giovedì 27 dicembre 2012

CERT Italia?


Dal blog di Over Security trovo un riferimento all'articolo "Cybersecurity, Italia pecora nera in Europa" del Corriere delle Comunicazioni.

L'articolo dice che "l'Italia farebbe figura di unico Paese Ue a non essersi dotato di un CERT nazionale", anche se "l'Agenda digitale europea esorta tutti i paesi membri a istituire i propri CERT".

Un CERT nazionale ha il ruolo di gruppo di risposta agli incidenti informatici a livello nazionale e dovrebbe anche identificare minacce e vulnerabilità e informarne gli addetti. Un CERT nazionale potrebbe anche diffondere statistiche su minacce e vulnerabilità (mi chiedo ancora chi possa pensare ad analisi quantitative dei rischi se non ha queste informazioni) e buone pratiche di configurazione e sviluppo dei sistemi e dei software.

La notizia si commenta da sola.

L'articolo del Corriere delle comunicazioni:
-
http://www.corrierecomunicazioni.it/it-world/18802_cybersecurity-italia-pecora-nera-in-europa.htm

lunedì 24 dicembre 2012

Protezione smartphones


L'U.S. Federal Communications Commission, come ho appreso dalla newsletter SANS Newsbyte, ha pubblicato delle linee guida per la protezione degli smartphones:
-
https://www.computerworld.com/s/article/9234928/FCC_offers_security_advice_to_smartphone_users?taxonomyId=17

Potete trovare le check list (con il solito stile basato su decaloghi) su:
-
https://www.fcc.gov/smartphone-security

Queste linee guida mi sono piaciute perché in molti casi riportano link a tool per applicare alcune misure.

La sicurezza di questi oggetti è un problema per gli utenti e le imprese. In molti asseriscono che solo l'iPhone garantisce un buon livello di sicurezza, ma non ne sono convinto (sarà perché ho comprato il 3G, non più aggiornato dal 2010...).

Requisiti per le compagnie di sicurezza private


Max Cottafavi di Spike Reply mi ha segnalato la pubblicazione dello standard ANSI/ASIS PSC.1 per i "private security contractors".

Stiamo parlando di sicurezza fisica e più specificatamente delle forze armate private: tema estraneo a questo blog, ma non troppo.

Si tratta di uno standard di requisiti per un sistema di gestione, impostato secondo i nuovi e futuri standard ISO per i sistemi di gestione (vedere i commenti sulla futura ISO/IEC 27001). E' quindi richiesta una pianificazione basata sulla valutazione dei rischi, l'erogazione dei servizi in conformità con i risultati di questa valutazione, un monitoraggio e un approccio basato sul miglioramento continuo.

Cosa interessante: il ministero competente inglese (Foreign & Commonwealth Office) ha formalmente approvato ed avallato questo standard ASIS PSC.1.

Lo standard può essere reperito (costo di 165 USD) presso il sito dell'ANSI:
-
http://webstore.ansi.org/RecordDetail.aspx?sku=ANSI%2fASIS+PSC.1-2012#.UNhWEaywWSo

venerdì 21 dicembre 2012

Firma elettronica e digitale - Sentenza


Dalla newsletter di Filodiritto, segnalo la "Tribunale di Catanzaro - Sezione Prima Civile, Ordinanza 30 aprile 2012, n. 68/2011".

Tale sentenza stabilisce che non posso essere sottoscritte con "un semplice clic", corrispondente alla firma elettronica, le clausole vessatorie di un contratto. Queste dovrebbero essere sottoscritte con firma digitale o autografa.

Per gli interessati, segnalo l'articolo di Gianni Penzo Doria:
-
http://filodiritto.com/index.php?azione=visualizza&iddoc=2980

Ho trovato più comprensibile questo articolo:
-
http://www.laleggepertutti.it/12644_contratti-sul-web-inefficaci-tutte-le-clausole-vessatorie

Dagli articoli trovati, comunque, non ho capito quale fosse la materia del contendere. Sembra che il potere di eBay di escludere dei sottoscrittori a seguito di loro condotte inadempienti sia una clausola vessatoria. Mi sembra quindi che la sentenza abbia effetti ambivalenti sulla tutela dei consumatori (da una parte li garantisce, dall'altra riduce i poteri di controllo del fornitore del servizio).

Invito chiunque abbia maggiori dettagli a condividerli.

martedì 18 dicembre 2012

Commenti sulla futura ISO/IEC 27001


Dopo i miei commenti del mese scorso sui cambiamenti previsti per la futura ISO/IEC 27001 ho ricevuto solo un commento scritto da parte di Andrea Veneziani di Data Management. Ho ricevuto anche alcuni commenti orali da altri, ma il risultato è sempre lo stesso.

Molti temono che la riduzione dei requisiti sull'analisi dei rischi possa comportare dei problemi e, in definitiva, lo schema attuale sarebbe preferibile. Tutti riconoscono comunque un aspetto: alcuni auditor e consulenti insistono a proporre schemi formali specifici che poi un'azienda non fa altro che lasciarli su carta.

Io penso che si dovrebbe fare una riflessione sulle linee guida della famiglia ISO/IEC 27000: ad oggi alcune sono troppo teoriche, mentre altre sono troppo direttive, non lasciando spazio ad alternative. Se le linee guida della famiglia ISO/IEC 27001 fossero più pratiche, i dubbi sui requisiti della ISO/IEC 27001 forse scomparirebbero.

Non sono originale: è la stessa proposta che ha fatto UNI per la futura ISO 9001.

mercoledì 12 dicembre 2012

Foto del principe William con password


Questa mi è piaciuta molto: il principe William è stato fotografato in una base della RAF e, per un po' di marketing, le foto sono state pubblicate sul web.

Problema: sullo sfondo si trova un foglio con scritte user-id e password di un qualche sistema chiamato MilFlip.

A essere pedanti, si trovano un'infinità di problemi di sicurezza. L'articolo di questo post (segnalato dalla newsletter di DFA) assicura che la password è anche banale:
-
http://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/

domenica 9 dicembre 2012

Attacco Eurograbber


Questo lo ritengo interessante (da SANS Newsbyte): alcune banche usano il sistema di autenticazione forte basato su normale user-id e password e su un codice casuale inviato via SMS quando l'utente si connette o effettua qualche disposizione.

Si sono inventati un attacco facile facile da capire, ma difficile da realizzare: la vittima riceve una mail di phising e installa il malware Zitmo Trojan sul suo pc; questo rimane silenzioso e si attiva quando la vittima si connette al sito della sua banca (sono colpite anche banche italiane) e gli segnala di aggiornare anche il software sul cellulare, ovviamente con altro software dannoso.

Il primo software, quindi, intercetta le credenziali per accedere al sito di web banking, il secondo software sul cellulare intercetta il codice temporaneo. Con questi elementi, il malintenzionato può fare bonifici dal conto della vittima ad un suo proprio conto.

Sembra troppo complesso, ma Check Point dice che le vittime, finora, sono state 30.000 e hanno perso 47 milioni di dollari.

Un articolo: 
https://www.informationweek.com/security/attacks/zeus-botnet-eurograbber-steals-47-millio/240143837
Il report di Check Point: http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

giovedì 6 dicembre 2012

ISO/IEC 27032


Il 15 luglio è stata pubblicata la ISO/IEC 27032 dal titolo "Guidelines for cybersecurity".

Innanzitutto, ho trovato interessante la distinzione tra "Internet" e "Cyberspace", dove Internet è usato per indicare la parte fisica della rete, mentre il Cyberspace comprende anche i servizi disponibili. Insomma, normalmente il termine Internet è usato per le due accezioni, ma effettivamente bisognerebbe distinguere.

Lo standard è indirizzato agli utenti di servizi Internet (ops... servizi del ciberspazio) e ai loro fornitori.

Per i fornitori, sappiamo bene quante misure di sicurezza sono già presenti sulla 27001. Oltre a quelle, ne sono specificate alcune di relazione con i clienti, dedicate soprattutto alla loro sensibilizzazione sulla sicurezza. Un breve elenco di cose che mi sono segnato: fornire un canale di comunicazione per segnalare eventi e incidenti, fornire il software validato da certificati digitali, fornire manuali agli utenti, inviare agli utenti periodici messaggi di educazione sulla sicurezza, fornire ai clienti una guida per la configurazione del proprio pc, specificare i requisiti legali applicabili, mantenere un protocollo per garantire una mutua autenticazione del cliente e del fornitore, stabilire i contatti autorizzati per le comunicazioni. Infine, viene suggerito di ricordare ai clienti che non verranno mai chieste informazioni personali e credenziali di ogni tipo, né verranno inviati link via mail e che per collegarsi al servizio bisognerà farlo solo dal browser.

Utile, nell'Allegato B, un elenco di siti web dedicati alla sensibilizzazione degli utenti dei servizi del ciberspazio.

Lo standard è di 50 pagine, troppe sono dedicate a riflessioni teoriche, di modo che le indicazioni pratiche occupano in realtà poche pagine. Se consideriamo che il prezzo dello standard è proporzionale al numero di pagine, qualche riflessione critica viene spontanea.

lunedì 19 novembre 2012

Così vuoi fare l'auditor?


Simone Tomirotti mi ha segnalato questo articolo dal titolo "So You Want to Be an IT Auditor?":
-
http://www.theiia.org/intAuditor/itaudit/2012-articles/so-you-want-to-be-an-it-auditor

E segnala la conclusione: la buona notizia per chi fa lo sforzo di studiare da auditor IT è che la richiesta di tali professionisti sta crescendo rapidamente. Secondo CNN Money, la contabilità e l'audit IT sono tra le professioni che stanno crescendo più rapidamente, con una crescita dal 2008 al 2012 stimata tra il 22% e il 30%. Le organizzazioni stanno cercando auditor IT professionisti per valutare e raccomandare metodi per mitigare gli impatti dei rischi tecnologici. Dimostrare il proprio desiderio di imparare e allargare le proprie capacità è la strada migliore per coloro che intendono intraprendere una carriere da IT auditor.

