mercoledì 29 giugno 2011

Sulle survey sulla sicurezza

Aldo Ceccarelli, sul gruppo Clusit di LinkedIn, ha postato questo interessante articolo sulle survey sulla sicurezza:
http://www.technologyreview.com/business/37839/?ref=rss

Questo articolo mi ha ricordato un piccolo dibattito che abbiamo avuto qualche tempo fa su non-mi-ricordo-quale survey.

Io dicevo che mi lasciano sempre perplesso e, giustamente, Aldo rifletteva sul fatto che comunque forniscono qualche spunto interessante.

Questo articolo dice proprio che le survey sulla sicurezza forniscono "qualche spunto". Non di più.

Novità su ITIL V3.1

Un post di Luigi Buglione su LinkedIn fornisce il link al documento ufficiale sulle novità di ITIL v3.1.
http://www.best-management-practice.com/gempdf/ITIL_UPdate_FAQs_Summer_2011_June11.pdf

Innanzitutto il titolo ufficiale sarà "ITIL 2011" anche se tutti, quasi sicuramente, lo chiameremo ITIL v3.1.

La data di pubblicazione è il 29 luglio 2011, prima in formato cartaceo e poi in formato elettronico.

La novità più grande riguarderà la fase di Strategy. Per le altre fasi, ci saranno "chiarimenti". Il documento non sembra dare indicazioni sui tanti argomenti attualmente confusi.

Ultima cosa interessante è che "chi è già in possesso di certificati ITIL, non avrà la necessità di ri-certificarsi": se capisco bene, le qualifiche ITIL 2007 e ITIL 2011 saranno uguali quindi indistinguibili tra loro.

Il commento di IT Skeptic fornisce ulteriori spunti di riflessione:
http://www.itskeptic.org/itil-v3-2011-new-book-and-four-new-processes

lunedì 20 giugno 2011

NIST SP 800-82 sulla sicurezza dei sistemi informatici industriali

Il NIST ha pubblicato la propria guida per la sicurezza dei sistemi SCADA, DCS e PLC.

Come sempre, la guida inizia con una ottima parte introduttiva che descrive compiutamente i sistemi oggetto del documento e poi via via descrive le minacce, le vulnerabilità e i controlli applicabili.

- La pagina con tutte le SP del NIST:
http://csrc.nist.gov/publications/PubsSPs.html
- Il link diretto alla SP 800-82: http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf

sabato 18 giugno 2011

Privacy: dei Titolari e dei Responsabili esterni - Parte 3

Seguito del post http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili_04.html

Fabrizio Bottacin mi ha inviato alcuni riferimenti a sentenze del Garante.

Io riassumo (e commento) come segue:
- il 2 giugno 1999 [doc. web n. 39857] il Garante ha stabilito che un fornitore dell'INPS dovesse essere nominato Responsabile esterno (commento di Cesare: non dice però che "ogni fornitore deve essere nominato Responsabile esterno")
- il 29 luglio 1998 [doc. web n. 31023] il Garante stabilisce che una struttura esterna ad un soggetto pubblico può essere nominata Responsabile o detenere la qualità di Titolare (commento di Cesare: si osservi che vigeva la Legge 675/1996)
- il 8 giugno 1999 [doc. web n. 42260] il Garante ha stabilito che le società fornitrici non possono essere nominate "incaricate esterne", ma "Responsabili" (commento Cesare: faccio notare che nulla viene detto sulla possibilità o impossibilità di autonoma titolarità)

Altre sentenze di interesse:
- Garante 7 luglio 1998: doc. web n. 40377
- Garante 24 gennaio 2003: doc. web n. 1067875
- Garante 23 marzo 1998: doc. web n. 40999
- Garante 10 giugno 2003: doc. web n. 1132569

Simone Tomirotti, avendomi segnalato il "Provvedimento banche" (doc. web n. 1813953), segnala la frase: "la posizione di Titolare del trattamento, pur astrattamente riconoscibile anche in capo all'outsourcer, risulta, tuttavia, ascrivibile solo alla banca nei casi in cui la stessa abbia il potere di:
1. assumere decisioni relative alle finalità del trattamento;
2. impartire istruzioni e direttive vincolanti nei confronti delle società di gestione dei sistemi informativi, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
3. svolgere funzioni di controllo rispetto all'operato delle medesime e degli incaricati delle stesse."

Ho avuto modo di leggere una noticina (quindi da non considerare come definitiva) di AbiLab che traduce così "E' stata confermata la possibilità di qualificare l'outsourcer, sia esso interno od esterno al gruppo bancario, quale autonomo titolare del trattamento qualora i poteri riconosciuti dal Codice della Privacy al titolare del trattamento risultino *in concreto* in capo all'outsourcer e non alla banca."

Ringrazio Fabrizio e Simone per il contributo.


PS: le riflessioni continuano nella "Parte 4": 
http://blog.cesaregallotti.it/2011/07/privacy-dei-titolari-e-dei-responsabili.html 

Business Continuity e Incident Management (parte 3)

Sempre sul BCM (il post numero 2 è su http://blog.cesaregallotti.it/2011/05/un-contributo-su-business-continuity-e.html).

