A inizio maggio avevo segnalato una presentazione di Atle Skjekkeland sulle nuove modalità di comunicazione:
http://blog.cesaregallotti.it/2011/05/omat-e-gestione-elettronica-di.html
Le campagne elettorali sono molto interessanti perché dimostrano
pubblicamente come alcuni mezzi sono utilizzati. Questo articolo, seppur dal
titolo "di parte" e dal tono ironico, mi sembra equilibrato nell'illustrare
come Pisapia abbia utilizzato Internet efficacemente, al contrario della
Moratti. E ci dà anche altre indicazioni sull'attenzione da porre nell'uso
di questi mezzi:
http://www.02blog.it/post/8170/the-social-letizia-moratti-una-serie-di-sciag
ure-riassunta-con-cura
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 31 maggio 2011
venerdì 27 maggio 2011
I primi dieci anni di applicazione del Decreto 231
Segnalo questo interessante articolo sul Dlgs 231 del 2011:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2320
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2320
Privacy: pazienti della sanità, telefonia
Daniela Quetti (DFA) ha segnalato diverse novità in materia alla privacy.
1- il Garante ha pubblicato il vademecum intitolato "Dalla parte del paziente. Privacy: le domande più frequenti".
http://www.garanteprivacy.it/garante/doc.jsp?ID=1812194
2- sono stati prorogati i termini per la realizzazione delle misure previste per gli operatori telefonici e riportate nel provvedimento del 24 febbraio 2011, "Modelli di informativa e di richiesta di consenso al trattamento dei dati personali relativi agli abbonati ai servizi di telefonia fissa e mobile"
http://www.garanteprivacy.it/garante/doc.jsp?ID=1811916
3- il Garante ha pubblicato le "Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario", utili anche per chi conduce medesime indagini in altri ambiti.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1812910
1- il Garante ha pubblicato il vademecum intitolato "Dalla parte del paziente. Privacy: le domande più frequenti".
http://www.garanteprivacy.it/garante/doc.jsp?ID=1812194
2- sono stati prorogati i termini per la realizzazione delle misure previste per gli operatori telefonici e riportate nel provvedimento del 24 febbraio 2011, "Modelli di informativa e di richiesta di consenso al trattamento dei dati personali relativi agli abbonati ai servizi di telefonia fissa e mobile"
http://www.garanteprivacy.it/garante/doc.jsp?ID=1811916
3- il Garante ha pubblicato le "Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario", utili anche per chi conduce medesime indagini in altri ambiti.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1812910
Un contributo su Business Continuity e Incident Management
Maurizio Nastro mi ha inviato un contributo su Business Continuity e Incident Management (http://blog.cesaregallotti.it/2011/04/business-continuity-e-incident.html). Copio integralmente e segnalo in particolare la seconda parte con l'esempio della barca.
Riguardo la differenza tra Business Continuity (BC) e Disaster Recovery (DR), sulla base della mia esperienza, credo che si possa riassumere concettualemente in questi termini.
Il criterio caratterizzante è rappresentato dalla sopravvivenza di un'azienda.
I piani di BC si preoccupano di mantenere, a seguito di un incidente di Business Disruption, la continuità dei servizi critici di Business almeno ad un livello predefinito considerato accettabile.
[Un incidente di Business Disruption è un evento che può intaccare le attività a supporto di servizi critici minando potenzialmente la sopravvivenza aziendale. Ogni organizzazione deve definire la propria classificazione di incidenti; il confine tra ciò che rappresenta un incidente ordinario e uno di Business Disruption è labile, e fortemente dipendente sia dall'organizzazione che dalla realtà in cui opera. A tal riguardo, prendiamo come esempio una organizzazione che opera nel settore dei trasporti, ed un'altra nel campo ICT con la maggior parte dei dipendenti che lavora da remoto via internet. E' evidente che un incidente (in questo caso legato ad un evento naturale) rappresentato da improvviso forte maltempo, che determina il formarsi di ghiaccio con conseguente inagibilità delle strade, assumerà contorni e valenza diversi per le due realtà aziendali.]