Da parte mia, condivido il fatto che "il desiderio di imparare e allargare le proprie capacità è la strada migliore". Questo vale per tutte le professioni.

Ma ho una domanda: perché devono essere gli auditor IT a trovare i rischi e indicare le strade per ridurli? perché devono essere gli auditor IT a individuare le vulnerabilità o cattive pratiche? non dovrebbero essere i project manager e gli analisti o, in alternativa, un dipartimento di sicurezza che offre i propri servizi di consulenza?

Vorrei dire che è uno strano mondo quello in cui si chiede ai verificatori di dare indicazioni (come chiedere ai giudici di fare le leggi... ma non vorrei che la mia newsletter e il mio blog si occupino di politica).

giovedì 15 novembre 2012

L'audit non aggiunge valore


Finalmente qualcuno che scrive che l'audit ISO 9001 non fornisce valore aggiunto. Io sono un vile e mi limito a dirlo a pochi intimi:
-
http://www.irca.org/en-gb/resources/INform/archive/Issue37/opinion/?utm_source=Email&utm_medium=Inform&utm_campaign=Nov_12

Cosa dice, in sostanza, l'autore David Hutchins:
- l'audit è condotto verificando che processi e attività siano condotti secondo quanto prescritto; trovare errori in questo senso non vuol dire "aggiungere valore"
- il significato attribuito a "valore aggiunto" dall'auditor può non coincidere con lo stesso significato attribuito dagli altri stakeholder
- è ridicolo pensare che, nei ridotti tempi di audit e con competenze spesso inadeguate, l'auditor abbia la pretesa di dare valore aggiunto.

Ormai, perso ogni freno inibitore, lo dico: sono d'accordo!

Privacy e comunicazioni elettroniche: imprese ancora tutelate


Daniela Quetti mi ha segnalato il Provvedimento 262 del 20 settembre 2012 del Garante Privacy che afferma che, nonostante il Codice Privacy sia ora applicabile alle sole persone fisiche, il capo 1 del titolo X del Codice rimane applicabile anche alle persone giuridiche.

I requisiti del Capo 1 del Titolo X del Codice riguardano gli operatori di TLC e i loro abbonati (meglio: contraenti). In particolare, sono normati: la riservatezza dei dati dell'utente e gli apparati utilizzati, l'uso dei dati di traffico; la fatturazione di dettaglio; la visibilità o invisibilità del numero chiamante; - i dati relativi all'ubicazione; il contrasto alle chiamate di disturbo; gli elenchi di abbonati.

Un ultimo aspetto è regolato da quel Capo: il registro delle opposizioni. Quindi, tale registro è valido anche per le imprese.

Per leggere il comunicato del Garante e il Provvedimento:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2094796
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2094932

Verso la ISO 9001:2015. La posizione italiana

<!-- Converted from text/plain format
Franco Ferrari mi ha girato questo articolo sulla posizione italiana sulla futura ISO 9001, per la quale i lavori sono partiti a giugno 2012:
-
http://www.uni.com/index.php?option=com_content&view=article&id=1686:verso-la-iso-90012015-la-posizione-italiana&catid=111:generale&Itemid=546

La posizione dell'UNI è, in sintesi, la seguente:
- il SGQ dovrebbe considerare l'intero sistema di esigenze ed aspettative, includendo temi relativi all'ambiente, alla sicurezza, alla responsabilità sociale, alla gestione dell'energia, alla privacy, eccetera; per questo dovrebbe essere più flessibile
- introdurre elementi di gestione del rischio;
- introdurre un approccio socialmente responsabile: aggiungere, oltre alla soddisfazione dei clienti, anche quella di altri stakeholder (la comunità, i dipendenti dell'impresa…).

Per una migliore applicabilità della norma, l'UNI propone le seguenti linee guida:
- riferimento nella politica per la qualità al contesto di riferimento e all'approccio generale alla qualità come parte degli orientamenti adottati nei confronti delle aspettative espresse dalle specifiche parti interessate;
- migliorare la semplicità e chiarezza
- introdurre un'appendice informativa che spieghi il significato e i motivi di ogni requisito

Ho riassunto parecchio e forse ho lasciato qualche spunto interessante. Ho comunque idea che molti degli argomenti ci siano già, tranne la considerazione di altri stakeholder e dei rischi. Questi temi dovrebbero essere introdotti grazie all'uso dell'Annex SL delle Direttive ISO per i sistemi di gestione.

Trovo che le riflessioni dell'UNI siano comunque interessanti. Purtroppo, come dice lo stesso documento dell'UNI in modo meno diretto, l'uso dello standard a mero scopo certificativo ha spinto le imprese ad adottarlo in modo rigido con esiti, in alcuni casi, dannosi. La colpa? Di tutti (imprese, consulenti, auditor), ovviamaente.

-->

mercoledì 7 novembre 2012

NIST SP 800-30 rev1 "Guide for conducting risk assessments"


Il NIST ha annunciato a fine settembre la pubblicazione della revisione 1 della NIST SP 800-30 dal titolo "Guide for conducting risk assessments".

La guida è molto interessante soprattutto perché stabilisce i diversi livelli a cui si possono condurre i risk assessment: strategico, tattico e operativo. Purtroppo l'ho letta dopo il meeting di Roma sulla ISO/IEC 27001, forse avrei avuto idee più chiare sul dibattito "Risk assessment nel planning o nelle operations?". Credo infatti che si confonda il ciclo PDCA con il modello di un'azienda a 3 livelli.

La guida, inoltre, promuove l'analisi dei rischi basata su minacce e vulnerabilità, mentre si prevede che la ISO/IEC 27001 ne farà a meno. Forse questa guida segnala che quest'ultima non sta prendendo la direzione giusta.

Mi piace molto anche il fatto che si consiglia di valutare la verosimiglianza delle minacce a partire dai loro agenti e dalle loro caratteristiche di interesse, capacità e obiettivi.

Ho segnato anche il punto sul riconoscimento dell'incertezza dell'analisi, da considerare e valutare opportunamente. Viene anche segnalato come la soggettività è sempre presente in questo campo e il fatto che la ripetibilità delle analisi qualitative può essere garantita dalla esplicitazione e documentazione delle ragioni per cui sono stati attribuiti certi valori (concetto che ho espresso in più occasioni io stesso; credo di averlo inconsciamente mutuato dagli stessi documenti a cui si è ispirato il NIST).

Al paragrafo 2.3.3, la guida descrive 3 possibili approcci: basati sulle minacce, sugli asset e gli impatti, sulle vulnerabilità. E' interessante, soprattutto perché le metodologie che vedo solitamente utilizzate sono del primo tipo.

lunedì 5 novembre 2012

DL 179/2012 per la crescita


Il 18 ottobre è stato approvato il DL 179/2012 "Ulteriori misure urgenti per la crescita del Paese" e si può scaricare da www.normattiva.it. Come tutti i Decreti Legge dovrà essere esaminato dalle Camere per la sua adozione definitiva e ciò potrà introdurre dei cambiamenti al testo attuale.

Tra gli aspetti più interessanti, a mio avviso, sono delle modifiche al Dlgs 82/2005 (il CAD o Codice dell'Amministrazione Digitale):
- il domicilio digitale del cittadino: "è facoltà di ogni cittadino indicare alla pubblica amministrazione un proprio indirizzo di posta elettronica certificata, quale suo domicilio digitale."
- l'obbligo per le pubbliche amministrazioni di accettare pagamenti via comunicazioni telematiche

Ci sono poi tanti altri temi, tra cui "Attuazione dell'Agenda digitale italiana", "Trasmissione telematica delle certificazioni di malattia nel settore pubblico", promozione per il trasporto pubblico dei sistemi di bigliettazione elettronica interoperabili a livello nazionale, "Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario", "Giustizia digitale".

domenica 4 novembre 2012

Sulla futura ISO/IEC 27002


Durante il meeting di Roma del WG1 dell'SC27, sono continuati i lavori sulla nuova ISO/IEC 27001, che dovrebbe uscire a ottobre 2013. La bozza attuale è meno criticata della bozza della 27001, ma i miei commenti non devono intendersi come definitivi, visto che neanche la norma lo è.

Premetto che non ho seguito i lavori perché impegnato sulla 27001. Le riflessioni che seguono riguardano solo lo stato di alcuni controlli:
- alcuni molto tecnici sono stati elminati (per esempio, quello sulla limitazione della connessione, visto che incorporato in altri sulla sicurezza della rete)
- molti controlli sono stati spostati di capitolo (per esempio, quello sul riesame indipendente di terze parti è stato accorpato con gli altri controlli sugli audit attualmente al A.15.2; il controllo sul ritiro degli asset è stato spostato nel capitolo sulla strumentazione e tolto dalla gestione delle risorse umane); non tutte le scelte mi sembrano convincenti (per esempio, il capitolo sulle comunicazioni è incastrato tra capitoli relativi a controlli informatici, quando le comunicazioni non sono necessariamente IT), ma in definitiva mi sembra che alcune cose siano migliorate (la separazione dei compiti è ora nell'organizzazione)
- si sono migliorate alcune dizioni (per esempio, non si parla più di mobile computing, ma di Mobile device policy)
- nuovi controlli con impatto sostanziale sono: Information security in project management, Restrictions on software installation, Secure development policy, System security testing (che sostituisce un controllo precedentemente meno orientato alla sicurezza), ICT Supply chain, Redundancies
- i capitoli sono dal 5 al 18 (la versione attuale va dal 5 al 12), ma solo in virtù di una diversa collocazione dei controlli
- non ho fatto il conto dei controlli previsti, rispetto ai 133 della versione del 2005.




Fabio Guasconi, Presidente SC27 di Uninfo, che ha seguito un po' i lavori, anche compatibilmente con il suo ruolo di ospite, visto che l'incontro si è svolto a Roma, ha fatto i seguenti commenti:
- tantissimi commenti sono stati scartati (e nonostante ciò ci sono voluti 2 meeting per indirizzarli tutti);
- ci sono molti controlli nuovi e tanti con contenuti rivisti e aggiornati.
 