Dante Verona mi fa notare quanto segue.

"Ho un modo diverso di argomentare il mio punto di vista, ed è quello che considero più concreto ed efficace ed è in linea con standard BS25999.

Il BS25999-2:2007, al punto 4.1.1.2.c, dice: "The organization shall: establish the maximum tolerable period of disruption for each activity by identifing:....."

E, richiamando la definizione di Maximum Tolerable Period of Disruption presente nello standard stesso, troviamo: "duration after which an organization's viability will be irrevocably threatend if product and service delivery cannot be resumed"

Quindi io escluderei i piccoli incidenti se con piccoli intendiamo quelli che non minacciano la sopravvivenza della organizzazione. E il motivo di ciò per me è molto concreto. Confinare gli scenari BCM è una questione di successo del programma stesso."

Io credo che Dante parli della "parte di BCM per grandi eventi". Per i piccoli incidenti c'è invece il "BCM per piccoli eventi" (dove la gestione degli incidenti è regolamentata da SLA basati anche sul termine di urgenza, proprio per evitare che un "normale incidente" diventi grande). Fanno parte tutti e due del BCM, ma sono affrontati con metodi e tecniche distinte. In fase di analisi si individuano cosa fa parte dell'una e dell'altra e poi vengono affrontati distintamente per garantire il successo del programma (applicando la corretta filosofia del problem solving che prevede di dividere un problema in sotto-problemi più facilmente risolvibili).

venerdì 17 giugno 2011

Privacy: prescrizioni per le banche

Simone Tomirotti mi ha segnalato la pubblicazione delle "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011".

http://www.garanteprivacy.it/garante/doc.jsp?ID=1813953

Su questo documento ci sarebbero dei commenti da fare su un discorso che mi sta cuore su "Titolari e Responsabili esterni". Purtroppo neanche questo mese ho avuto la possibilità di studiare come si conviene (grazie al cielo ho dei lavori da fare e nei fine settimana ho fatto il Presidente del Seggio 300 a Milano). Ci riproverò per luglio.

Aggiungo che Simone ha anticipato di poche ore Andrea Praitano che gentilmente mi ha segnalato anche lui questa notizia.

martedì 14 giugno 2011

lunedì 13 giugno 2011

Novità sugli standard serie ISO/IEC 27k

Il 15 aprile si è tenuto a Singapore il meeting dell'SC 27 WG 1.

Questi i risultati (per come li ho capiti):
- ISO/IEC 27000 (Vocabolario): sarà prodotto il 3WD (Terzo Working Draft; siamo indietro...)
- ISO/IEC 27001: è in circolazione il 1 CD (Committee Draft, più avanzato del WD);
- ISO/IEC 27002: sarà prodotto il 4 WD (la 27001 avrà ancora l'Annex A, anche se alcuni, tra cui io, volevano lasciare libertà di scelta per il SOA; verranno tolte alcune cose in materia di risk assessment e politiche già presenti sulla 27001)
- ISO/IEC 27005: è stata pubblicata la versione del 2011 che sostitusce quella del 2008 solo per allineare la terminologia alla ISO 31000:2009 (per il resto è rimasta invariata)
- ISO/IEC 27006 (la norma per gli organismi di certificazione):
- ISO/IEC 27007 (linee guida per gli audit): è uscito il Final Draft
- ISO/IEC 27008 (verifica dei controlli di sicurezza): la danno per conclusa
- ISO/IEC 27013 (relazioni tra 27001 e 20000-1): è in circolazione il 1 CD

Non ho ancora letto i draft in circolazione.

Dalla presentazione fatta da Fabio Guasconi per l'Uninfo, segnalo quanto segue:
- Numerosissimi commenti su 27001 e 27002
- si vuole pubblicare la nuova 27006 entro metà 2012
- la 27015 (sui Financial Services) è ferma in attesa di nuovi input

E' stata fatta una proposta per una norma specifica sul Cloud Computing. Voterò contro perché dovrebbe già essere coperta dalle norme sull'outsourcing (se i "servizi cloud" sono offerti dagli esterni) e dalle altre norme più tecniche (se i servizi cloud sono erogati internamente). Uninfo probabilmente voterà a favore.

L'aggiornamento della 27006 è dovuto soprattutto all'allineamento con la ISO/IEC 17021:2011 e quindi gli editor vorrebbero non avere altri argomenti da discutere.


Rimane quindi il grosso problema dei tempi di audit proposti dall'Annex C (Informative) della 27006: attualmente sono esagerati (soprattutto per le PMI). L'allegato è solo informativo e questa è un'altra ragione per cui gli editor non vorrebbero discuterlo; purtroppo Accredia lo considera acriticamente come "normativo" e quindi siamo costretti ad avere audit troppo onerosi per le aziende e anche per gli auditor (che non sanno come giustificare il proprio tempo; per lo meno i molti che conoscono la materia... i tempi sono probabilmente tarati per i pochi che non la conoscono; più ignoranti ma più capaci a far pubblicare le cose).

