mercoledì 30 novembre 2011

Linee guida per il DR delle PA

Il 23 novembre 2011, è stata pubblicata la versione definitiva delle "Linee guida per il Disaster Recovery delle Pubbliche Amministrazioni". Questo in ottemperanza a quanto disposto dall'articolo 50-bis del Dlgs 82 del 2005, così come aggiornato nel 2010.

- La pagina della DigitPA:
http://www.digitpa.gov.it/altre-attivit/linee-guida-disaster-recovery-delle-pubbliche-amministrazioni
- Il link al documento in pdf: http://www.digitpa.gov.it/sites/default/files/notizie/LINEE%20GUIDA%20PER%20IL%20DISASTER%20RECOVERY%20DELLE%20PA.pdf

Note polemiche:
- non mi sembra ben delineata la differenza tra Business Continuity (Continuità Operativa) e Disaster Recovery; sebbene le definizioni fornite siano corrette, in alcuni punti del documento si rileva un utilizzo non rigoroso di questi termini
- malgrado quanto specificato nella sezione 4.10 dello stesso documento, questo è pubblicato senza data e senza versione
- avrei preferito un documento più schematico.

A parte queste piccolezze, ho trovato interessante la lettura del documento e ho individuato alcuni interessanti spunti.

Altri elementi di interesse:
- insieme alle Linee Guida, è possibile scaricare dalla pagina della DigitPA anche anche un "tool di autovalutazione" (lo chiamerei "tool per una BIA in ambito non-profit")
- l'appendice D, con le caratteristiche di un sito di DR (certamente da estendere anche al sito primario)
- il capitolo 8 sulle Infrastrutture Critiche (anche se i riferimenti bibliografici non sono disponibili)
- i capitoli 2 e 5 con i riferimenti giuridici 


Ringrazio Franco Guidi per la segnalazione della pubblicazione delle Linee Guida.

venerdì 25 novembre 2011

Privacy: Limiti (ma non troppi) al telemarketing

Max Cottafavi di Reply mi ha fatto tornare sul comma 4 dell'articolo 130 del Codice Privacy. Il testo recita: "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni".
Insomma, mi ha fatto notare (l'avevo rimosso dalla mia memoria) come in questo caso viga l'opt-out.
Per il telefono e la posta cartacea, vige quanto previsto dal comma 3-bis (quello sul Diritto di Opposizione che, tra l'altro, alcuni mi hanno segnalato non funzionare correttamente per le numerazioni non comprese nel solo elenco di Telecom Italia... ahinoi).

Il Garante, quasi contemporaneamente, ha segnalato nella sua newsletter un recente Provvedimento di divieto proprio perché una società si è "allargata" il significato del comma (già di per sé discutibile).

Il riassunto del Provvedimento:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1852586#1
Il Provvedimento completo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1851415

giovedì 24 novembre 2011

BSI PAS 200 sul Crisis Management

Il BSI segnala la pubblicazione della PAS 200 sul Crisis Management.
Questa è una materia molto importante quando si parla di di gestione degli incidenti e di Business Continuity.

Ovviamente, il suo ambito non è solo ristretto a questi due processi, ma può riguardare ogni genere di evento "critico" per un'azienda (e non solo; penso a Zapatero che ha vinto le elezioni 7 anni fa perché Aznar non ha saputo gestire una crisi e le ha perse pochi giorni fa perché a sua volta non è riuscito a gestire un'altra crisi, anche se diversa).

Attualità a parte, il documento costa 100 sterline e potete trovarlo al link sottostante.
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030252035&utm_source=QUALL-NA&utm_medium=et_mail&utm_content=2497212&utm_campaign=QUALL-NA_24_November_2011&utm_term=PAS+200

Per i più parsimoniosi, l'indice può già essere d'aiuto.

ISO 19011:2011

Per primo, Attilio Rampazzo mi ha segnalato la pubblicazione, in data 15 novembre 2011, della ISO 19011:2011 dal titolo "Guidelines for auditing management systems".

La precedente versione era del 2002 e riguardava solo i sistemi di gestione per la qualità e per l'ambiente (ISO 9001 e ISO 14001). Oggi la norma è estesa a tutti i sistemi di gestione (inclusi quindi quelli per la sicurezza delle informazioni e per i servizi IT). Per alcuni schemi, sono state emesse norme specifiche per la conduzione degli audit e bisognerà fare riferimento a tutte e due le norme (ricordo che è stata pubblicata la ISO/IEC 27007 "Guidelines for information security management systems auditing", già allineata con la nuova versione della ISO 19011).

La nuova vesione è molto allineata con la precedente. Ho notato l'aggiunta di considerazioni in merito ai rischi di audit e alla sicurezza delle informazioni trattate durante le verifiche. Ci sono anche molti altri dettagli ulteriori rispetto alla precedente edizione e suggerisco quindi la lettura di questo standard a quanti devono condurre audit.