In definitiva, mi pare che verrà richiesto un certo sforzo nel rinumerare e rinominare i controlli degli attuali SOA, ma poco altro. Chi finora ha fatto un lavoro "furbo" (e spero l'abbia fatto, visto che l'esperienza di transizione dalla versione del 2000 a quella del 2005 dovrebbe essere servita) non dovrà dedicarci troppo tempo.

Sulla futura ISO/IEC 27001


Durante il meeting di Roma del WG1 dell'SC27, sono continuati i lavori sulla nuova ISO/IEC 27001, che dovrebbe uscire a ottobre 2013. Si osservi però che la versione attualmente in bozza è oggetta di parecchie critiche (personalmente, ne condivido solo una parte) e non è detto che la nuova norma verrà pubblicata.

La Polonia si è lamentata, tra le altre cose, che nella discussione nessuno ha fatto riferimento al proprio mercato di riferimento e alle sue richieste. Ciò mi ha fatto riflettere e ho pensato a quale possano essere le richieste del mercato italiano (accetto contributi):
- semplificazione dei requisiti del metodo di risk assessment perché la sua elaborazione, secondo lo schema del 2005, richiede troppe risorse togliendole ad altri progetti e non fornisce risultati sempre utili perché troppo di dettaglio
- irrobustimento delle garanzie per i clienti delle aziende che si certificano ISO/IEC 27001
- migliore leggibilità per garantire corrette relazioni tra organizzazioni certificate e auditor

Procedo quindi nel dare notizia delle novità più rilevanti.

Scopo dell'ISMS
    Rimane il requisito generale di descrivere lo scopo dell'ISMS (da non confondere con la frasetta sul certificato), senza ulteriori specificazioni (ad esempio, "includendo le caratteristiche del business, dell'organizzazione, della localizzazione, dei beni e delle tecnologie") perché ritenute implicite; rimane il requisito di descrivere i confini dell'ISMS e le sue relazioni con entità esterne.    Il Giappone (e anche l'Italia) sono stati molto contrariati da questa scelta; personalmente, mi chiedo perché non voler esplicitare qualcosa di implicito, se questo può migliorare la leggibilità dello standard e ridurre incomprensioni tra imprese e auditor.    Anche in altre situazioni, l'Italia ha promosso l'aggiunta di testo esplicativo per migliorare la leggibilità dello standard e ridurre incomprensioni tra imprese e auditor. Purtroppo è prevalsa la linea della "eleganza": dove il requisito è implicito, non si aggiunge testo.

Direzione
    Molto dibattere si è fatto sulle responsabilità della Direzione. In particolare, l'Australia ha voluto ridurle. Questo aspetto mi è risultato incomprensibile perché, a mio avviso, la norma attuale prevede (sintetizzo) che la Direzione garantisca la realizzazione dell'ISMS e comunichi l'importanza della sicurezza delle informazioni. Non mi sembrano compiti gravosi. 
    E' vero che molte Direzioni si disinteressano della sicurezza delle informazioni tranne quando c'è l'audit (e neanche questo caso si verifica sempre), ma fornire loro una giustificazione per farlo mi sembra scorretto. Tra l'altro, è ben noto che, se la Direzione si disinteressa della sicurezza delle informazioni, il resto dell'impresa farà altrettanto, con ovvi risultati. 
    Un'ultima riflessione: ogni articolo o conferenza ribadisce il concetto dell'importanza della Direzione: mi piacerebbe vedere ben sviluppati gli argomenti di chi è contrario, sempre che ciò sia possibile.

Processi e attività di business
    Il testo "comune" alla future norme sui sistemi di gestione prevedeva frasi come "attività di business" o "processi di business". Su proposta dell'Italia è stata tolta la dizione "di business", in parte perché bisognerebbe capire quali sono le attività "non di business" e in parte perché, quali esse siano, la sicurezza delle informazioni si applicherebbe anche a loro.

Metodo di risk assessment
    L'attuale ISO/IEC 27001 sviluppa una metodologia di risk assessment: individuare gli asset, le minacce e le vulnerabilità; valutare la verosimiglianza delle minacce e i loro potenziali impatti sugli asset. Tutto questo è stato eliminato: non si fa più riferimento agli asset, alle minacce o alle vulnerabilità. Si fa riferimento ai rischi che riguardano le informazioni.    Non mi pare sia un male: seppure implicitamente, si richiede di individuare le informazioni e i rischi che incombono su di esse, senza imporre metodologie che nella pratica sono troppo onerose e non utili. Sarà poi agli "esperti" sviluppare un metodo che garantisca di aver individuato (al giusto livello di granularità) tutti i rischi. Agli auditor, esattamente come oggi, viene solo richiesto di verificare la coerenza (o la "validità", come si è deciso) del metodo di risk assessment e dei suoi risultati.    Il Giappone si è dichiarato contrario a questa impostazione.    Personalmente, mi pare una buona soluzione, ma devo ancora rifletterci: probabilmente qualche indicazione in più potrebbe essere utile (per la cronaca: Fabio Guasconi, Presidente dell'SC 27 di Uninfo è solidale con il Giappone).

Misurazione dei controlli
    Con mia grande gioia (anche perché la proposta era mia), è stato eliminato il concetto di misurazione dei controlli. Rimane il fatto che l'organizzazione deve valutare l'efficacia del proprio ISMS grazie ad attività di monitoraggio o misurazione, secondo quanto necessario. 
    Questo includerà sicuramente la misurazione dell'efficacia di alcuni controlli, ma se qualcuno vorrà misurare cose inutili, almeno non avrà la scusa dello standard.

Riesame della Direzione
    Su proposta dell'Italia, è passato senza quasi discussione il fatto che la Direzione, nel riesame periodico, deve anche riesaminare i risultati del risk assessment e lo stato del piano di trattamento del rischio. Interessante che ciò sia successo dopo che si era detto che la stessa Direzione non poteva svolgere troppi compiti.

Statement of Applicability e Annex A
    E' stato confermato il requisito che richiede l'elaborazione di un SOA collegato all'Annex A della norma. Come Italia siamo lievemente a favore della sua eliminazione. Personalmente, credo che sia un bene che rimanga il SOA collegato all'Annex A, perché impone al mercato l'adozione di una terminologia e di uno schema unico (insomma, impone l'adozione di uno standard!).

Risk assessment: nella pianificazione o nelle operation?

    Ho lasciato per ultimo l'argomento più difficile.  
    Si è molto dibattuto su: i requisiti sul risk assessment vanno nel capitolo "planning" o nel capitolo "operation"? 
    L'Italia (con la maggioranza) ha votato per la prima ipotesi perché il risk assessment fornisce i risultati necessari alla scelta dei controlli di sicurezza e alla loro pianificazione.
    Altri dicono che il capitolo planning riguarda il solo sistema di gestione che ha altri rischi rispetto alla sicurezza delle informazioni.
    Personalmente, vedo come molto pericolosa questa seconda impostazione perché prevede che il "sistema di gestione" sia una cosa e la sicurezza delle informazioni sia un'altra cosa, buttando all'aria tanta letteratura e pratica sul fatto che la sicurezza delle informazioni debba essere vista come un insieme integrato di tecnologia e processi. La norma, comunque, riguarda il "sistema di gestione per la sicurezza delle informazioni" (e non un generico "sistema di gestione") di cui i controlli di sicurezza sono parte integrante. Pertanto, pianificare il sistema di gestione per la sicurezza delle informazioni implica necessariamente la scelta dei controlli di sicurezza, da fare con il risk assessment.
    Altra mia obiezione è: quale rischio al "sistema di gestione" vedete che non è applicabile al "sistema di gestione per la sicurezza delle informazioni"? La risposta è sempre stata una sola: "indisponibilità della Direzione" e mi pare un po' pochino.    Il problema è che il common text presenta alcuni requisiti che creano confusione: nella pianificazione si richiede di considerare rischi e "issues" (in italiano, "questioni"), e qui c'è chi distingue tra rischi strategici e operativi (ma questo ragionamento non toglie nulla alla necessità di avere il risk assessment dell'ISMS nel planning); nelle operation si fa comunque riferimento alla pianificazione delle attività, ma qui si dovrebbe fare riferimento ai piani di dettaglio o ai piani di produzione (per esempio, il piano di verifica dei backup, secondo le politiche stabilite in fase di scelta del controllo di sicurezza).

Mi piacerebbe ricevere pareri in merito (anche a favore!), sul blog o via email.

Stato delle norme ISO/IEC 270xx -- ottobre 2012


Dal 22 al 26 ottobre, si è tenuto a Roma il plenary meeting del WG1 dell'SC27, ossia del gruppo responsabile delle norme ISO/IEC 270xx. Io vi ho partecipato come delegato per l'Italia.

