettive operative":
http://www.garanteprivacy.it/garante/document?ID=1819937

Mi viene da notare che il Garante sta ora espandendo la propria area di azione alla informazione sulla sicurezza informatica, oltre al trattamento dei dati personali.

lunedì 5 settembre 2011

BS BS 10008:2008 sulle prove informatiche

Max Cottafavi (Spike Reply) mi segnala che è da tempo pubblicata la BS 10008:2008 dal titolo "Evidential weight and legal admissibility of electronic information. Specification".

Leggendo la presentazione sul sito del BSI Group, mi pare che non sia una anticipazione della ISO/IEC 27037 sulla computer forensics, quanto una norma sulla autenticità dei documenti e delle comunicazioni informatiche. Insomma, qualcosa di molto legata alla firma digitale, per la quale, in Italia, vige il Codice dell'Amministrazione Digitale (Dlgs 82 del 2005) e, quindi, forse questo standard non è utile per le nostre imprese.

Ad ogni modo, posso sempre sbagliarmi e lascio a voi la valutazione (nel caso, provvederò a pubblicare commenti):
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030191165

ISO/IEC 27035:2011 - Incident management

Il 1 settembre è stata pubblicata la ISO/IEC 27035:2011 dal titolo "Information technology — Security techniques — Information security incident management". Questa norma della famiglia ISO/IEC 270xx sostituisce la ISO/IEC TR 18044:2004.

Oltre alle cose già note e ripetute in mille altri contesti (scrivere politica, registrare gli incidenti, eccetera), sono sviluppati i seguenti argomenti:
- istituzione di un ISIRT (o CERT)
- un'appendice con degli esempi di incidente
- un'appendice con esempi di categorizzazione degli incidenti (in molti, in questi anni, mi hanno chiesto se c'era uno standard con questi esempi; la ISO/IEC TR 18044 non li aveva, ora ci sono)
- esempi di reportistica (già presenti nella ISO/IEC TR 18044)

Ovviamente, non mancano riflessioni su escalation, analisi approfondite dopo aver superato l'emergenza, computer forensics, gestione delle comunicazioni, eccetera.
Il tutto è più orientato al trattamento di attacchi o di gravi incidenti, che alla gestione di eventi meno significativi. Ovviamente, chi seguirà questo standard farà in modo di implementarlo in modo corretto.

Le norme ISO costano (www.iso.org). Per chi vuole risorse autorevoli e gratuite, segnalo la guida del NIST (
http://csrc.nist.gov/publications/PubsSPs.html), SP 800-61 "Computer Security Incident Handling Guide" del 2008:
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

Grazie a Franco Ferrari del DNV Italia per la segnalazione.

ISO 31000: 2009 - Versione italiana

Franco Ferrari del DNV Italia mi segnala che in novembre 2010 è stata pubblicata la versione italiana della ISO 31000:2009 "Risk management — Principles and guidelines".

E' quindi disponibile presso la UNI la UNI ISO 31000:2010 "Gestione del rischio - Principi e linee guida"

Versione italiana della ISO/IEC 17021:2011

Franco Ferrari mi segnala che a marzo 2011 è stata emessa la traduzione italiana della ISO/IEC 17021:2011 "Conformity assessment — Requirements for bodies providing audit and certification of management systems".

E' quindi disponibile la UNI CEI EN ISO/IEC 17021:2011 "Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione".

Ricordo che questa norma è applicabile ai soli organismi di certificazione, sulla base della quale sono accreditati da orgnismi quali Accredia, UKAS, eccetera.

venerdì 2 settembre 2011

Regole tecniche documento informatico

Segnalazione ricevuta da Uninfo: DigitPA ha pubblicato la bozza delle regole tecniche documento informatico e gestione documentale, protocollo informatico e sistema conservazione di documenti.

Queste regole dovrebbero sostituire la Circolare CNIPA 11/2004 e AIPA 28/2001 e prendere in carico i requisiti del CAD dopo le modifiche apportate dal Dlgs 235 del 2010.

La bozza è stata pubblicata il 5 agosto e i commenti possono essere inviati entro il 10 settembre. Non commento i tempi.

Può essere comunque utile leggere il materiale proposto:
http://www.digitpa.gov.it/altre-attivit/pubblicata-bozza-regole-tecniche-documento-informatico-protocollo-informatico-conserva

venerdì 26 agosto 2011

I 20 controlli di sicurezza critici

Il SANS ha pubblicato la terza versione del suo elenco dei 20 controlli di sicurezza più importanti.
https://www.sans.org/critical-security-controls/

Il documento in pdf è di 76 pagine. Mi sembra interessante come sono descritte le modalità di implementazione, perché sono distinti i quick wins, attività di monitoraggio, attività di riduzione delle vulnerabilità e controlli avanzati. Il tutto è preceduto da un rationale.