La BC è trasversale a tutte le tipologie di settori, potendosi applicare sia alle aziende erogatrici di servizi IT h24, sia, ad esempio, alle aziende manufatturiere che utilizzano laminatoi od altoforni, per le quali l'IT non rappresenta il core business.
I piani di Disaster Recovery si preoccupano di di mantenere, a seguito di un incidente (non necessariamente di Business Disruption), la continuità dei servizi erogati tramite l'infrastruttura IT almeno ad un livello predefinito considerato accettabile.
Qualora tali servizi (erogati tramite l'infrastruttura IT) siano anche servizi critici di Business, i piani di DR faranno parte dei piani di BC. Qualora, questo non avvenga, i piani di DR saranno fuori dai piani di BC. A tal riguardo, c'è però da dire che se l'infrastruttura IT non è a supporto di servizi critici, è presumibile che non vi sia neanche l'adozione di una soluzione di DR.
In altre parole, la BC si colloca ad un livello superiore rispetto al Disaster Recovery, che può essere visto come la parte tecnologica della Business Continuity, laddove l'infrastruttura IT copra un ruolo determinante per la sopravvivenza dell'azienda (in quanto a supporto di servizi critici).
Riguardo invece i piani di BC e i piani di Incident Management (IM) credo che un'analogia possa essere utile.
Se si pensa ad una piccola imbarcazione che improvvisamente presenti una falla che causi infiltrazioni d'acqua, il piano di IM, attuato dall'equipaggio, provvederà alle operazioni necessarie per tamponare la falla; il piano di BC è invece attuato dal personale adibito a scaricare fuoribordo l'acqua che entra durante le operazioni di tamponamento, per evitare che l'imbarcazione affondi.
Il piano di BC non è quindi finalizzato alla risoluzione del problema che ha causato l'incidente, ma a garantire la sopravvivenza dell'organizzazione per il tempo necessario a risolverlo.
Da quanto esposto si comprende come i piani di gestione incidenti e di BC siano diversi, ma, nel contempo, strettamente correlati. I responsabili dei due piani (che in realtà aziendali di piccole dimensioni possono anche essere in carico ad un'unica persona) devono mantenersi in stretto contatto al verificarsi di un incidente di Business Disruption. Se ci si accorge che il tempo trascorso nel tentativo di gestire a buon fine l'incidente, sommato a quello necessario per il ripristino dei servizi critici, rischia di diventare maggiore del massimo tempo tollerabile dall'azienda per la sua sopravvivenza, occorre procedere con l'attivazione dei piani di BC [attivarli subito, contestualemente ai piani di IM, non è detto che sia la soluzione migliore; questo perchè l'incidente potrebbe venire risolto per tempo, con conseguente vanificazione dei piani di BC (e costi conseguenti)].
PS: la puntata successiva è sul post http://blog.cesaregallotti.it/2011/06/business-continuity-e-incident.html
Riguardo la differenza tra Business Continuity (BC) e Disaster Recovery (DR), sulla base della mia esperienza, credo che si possa riassumere concettualemente in questi termini.
Il criterio caratterizzante è rappresentato dalla sopravvivenza di un'azienda.
I piani di BC si preoccupano di mantenere, a seguito di un incidente di Business Disruption, la continuità dei servizi critici di Business almeno ad un livello predefinito considerato accettabile.
[Un incidente di Business Disruption è un evento che può intaccare le attività a supporto di servizi critici minando potenzialmente la sopravvivenza aziendale. Ogni organizzazione deve definire la propria classificazione di incidenti; il confine tra ciò che rappresenta un incidente ordinario e uno di Business Disruption è labile, e fortemente dipendente sia dall'organizzazione che dalla realtà in cui opera. A tal riguardo, prendiamo come esempio una organizzazione che opera nel settore dei trasporti, ed un'altra nel campo ICT con la maggior parte dei dipendenti che lavora da remoto via internet. E' evidente che un incidente (in questo caso legato ad un evento naturale) rappresentato da improvviso forte maltempo, che determina il formarsi di ghiaccio con conseguente inagibilità delle strade, assumerà contorni e valenza diversi per le due realtà aziendali.]