Questi i risultati:
- ISO/IEC 27000: sarà pubblicata a breve la nuova versione; si è comunque stabilito di riaprire i lavori per una nuova versione (early revision) anche a seguito di quanto uscirà dai lavori sulla ISO/IEC 27001 e 27002
- ISO/IEC 27001: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; ulteriori dettagli in un altro post
- ISO/IEC 27002: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; gli editor dovrebbero preparare un documento con indicate le modifiche principali; ulteriori dettagli in un altro post
- ISO/IEC 27003 sull'implementazione di un ISMS: si è stabilito di riesaminare la norma anche in funzione delle future versioni di ISO/IEC 27001 e 27002
- ISO/IEC 27004 sulle misurazioni: si è stabilito di avviare dei lavori preliminari alla sua revisione; in particolare, si è stabilito di effettuare delle indagini preliminari sulle misurazioni necessarie per la valutazione di efficacia dei controlli e/o dell'ISMS
- ISO/IEC 27006: sono proseguiti i lavori; gli elementi di maggior interesse, per lo meno dal mio punto di vista, hanno riguardato la pubblicazione sul certificato della versione del SOA (l'Italia è stata contraria a questa opzione, e se ne discuterà ancora) e una nuova tabella per le giornate di audit necessarie per la certificazione, ricertificazione e sorveglianza di un sistema di gestione per la sicurezza delle informazioni
- ISO/IEC 27015 sui financial services dovrebbe essere pubblicata a breve
- ISO/IEC 27016 su "Organizational economics" è stata proposta per il passaggio a PDTR (equivalente allo stato di DIS)
- ISO/IEC 27017 e 27018 sul cloud computing: sono proseguiti i lavori

- ISO/IEC 27019 "Information Security within Smart Grid Environments": dovrebbe essere approvato a breve sulla base di una norma tedesca e verrà poi sottoposto ad early revision - sono partiti i lavori per un nuovo standard dal titolo "Use of ISO/IEC 27001 for Sector-Service Specific Third Party Accredited Certifications"
- sono state discusse norme e iniziative sui modelli di maturità di un ISMS, sui sistemi di gestione per la privacy e PIMS, sulla certificazione delle persone sulla sicurezza delle informazioni


PS: Ringrazio Fabio Guasconi, Presidente SC27 dell'Uninfo per la segnalazione di alcune integrazioni.

venerdì 2 novembre 2012

COIT, BYOD, strumenti mobili: rapporti di ENISA e FBI


Dalla newsletter del Clusit, leggo la notizia che ENISA ha pubblicato il report "Consumerization of IT: Top Risks and Opportunities".

Da questo ho imparato che la "Consumerization of IT (COIT)" o "IT aziendale guidato dal consumatore" riguarda l'uso per attività aziendali di strumenti hardware e software personali e che il BYOD (bring your own device) ne è una parte, perché riguarda solo l'uso di hardware personale. Dal BYOD sono esclusi, per esempio, gli account personali Facebook, LinkedIn o Dropbox utilizzati per raccolta o trasmissione di informazioni aziendali o per conto dell'azienda.

ENISA ha quindi elencato i rischi maggiori del COIT (riassumo):
- danneggiamento dell'immagine aziendale per uso non controllato di servizi IT
- aumento dei costi di manutenzione degli strumenti IT a causa della loro disomogeneità
- perdita degli strumenti
- potenziali cause con il personale a causa della non chiara distinzione tra dati aziendali e dati dell'utente
- perdita di riservatezza delle informazioni a causa di errori degli utenti nell'uso di applicazioni di sharing
- perdita di riservatezza delle informazioni a causa di accesso non autorizzato di malintenzionati

Per chi volesse approfondire:
-
https://www.enisa.europa.eu/media/press-releases/workplace-it-enisa-sees-opportunities-and-risks-in-201cbring-your-own-device201d-trend

Su Nòva 24Ore è anche apparsa la notizia che l'FBI ha emesso delle linee guida per la protezione dei dispositivi mobili.

Trovate l'articolo del 24 Ore e un riassunto delle linee guida dell'FBI a questo indirizzo:
-
http://www.ilsole24ore.com/art/tecnologie/2012-10-27/quei-virus-compagni-viaggio-172025.shtml?uuid=AbHpjSxG

La pagina web dell'FBI con la notizia dovrebbe essere questa:
-
https://www.fbi.gov/sandiego/press-releases/2012/smartphone-users-should-be-aware-of-malware-targeting-mobile-devices-and-the-safety-measures-to-help-avoid-compromise

giovedì 18 ottobre 2012

Vulnerabilità alla IEEE


Questa notizia me l'ha data Sandro Sanna:
-
http://www.ilsole24ore.com/art/tecnologie/2012-09-26/falla-sistema-sicurezza-ieee-192130.shtml?uuid=AbSioBkG

In breve: su un ftp server erano conservati dei log con anche delle user-id e password non cifrate.

Purtroppo, il solito mix di incompetenza, disattenzione e superficialità.

Il fatto che sia coinvolta la IEEE dà solo più colore alla notizia. Il cui significato finale rimane quello di dover sensibilizzare l'IT.

mercoledì 17 ottobre 2012

Firme digitali: SHA-3


Il "nuovo" algoritmo per le firme digitali, che sostituirà lo SHA-2, è nato e si chiama in modo poco originale SHA-3:
-
http://csrc.nist.gov/groups/ST/hash/policy.html

Il punto di riferimento è lo statunitense NIST. Ha dato l'annuncio della scelta dell'algoritmo di hashing (Keccak) a inizio ottobre:
-
http://csrc.nist.gov/groups/ST/hash/sha-3/winner_sha-3.html

Come si vede dalle pagine del NIST, non c'è ancora la necessità di migrare al nuovo algoritmo.

La notizia l'ho avuta dalla newsletter Crypto-Gram, in cui Bruce Schneier fa anche notare come l'attuale SHA-512 sia ancora da considerare sicuro:
-
https://www.schneier.com/blog/archives/2012/09/sha-3_will_be_a.html

Certificazioni e avvalimenti


Un avvalimento, detto in poche parole, permette ad un'azienda che partecipa ad una gara di non avere tutti i requisiti richiesti, perché può indicare altre aziende "amiche" che li hanno al posto loro.

Detta così non sembra una procedura condivisibile, soprattutto se si parla di certificazioni di sistemi di gestione. E infatti, l'Autorità di Vigilanza sui Contratti Pubblici ha chiarito la sua posizione in questo senso.

La Determinazione dell'Autorità:
-
http://www.avcp.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=5146

Il riassunto di Accredia:
-
http://www.accredia.it/news_detail.jsp?ID_NEWS=986>emplate=default.jsp&ID_AREA=10

Ringrazio l'organismo di certificazione NQA per la notizia.

mercoledì 10 ottobre 2012

Standardizzazione: approvata la ISO/IEC 27037 su digital forensics


Segnalo che è stata approvata, con voto concluso il 23 settembre, la norma ISO/IEC 27037 dal titolo "Guidelines for identification, collection, acquisition, and preservation of digital evidence".

Questa norma sarà poi seguita da altre norme ISO sulla digital forensics.

Da una presentazione di Alessandro Guarino del novembre 2011, segnalo che questa norma riguarda le fasi di identificazione, raccolta (collection), acquisizione e conservazione (preservation); non riguarda quindi le fasi di analisi, presentazione, eliminazione (disposal).

giovedì 4 ottobre 2012

Certificati digitali invalidati? - 2a puntata


Il 14 febbraio avevo postato la notizia sulla possibile non validità delle firme digitali rilasciate da quasi tutte le autorità di certificazione. Questo perché non avevano dei dispositivi di generazione delle chiavi certificati opportunamente:
-
http://blog.cesaregallotti.it/2012/02/certificati-digitali-invalidati.html

Dal sito dell'Agenzia per l'Italia Digitale, ho avuto notizia del DPCM del 19 luglio 2012 con un'ulteriore deroga alle deroghe precedenti (una del 14 ottobre del 2011, che a sua volta prorogava la deroga data il 10 febbraio 2010, che poi a sua volta prorogava una misura del 1999).

Un mio anonimizzato lettore ha fatto i seguenti commenti:
- ho sempre visto le deroghe come una diminuzione "almeno momentanea" della sicurezza e pertanto non mi piacciono. Poi si sa che in Italia niente è più definitivo di ciò che è momentaneo;
- il decreto, è scritto veramente male

Io aggiungo che tutto ciò mi ricorda le brutte deroghe per il DPS.

Infine, ho chiesto sempre al mio anonimizzato lettore alcuni chiarimenti sui tempi di certificazione di un prodotto rispetto ai Common Criteria (ISO/IEC 15408):
- normalmente, la valutazione di un Security targhet (cioè la fase denominata ASE) la si fa in 30/40 giorni;
- se per "adeguatezza" si intende "una veloce lettura del ST per vedere se il TOE è adeguato per essere sottoposto ad una valutazione" che è la prima azione che fa per Legge un direttore di un CEVA prima ancora di accettare il contratto per evitare di perdere tempo e soldi del contribuente che paga il certificatore, allora ci vuole una settimana lavorativa;
- per la valutazione del TOE (cioè del suo Security target, dei deliverable e del TOE stesso), per un EAL1 si va da 7/8 mesi a n-anni (con n=2 per un SO EAL4);
- il nostro schema nazionale non prevede, purtroppo, delle durate limite delle certificazioni, che invece sono previste in altri Paesi (dove, per esempio, per un EAL4 devono essere impiegati un massimo di 18 mesi).

Avvertenza: io e il mio lettore abbiamo utilizzato la terminologia inglese, anche perché le traduzioni italiane sono orrende.

Potete scaricare il nuovo DPCM del 19 luglio 2012 da
- www.digitpa.gov.it/sites/default/files/normativa/DPCM_19_luglio_2012.pdf




La pagina di DigitPA:
- http://www.digitpa.gov.it/notizie/firmato-decreto-ministro-profumo

Un commento sul sito dell'ANORC:
-
http://www.anorc.it/notizia/354_Approvato_il_Decreto__Salva_-_HSM___ecco_le_novit_.html

Privacy e cookies


Enzo Ascione di Intesa Sanpaolo mi ha segnalato questa interessante serie di brevi articoli sull'interpretazione da dare al nuovo articolo 122 del Codice Privacy, così come modificato dal Dlgs 69 del 2012.

L'articolo, soprattutto nella terza parte, tratta delle modalità di gestione dei cookies dei siti web distinguendone le diverse funzionalità (user-input cookies, authentication cookies, multimedia player session cookies, social plug-in content sharing cookies)

-
https://associazionecindi.wordpress.com/2012/06/29/cookies-privacy-d-lgs-69/

venerdì 28 settembre 2012

Quaderno UNINFO: sicurezza delle informazioni e privacy


Segnalo che è stato pubblicato il Quaderno UNINFO dal titolo "La gestione della sicurezza delle informazioni e della privacy nelle PMI".

Ho collaborato alla sua redazione con alcuni membri del Gruppo di Lavoro UNINFO sulla serie di norme ISO/IEC 27000. Si tratta infatti di una riflessione sui collegamenti tra ISO/IEC 27001 e normativa privacy. La seconda parte del quaderno presenta una tabella con i collegamenti tra i requisiti dello standard e quelli della normativa italiana.