L'IRCA ha emesso un commento ad agosto, basato sulla bozza finale:
http://www.irca.org/downloads/ISO%20FDIS%2019011%202011%20Briefing%20Note.pdf

venerdì 18 novembre 2011

Errata Corrige - DPS: nessun addio

Daniela Quetti e Vito Losacco mi hanno segnalato il fatto che il Patto di
Stabilità 2012 non riporta l'eliminazione dell'obbligo del DPS. La notizia
data in precedenza è quindi non più attuale

Il DPS rimane quindi un obbligo normativo (tranne le semplificazioni già introdotte nel 2008. Questo per la gioia dei pochi che lo ritengono utile, dei tanti consulenti che ci guadagnano soldi e di quanti hanno ancora qualcosa di cui lamentarsi (l'innocente DPS, mentre possono evitare di affrontare punti più complessi della normativa in vigore).

Vito Lo Sacco  mi ha anche segnalato il seguente articolo:

mercoledì 16 novembre 2011

Voucher per la valutazione dei rischi informatici

La Regione Lombardia e le Camere di Commercio di alcune Province, in accordo con Assintel, intendono finanziare tramite l'utilizzo di voucher a fondo perduto, nominativi e non trasferibili, l'acquisto di un servizio tecnico di valutazione dei rischi informatici.http://www.assintel.it/eventi/810.jsp

La notizia mi è stata segnalata da Simone Tomirotti e potrebbe essere interessante capirne i dettagli. Soprattutto le procedure tecniche che saranno seguite. Sui siti web relativi, non ho trovato nulla in merito. Si accettano ulteriori informazioni.

martedì 15 novembre 2011

Presentazione ISO/IEC 27001

Il 10 novembre ho tenuto un intervento per la DFA sulla "Famiglia delle norme ISO/IEC 270xx".

E' pubblicato su www.cesaregallotti.it/Pubblicazioni.html

domenica 13 novembre 2011

iOS 5

La Apple ha pubblicato la nuova versione dell'iOS per iPhone, iPod e iPad. Oltre al servizio di iCloud, la nuova versione corregge alcune vulnerabilità.

Perché do io questo annuncio, visto che normalmente non tratto questi argomenti? Per denunciare, nel mio piccolo, il fatto che questa nuova versione, con correzione di vulnerabilità, è disponibile per iPhone 3GS e superiori. Per chi ha comprato un iPhone 3G (solo 3 anni fa, non molti), nulla!

E' ovvio, scrivo perché sono persona interessata al problema (ho un iPhone 3G), ma trovo scorretta questa politica di non fornire più alcun supporto giusto giusto 2 anni dopo l'uscita di una nuova versione dell'hardware (il 3GS è uscito nel giugno 2009), quando la garanzia non è più valida. E poi ci lamentiamo della Microsoft!

Attacco a SSL/TLS

Un interessante articolo da "Minded Security Early Warning" segnala il nuovo attacco al protocollo SSL/TLS 1.0 che permette di intercettare le comunicazioni.

Gli sviluppatori dovrebbero passare alle versioni successive.

Segnalo questi link in materia:

- http://www.mindedsecurity.com/fileshare/early_warning/Early_Warning_Ott11.pdf
- http://www.theinquirer.net/inquirer/news/2110508/ssl-tls-attack-secure-communications-risk
- http://vnhacker.blogspot.com/2011/09/beast.html

sabato 5 novembre 2011

Segreto di Stato

Sulla Gazzetta Ufficiale n. 203 del 1 settembre 2011 è stato pubblicato il DPCM 22 luglio 2011 n.4 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate".

Il DPCM è molto focalizzato nella descrizione delle misure di sicurezza fisica. Sulle misure di sicurezza informatica, mi pare sia molto limitato.

Ad ogni modo, il tema merita di essere conosciuto anche da chi non si occupa di sicurezza delle informazioni in ambito militare o del Segreto di Stato. La mia personale biografia è la seguente:
- Legge 124 del 2007 sulla disciplina del Segreto di Stato
- DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (questo è anche sulla classificazione delle informazioni)
- DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (cioè, disposizioni sulle misure di sicurezza)
- Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
- DPR 184 del 2006 "Regolamento  recante  disciplina  in  materia di accesso ai documenti amministrativi."
- DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato

Segnalo quindi la pagina del Comitato parlamentare per la sicurezza della Repubblica che riporta alcune di queste normative:
http://www.parlamento.it/bicamerali/43775/43777/43783/44440/88129/sommario.htm

Infine, segnalo questa pagina della Presidenza del Consiglio dei Ministri:http://www.sicurezzanazionale.gov.it/web.nsf/pagine/segreto_di_stato