Transizione delle certificazioni ISO/IEC 20000-1:2005 a ISO/IEC 20000-1:2011

Dal webinar di APMG "ISO/IEC 20000 - Part 1 Update Explained" del 3 agosto 2011, fornisco risposte a domande che mi sono state poste in questi mesi.

E' bene far notare che le risposte riguardano lo schema di APMG, dovremo vedere se saranno valide anche per le certificazioni gestite da altri organismi (Accredia, UKAS, etc):
- non sono previsti corsi di aggiornamento per Auditor e Lead Auditor (che dovranno comunque studiarsi autonomamanete la nuova norma)
- i nuovi certificati dovranno essere basati sulla nuova norma se emessi dopo il 1 giugno 2012
- gli audit di mantenimento, potranno essere condotti sulla ISO/IEC 20000-1:2005 fino al 1 giugno 2013

- l'aggiornamento della ISO/IEC 20000-2 dovrebbe essere pubblicato a inizio 2012

La presentazione del webinar la trovate al link
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4891&sID=4752

APMG Ente di Accreditamento per la ISO/IEC 20000-1 (seconda puntata)

Il 27 maggio avevo pubblicato la notizia "APMG Ente di Accreditamento per la ISO/IEC 20000-1":
http://blog.cesaregallotti.it/2011/05/apmg-ente-di-accreditamento-per-la.html

Con il seguente commento: "Sarà interessante capire come saranno gestite le relazioni tra certificati aziendali accreditati APMG e quelli accreditati da altri organismi di certificazione quali Accredia (ex Sincert)".

Tony Coletta, al webinar di APMG "ISO/IEC 20000 - Part 1 Update Explained" del 3 agosto 2011 ha posto questa domanda, soprattutto facendo riferimento alla EC Regulation 765/08 che impone a ciascun stato della UE di avere un unico ente di accreditamento riconosciuto dagli altri stati membri attraverso gli accordi EA MLA (e, pertanto, non ci dovrebbe essere spazio per un ente quale APMG).

APMG ha risposto così (riassumo): "Un ente di accreditamento come UKAS in UK non è coinvolto nelle attività di itSMF e operano il proprio schema di certificazione ISO/IEC 20000 con 3 organismi accreditati, mentre APMG ne ha 50. Altro punto da considerare è che ci sono diversi schemi di certificazione accreditati (con la "a" minuscola) anche al di fuori degli accordi EA MLA, ma comunque riconosciuti dal mercato. E' intenzione di APMG lavorare a stretto contatto con gli organismi di Accreditamento nazionali per garantire l'efficacia dello schema".

Forse ho riassunto male e forse ho tradotto male, ma mi sembra che al momento la situazione sia ancora lacunosa.

Ad ogni modo, potete leggere la presentazione del webinar:
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4891&sID=4752
e le risposte alle domande (tra cui quella di Tony Coletta):
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4892&sID=4752

Alcuni punti sullo schema di certificazione su cui ho ricevuto domande nei mesi scorsi, nel post successivo.

Schema di regolamento su Diritto d'Autore su Internet

Giovanni Francescutti (DNV Italia) segnala l'iniziativa dell'Autorità per le
Garanzie nelle Telecomunicazioni sul Diritto d'Autore. In particolare,
l'AGCOM ha presentato uno "schema di regolamento in materia di tutela del
diritto d'autore sulle reti di comunicazione elettronica".
Riguarda soprattutto il ruolo e le responsabilità degli ISP nel pubblicare
contenuti non rispettosi del Diritto d'Autore e le modalità che dovranno
seguire.
E' possibile leggere il Comunicato Stampa del 6 luglio 2011:
http://www.agcom.it/Default.aspx?message=visualizzadocument&DocID=6663
Lo schema di regolamento in consultazione pubblica per 60 giorni:
http://www.agcom.it/Default.aspx?DocID=6694
<http://www.agcom.it/Default.aspx?DocID=6694>
La delibera 398 del 2011 dell'AGCOM con indicati i diversi contributi
ricevuti per la redazione dello schema di regolamento:
http://www.agcom.it/Default.aspx?DocID=5413
<http://www.agcom.it/Default.aspx?DocID=5413>
Nota: quello che qui è chiamato "schema", altri chiamerebbero "bozza".
Sarà ovviamente interessante vedere come andrà avanti l'iniziativa e i
successivi commenti.
Intanto segnalo già i primi due commenti di Simone Tomirotti che gentilmente
me l'ha segnalato:
-
http://italianjam.blogspot.com/2011/07/lagcom-e-il-diritto-dautore-la-mia.ht
ml

- http://italianjam.blogspot.com/2011/08/la-proposta-dellagcom-e-blanda.html

Minacce e attacchi

In molti mi chiedono dove trovare una lista di attacchi per iniziare a fare un'analisi del rischio.