Devo dire che è stato un lavoro molto interessante, che mi ha dato la possibilità di avere un bel confronto con professionisti preparati.

La home page di UNINFO:
-
http://www.uninfo.polito.it/



La pagina delle pubblicazioni di UNINFO:
- http://www.uninfo.polito.it/Pubblicazioni.htm

Il link diretto al Quaderno:
-
http://www.uninfo.polito.it/SC27/SC27public/Quaderno%20UNINFO_La_gestione_dellaSicurezza_delleInformazioni_e_della_Privacy_v1_0.pdf

giovedì 27 settembre 2012

IRCA Briefing note: Annex SL


L'IRCA ha pubblicato una piccola guida sull'Annex SL.

Si sta parlando dell'Allegato SL al "ISO/IEC Directives, Part 1: Consolidated ISO Supplement – Procedures specific to ISO". Precedentemente, questo Allegato aveva il nome di ISO Guide 83.

L'Annex SL stabilisce lo schema comune che dovranno avere tutte le norme di requisiti per i sistemi di gestione. In altre parole, stabilisce lo schema che dovranno avere le future edizioni di ISO 9001, ISO 14001, ISO/IEC 20000-1, ISO/IEC 27001 e non solo. Questo schema è già stato adottato, anche se in una versione precedente, dalla ISO 22301 sulla business continuity.

Il testo si può trovare all'appendice 3 dell'allegato SL del supplemento consolidato dell'ISO della parte 1 delle direttive ISO/IEC. In poche parole: da pagina 143 a pagina 152 del documento che si può scaricare da qui:
-
http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype

La guida dell'IRCA illustra i punti più significativi delle modifiche che saranno introdotte negli standard dei sistemi di gestione:
-
http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-Guide-83/

Di Internet e delle pene


Paolo Gasperi di Loogut mi ha segnalato il libro "Di Internet e delle pene" che ha scritto con Silvano Marchi.

L'ho trovato interessante perché spiega in modo chiaro 5 sentenze corrispondenti ad altrettanti reati:
- diffamazione su social network
- cyberstalking
- pubblicazione di un numero telefonico su social network
- scambio video con protagonisti non consenzienti
- uso di e-mail intestata ad altro

Il libro, gratuito e di sole 47 pagine, è scaricabile da:
-
http://www.ladige.it/articoli/2012/02/06/sicurezza-line-questione-cultura

lunedì 24 settembre 2012

Call Center e privacy - Decreto crescita


Max Cottafavi di Spike Reply mi ha segnalato un aggiornamento privacy con impatto sui call center.

Il DL 83/2012, convertito dalla Legge 134/2012, ha visto l'aggiunta in fase di conversione dell'articolo 24, dal titolo "Misure  a  sostegno  della  tutela  dei  dati  personali,  della sicurezza  nazionale,  della  concorrenza  e  dell'occupazione  nelle attività svolte da call center".

Per quanto riguarda la privacy, l'articolo richiede (sintetizzo): Quando un cittadino effettua o riceve una chiamata a/da un call center deve essere informato preliminarmente, e se il caso, sul Paese estero in cui  l'operatore con cui parla è fisicamente collocato.

Il DL è facilmente reperibile con la funzione di ricerca di www.normattiva.it.

Segnalo, su indicazione dello stesso Max Cottafavi, questo articolo dell'Istituto Italiano per la Privacy, con riflessioni critiche:
-
http://www.istitutoitalianoprivacy.it/it/decreto-sviluppo-istituto-privacy-in-parlamento-norma-sbagliata-sui-call-center/

NISTIR 7874: "Guidelines for Access Control System Evaluation Metrics"


Il NIST, a settembre 2012, ha pubblicato il report "Guidelines for Access Control System Evaluation Metrics".

Lo segnalo per due motivi: uno tecnico e uno terminologico.

Il motivo tecnico è presto detto: il rapporto presenta un elenco di requisiti che dovrebbe avere un sistema di controllo accessi. E' evidentemente rivolta agli sviluppatori e richiede un buon livello di preparazione tecnica.

Il motivo terminologico riguarda l'uso del termine "metrica". Il documento presenta come "metriche" quasi unicamente domande le cui risposte possibili sono "sì" o "no". Qui si pone un primo problema: si può parlare di "metriche", e quindi di "misurazione" come da ISO/IEC 27004, se la scala è composta da due valori discreti? A rigore, ovviamente, la risposta è sì. Tutto ciò, nel mondo non scientifico, porta al rischio di vedere inclusi nelle metriche anche valori soggettivi ("è adeguato?"; "sì"), fino a perdere di vista la differenza tra "metriche", "valutazioni su parametri oggettivi" e "valutazioni su parametri soggettivi".

Tutto ciò può portare (e sta già portando) a errori potenzialmente dannosi, come l'idea che si possa fare un'analisi dei rischi quantitativa o che il livello di sicurezza sia misurabile sulla base di valori oggettivi.

Concludo, anche se salto logico potrebbe apparire eccessivamente ampio: è un errore cercare di riportare la sicurezza a schemi rigorosamente logico-analitici: c'è anche la psicologia, di cui tenere conto. Oltre al fatto che un approccio troppo rigoroso dovrebbe tenere conto di un elevatissimo livello di complessità che mal si sposa con il fatto che la sicurezza deve essere applicata da organizzazioni fatte di persone. Quindi, promuovo il ritorno a termini meno ambiziosi di "metriche": "criteri di valutazione" andrebbe benissimo.

giovedì 20 settembre 2012

Modifiche al CAD (commento)


A settembre 2012 avevo scritto un articolo sulle modifiche al Codice dell'Amministrazione Digitale:
-
http://blog.cesaregallotti.it/2012/07/modifiche-al-codice-dellamministrazione.html

Io avevo scritto che "la Pubblica Amministrazione è invitata ad acquisire software freeware e non solo open source". Andrea Rui mi ha scritto la precisazione che segue e lo ringrazio.

Il CAD vuole specificare meglio, rispetto alla precedente edizione, che è d'obbligo (a meno di motivatissime ragioni) l'utilizzo di software che viene tecnicamente (non nel testo) identificato come FLOSS (Free/Libre Open Source Software).

Faccio questa precisazione perché il termine 'open source' non sempre implica gratuità, ed in generale il freeware è software a codice chiuso, ma disponibile gratuitamente.

Agenzia per l'Italia Digitale


Il Decreto Legge 83 del 22 giugno 2012 ("Misure urgenti per la crescita del Paese") ha sancito la chiusura di DigitPA per passarne le funzioni alle neonata Agenzia per l'Italia Digitale. Il Decreto Legge è stato convertito con modificazioni dalla Legge 134 del 7 agosto 2012.

Ricordo che DigitPA era nata a dicembre 2009 come erede del CNIPA, a sua volta erede dell'AIPA. Chissà se la catena si fermerà per un po' di tempo.

L'operazione è ovviamente lodevole, visto che promuove l'accentramento delle funzioni della Pubblica Amministrazione sull'informatizzazione.

L'articolo 20 del DL afferma che l'Agenzia prenderà le funzioni di DigitPA, eccetto "ogni altra funzione prevista da leggi e regolamenti  già  attribuita al CNIPA, nell'ambito delle direttive del Presidente del Consiglio dei Ministri o del Ministro delegato". Mi chiedo allora chi svolgerà quelle funzioni.

Ho notato con dispiacere che il sito di DigitPA non dà la notiza (cita le attività dell'Agenzia per l'Italia Digitale, ma nulla più) e non ho ancora capito se esite un sito web dell'Agenzia per l'Italia Digitale. Capisco che non ci sia, visto che è appena nata; se qualcuno avrà notizie, prego di fornirle.

Comunque, l'Agenzia ha già iniziato a lavorare sui servizi di Disaster Recovery nelle Pubbliche Amministrazioni (la pubblicazione è sul sito di DigitPA):
http://www.digitpa.gov.it/sites/default/files/Raccomandazioni_PROFILI%20MINIMI%20SERVIZI%20DI%20DR_v_2_4_0.pdf

Assicurazioni e sicurezza informatica (commenti)


A settembre ho scritto un articolo sul mercato delle assicurazioni nell'ambito della sicurezza informatica:
-
http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html

Ho ricevuto questo commento da Fabrizio Monteleone del DNV Italia: "ci sono articoli del codici civile che trattano i rischi nelle assicurazioni; in particolare il 1897 "Diminuzione del rischio". Esso afferma che se il contraente comunica all'assicuratore mutamenti che producono una diminuzione del rischio (perchè ha fatto l'analisi dei rischi, si è certificato.....), l'assicuratore deve abbassare il premio corrispondente.
Quante aziende certificate ISO/IEC 27001 o BS 25999 lo usano coi loro broker assicurativi? Come potremmo aiutarli?"

Le mie risposte sono facili:
- non so quante aziende certificate ISO/IEC 27001 o BS 25999 usano questo articolo coi loro broker assicurativi. Ho delle supposizioni, ma preferirei avere prima dei dati (se i miei lettori vorranno contribuire, ne sarò ben lieto)
- potremmo aiutarli dicendo loro questa cosa

Per leggere l'articolo del CC:
http://www.studiocataldi.it/codicecivile/assicurazione.asp

Stefano Ramacciotti ha trovato interessante il fatto che qualcuno orienti le assicurazioni a riconoscere la bontà del prodotto se sottoposto a 2700x e/o Common Criteria. Infine ragiona: "Forse... dove non poté la politica, poté il dio denaro".

European Cyber Security Month


Mi segnala Simone Tomirotti che "una volta c'era il mese della prevenzione dentale; oggi c'è l'European Cyber Security Month!"

Si tratta di ottobre 2012. Il materiale è in inglese, francese, tedesco e spagnolo. Manca l'italiano e ho un sospetto del perché non ne ho ancora sentito parlare.

Ad ogni modo, il materiale (poster, video, illustrazioni) è interessante anche per chi vuole cominciare una campagna di sensibilizzazione sulla sicurezza informatica nella propria azienda.