La BC è trasversale a tutte le tipologie di settori, potendosi applicare sia alle aziende erogatrici di servizi IT h24, sia, ad esempio, alle aziende manufatturiere che utilizzano laminatoi od altoforni, per le quali l'IT non rappresenta il core business.
I piani di Disaster Recovery si preoccupano di di mantenere, a seguito di un incidente (non necessariamente di Business Disruption), la continuità dei servizi erogati tramite l'infrastruttura IT almeno ad un livello predefinito considerato accettabile.
Qualora tali servizi (erogati tramite l'infrastruttura IT) siano anche servizi critici di Business, i piani di DR faranno parte dei piani di BC. Qualora, questo non avvenga, i piani di DR saranno fuori dai piani di BC. A tal riguardo, c'è però da dire che se l'infrastruttura IT non è a supporto di servizi critici, è presumibile che non vi sia neanche l'adozione di una soluzione di DR.
In altre parole, la BC si colloca ad un livello superiore rispetto al Disaster Recovery, che può essere visto come la parte tecnologica della Business Continuity, laddove l'infrastruttura IT copra un ruolo determinante per la sopravvivenza dell'azienda (in quanto a supporto di servizi critici).
Riguardo invece i piani di BC e i piani di Incident Management (IM) credo che un'analogia possa essere utile.
Se si pensa ad una piccola imbarcazione che improvvisamente presenti una falla che causi infiltrazioni d'acqua, il piano di IM, attuato dall'equipaggio, provvederà alle operazioni necessarie per tamponare la falla; il piano di BC è invece attuato dal personale adibito a scaricare fuoribordo l'acqua che entra durante le operazioni di tamponamento, per evitare che l'imbarcazione affondi.
Il piano di BC non è quindi finalizzato alla risoluzione del problema che ha causato l'incidente, ma a garantire la sopravvivenza dell'organizzazione per il tempo necessario a risolverlo.
Da quanto esposto si comprende come i piani di gestione incidenti e di BC siano diversi, ma, nel contempo, strettamente correlati. I responsabili dei due piani (che in realtà aziendali di piccole dimensioni possono anche essere in carico ad un'unica persona) devono mantenersi in stretto contatto al verificarsi di un incidente di Business Disruption. Se ci si accorge che il tempo trascorso nel tentativo di gestire a buon fine l'incidente, sommato a quello necessario per il ripristino dei servizi critici, rischia di diventare maggiore del massimo tempo tollerabile dall'azienda per la sua sopravvivenza, occorre procedere con l'attivazione dei piani di BC [attivarli subito, contestualemente ai piani di IM, non è detto che sia la soluzione migliore; questo perchè l'incidente potrebbe venire risolto per tempo, con conseguente vanificazione dei piani di BC (e costi conseguenti)].
PS: la puntata successiva è sul post http://blog.cesaregallotti.it/2011/06/business-continuity-e-incident.html
APMG Ente di Accreditamento per la ISO/IEC 20000-1
Tony Coletta mi ha segnalato come APMG sia ora il gestore delle certificazioni aziendali ISO/IEC 20000-1 su incarico di itSMF.
Maggiori informazioni su:
http://www.apmg-international.com/faq2.asp?category=ISO/IEC%2020000%20FAQs
Sarà interessante capire come saranno gestite le relazioni tra certificati aziendali accreditati APMG e quelli accreditati da altri organismi di certificazione quali Accredia (ex Sincert).
PS: la seconda puntata è al
http://blog.cesaregallotti.it/2011/08/apmg-ente-di-accreditamento-per-la.html
Maggiori informazioni su:
http://www.apmg-international.com/faq2.asp?category=ISO/IEC%2020000%20FAQs
Sarà interessante capire come saranno gestite le relazioni tra certificati aziendali accreditati APMG e quelli accreditati da altri organismi di certificazione quali Accredia (ex Sincert).