Da Crypto-Gram del 15 agosto, segnalo questo documento della Canergy Mellon University che può essere un ottimo inizio:
http://www.cert.org/archive/pdf/10tn028.pdf

Per chi volesse andare più in profondità, dai commenti a Crypto-Gram, segnalo il VERIS Framework: https://verisframework.wiki.zoho.com/

Qui l'elenco è molto più dettagliato e forse di difficile utilizzo per un risk assessment generale. La web application messa a disposizione può essere di ulteriore aiuto: https://www2.icsalabs.com/veris/. Per chi volesse leggere un documento vero e proprio, segnalo il "Verizon Data Breach Investigations Report" con riportate anche le statistiche pertinenti (sempre da prendere con cautela).

giovedì 25 agosto 2011

ROSI v2

Il 16 maggio del 2010 avevo segnalato lo studio sul ROSI condotto da AIEA,
CLUSIT, Deloitte, Ernst & Young, KPMG, Oracle, PricewaterhouseCoopers.
Ora ne è uscita la versione 2, liberamente scaricabile da
http://rosi.clusit.it.
Ci sono alcuni spunti interessanti e la lettura è consigliata. Tra l'altro,
avevo già segnalato che lo studio prende correttamente atto
dell'impossibilità di calcolare il ritorno degli investimenti di sicurezza
(dico io: se sono impossibili le analisi del rischio quantitative, sarà
ovviamente impossibile valutare in modo esatto la bontà degli investimenti
di sicurezza) e propone un approccio degno di attenzione.

ITIL2011

Il 29 luglio è stata pubblicata la versione 2011 di ITIL. Come già detto,
non si tratta di una versione 4, ma di una versione 3.1.
Faccio un breve riassunto delle novità, affidandomi alla newsletter del 3
agosto di itSMF Italia (i commenti sono miei, ovviamente):
- le nuove pubblicazioni sono acquistabili da itSMF Italia (www.itsmf.it) o
da www.best-management-practice.com; il costo è di non poche 360 sterline
inglesi (410 Euro);
- se già le pubblicazioni del 2007 vi sembravano corpose (un totale di 1.344
pagine), sappiate che le cose non sono migliorate: ora il numero totale di
pagine è di 1.888:
- buona notizia: non sono previsti aggiornamenti (o "bridge") delle
certificazioni ottenute negli anni scorsi su ITILv3; in altre parole, se
avete già un certificato ITILv3 Foundation o Intermediate o Expert, è ancora
valido;
- non è stato ridotto il numero di processi: ora la Service Strategy ne
prevede 5 e al Service Design è stato aggiunto il processo di Design
Coordination (che in effetti mancava... come era facilmente intuibile); gli
altri rimangono dove sono: i redattori di ITIL2011 hanno dimostrato di non
voler buttare via nulla e hanno lasciato dei "processi" che sono
evidentemente delle "attività".
Ad ogni modo, i nuovi esami sono disponibili dal 8 agosto.
Per chi se la sente: buona lettura!

Sesso, bugie e ricerche sul cybercrime

Da sempre diffido delle ricerche e dei dati sugli attacchi informatici. E,
conseguentemente, da sempre penso che le analisi di rischio quantitative
siano impossibili da fare.
C'è chi ha raccolto le prove (come segnalato da Cryptogram di luglio):
http://research.microsoft.com/pubs/149886/SexLiesandCybercrimeSurveys.pdf

giovedì 28 luglio 2011

Privacy: Legge 106 del 2011 con modifiche al Codice

A maggio era stato emesso il DL 70 del 2011 che (all'articolo 6, comma 2),
tra le altre cose, presentava alcune semplificazioni in materia di privacy.
Ora il DL è stato definitivamente approvato (come mi ha segnalato Franco
Ferrari del DNV) con la Legge 106 del 2011.
Anche con l'aiuto della circolare 19439 di Confindustria (disponibile solo
agli iscritti di Confindustria e altri siti), provo a riassumere i punti
rilevanti:
1. fornita una nuova definizione di "trattamenti effettuati per finalità
amministrativo-contabili", che semplifica gli adempimenti di gestione del
personale; osservo però che molti comportamenti di "buona condotta" del
datore di lavoro (applicazione di misure di sicurezza e non diffusione dei
dati) rimangono attivi.
2. esclusi dall'ambito di applicazione del Codice i trattamenti di dati
effettuati nei rapporti business to business (B2B) per finalità
amministrativo-contabili, con semplificazioni nella gestione dei clienti e
fornitori quando non sono persone fisiche, eliminando la necessità di
informative e raccolte di consenso (peraltro già molto ridotte nel testo
originale del 2003); si potrebbe anche vedere ridotti gli oneri
sull'applicazione delle misure minime e sulle nomine dei responsabili, ma
questo rappresenterebbe una cattiva pratica gestionale, oltre che introdurre
complicazioni quando si deve analizzare gli impatti di ogni misura minima
sui dati personali oggetto del Codice e quelli esclusi
3. esonerate dal consenso le comunicazioni di dati nell'ambito di gruppi
d'impresa, con ovvi benefici per le realtà di gruppo
4. esteso l'ambito di applicazione dell'autocertificazione sostituiva del
DPS; ma, abbiamo visto, in alcuni casi è più "facile" fare il DPS che
seguire le istruzioni per l'autocertificazione, oltre che più produttivo, se
fatto correttamente
5. esclusione dell'obbligo di informativa e consenso per i curricula vitae
trasmessi spontaneamente dall'interessato; con altri ovvi benefici
6. l'estensione del regime di opt-out previsto per le telefonate commerciali
anche al marketing mediante posta cartacea, perché hanno impatto sulle
persone fisiche
Il testo del DL 70 del 2011 consolidato con la Legge 106 del 2011 lo si
trova su www.normattiva.it (cercando il solo DL 70 del 2011).