Il sito:
http://www.enisa.europa.eu/activities/cert/security-month

Standardizzazione: le regole del gioco


La UNI ha pubblicato il libro "Le regole del gioco", in cui sono spiegati in modo chiaro e scorrevole i processi che portano alla definizione degli standard nazionali e internazionali. Sono descritti quasi tutti i termini gergali e gli acronimi che non sempre sono facili da capire.

L'ho letto con piacere e con gusto. Ho trovato spiegate le relazioni tra UNI, UNINFO, EN, CEI e ISO; la definizione di PAS, TS e IS; la storia della normazione internazionale. Non sono neanche nascoste le difficoltà che ogni tanto emergono e le limitazioni della normazione.

La pagina ufficiale al libro "Le regole del gioco", scaricabile in pdf:
http://www.uni.com/index.php?option=com_content&view=article&id=1555

Le mie critiche ai processi di normazione:http://blog.cesaregallotti.it/2012/05/chi-partecipa-ai-comitati-iso_10.html

Architetti e ingegneri


Nel contesto dell'organizzazione aziendale, negli anni '80 e '90 del XX secolo andava di moda l'ingegneria. Schiere di consulenti promuovevano la "reingegnerizzazione" dei processi (business process reengineering; BPR); ma tantissimi progetti fallirono o ebbero grossi problemi: troppe analisi, troppa complessità nella definizione delle soluzioni, troppe difficoltà nel realizzarle, troppi soldi per i consulenti. Per tutto l'inizio degli anni 2000, non si è quasi più sentito parlare di questa materia.

In questi ultimi anni stanno prendendo la scena gli architetti e si sente parlare assai di "Enterprise architecture" (EA), soprattutto in ambito IT. I loro riferimenti sono principalmente il TOGAF e ArchiMate, ambedue mantenuti (e venduti) dal The Open Group (già dal nome, fanno capire che nel marketing sono bravi).

Ho guardato velocemente Wikipedia e quanto disponibile liberamente sul web. Mi pare che questi architetti non siano diversi dai precedenti ingegneri: tanti modelli, tanta astrazione, tanti nomi difficili, tanto approccio top-down (ossia: scrivere le procedure senza sapere cosa fa attualmente chi le dovrà applicare e, quindi, le difficoltà che avrà nell'adottarle). Immagino che ciò voglia anche dire tanti soldi per i consulenti. Consulenti che amano scrivere documenti, parlare con i dirigenti e non affaticarsi a capire cosa succede veramente tra gli operatori.

Io sono un matematico e già ho una naturale diffidenza per ingegneri e architetti. Ho anche avuto modo di imparare a fare consulenza scrivendo pochi e sintetici documenti, parlando e discutendo con gli operatori e cercando di capire visivamente i processi aziendali prima di proporre modifiche. Ho scoperto in un secondo tempo che si potrebbe apporre l'etichetta "Kaizen" a questo approccio (sarebbe comunque limitativo; il Kaizen è materia molto complessa). E ho scoperto che i miei progetti durano poco tempo, lasciano dietro di sé qualcosa (non tutto) che dura qualche annetto, mi fanno fare delle amicizie che ancora durano.

Non è pubblicità a me stesso: ci sono anche altri che la pensano come me, da cui ho imparato molto e lavorano quasi sicuramente meglio di me. Chiamateci artigiani, se volete.

Perché scrivo tutto ciò? Per dire perché studio superficialmente i modelli BPR e EA e ne diffido. Forse sbaglio, forse molti non condividono il mio punto di vista. Meno male.

- Il TOGAF:
http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html
- ArchiMate: http://www.opengroup.org/archimate/
- Il DoDAF, il modello EA del DoD USA: http://dodcio.defense.gov/dodaf20.aspx

Infine, segnalo l'articolo che mi ha spinto a scrivere questo, segnalato sul itSMF Italia Group di LinkedIn:
-
http://www.twitlonger.com/show/j63qc9?goback=.gde_43531_member_159589784

lunedì 17 settembre 2012

CERT-EU


Non sapevo che esistesse, ma la notizia sul SANS Newsbyte dice che dopo un anno di sperimentazione il CERT europeo è stato confermato in modo permanente.

Il sito mi sembra molto ricco di informazioni, forse fin troppe.

Per chi fosse interessato:
http://cert.europa.eu

mercoledì 12 settembre 2012

10 steps to cyber security: la guida del UK GCHQ


Dalla newsletter del SANS, si ha la notizia che il UK Government Communications Headquarters ha attivato il programma "Cyber security guidance for business". Nella pagina dedicata si trovano alcune guide certamente interessanti. Nulla di nuovo, ma il promotore è degno di nota:
-
http://www.bis.gov.uk/policies/business-sectors/cyber-security/downloads

martedì 11 settembre 2012

Garante privacy: regole per le scuole


Il Garante Privacy ha pubblicato un opuscolo con le regole applicabili alle scuole.

La maggior parte sembrano regole di buon senso.

Ringrazio Daniela Quetti della DFA per la segnalazione:
- la pagina del Garante:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1922676

giovedì 30 agosto 2012

Guida alla sicurezza informatica personale


Dal blog Over Security ho avuto la notizia della pubblicazione di "Il giornalista Hacker. Piccola guida per un uso sicuro e consapevole della tecnologia" di Giovanni Ziccardi.

Un pdf di 36 pagine con riportati, tra gli altri, gli strumeni utili per cifrare i propri dati, navigare in modo anonimo su Internet, cancellare in modo sicuro i file.

Il link:
- blog.marsilioeditori.it/files/2012/04/Il_giornalista_hacker.pdf

Qualche tool per analizzare la sicurezza


Io seguo da diversi mesi e con interesse il blog Over Security. E' dedicato maggiormente alla tecnologia rispetto al mio, ma è spesso interessante.

Il blog segnala anche diversi strumenti per la verifica tecnologica della sicurezza. Io ho raccolto alcune segnalazioni e, pur senza averle mai testate, mi sento di elencarle:
- W3af (Web Application Attack and Audit Framework) è un web scanner dedicato alla sicurezza delle applicazioni Web; il sito ufficiale è
http://sourceforge.net/projects/w3af/; sono convinto che gli sviluppatori di applicazioni web dovrebbero imparare ad usarlo oppure utilizzare altri prodotti simili (cosa che spesso non succede)
- Nessus è il più famoso strumento di analisi della rete e ora è disponibile la verisione 5; il sito è www.nessus.org
- Nmap, il famoso software di port scanning, è ora alla versione 6; il sito web è
http://nmap.org/6/
- WPA tester: un simpatico strumento Android da utilizzare nel caso in cui abbiate perso la chiave della vostra wi-fi (ehm ehm ehm); mi piacerebbe averlo per pc (solo perché ogni volta che perdo la chiave della mia wi-fi non ho voglia di fare copia incolla dal cellulare al pc); il sito è https://carlomandroid.wordpress.com/download-wpa-tester/

Modifiche alla normativa sul Segreto di Stato


Dal blog Over Security apprendo che è stata approvata la Legge 133 del 2012 che modifica la Legge 124 del 2007, quella sul Segreto di Stato (il titolo è "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto").

Le modifiche non mi sembrano rilevanti per le finalità delle imprese private.

E' possibile leggere il testo su
www.normattiva.it.
E' anche possibile leggere il comunicato dell'AdnKronos:
-
http://www.adnkronos.com/IGN/News/Politica/Servizi-segreti-Senato-approva-la-riforma-e-legge_313560499627.html

Pubblicata la ISO/IEC 20000-3:2012


Dall'ITSM (ITIL) Professionals Group Members di LinkedIn ho avuto notizia, poi confermata dal sito ISO, che il 14 agosto è stata pubblicata la nuova versione della ISO/IEC 20000-3 "Guidance on scope definition and applicability of ISO/IEC 20000-1".

Come noto, la ISO/IEC 20000-1 può essere applicata a tutti i fornitori di servizi IT, ma non tutti possono conformarsi completamente a tutti i suoi requisiti. Questo perché, per ottemperare a tutti i requisiti, è necessario avere il pieno governo di tutti i processi descritti dalla norma e quando si utilizzano fornitori esterni non sempre è possibile.

La norma descrive quindi i criteri da utilizzare per comprendere se un'organizzazione (o parte di essa) può essere conforme a tutta la ISO/IEC 20000-1.

La norma non si limita però a questo e fornisce anche ulteriori utili requisiti per condurre delle verifiche ad un sistema di gestione dei servizi IT.

Rispetto alla precedente versione del 2009, questa è stata completamente riscritta, presenta più esempi e prende in carico le esperienze accumulate in questi anni.

mercoledì 29 agosto 2012

Assicurazioni e sicurezza informatica


L'ENISA, il 28 giugno, ha pubblicato lo studio "Incentives and barriers of the cyber insurance market in Europe". E' possibile scaricarlo dalla pagina ufficiale (io ne ho avuto notizia dalla newsletter del Clusit):
-
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/incentives-and-barriers-of-the-cyber-insurance-market-in-europe

Lo studio è molto interessante e provo di seguito a fornirne alcuni spunti.

I rischi di sicurezza informatica rispondono alle caratteristiche dei modelli di assicurazione e, pertanto, potrebbero essere oggetto di polizze.

