Il COSO Internal Control Framework è il punto di riferimento (per lo meno, nominale) per la progettazione, realizzazione e valutazione di controlli efficaci per le attività di business. Ovviamente, fa riferimento alla tecnologia. Esso è molto citato da chi si occupa di IT (è molto celebre il "cubo"), quando si lascia intendere che il business deve essere controllato secondo i principi del COSO Internal Control Framework e l'IT dal CobiT e le due attività devono essere tra loro connesse.
Il COSO ha pubblicato il draft per commenti:
- http://www.ic.coso.org/pages/exposure-draft.aspx
Il controllo interno deve seguire 17 principi, a loro volta collegati ai 5 componenti di controlli interni: ambiente di controllo, risk assessment, attività di controllo, comunicazione, monitoraggio.
La futura versione del COSO Internal Control Framework è destinata a sostituire quella attualmente in vigore, datata 1992 (20 anni!).
Il COSO, nel 2004, ha pubblicato anche il "Enterprise Risk Management - Integrated Framework". Secondo quanto dichiarato dal COSO stesso, "l'enterprise risk management è più ampio del controllo interno, perché espande e approfondisce il controllo interno e si focalizza maggiormente sui rischi".
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
sabato 25 febbraio 2012
martedì 21 febbraio 2012
Tool di computer forensics
Dalla newsletter di Marco Mattiucci, segnalo il rilascio della DEFT 7, un toolkit (made in Italy) destinato ad operare nel Computer Forensics, Mobile Forensics, Network Forensics, Incident Response e Cyber​Intelligence:http://www.deftlinux.net/2012/01/31/deft-7-ready-for-download/
Pasquale Stirparo, della DFA, ha segnalato ai soci una "Crazy good list of free computer forensic tools":http://forensiccontrol.com/resources/free-software/
In tutti i casi, rimane la regola aurea: non usateli per scopi "reali" se non avete l'adeguata competenza tecnica e legale e una buona esperienza anche a seguito di affiancamenti.
Pasquale Stirparo, della DFA, ha segnalato ai soci una "Crazy good list of free computer forensic tools":http://forensiccontrol.com/resources/free-software/
In tutti i casi, rimane la regola aurea: non usateli per scopi "reali" se non avete l'adeguata competenza tecnica e legale e una buona esperienza anche a seguito di affiancamenti.
venerdì 17 febbraio 2012
BYOD - Bring your own device
Il tema del BYOD (gli utenti aziendali che usano i propri strumenti informatici personali per svolgere attività lavorativa) mi ha sempre interessato. Venendo dai tempi in cui non era lecito usare gli strumenti aziendali per finalità personali, mi sorprende questa tendenza di volere usare gli strumenti personali per finalità aziendali.
Sempre più vedo manager (e non manager) compulsare la propria mail o scrivere documenti su tablet quasi sicuramente personali. Mi chiedo se abbiano configurato una password di accesso (dubito, vista la velocità con cui rispondono alle telefonate), se i dati siano cifrati, eccetera.
IBM, tra gli altri, propone una sua soluzione:
- http://www.bitmat.it/articolo.php?aId=0000091292&cId=46&cpId=20&n=IBM%2Bpropone%2Bun%2Bnuovo%2Bsoftware%2Bper%2Bi%2Bdispositivi%2Bmobili%2Bsul%2Bluogo%2Bdi%2Blavoro
Non voglio fare pubblicità a IBM o ad altri, ma questo è un argomento che seguo da dicembre 2010 (http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html), ho visto questa segnalazione nel gruppo Clusit di LinkedIn, in questi 14 mesi ho visto crescere veramente il fenomeno e ho colto l'occasione per ribadirlo.
Sempre più vedo manager (e non manager) compulsare la propria mail o scrivere documenti su tablet quasi sicuramente personali. Mi chiedo se abbiano configurato una password di accesso (dubito, vista la velocità con cui rispondono alle telefonate), se i dati siano cifrati, eccetera.