lunedì 25 luglio 2011

ISO 29110: Software Life Cycle Profiles and Guidelines for Very Small Entities

Nel 2011 è stata pubblicata la ISO 29110 sul ciclo di vita del software per le piccole imprese (fino a 25 persone). Si tratta di uno standard diviso in 5 parti.

Per saperne di più:
https://secure.wikimedia.org/wikipedia/en/wiki/ISO_29110:Software_Life_Cycle_Profiles_and_Guidelines_for_Very_Small_Entities_%28VSEs%29

La notizia mi arriva dal gruppo di LinkedIn "ISO/IEC JTC 1/SC7 Software and Systems Engineering".

Alla fine dell'articolo, ci sono i link per procurarsele. Tre delle 5 parti sono gratis:
http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html.

Firma digitale, questa sconosciuta

Luca De Grazia mi segnala un articolo che lo riguarda in merito alle sue
disavventure nel fare accettare dalla Pubblica Amministrazione dei documenti
firmati digitalmente.
Mi sono ricordato anche che, in forza dell'articolo 16 del DL 185 del 2008)
il 29 novembre tutte le imprese dovranno avere la Posta Elettronica
Certificata per comunicare con la Pubblica Amministrazione.
Luca De Grazia mi ha ricordato che la PEC è strumento diverso dalla
sottoscrizione con firma digitale. Se però oggi siamo a questo punto,
sicuramente ne vedremo delle belle.

mercoledì 20 luglio 2011

Sentenza: Accessi abusivi e 231

Dalla newsletter di Filodiritto segnalo questa sentenza della Cassazione
Penale.
La sentenza tratta di diverse cose. Quelle di rilievo per questo blog sono:
- Punto 9.3: "commette il reato di cui all'articolo 615ter Codice Penale non
solo chi si introduca abusivamente nel sistema informatico protetto, ma
anche chi si intrattenga al suo interno [Nota di Cesare: pur essendo un
utente autorizzato del sistema], contro la volontà espressa o tacita di chi
abbia diritto di escluderlo, per finalità diverse da quella per le quali
l'abilitazione era stata concessa."; in altre parole: gli utenti autorizzati
che usano il sistema informatico per raccogliere dati, senza averne il
permesso esplicito o tacito, commette reato perché abusano della propria
posizione
- Punto 11.3: la società capogruppo può essere chiamata a rispondere, ai
sensi del d. lgs. n. 231 del 2001, per il reato commesso nell'ambito
dell'attività di altra società del gruppo, purchè nella sua consumazione
concorra una persona fisica che agisca per conto della holding perseguendo
anche l'interesse di quest'ultima.

giovedì 14 luglio 2011

Privacy: dei Titolari e dei Responsabili esterni - Parte 4

Il 15 giugno, il Garante ha emesso un Provvedimento dal titolo "Titolarità
del trattamento di dati personali in capo ai soggetti che si avvalgono di
agenti per attività promozionali".
In questo caso, invita le aziende che danno mandato ad agenti per le
attività promozionali a nominare tali agenti "Responsabili del trattamento".
In realtà, aggiungo queste riflessioni:
- in questo caso specifico, si tratta di contratti di agenzia e il Garante
evidenzia che gli agenti agiscono già nei fatti come responsabili (perché
controllati dal cliente, perché agiscono in suo nome, eccetera)
- nel Provvedimento si cita la definizione di Titolare "cui competono,
anche unitamente ad altro titolare, le
decisioni...", ma furbescamente si omette la parte "anche unitamente ad
altro titolare" e ancora una volta si evita di darne un'interpretazione
- il Provvedimento asserisce che il Titolare esercita già nei fatti il
"controllo" sugli agenti, ma non cita neanche una modalità con cui questo
viene effettuato, laddove ogni dizionario equipara il termine "controllo"
con quello di "verifica" e non con quello di "fornire indicazioni"; anche
qui, ancora una volta, si evita di darne un esempio (mi ricorda molto le non
definite modalità di "verifica" delle attività degli Amministratori di
Sistema).

giovedì 7 luglio 2011

Sulla formazione sulla sicurezza

In molti mi chiedono "quale corso seguire" sulla sicurezza. A questo proposito, copio, traduco con qualche modifica e incollo l'editoriale di Hervé Schauer sulla newsletter della sua società di consulenza HSC (sito web www.hsc.fr).