Nonostante ciò, il mercato delle assicurazioni per la ciber-sicurezza in Europa non è maturo. I motivi individuati sono i seguenti:
- non ci sono sufficienti dati attuariali (ma questo non ha impedito di avviare il mercato delle assicurazioni sull'inquinamento delle piattaforme petrolifere, sul danno ai satelliti, sulle controversie di lavoro);
- le perdite potenziali sono incerte: anche perché i danni maggiori sono dovuti al valore di beni intangibili (le informazioni), per i quali non sono disponibili metodi di valutazione
- ci sono difficoltà a comprendere quali rischi assicurare (attacchi criminali, attacchi terroristici, rotture di apparecchiature, perdita di dati), a loro volta non sempre facili da distinguere in caso di incidente
- le innovazioni tecnologiche non permettono di fare previsioni basate su casi precedenti
- difficoltà a definire quale possa essere il limite superiore delle perdite da assicurare; a questo aspetto sono collegate le caratteristiche di "interdipendenza della sicurezza" (il livello di rischio non dipende solo dalle carattersitiche dell'assicurato, ma anche di altri quali partner, fornitori vari, eccetera) e di "rischi correlati" (un singolo evento può danneggiare più assicurati o essere talmente distruttivo da richiedere un risarcimento non conveniente per l'assicuratore)
- ridotta visibilità sull'efficacia delle misure di sicurezza (lo studio tratta anche delle certificazioni ISO/IEC 27001 e Common Criteria; io ritengo anche che ogni meccanismo è difficile da valutare);
- la percezione che i prodotti assicurativi ora disponibili sono sufficienti per i potenziali assicurati (tranne poi scoprire che non è così al momento della richiesta di risarcimento)
- il possibile "azzardo morale", per cui l'assicurato non realizza un buon livello di prevenzione perché si sente già coperto dall'assicurazione
- collegato a questa, c'è la possibilità che l'assicurato, a fronte di un incidente, investa in campagne di comunicazione per ridurre il danno consequenziale o secondario (di immagine), non occupandosi delle cause per cui si è verificato l'incidente e lasciando quindi aperte delle vulnerabilità
- la possibile "selezione avversa", ossia il fatto che la disponibilità di informazioni per calcolare il premio è assimetrica: il potenziale assicurato non fornisce tutti i dati a sua disposizione all'assicuratore (io aggiungo che forse neanche li ha)
- mancanza di meccanismi di ri-assicurazione, ossia della possibilità per l'assicuratore di assicurarsi a sua volta nel caso in cui riceva numerose richieste di risarcimento nello stesso momento (fatto che può capitare in occasione di certi attacchi o eventi naturali)

Si aggiunge che il Lloyds ha dichiarato che il mercato delle ciber-assicurazioni è in crescita (ma chissà quanto questa dichiarazione ha fini pubblicitari) e potrebbe avere una spinta dal futuro Regolamento UE sulla privacy che richiede di notificare ogni violazione alle autorità preposte.

Concludo scivolando sul personale: sul rapporto ho trovato che "la sicurezza quantitativa (uno dei pezzi fondamentali per le assicurazioni) è supportata da metodi di validità non chiara, secondo alcuni studi recenti" e cita un articolo del 2009. Io lo dico almeno dal 2002 che non è possibile quantificare la sicurezza: non è difficile arrivarci, basta aver fatto almeno un'analisi dei rischi. Purtroppo, anche recentemente, ho avuto alcune discussioni con chi sosteneva la possibilità di fare analisi quantitative.

martedì 28 agosto 2012

Conservazione delle registrazioni


Finalmente, causa anche mia pigrizia, ho trovato i punti normativi per cui la documentazione contabile debba essere conservata per almeno 10 anni: si tratta dell'articolo 2220 del Codice Civile che recita:
<< Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione.
- Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti.
- Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti.>>

Questo è quanto ho trovato su
http://www.studiocataldi.it/codicionline.asp.

Ho trovato questo riferimento in un dossier de Il Mondo (segnalatomi da Franco Ferrari del DNV), che riporta una comunicazione commerciale dell'azienda Faber System dal titolo "meglio conservare le e-mail". Io penso che l'articolo in questione (anche richiamato dall'articolo 22 della Legge 600 del 1973) faccia riferimento alle sole scritture contabili e non bisognerebbe esagerare. Penso anche che i documenti aziendali non dovrebbero essere conservati nelle caselle di posta, ma in altri archivi.

POST SCRIPTUM

Aggiorno questo articolo su una segnalazione che mi è arrivata che riporto di seguito.

Il Codice Civile riporta anche i seguenti articoli:
- art. 2946 "prescrizione ordinaria": salvi i casi in cui la legge dispone diversamente, i diritti si estinguono per prescrizione con il decorso di dieci anni;
- art. 2945 "Effetti e durata dell'interruzione": per effetto dell'interruzione s'inizia un nuovo periodo di prescrizione.

L'art 2945 è particolarmente insidioso; infatti sottointende che se si interrompe la conservazione (per esempio si estrae un documento per fornirlo ad un cliente) si riparte con il periodo di 10 anni.

Inoltre per le banche vale ciò che indica il Testo Unico Bancario (d. lgs n.385 del 1 settembre 1993) all'art. 119 "Comunicazioni periodiche alla clientela" che il cliente ha «diritto di ottenere, a proprie spese, entro un congruo termine e comunque non oltre novanta giorni, copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni.»

Oracle non corregge una vulnerabilità


Oracle ha deciso di non correggere una vulnerabilità al TNS listener presente nelle versioni 10g e 11g del proprio database. Gli utenti sono quindi invitati ad adottare il workaround descritto in un Security Alert.

Oracle ha detto chiaramente che la correzione costerebbe troppo:
-
http://www.h-online.com/security/news/item/No-patch-for-critical-Oracle-database-vulnerability-1649106.html

Ecco le lezioni che si traggono da questa notizia:
- in ambito ITIL e ISO/IEC 20000: un ottimo esempio per spiegare le definizioni di workaround, problema, known error e soluzione di un problema
- in ambito sicurezza: un ottimo esempio del fatto che non è possibile accontentarsi dei patch e dei fix pubblicati dai produttori, ma è anche necessario leggere i bollettini, le newsletter e i security alert per vedere se ci sono dei workaround da adottare.

Ringrazio Vito Losacco che mi ha inoltrato la newsletter Minded Security Early Warning del Minded Security Research Lab su cui era riportata questa notizia.

lunedì 27 agosto 2012

Attack Surface Analyzer 1.0 della Microsoft


La Microsoft ha rilasciato il tool Attack Surface Analyzer. Questo è uno strumento gratuito che analizza le applicazioni e segnala se introducono vulnerabilità nei sistemi Windows.

Lodevole iniziativa che, come anche indicato dalla newsletter SANS NewsBites, ha due facce: da una parte mette a disposizione uno strumento che si spera sia adottato, dall'altra parte potrebbe avallare l'idea che la sicurezza possa essere verificata alla fine dello sviluppo (e non anche prima e durante).

Il link:
-
https://blogs.msdn.com/b/sdl/archive/2012/08/02/attack-surface-analyzer-1-0-released.aspx

Garante privacy: comunicazione delle violazioni di dati personali


Riporto pari pari la segnalazione che ha fatto Daniela Quetti di Lombardia Informatica.

Segnalo che l'Autorità Garante per la Protezione dei dati personali ha aperto la consultazione pubblica per le Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali:
-
http://www.garanteprivacy.it/garante/doc.jsp?ID=1915485

Seppur ad oggi è previsto l'obbligo di comunicazione delle violazioni per soli fornitori di servizi telefonici e di accesso a Internet, penso sia importante una lettura dato che, la riforma della legislazione comunitaria prevederà probabilmente tale obbligo per tutti i titolari e certamente queste linee rappresentano l'orientamento verso cui si sta andando.

Spero che dopo a consultazione, ci saranno dei riferimenti più precisi rispetto alle variabili da considerare per decidere se una violazione è meritevole o meno di comunicazione (in particolare viste le sanzioni per omessa o ritardata comunicazione).

TAR di Puglia: se il documento non è firmato digitalmente


Se ho capito correttamente la notizia (riportata dalla newsletter DFA): l'Azienda Sanitaria Locale Barletta Andria Trani emette una richiesta di offerta a cui è necessario rispondere attraverso una specifica procedura telematica alla quale si può accedere solo con user-id e PIN personali; il vincitore si vede successivamente escluso perché l'offerta non era firmata digitalmente. Ovviamente, l'accesso attraverso user-id e password personali può essere considerato come forma di firma elettronica, ma non equivalente alla sottoscrizione, richiesta dalla normativa vigente.

La sentenza:
http://www.giustizia-amministrativa.it/DocumentiGA/Bari/Sezione%201/2011/201100350/Provvedimenti/201201019_01.XML

Il commento: http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2798

ACTA: bocciato dalla UE


Dalla newsletter di DFA trovo la notizia sulla bocciatura da parte del Parlamento UE dell'accordo ACTA per l'anti-pirateria. Da quanto avevo letto in merito, sembra che abbiamo evitato una legge repressiva.
-
http://www.bbc.co.uk/news/technology-18704192
- http://www.wired.com/threatlevel/2012/07/eu-kills-acta

Sono il primo a voler vedere garantiti i diritti economici di quanti creano e producono opere d'arte, mi parrebbe giusto. Ma la normativa proposta sembrava decisamente repressiva. Inoltre, è anche opportuno chiarire quanto sia difficile, oggi, trovare e-book, film e telefilm se non si ha l'hardware specifico di Amazon, Barnes & Nobles o Apple. Per le altre piattaforme, l'offerta è notevolmente meno vasta e più dispersa; per avere un livello di offerta simile ad Amazon (che richiede di usare solo le sue piattaforme) o ad Apple (idem), bisogna rivolgersi a eMule o al circuito Torrent. E allora: che le società produttrici di intrattenimento si diano come priorità la creazione di un mercato degno di questo nome.

Tribunali e Dropbox


Mi hanno segnalato che la consegna agli avvocati delle copie dei fascicoli della Procura del Tribunale di Pisa avviene attraverso Dropbox dopo opportuna richiesta dell'avvocato stesso.

Trovate conferma al link
http://www.procura.pisa.it/rilascio_digitale.aspx e poi leggendo il "Modulo di adesione al servizio di rilascio copie atti in formato digitale".