IBM, tra gli altri, propone una sua soluzione:
- http://www.bitmat.it/articolo.php?aId=0000091292&cId=46&cpId=20&n=IBM%2Bpropone%2Bun%2Bnuovo%2Bsoftware%2Bper%2Bi%2Bdispositivi%2Bmobili%2Bsul%2Bluogo%2Bdi%2Blavoro
Non voglio fare pubblicità a IBM o ad altri, ma questo è un argomento che seguo da dicembre 2010 (http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html), ho visto questa segnalazione nel gruppo Clusit di LinkedIn, in questi 14 mesi ho visto crescere veramente il fenomeno e ho colto l'occasione per ribadirlo.
Materiale Convegno AIEA settembre 2011
L'AIEA ha messo a disposizione sul suo sito il materiale del convegno del 29 e 30 settembre 2011:
- http://www.aiea.it/html/pqwert3256_29_settembre_2011.html
- http://www.aiea.it/html/ytrew87bvc_30_settembre_2011.html
Non ho trovato molto interessanti le slides della seconda giornata (cloud e social network). Invece segnalo quelle della prima giornata:
- "Sistemi di pagamento elettronici" di Domenico Gammaldi di Banca d'Italia, con riferimenti alla normativa vigente in Italia in materia
- "Infrastrutture critiche" di Daniele Perucchini - Fondazione Ugo Bordoni, con riportata la situazione attuale in materia
- "La sicurezza ICT e la protezione delle infrastrutture critiche" di Glauco Bertocchi di Isaca Roma, un articolo su SCADA e i sistemi di controllo di processo.
Buona lettura.
- http://www.aiea.it/html/pqwert3256_29_settembre_2011.html
- http://www.aiea.it/html/ytrew87bvc_30_settembre_2011.html
Non ho trovato molto interessanti le slides della seconda giornata (cloud e social network). Invece segnalo quelle della prima giornata:
- "Sistemi di pagamento elettronici" di Domenico Gammaldi di Banca d'Italia, con riferimenti alla normativa vigente in Italia in materia
- "Infrastrutture critiche" di Daniele Perucchini - Fondazione Ugo Bordoni, con riportata la situazione attuale in materia
- "La sicurezza ICT e la protezione delle infrastrutture critiche" di Glauco Bertocchi di Isaca Roma, un articolo su SCADA e i sistemi di controllo di processo.
Buona lettura.
martedì 14 febbraio 2012
Certificati digitali invalidati?
La notizia è che le firme digitali utilizzate da ottobre 2011 da noi utenti potrebbero essere non ritenute valide. Il motivo è che per la generazione dei certificati digitali (e, quindi, per garantire la validità della firma digitale) è necessario utilizzare dei meccanismi certificati dall'OCSI. Ovviamente, come al solito, Le scadenze sono state di volta in volta posticipate fino ad arrivare al pasticcio. Ora sembra che solo i certificati rilasciati da un unico operatore siano validi. E gli altri?
L'articolo del Corriere della Sera:
- http://archiviostorico.corriere.it/2012/gennaio/23/pasticcio_delle_firme_digitali_ce_0_120123076.shtml
L'articolo di pc professionale:
- http://www.pcprofessionale.it/2012/01/27/il-far-west-delle-firme-digitali-8-milioni-di-certificati-fuorilegge/
Il commento dello Studio Legale Lisi:
- http://www.studiolegalelisi.it/notizia.php?titolo_mod=376_Il_pasticcio_italiano_dei_dispositivi_automatici_di_firma__le_firme_digital
Insomma, di qualunque materia si tratti, pare che le certificazioni non siano sempre apprezzate dalle aziende italiane...
La notizia me l'ha data mio padre per primo, Franco Ferrari del DNV poi e infine Daniela Quetti della DFA. L'ho trovata anche sulla newsletter dello Studio Legale Lisi.