<< Presso HSC un consulente su due ha fatto un master sulla sicurezza. Con questo, hanno imparato, non sempre benissimo, cose che si imparano facilmente in azienda o con la formazione continua. Sono formati a rispondere bene durante i colloqui, ma non a fare quello che oggi non si insegna più nelle aziende: dai fondamentali dell'informatica alla corretta scrittura in francese, oltre a qualche qualità umana.

20 dopo alcune mie iniziative di promozione di corsi specialistici e in un altro contesto, penso che la moltiplicazione dei corsi sulla sicurezza sia nefasta e inutile. Si basa solo sul profitto. Solo la crittologia giustifica pienamente un insegnamento universitario superiore. La scuola deve insegnare a pianificare, amministrare, sintetizzare, essere disciplinati e imparare a imparare e non tecniche di intrusione o le tecniche di risk assessment. >>

L'avrei scritto in modo diverso, ma condivido appieno.

Cobit 5: il draft

L'ISACA ha pubblicato il draft del Cobit5 e chiede commenti. A inizio 2012
dovrebbe pubblicare la versione finale.
Non sono un esperto di Cobit e quindi mi guardo bene dal commentarlo.
Ritengo però sia necessario conoscerlo perché propone dei modelli molto
interessanti, con carte RACI e un elenco di misure tra cui scegliere.
Mi pare di notare che in questa edizione non siano più utilizzati i modelli
di maturità come nel passato, preferendo un modello generale descritto una
volta per tutte nel documento di descrizion del framework.

Top 25 Most Dangerous Software Errors

Agli americani piace fare classifiche e non sempre significative. Questa del
SANS però è interessante e importante perché allinea gli errori di sviluppo
più comuni e pericolosi e fornisce linee guida per evitarli.
- la pagina di introduzione del SANS:

Sicurezza iPhones e Android

Sul gruppo Clusit di LinkedIn, Aldo Ceccarelli segnala questo articolo della
Symantec sulla sicurezza di iPhone e Android:
- l'articolo su Networkworld:
http://www.networkworld.com/news/2011/062811-symantec-mobile-report.html
- il rapporto della Symantec:
http://www.symantec.com/content/en/us/about/media/pdfs/symc_mobile_device_se
curity_june2011.pdf

Non si parla di Blackberry, l'unico per il quale il NIST ha prodotto una
check list di sicurezza:
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=252
Segnalo quindi la guida 800-124 del NIST sulla sicurezza di cellulari e PDA:
http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf

mercoledì 29 giugno 2011

Sulle survey sulla sicurezza

Aldo Ceccarelli, sul gruppo Clusit di LinkedIn, ha postato questo interessante articolo sulle survey sulla sicurezza:
http://www.technologyreview.com/business/37839/?ref=rss

Questo articolo mi ha ricordato un piccolo dibattito che abbiamo avuto qualche tempo fa su non-mi-ricordo-quale survey.

Io dicevo che mi lasciano sempre perplesso e, giustamente, Aldo rifletteva sul fatto che comunque forniscono qualche spunto interessante.

Questo articolo dice proprio che le survey sulla sicurezza forniscono "qualche spunto". Non di più.

Novità su ITIL V3.1

Un post di Luigi Buglione su LinkedIn fornisce il link al documento ufficiale sulle novità di ITIL v3.1.
http://www.best-management-practice.com/gempdf/ITIL_UPdate_FAQs_Summer_2011_June11.pdf

Innanzitutto il titolo ufficiale sarà "ITIL 2011" anche se tutti, quasi sicuramente, lo chiameremo ITIL v3.1.

La data di pubblicazione è il 29 luglio 2011, prima in formato cartaceo e poi in formato elettronico.

La novità più grande riguarderà la fase di Strategy. Per le altre fasi, ci saranno "chiarimenti". Il documento non sembra dare indicazioni sui tanti argomenti attualmente confusi.

Ultima cosa interessante è che "chi è già in possesso di certificati ITIL, non avrà la necessità di ri-certificarsi": se capisco bene, le qualifiche ITIL 2007 e ITIL 2011 saranno uguali quindi indistinguibili tra loro.