La cosa, inizialmente, mi ha lasciato perplesso. Però poi ho pensato queste cose:
- l'uso di DropBox coinvolge solo un fornitore esterno contro i due della mail (uno per mittente e uno per destinatario, senza contare i partner intermedi utilizzati per la trasmissione)
- DropBox obbliga ad avere una connessione cifrata verso il server, cosa che non sempre succede con l'email
- il Tribunale potrebbe comunque gestire le connessioni verso i propri sistemi informatici, ma non è detto che i propri sistemisti siano più affidabili di quelli di DropBox (a meno che non si soffra della sindrome di Fort Apache)
- se il Tribunale gestisse delle connessioni verso sistemi interni, difficilmente potrebbe gestire le credenziali in modo più efficiente e efficace di quanto non faccia DropBox
- DropBox soddisfa i criteri di privacy previsti dalla nostra normativa (aderisce a Safe Harbour, come mi ha segnalato Valerio Vertua, Legal & Privacy Director di CSA)

Alla fine, ho concluso che DropBox è un'ottima soluzione per la consegna di documenti tra aziende diverse, anche riservati. Potrei anche non avere considerato qualche cosa e per questo attendo contributi dai miei lettori.

Una sola cosa mi ha lasciato perplesso: se il Tribunale sta usando DropBox in modalità gratuita, cosa succederà quando avrà superato i 2 GB di capacità (i fascicoli, se poi hanno fotografie, mi immagino possano essere anche pesanti)? Viste le complesse procedure seguite dalla Pubblica Amministrazione per i pagamenti, non oso immaginarlo.

sabato 28 luglio 2012

Modifiche al Codice dell'Amministrazione Digitale


Il Decreto Semplificazioni (DL 5 del 2012, poi convertito e modificato dalla Legge 35 del 2012, ha anche modificato il Codice dell'Amministrazione Digitale.

Le modifiche hanno impatto maggiormente sui rapporti con la Pubblica Amministrazione:
- la messa a disposizione di una piattaforma di interoperabilità tra Pubblica Amministrazione e prestatori di servizi di pagamento
- l'obbligo di permettere i pagamenti alla Pubblica Amministrazione anche via bonifico
- ulteriori obblighi alla Pubblica Amministrazione ad usare gli strumenti informatici, inclusa la PEC, per le comunicazioni anche con i cittadini
- è stato chiarito meglio che la Pubblica Amministrazione è invitata ad acquisire software freeware e non solo open source
- l'obbligo per i piccoli Comuni a concentrare con altri enti i servizi IT a scopo risparmio

Maggiori dettagli sul numero 02 del 2012 di IGED:
www.omat360.it/iged-ultimo

ISO/IEC 20000-1 in italiano


Questo mese, la UNI ha pubblicato la traduzione in italiano della ISO/IEC 20000-1:2011. Visto che la traduzione è di quest'anno, la norma prende il codice UNI CEI ISO/IEC 20000-1:2012 e titolo "Tecnologie informatiche - Gestione del servizio - Parte 1: Requisiti per un sistema di gestione del servizio".

Non c'è nulla da dire oltre a quanto ho già scritto in occasione dell'uscita della versione in inglese:
http://blog.cesaregallotti.it/2010/12/20000-1isoiecfdis.html

Sulla traduzione italiana, dico solo che avrei usato più spesso il plurale laddove in inglese è stato usato il singolare e in italiano è stato mantenuto. In altre parole, avrei iniziato dal titolo utilizzando "Tecnologie informatiche - Gestione dei servizi - Parte 1: Requisiti per un sistema di gestione dei servizi". Mi suona buffo e inappropriato parlare di "Gestione del problema", "Gestione dell'incidente" e così via. Così come si sembra buffo e inappropriato parlare di "sicurezza dell'informazione". Dovrei chiedere ad un inglese cosa ne pensa.

Detto ciò, potete acquistare la norma in italiano presso l'UNI Store:
http://store.uni.com/

sabato 7 luglio 2012

Anonimizzare i documenti

Pasquale Stirparo della DFA ha segnalato un link ad una sentenza pubblicata dopo "anonimizzazione":
-
http://www.oppic.it/index2.php?option=com_docman&task=doc_view&gid=467&Itemid=60
LOL

Se non lo trovate più in rete, ve lo inoltro.

venerdì 6 luglio 2012

Classificazione incidenti

Su @ISACA Volume 14 del 3 luglio 2012 è riportata un'interessante classificazione degli incidenti di sicurezza (così, anche coloro che vogliono distinguere tra "incidenti" e "incidenti di sicurezza" possono sentirsi soddisfatti):
-
http://isaca.informz.net/z/cjUucD9taT0yNDcxNjk2JnA9MSZ1PTEwMjAwOTQ5NDUmbGk9MTIyOTU2NTk/index.html

Per i pigri, le classificazioni sono le seguenti:
- Accesso non autorizzato
- Denial of Service
- Malware
- Uso improprio
- Scansioni - Tentativi di accesso non autorizzato

Viene riportato un'ulteriore classificazione: "Investigazione", per i casi non ancora diagnosticati.

giovedì 28 giugno 2012

Cassazione su videosorveglianza

La Cassazione Penale, con Sentenza 22611 del 11 giugno 2012, ha stabilito che la videosorveglianza presso i luoghi di lavoro è legittima se il lavoratore ha prestato il proprio consenso.

La Cassazione ha basato la propria decisione considerando che lo Statuto dei Lavoratori tutela verso forme "subdole di sorveglianza". A mio modesto parere, ha dimenticato che tutela anche verso forme palesi ma eccessive di sorveglianza, richiedendo pertanto che siano autorizzate da organismi di categoria e non dai singoli lavoratori, i cui rapporti di forza con il datore di lavoro sono necessariamente squilibrati.

Questo non per fare polemica sindacale, ma per segnalare come questa interpretazione della Cassazione vada presa con le dovute cautele.

La notizia:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3810

mercoledì 20 giugno 2012

Esami di maturità e sicurezza

Sandro Sanna mi segnala questa ANSA dal titolo "Miur, hacker? 3 anni per decriptare chiave - Nessuna preoccupazione su ipotesi di eventuali assalti di pirati informatici" e si chiede: "sembra il lancio di una sfida... no?".
-
http://www.ansa.it/web/notizie/maturita2012/news/2012/06/18/Miur-hacker-3-anni-decriptare-chiave-_7057957.html

Condivido il dubbio, anche se questa mattina (20 giugno) alla radio hanno detto che è andato tutto bene.

Mi sono fatto altre due domande:
- dicono che "la chiave è di 25 caratteri e può essere decifrata in 3 anni"; come è stato calcolato il tempo di tre anni?
- dopo anni di studi e di ricerche su come gestire lo scambio delle chiavi, il MIUR la scambia rendendola disponibile sul proprio sito web, al TG1 e su Televideo; nel futuro saranno adottate altre tecniche più conformi allo stato dell'arte in materia, con uso di algoritmi crittografici asimmetrici? (immagino di no: forse il metodo seguito, ancorché non tecnologicamente affascinante, è forse il più efficace)

Sono contento che sia andato tutto bene per la prova di italiano (anche se non mi piace la parola "decriptare").

Il mercato delle vulnerabilità

Segnalo questo articolo della newsletter Crypto-gram di Bruce Scheneir dal titolo "The Vulnerabilities Market and the Future of Security":
-
https://www.schneier.com/blog/archives/2012/06/the_vulnerabili.html

In poche parole, Bruce Schneier segnala la crescita del mercato delle vulnerabilità: diverse organizzazioni, incluse quelle governative, si stanno attrezzando per comprare vulnerabilità non ancora note e corrette per poi utilizzarle in segreto.

Questo ha due gravi conseguenze: la prima è che, ora, chi trova vulnerabilità non è più incentivato a segnalarle al produttore del software affinché le corregga e renda Internet più sicura; la seconda è che ci potrebbero essere sviluppatori invogliati a creare vulnerabilità nei software che producono.

domenica 17 giugno 2012

LinkdIn non ha né CIO né CISO

Andrea Rui mi ha segnalato, questo articolo dal titolo "LinkedIn Has Neither CIO nor CISO".

L'articolo è conseguente a quanto successo a inizio giugno 2012 con il furto delle password di molti utenti del social network (ecco il mio post in proposito:
http://blog.cesaregallotti.it/2012/06/furto-delle-password-da-linkedin.html).

L'articolista è scandalizzato dal fatto che LinkedIn non abbia un Chief information officer né un Chief information security officer. Io invece non critico questa impostazione: meglio attribuire direttamente la responsabilità alla direzione, piuttosto che avere un pupazzo con il titolo altisonante di CIO, CISO, "capo xxx", "manager yyy", con la sola funzione di dire qualcosa sulla sicurezza e fare da capo espiatorio in caso di incidente.

L'articolo:
-
http://www.govinfosecurity.com/blogs/linkedin-has-neither-cio-nor-ciso-p-1289?goback=.gna_60173

venerdì 15 giugno 2012

Usare il cloud in sicurezza - Una mia presentazione

Il 24 gennaio tenni un intervento dal titolo "Usare il Cloud in sicurezza: spunti tecnici" per il "Cloud seminar" organizzato da Assintel a Milano il 24 gennaio 2012.

E' un riassunto delle cose già dette in diversi contesti sulla materia, seguito da qualche mia riflessione in merito a tutto questo parlare di cloud e non parlare del resto.

La presentazione è ora pubblicata sul mio sito web:
-
http://www.cesaregallotti.it/Pdf/Pubblicazioni/2012-Presentazione-Cloud.pdf

VERA 3.0 ITA

Dopo aver ricevuto qualche richiesta, ho tradotto VERA in italiano. Fanno eccezione i titoli dei controlli della 27001, perché la traduzione ufficiale in italiano non mi convince appieno.

Ho colto l'occasione anche per cambiare parecchie cose, tra cui:
- le istruzioni sono cambiate
- ora le caselle di incrocio tra controllo e minaccia non riportano solo la "X", ma il livello di rischio calcolato
- nel foglio principale, sull'estrema sinistra si trova il livello di rischio corrispondente ad ogni singolo controllo

Rimane sempre un metodo non user-friendly (o non stupid-proof, se volete...), ossia per persone abbastanza esperte della materia. Per renderlo più fruibile, è comunque possibile modificarlo un po' senza troppa fatica.

Lo potete scaricare da questo link:
-
http://www.cesaregallotti.it/Pdf/Pubblicazioni/2012-VERA-3.0-ITA.xls