PS: la seconda puntata è al
http://blog.cesaregallotti.it/2011/08/apmg-ente-di-accreditamento-per-la.html
Privacy e Decreto Sviluppo
A seguito del post "Privacy: ulteriori semplificazioni" (http://blog.cesaregallotti.it/2011/05/privacy-ulteriori-semplificazioni.html), segnalo una piccola analisi che ho effettuato in materia.
1- i dati dei clienti e fornitori non sono più oggetto della privacy se trattati unicamente per la gestione del rapporto di lavoro. In particolare, non è più necessario mandare loro l'informativa.
2- Attenzione però: questa esclusione sarà annullata laddove quei dati siano oggetto di trattamento per finalità commerciali, pubblicitarie e promozionali.
3- Altra esclusione: la richiesta di consenso preventivo per quanto riguarda dati contenuti nei curricula
4- Il Registro delle opposizioni vale anche per la posta cartacea (in altre parole, prima di fare mailing pubblicitario, bisogna fare uso del Registro delle Opposizioni, di cui ho già scritto in http://blog.cesaregallotti.it/2011/02/dpr-1782010-privacy-e-diritto-di.html)
5- la comunicazione di dati tra societa', enti o associazioni con societa' controllanti, controllate o collegate, nonchè tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalita' amministrativo contabili, non è più necessario il consenso. Però il fatto deve essere messo nell'informativa.
1- i dati dei clienti e fornitori non sono più oggetto della privacy se trattati unicamente per la gestione del rapporto di lavoro. In particolare, non è più necessario mandare loro l'informativa.
2- Attenzione però: questa esclusione sarà annullata laddove quei dati siano oggetto di trattamento per finalità commerciali, pubblicitarie e promozionali.
3- Altra esclusione: la richiesta di consenso preventivo per quanto riguarda dati contenuti nei curricula
4- Il Registro delle opposizioni vale anche per la posta cartacea (in altre parole, prima di fare mailing pubblicitario, bisogna fare uso del Registro delle Opposizioni, di cui ho già scritto in http://blog.cesaregallotti.it/2011/02/dpr-1782010-privacy-e-diritto-di.html)
5- la comunicazione di dati tra societa', enti o associazioni con societa' controllanti, controllate o collegate, nonchè tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalita' amministrativo contabili, non è più necessario il consenso. Però il fatto deve essere messo nell'informativa.
giovedì 19 maggio 2011
Privacy: ulteriori semplificazioni
Daniela Quetti (della DFA) segnala: la lettura del DECRETO-LEGGE 70 del 13 maggio 2011, in particolare dell'art. 6 comma 2 lettera a) che modifica il Codice Privacy (decreto legislativo 30 giugno 2003, n. 196). Il titolo dell'articolo è "Ulteriori riduzione e semplificazioni degli adempimenti burocratici"
Daniela ci ricorda che siamo ancora in fase di Decreto Legge (pertanto non ancora convertito in Legge), ma di fatto cogente.
Link al testo:
http://www.normattiva.it//dispatcher?task=attoCompleto&service=212&datagu=2011-05-13&redaz=011G0113&parControllo=si&connote=false&aggiorn=si&datavalidita=20110517#
Daniela ci ricorda che siamo ancora in fase di Decreto Legge (pertanto non ancora convertito in Legge), ma di fatto cogente.
Link al testo:
http://www.normattiva.it//dispatcher?task=attoCompleto&service=212&datagu=2011-05-13&redaz=011G0113&parControllo=si&connote=false&aggiorn=si&datavalidita=20110517#
lunedì 9 maggio 2011
Rapporto Melani (Svizzera)
Segnalo l'interessante dodicesimo rapporto semestrale MELANI (Centrale d'annuncio e d'analisi per la sicurezza dell'informazione)della Confederazione Svizzera.
La Svizzera non è l'Italia, ma almeno si tratta di uno studio più vicino a noi rispetto a quelli tipicamente USA.
http://www.melani.admin.ch/dienstleistungen/archiv/01123/index.html?lang=it
(Notizia ricavata dalla newsletter del Clusit).