PS: ringrazio Fabio Guasconi per aver corretto qualche errore di questo post. Quelli rimasti sono colpa mia.

sabato 11 giugno 2011

La natura frattale del ciclo PDCA

Da un Twitter della società di consulenza Lambda CT, segnalo questo articolo in inglese: http://is.gd/iTcILz.

La materia non è nuova, ovviamente. Preferisco alcuni sul Kaizen (tra cui quelli editi da Guerini), ma forse questo articolo può essere d'aiuto ai tanti che non osservano con la dovuta attenzione gli argomenti relativi alla "vecchia" qualità.

Mi viene in mente la frase di un mio cliente che mi disse (con ironia e segnalando la criticità): "nella nostra azienda rilasciamo applicazioni e processi e procedure e moduli solo in versione 1".


Post scriptum: il Twitter successivo di Lambda CT () rimanda a un pdf sulle correlazioni tra sicurezza e ISO/IEC 25504, che è un modello decisamente (troppo) oneroso. Ogni volta mi stupisco di come certe cose così complesse e teoriche abbiano tanto successo: direi che probabilmente si tratta di vittorie delle grandi società di consulenza.

venerdì 10 giugno 2011

Metriche FISMA

Lo statunitense Federal Information Security Management Act (FISMA) richiede alle agenzie governative di rispondere periodicamente a dei questionari sulla sicurezza informatica definiti dal Homeland Security Department.

Per il 2011 è in circolazione un questionario di 11 pagine (pare che però non sia ancora ufficiale) che sta riscontrando il favore degli analisti perché cerca di spingere le agenzie verso il "monitoraggio continuo" (senza però specificare cosa si intenda per "continuo").

Lascio ai lettori più pazienti la possibilità di valutare il questionario e di eventualmente considerare alcune delle metriche proposte come applicabili alla propria organizzazione.

Un articolo piuttosto completo:
http://www.govinfosecurity.com/articles.php?art_id=3707
Un articolo più critico: http://www.nextgov.com/nextgov/ng_20110606_5245.php?oref=topstory
Il questionario: http://www.sans.org/critical-security-controls/fisma.pdf

Infrastrutture critiche e Dlgs 61/2011

Simone Tomirotti mi informa della pubblicazione del Dlgs 61/2011 dal titolo
"Attuazione della Direttiva 2008/114/CE recante l'individuazione e la
designazione delle infrastrutture critiche europee e la valutazione della
necessita' di migliorarne la protezione".

E' possibile leggere il Dlgs da www.normattiva.it.
E' possibile leggere la Direttiva da
http://eur-lex.europa.eu/it/index.htm

Il Dlgs è interessante, anche se riguarda solo il settore energia e il
settore trasporti. In particolare perché tratta compiutamente la sicurezza
delle informazioni, stabilisce che il "funzionario di collegamento in
materia di sicurezza" è anche il responsabile della sicurezza delle
informazioni e, infine, nell'allegato B, illustra i "Requisiti minimi del
piano di sicurezza dell'operatore (PSO)" in modo più convincente di quanto
prescritto dal Codice Privacy.


Simone Tomirotti aggiunge: la Regione Lombardia sembra intenzionata ad affrontare l'argomento Infrastrutture Critiche. E questo è già qualcosa. A giugno del 2010 c'era stato un incontro con alcuni gestori di Infrastrutture Critiche. Poiché in questa prima direttiva la tematica interessa Trasporti ed Energia, all'incontro hanno partecipato società tipo AEM o A2A. A novembre 2011 ci sarà un incontro dal titolo inglese e un po' ambizioso: 1st International Workshop on Regional Critical Infrastructure Protection.

Il sito della protezione civile Regione Lombardia: http://bit.ly/iiDo8T

lunedì 6 giugno 2011

Sul downtime di Aruba

Uno dei casi più discussi di recente è il downtime di Aruba, perché tocca gli argomenti "infrastrutture", "continuità operativa" e "contrattualistica".

Segnalo qualche articolo interessante (dalla newsletter del Clusit):
- il commento di Claudio Telmon:
http://blog.clusit.it/sicuramente/2011/05/considerazioni-sulla-vicenda-di-aruba.html
- il commento di Armando Leotta: http://blog.clusit.it/sicuramente/2011/04/aruba-downtime-osservazioni.html
- il commento di Andrea Draghetti: http://www.oversecurity.net/2011/04/30/incendio-nella-server-farm-di-aruba-comunicato-stampa/

Report ENISA su resilienza e metriche

A febbraio, ENISA ha pubblicato il documento "Measurement Frameworks and Metrics for Resilient Networks and Services: Technical report" (ho visto la segnalazione sul blog del Clusit).

L'ho trovato interessante per diversi motivi, tra i quali: la presentazione di una selezione di metriche, accompagnate dai loro valori "tipici".

La parte introduttiva è un po' troppo scolastica.

Il link:
http://www.enisa.europa.eu/act/res/other-areas/metrics/reports/metrics-tech-report/at_download/fullReport