venerdì 30 settembre 2011

Pagina normativa "informatica"

Ho cambiato la pagina sulla normativa in materia informatica: http://www.cesaregallotti.it/Normativa.html

Ho infatti scelto di non allegare più una copia delle norme, ma di riinviare a siti come www.normattiva.it o quello del Garante Privacy (era impossibile tenere aggiornati i files).

Avrò fatto sicuramente molti errori: se li trovate, vi prego di segnalarmeli.

mercoledì 21 settembre 2011

Vulnerabilità SCADA

La newsletter Sans NewsByte del 20 settembre segnala che "Un ricercatore italiano, Luigi Auriemma, ha pubblicato 13 vulnerabilità di alcuni prodotti SCADA (supervisory control and data acquisition). In marzo, Auriemma aveva già pubblicato altre 34 vulnerabilità."

La notizia su Computerworld:
http://www.computerworld.com/s/article/9220099/Researcher_discloses_zero_day_flaws_in_SCADA_systems?taxonomyId=17

Per essere aggiornati in materia, segnalo il ICS-CERT, collegato al "Ministero della Sicurezza Interna" (Department of Homeland Security) degli USA: www.ics-cert.org.

L'ICS-CERT pubblica newsletter mensili e dei Vulnerability Report per gli ICS (o SCADA) che possono interessare i loro utilizzatori.

martedì 20 settembre 2011

Le sanzioni disciplinari nel rapporto di lavoro. Cenni introduttivi

Segnalo questo interessante articolo di Filodiritto sulle sanzioni disciplinari nel rapporto di lavoro.

Come dice il titolo stesso dell'articolo, si tratta di una semplice introduzione. Penso comunque che sia necessaria:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2429

giovedì 15 settembre 2011

Tor Day

Il 28 giugno, alla Statale di Milano, si è tenuto un incontro con Giovanni Ziccardi, Pierluigi Perri, Andrea Trentini e Jan Reister, tutti dell'Università di Milano, dal titolo "TOR day".

Il TOR è un progetto per l'anonimità on line. Nella sua pagina web (
https://www.torproject.org/) è possibile scaricare un browser Firefox con una configurazione specifica e altri software.

Altri miei appunti:
- i siti web per default spesso utilizzano pagine http, anche se sono disponibili quelle https. Il plug-in di Firefox HTTPS Everywhere permette invece di richiedere le pagine https di default
https://www.eff.org/https-everywhere
- per scaricare i video di youtube con TOR o da luoghi dove youtube è censurato: http://pwnyoutube.com o http://deturl.com/
- per creare utenti anonimi, con la possibilità di ricevere files in modo anonimo e per permettere ai mittenti di essere altrettanto anonimi (se usano, ovviamente, TOR): https://privacybox.de/
- via TOR sono poi disponibili diversi "hidden services" (non sempre eticamente accettabili). Per questo, si segnala la pagina http://tor2web.org

martedì 13 settembre 2011

Garante: Cloud e smartphones

Il 23 giugno, il Garante ha pubblicato due "schede di documentazione":
- "Cloud computing: indicazioni per l’utilizzo consapevole dei servizi":
http://www.garanteprivacy.it/garante/document?ID=1819933
- "Smartphone e tablet: scenari attuali e prospettive operative":
http://www.garanteprivacy.it/garante/document?ID=1819937

Mi viene da notare che il Garante sta ora espandendo la propria area di azione alla informazione sulla sicurezza informatica, oltre al trattamento dei dati personali.

lunedì 5 settembre 2011

BS BS 10008:2008 sulle prove informatiche

Max Cottafavi (Spike Reply) mi segnala che è da tempo pubblicata la BS 10008:2008 dal titolo "Evidential weight and legal admissibility of electronic information. Specification".

Leggendo la presentazione sul sito del BSI Group, mi pare che non sia una anticipazione della ISO/IEC 27037 sulla computer forensics, quanto una norma sulla autenticità dei documenti e delle comunicazioni informatiche. Insomma, qualcosa di molto legata alla firma digitale, per la quale, in Italia, vige il Codice dell'Amministrazione Digitale (Dlgs 82 del 2005) e, quindi, forse questo standard non è utile per le nostre imprese.

Ad ogni modo, posso sempre sbagliarmi e lascio a voi la valutazione (nel caso, provvederò a pubblicare commenti):
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030191165

ISO/IEC 27035:2011 - Incident management

Il 1 settembre è stata pubblicata la ISO/IEC 27035:2011 dal titolo "Information technology — Security techniques — Information security incident management". Questa norma della famiglia ISO/IEC 270xx sostituisce la ISO/IEC TR 18044:2004.

Oltre alle cose già note e ripetute in mille altri contesti (scrivere politica, registrare gli incidenti, eccetera), sono sviluppati i seguenti argomenti:
- istituzione di un ISIRT (o CERT)
- un'appendice con degli esempi di incidente
- un'appendice con esempi di categorizzazione degli incidenti (in molti, in questi anni, mi hanno chiesto se c'era uno standard con questi esempi; la ISO/IEC TR 18044 non li aveva, ora ci sono)
- esempi di reportistica (già presenti nella ISO/IEC TR 18044)

Ovviamente, non mancano riflessioni su escalation, analisi approfondite dopo aver superato l'emergenza, computer forensics, gestione delle comunicazioni, eccetera.
Il tutto è più orientato al trattamento di attacchi o di gravi incidenti, che alla gestione di eventi meno significativi. Ovviamente, chi seguirà questo standard farà in modo di implementarlo in modo corretto.

Le norme ISO costano (www.iso.org). Per chi vuole risorse autorevoli e gratuite, segnalo la guida del NIST (
http://csrc.nist.gov/publications/PubsSPs.html), SP 800-61 "Computer Security Incident Handling Guide" del 2008:
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

Grazie a Franco Ferrari del DNV Italia per la segnalazione.

ISO 31000: 2009 - Versione italiana

Franco Ferrari del DNV Italia mi segnala che in novembre 2010 è stata pubblicata la versione italiana della ISO 31000:2009 "Risk management — Principles and guidelines".

E' quindi disponibile presso la UNI la UNI ISO 31000:2010 "Gestione del rischio - Principi e linee guida"

Versione italiana della ISO/IEC 17021:2011

Franco Ferrari mi segnala che a marzo 2011 è stata emessa la traduzione italiana della ISO/IEC 17021:2011 "Conformity assessment — Requirements for bodies providing audit and certification of management systems".

E' quindi disponibile la UNI CEI EN ISO/IEC 17021:2011 "Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione".

Ricordo che questa norma è applicabile ai soli organismi di certificazione, sulla base della quale sono accreditati da orgnismi quali Accredia, UKAS, eccetera.

venerdì 2 settembre 2011

Regole tecniche documento informatico

Segnalazione ricevuta da Uninfo: DigitPA ha pubblicato la bozza delle regole tecniche documento informatico e gestione documentale, protocollo informatico e sistema conservazione di documenti.

Queste regole dovrebbero sostituire la Circolare CNIPA 11/2004 e AIPA 28/2001 e prendere in carico i requisiti del CAD dopo le modifiche apportate dal Dlgs 235 del 2010.

La bozza è stata pubblicata il 5 agosto e i commenti possono essere inviati entro il 10 settembre. Non commento i tempi.

Può essere comunque utile leggere il materiale proposto:
http://www.digitpa.gov.it/altre-attivit/pubblicata-bozza-regole-tecniche-documento-informatico-protocollo-informatico-conserva