Il commento di IT Skeptic fornisce ulteriori spunti di riflessione:
http://www.itskeptic.org/itil-v3-2011-new-book-and-four-new-processes

lunedì 20 giugno 2011

NIST SP 800-82 sulla sicurezza dei sistemi informatici industriali

Il NIST ha pubblicato la propria guida per la sicurezza dei sistemi SCADA, DCS e PLC.

Come sempre, la guida inizia con una ottima parte introduttiva che descrive compiutamente i sistemi oggetto del documento e poi via via descrive le minacce, le vulnerabilità e i controlli applicabili.

- La pagina con tutte le SP del NIST:
http://csrc.nist.gov/publications/PubsSPs.html
- Il link diretto alla SP 800-82: http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf

sabato 18 giugno 2011

Privacy: dei Titolari e dei Responsabili esterni - Parte 3

Seguito del post http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili_04.html

Fabrizio Bottacin mi ha inviato alcuni riferimenti a sentenze del Garante.

Io riassumo (e commento) come segue:
- il 2 giugno 1999 [doc. web n. 39857] il Garante ha stabilito che un fornitore dell'INPS dovesse essere nominato Responsabile esterno (commento di Cesare: non dice però che "ogni fornitore deve essere nominato Responsabile esterno")
- il 29 luglio 1998 [doc. web n. 31023] il Garante stabilisce che una struttura esterna ad un soggetto pubblico può essere nominata Responsabile o detenere la qualità di Titolare (commento di Cesare: si osservi che vigeva la Legge 675/1996)
- il 8 giugno 1999 [doc. web n. 42260] il Garante ha stabilito che le società fornitrici non possono essere nominate "incaricate esterne", ma "Responsabili" (commento Cesare: faccio notare che nulla viene detto sulla possibilità o impossibilità di autonoma titolarità)

Altre sentenze di interesse:
- Garante 7 luglio 1998: doc. web n. 40377
- Garante 24 gennaio 2003: doc. web n. 1067875
- Garante 23 marzo 1998: doc. web n. 40999
- Garante 10 giugno 2003: doc. web n. 1132569

Simone Tomirotti, avendomi segnalato il "Provvedimento banche" (doc. web n. 1813953), segnala la frase: "la posizione di Titolare del trattamento, pur astrattamente riconoscibile anche in capo all'outsourcer, risulta, tuttavia, ascrivibile solo alla banca nei casi in cui la stessa abbia il potere di:
1. assumere decisioni relative alle finalità del trattamento;
2. impartire istruzioni e direttive vincolanti nei confronti delle società di gestione dei sistemi informativi, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
3. svolgere funzioni di controllo rispetto all'operato delle medesime e degli incaricati delle stesse."

Ho avuto modo di leggere una noticina (quindi da non considerare come definitiva) di AbiLab che traduce così "E' stata confermata la possibilità di qualificare l'outsourcer, sia esso interno od esterno al gruppo bancario, quale autonomo titolare del trattamento qualora i poteri riconosciuti dal Codice della Privacy al titolare del trattamento risultino *in concreto* in capo all'outsourcer e non alla banca."

Ringrazio Fabrizio e Simone per il contributo.


PS: le riflessioni continuano nella "Parte 4": 
http://blog.cesaregallotti.it/2011/07/privacy-dei-titolari-e-dei-responsabili.html 

Business Continuity e Incident Management (parte 3)

Sempre sul BCM (il post numero 2 è su http://blog.cesaregallotti.it/2011/05/un-contributo-su-business-continuity-e.html).

Dante Verona mi fa notare quanto segue.

"Ho un modo diverso di argomentare il mio punto di vista, ed è quello che considero più concreto ed efficace ed è in linea con standard BS25999.

Il BS25999-2:2007, al punto 4.1.1.2.c, dice: "The organization shall: establish the maximum tolerable period of disruption for each activity by identifing:....."

E, richiamando la definizione di Maximum Tolerable Period of Disruption presente nello standard stesso, troviamo: "duration after which an organization's viability will be irrevocably threatend if product and service delivery cannot be resumed"

Quindi io escluderei i piccoli incidenti se con piccoli intendiamo quelli che non minacciano la sopravvivenza della organizzazione. E il motivo di ciò per me è molto concreto. Confinare gli scenari BCM è una questione di successo del programma stesso."