L'articolo del Corriere della Sera:
- http://archiviostorico.corriere.it/2012/gennaio/23/pasticcio_delle_firme_digitali_ce_0_120123076.shtml
L'articolo di pc professionale:
- http://www.pcprofessionale.it/2012/01/27/il-far-west-delle-firme-digitali-8-milioni-di-certificati-fuorilegge/
Il commento dello Studio Legale Lisi:
- http://www.studiolegalelisi.it/notizia.php?titolo_mod=376_Il_pasticcio_italiano_dei_dispositivi_automatici_di_firma__le_firme_digital
Insomma, di qualunque materia si tratti, pare che le certificazioni non siano sempre apprezzate dalle aziende italiane...
La notizia me l'ha data mio padre per primo, Franco Ferrari del DNV poi e infine Daniela Quetti della DFA. L'ho trovata anche sulla newsletter dello Studio Legale Lisi.
venerdì 10 febbraio 2012
Il D.L. Crescita Italia diventa Legge
Con la Legge 214 del 22 dicembre 2011, il Decreto Legge 201/2011 «Disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici.» è stato convertito in Legge, con modificazioni.
I punti di interesse:
- art.29-bis: introduce, all'articolo 68 del Codice dell'Amministrazione Digitale (Dlgs 82 del 2005), la categoria del software libero accanto ai programmi a codice sorgente aperto tra le opzioni che hanno le PA per scegliere i programmi informatici
- art. 40 comma 2: esclude dall'applicabilità del Codice Privacy le persone giuridiche, enti e associazioni (aumentando l'impatto di quanto già stabilito dal DL 70 del 2011, convertito in Legge dalla Legge 106 del 2011).
(Su segnalazione di Daniela Quetti della DFA)
I punti di interesse:
- art.29-bis: introduce, all'articolo 68 del Codice dell'Amministrazione Digitale (Dlgs 82 del 2005), la categoria del software libero accanto ai programmi a codice sorgente aperto tra le opzioni che hanno le PA per scegliere i programmi informatici
- art. 40 comma 2: esclude dall'applicabilità del Codice Privacy le persone giuridiche, enti e associazioni (aumentando l'impatto di quanto già stabilito dal DL 70 del 2011, convertito in Legge dalla Legge 106 del 2011).
(Su segnalazione di Daniela Quetti della DFA)
giovedì 9 febbraio 2012
DPS addio? - Secondo tentativo riuscito! (ma meglio stare attenti ancora un po')
E' stato pubblicato in Gazzetta Ufficiale il D.L. n. 5 del 2012 "Disposizioni urgenti in materia di semplificazione e di sviluppo" dove, all'articolo 45, viene eliminato il DPS.
Ovviamente, per essere sicuri sicuri, dovremo aspettarne la Legge di conversione, che potrebbe recare modifiche o farlo decadere. Dovremo aspettare al massimo 60 giorni per avere certezze al 100%. E quindi le certezze potrebbero arrivare dopo il 31 marzo, data di "scadenza" per i DPS... chissà se conviene farlo o no?
Altri miei commenti (in cui dico che per alcuni è comunque meglio farlo, per altri no):
- http://blog.cesaregallotti.it/2012/01/dps-addio-secondo-tentativo-quasi.html
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Il sito della Gazzetta Ufficiale (ma sarà disponibile solo per 60 giorni):
- http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2012-02-09&task=dettaglio&numgu=33&redaz=012G0019&tmstp=1328822562622
Il sito del Comune di Jesi con le Gazzette Ufficiali (cercare il Supplemento Ordinario della GU n. 33 del 9-2-2012)
- http://gazzette.comune.jesi.an.it/2012/febbraio.htm
Normattiva, ancora, lo dà come "non esistente o vigente"
Grazie a Daniela Quetti che, via mailing list della DFA, me l'ha comunicato.
Ovviamente, per essere sicuri sicuri, dovremo aspettarne la Legge di conversione, che potrebbe recare modifiche o farlo decadere. Dovremo aspettare al massimo 60 giorni per avere certezze al 100%. E quindi le certezze potrebbero arrivare dopo il 31 marzo, data di "scadenza" per i DPS... chissà se conviene farlo o no?