Inoltre, sempre dalla Svizzera, segnalo il simpatico sito di divulgazione sulla sicurezza informatica Storie di Internet:
http://www.storiediinternet.ch/
La Svizzera non è l'Italia, ma almeno si tratta di uno studio più vicino a noi rispetto a quelli tipicamente USA.
http://www.melani.admin.ch/dienstleistungen/archiv/01123/index.html?lang=it
(Notizia ricavata dalla newsletter del Clusit).
Inoltre, sempre dalla Svizzera, segnalo il simpatico sito di divulgazione sulla sicurezza informatica Storie di Internet:
http://www.storiediinternet.ch/
martedì 3 maggio 2011
Cloud computing e incidenti
Ecco qui un'ulteriore notizia di un incidente sui servizi cloud di Amazon:
http://www.informationweek.com/news/cloud-computing/infrastructure/229402385
In breve: sono stati distrutti diversi dati di clienti.
Commento: il servizio cloud non si discosta troppo da altri servizi erogati da fornitori. Se il contratto con Amazon non prevedeva il backup dei dati, era opportuno pensarci lo stesso.
Notizia segnalata da SANS NewsBites Vol. 13 Num. 34.
http://www.informationweek.com/news/cloud-computing/infrastructure/229402385
In breve: sono stati distrutti diversi dati di clienti.
Commento: il servizio cloud non si discosta troppo da altri servizi erogati da fornitori. Se il contratto con Amazon non prevedeva il backup dei dati, era opportuno pensarci lo stesso.
Notizia segnalata da SANS NewsBites Vol. 13 Num. 34.
OMAT e gestione elettronica di documenti
Il 5 e 6 aprile 2011 si è tenuto a Milano il convegno OMAT (www.omat360.it).
Segnalo che le presentazioni del convegno sono disponibili su
http://milano2011.omat360.it/documentazione/omat.php (forse, per accedervi,
bisogna essere iscritti al convegno).
Io ho trovato interessante soprattutto la presentazione di Atle Skjekkeland
(in inglese) su come oggi sono gestite le informazioni aziendali e lo
saranno. E' stato interessante capire come le diverse generazioni
percepiscono "i dati" e le informazioni: i nuovi lavoratori comunicano via
social network, i loro predecessori via email e così via. Diverse percezioni
e diverse modalità con cui gestire le informazioni a cui forse non siamo
pienamente preparati.
La presentazione, in cui è possibile trovare ulteriori spunti di
riflessione, è disponibile anche su
https://aiimtaskforce.box.net/shared/zdfvxlvpa0.
Segnalo che le presentazioni del convegno sono disponibili su
http://milano2011.omat360.it/documentazione/omat.php (forse, per accedervi,
bisogna essere iscritti al convegno).
Io ho trovato interessante soprattutto la presentazione di Atle Skjekkeland
(in inglese) su come oggi sono gestite le informazioni aziendali e lo
saranno. E' stato interessante capire come le diverse generazioni
percepiscono "i dati" e le informazioni: i nuovi lavoratori comunicano via
social network, i loro predecessori via email e così via. Diverse percezioni
e diverse modalità con cui gestire le informazioni a cui forse non siamo
pienamente preparati.
La presentazione, in cui è possibile trovare ulteriori spunti di
riflessione, è disponibile anche su
https://aiimtaskforce.box.net/shared/zdfvxlvpa0.
lunedì 2 maggio 2011
Privacy Enhancing Technologies
Il 7 aprile, alla Statale di Milano, si è tenuta la lezione aperta dal
titolo "Privacy Enhancing Technologies vs. Antiforensics" di Marco A.
Calamari del Progetto Winston Smith.
La lezione è stata molto interessante anche per l'estesa panoramica sugli
strumenti di anonimizzazione per Internet disponibili.
Per saperne di più, consiglio di visitare il sito:
http://www.winstonsmith.info/pws/index.html
titolo "Privacy Enhancing Technologies vs. Antiforensics" di Marco A.
Calamari del Progetto Winston Smith.
La lezione è stata molto interessante anche per l'estesa panoramica sugli
strumenti di anonimizzazione per Internet disponibili.
Per saperne di più, consiglio di visitare il sito:
http://www.winstonsmith.info/pws/index.html
Iscriviti a:
Post (Atom)