Io credo che Dante parli della "parte di BCM per grandi eventi". Per i piccoli incidenti c'è invece il "BCM per piccoli eventi" (dove la gestione degli incidenti è regolamentata da SLA basati anche sul termine di urgenza, proprio per evitare che un "normale incidente" diventi grande). Fanno parte tutti e due del BCM, ma sono affrontati con metodi e tecniche distinte. In fase di analisi si individuano cosa fa parte dell'una e dell'altra e poi vengono affrontati distintamente per garantire il successo del programma (applicando la corretta filosofia del problem solving che prevede di dividere un problema in sotto-problemi più facilmente risolvibili).

venerdì 17 giugno 2011

Privacy: prescrizioni per le banche

Simone Tomirotti mi ha segnalato la pubblicazione delle "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011".

http://www.garanteprivacy.it/garante/doc.jsp?ID=1813953

Su questo documento ci sarebbero dei commenti da fare su un discorso che mi sta cuore su "Titolari e Responsabili esterni". Purtroppo neanche questo mese ho avuto la possibilità di studiare come si conviene (grazie al cielo ho dei lavori da fare e nei fine settimana ho fatto il Presidente del Seggio 300 a Milano). Ci riproverò per luglio.

Aggiungo che Simone ha anticipato di poche ore Andrea Praitano che gentilmente mi ha segnalato anche lui questa notizia.

martedì 14 giugno 2011

lunedì 13 giugno 2011

Novità sugli standard serie ISO/IEC 27k

Il 15 aprile si è tenuto a Singapore il meeting dell'SC 27 WG 1.

Questi i risultati (per come li ho capiti):
- ISO/IEC 27000 (Vocabolario): sarà prodotto il 3WD (Terzo Working Draft; siamo indietro...)
- ISO/IEC 27001: è in circolazione il 1 CD (Committee Draft, più avanzato del WD);
- ISO/IEC 27002: sarà prodotto il 4 WD (la 27001 avrà ancora l'Annex A, anche se alcuni, tra cui io, volevano lasciare libertà di scelta per il SOA; verranno tolte alcune cose in materia di risk assessment e politiche già presenti sulla 27001)
- ISO/IEC 27005: è stata pubblicata la versione del 2011 che sostitusce quella del 2008 solo per allineare la terminologia alla ISO 31000:2009 (per il resto è rimasta invariata)
- ISO/IEC 27006 (la norma per gli organismi di certificazione):
- ISO/IEC 27007 (linee guida per gli audit): è uscito il Final Draft
- ISO/IEC 27008 (verifica dei controlli di sicurezza): la danno per conclusa
- ISO/IEC 27013 (relazioni tra 27001 e 20000-1): è in circolazione il 1 CD

Non ho ancora letto i draft in circolazione.

Dalla presentazione fatta da Fabio Guasconi per l'Uninfo, segnalo quanto segue:
- Numerosissimi commenti su 27001 e 27002
- si vuole pubblicare la nuova 27006 entro metà 2012
- la 27015 (sui Financial Services) è ferma in attesa di nuovi input

E' stata fatta una proposta per una norma specifica sul Cloud Computing. Voterò contro perché dovrebbe già essere coperta dalle norme sull'outsourcing (se i "servizi cloud" sono offerti dagli esterni) e dalle altre norme più tecniche (se i servizi cloud sono erogati internamente). Uninfo probabilmente voterà a favore.

L'aggiornamento della 27006 è dovuto soprattutto all'allineamento con la ISO/IEC 17021:2011 e quindi gli editor vorrebbero non avere altri argomenti da discutere.


Rimane quindi il grosso problema dei tempi di audit proposti dall'Annex C (Informative) della 27006: attualmente sono esagerati (soprattutto per le PMI). L'allegato è solo informativo e questa è un'altra ragione per cui gli editor non vorrebbero discuterlo; purtroppo Accredia lo considera acriticamente come "normativo" e quindi siamo costretti ad avere audit troppo onerosi per le aziende e anche per gli auditor (che non sanno come giustificare il proprio tempo; per lo meno i molti che conoscono la materia... i tempi sono probabilmente tarati per i pochi che non la conoscono; più ignoranti ma più capaci a far pubblicare le cose).

PS: ringrazio Fabio Guasconi per aver corretto qualche errore di questo post. Quelli rimasti sono colpa mia.

sabato 11 giugno 2011

La natura frattale del ciclo PDCA

Da un Twitter della società di consulenza Lambda CT, segnalo questo articolo in inglese: http://is.gd/iTcILz.

La materia non è nuova, ovviamente. Preferisco alcuni sul Kaizen (tra cui quelli editi da Guerini), ma forse questo articolo può essere d'aiuto ai tanti che non osservano con la dovuta attenzione gli argomenti relativi alla "vecchia" qualità.

Mi viene in mente la frase di un mio cliente che mi disse (con ironia e segnalando la criticità): "nella nostra azienda rilasciamo applicazioni e processi e procedure e moduli solo in versione 1".


Post scriptum: il Twitter successivo di Lambda CT () rimanda a un pdf sulle correlazioni tra sicurezza e ISO/IEC 25504, che è un modello decisamente (troppo) oneroso. Ogni volta mi stupisco di come certe cose così complesse e teoriche abbiano tanto successo: direi che probabilmente si tratta di vittorie delle grandi società di consulenza.

venerdì 10 giugno 2011

Metriche FISMA

Lo statunitense Federal Information Security Management Act (FISMA) richiede alle agenzie governative di rispondere periodicamente a dei questionari sulla sicurezza informatica definiti dal Homeland Security Department.

Per il 2011 è in circolazione un questionario di 11 pagine (pare che però non sia ancora ufficiale) che sta riscontrando il favore degli analisti perché cerca di spingere le agenzie verso il "monitoraggio continuo" (senza però specificare cosa si intenda per "continuo").

Lascio ai lettori più pazienti la possibilità di valutare il questionario e di eventualmente considerare alcune delle metriche proposte come applicabili alla propria organizzazione.

Un articolo piuttosto completo:
http://www.govinfosecurity.com/articles.php?art_id=3707
Un articolo più critico: http://www.nextgov.com/nextgov/ng_20110606_5245.php?oref=topstory
Il questionario: http://www.sans.org/critical-security-controls/fisma.pdf

Infrastrutture critiche e Dlgs 61/2011

Simone Tomirotti mi informa della pubblicazione del Dlgs 61/2011 dal titolo
"Attuazione della Direttiva 2008/114/CE recante l'individuazione e la
designazione delle infrastrutture critiche europee e la valutazione della
necessita' di migliorarne la protezione".

E' possibile leggere il Dlgs da www.normattiva.it.
E' possibile leggere la Direttiva da
http://eur-lex.europa.eu/it/index.htm

Il Dlgs è interessante, anche se riguarda solo il settore energia e il
settore trasporti. In particolare perché tratta compiutamente la sicurezza
delle informazioni, stabilisce che il "funzionario di collegamento in
materia di sicurezza" è anche il responsabile della sicurezza delle
informazioni e, infine, nell'allegato B, illustra i "Requisiti minimi del
piano di sicurezza dell'operatore (PSO)" in modo più convincente di quanto
prescritto dal Codice Privacy.


Simone Tomirotti aggiunge: la Regione Lombardia sembra intenzionata ad affrontare l'argomento Infrastrutture Critiche. E questo è già qualcosa. A giugno del 2010 c'era stato un incontro con alcuni gestori di Infrastrutture Critiche. Poiché in questa prima direttiva la tematica interessa Trasporti ed Energia, all'incontro hanno partecipato società tipo AEM o A2A. A novembre 2011 ci sarà un incontro dal titolo inglese e un po' ambizioso: 1st International Workshop on Regional Critical Infrastructure Protection.

Il sito della protezione civile Regione Lombardia: http://bit.ly/iiDo8T

lunedì 6 giugno 2011

Sul downtime di Aruba

Uno dei casi più discussi di recente è il downtime di Aruba, perché tocca gli argomenti "infrastrutture", "continuità operativa" e "contrattualistica".

Segnalo qualche articolo interessante (dalla newsletter del Clusit):
- il commento di Claudio Telmon:
http://blog.clusit.it/sicuramente/2011/05/considerazioni-sulla-vicenda-di-aruba.html
- il commento di Armando Leotta: http://blog.clusit.it/sicuramente/2011/04/aruba-downtime-osservazioni.html
- il commento di Andrea Draghetti: http://www.oversecurity.net/2011/04/30/incendio-nella-server-farm-di-aruba-comunicato-stampa/

Report ENISA su resilienza e metriche

A febbraio, ENISA ha pubblicato il documento "Measurement Frameworks and Metrics for Resilient Networks and Services: Technical report" (ho visto la segnalazione sul blog del Clusit).

L'ho trovato interessante per diversi motivi, tra i quali: la presentazione di una selezione di metriche, accompagnate dai loro valori "tipici".

La parte introduttiva è un po' troppo scolastica.

Il link:
http://www.enisa.europa.eu/act/res/other-areas/metrics/reports/metrics-tech-report/at_download/fullReport

martedì 31 maggio 2011

Internet e politica

A inizio maggio avevo segnalato una presentazione di Atle Skjekkeland sulle nuove modalità di comunicazione:
http://blog.cesaregallotti.it/2011/05/omat-e-gestione-elettronica-di.html

Le campagne elettorali sono molto interessanti perché dimostrano
pubblicamente come alcuni mezzi sono utilizzati. Questo articolo, seppur dal
titolo "di parte" e dal tono ironico, mi sembra equilibrato nell'illustrare
come Pisapia abbia utilizzato Internet efficacemente, al contrario della
Moratti. E ci dà anche altre indicazioni sull'attenzione da porre nell'uso
di questi mezzi:
http://www.02blog.it/post/8170/the-social-letizia-moratti-una-serie-di-sciag
ure-riassunta-con-cura