Altri miei commenti (in cui dico che per alcuni è comunque meglio farlo, per altri no):
- http://blog.cesaregallotti.it/2012/01/dps-addio-secondo-tentativo-quasi.html
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Il sito della Gazzetta Ufficiale (ma sarà disponibile solo per 60 giorni):
- http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2012-02-09&task=dettaglio&numgu=33&redaz=012G0019&tmstp=1328822562622
Il sito del Comune di Jesi con le Gazzette Ufficiali (cercare il Supplemento Ordinario della GU n. 33 del 9-2-2012)
- http://gazzette.comune.jesi.an.it/2012/febbraio.htm
Normattiva, ancora, lo dà come "non esistente o vigente"
Grazie a Daniela Quetti che, via mailing list della DFA, me l'ha comunicato.
mercoledì 8 febbraio 2012
Pubblicata la ISO/IEC 27007
E' stata pubblicata la ISO/IEC 27007 dal titolo "Guidelines for information security management systems auditing". E' un'estensione della ISO 19011, applicabile agli audit di prima e seconda parte.
Non aggiunge molto rispetto ai requisiti della ISO 19011 e da questo punto di vista non è interessante. Può essere però interessante la lettura dell'allegato A (informativo) "Practice Guidance for ISMS Auditing", dove è quasi proposto un manuale di auditing molto dettagliato.
Non aggiunge molto rispetto ai requisiti della ISO 19011 e da questo punto di vista non è interessante. Può essere però interessante la lettura dell'allegato A (informativo) "Practice Guidance for ISMS Auditing", dove è quasi proposto un manuale di auditing molto dettagliato.
Computer forensics - Video Marco Mattiucci
Segnalo i notevoli video di Marco Mattiucci sulla Computer Forensics:
Video 3: "Incertezza nel Digital Forensics"
Video 4: "Aree del Digital Forensics"
Video 5: "Computer Forensics"
Video 6: "I problemi nel Digital Forensics"
Video 7: "Mobile forensics"
I primi due video, li avevo segnalati precedentemente.
Sono tutte delle lezioni base, anche se con diverse complessità. Fa eccezione il video 3 che propone una lezione di buona complessità, utile però a far capire che, prima di cimentarsi nella materia, è necessario aver seguito un buon percorso di formazione (teoria, pratica, affiancamento in situazioni reali).
Per accedere ai video, il punto di partenza è una pagina del sito di Marco Mattiucci:
- http://www.marcomattiucci.it/myvideodf.php
Video 3: "Incertezza nel Digital Forensics"
Video 4: "Aree del Digital Forensics"
Video 5: "Computer Forensics"
Video 6: "I problemi nel Digital Forensics"
Video 7: "Mobile forensics"
I primi due video, li avevo segnalati precedentemente.
Sono tutte delle lezioni base, anche se con diverse complessità. Fa eccezione il video 3 che propone una lezione di buona complessità, utile però a far capire che, prima di cimentarsi nella materia, è necessario aver seguito un buon percorso di formazione (teoria, pratica, affiancamento in situazioni reali).
Per accedere ai video, il punto di partenza è una pagina del sito di Marco Mattiucci:
- http://www.marcomattiucci.it/myvideodf.php
martedì 7 febbraio 2012
UNI EN ISO 19011 (in italiano) - Linee guida per gli audit di gestione
E' stata appena pubblicata la versione in italiano della ISO 19011.
Ho già commentato la versione in inglese:
- http://blog.cesaregallotti.it/2011/11/iso-190112011.html
Aggiungo solo che la 19011 si applica ai soli audit di prima parte (audit interni) e di seconda parte (ai fornitori o ai partner). Per gli audit di terza parte (audit degli organismi di certificazione), bisogna fare riferimento alla ISO/IEC 17021.
Ripeto: la norma è interessante, soprattutto se consideriamo come sono svolti alcuni audit (rilievi non discussi con il personale, rapporti inviati dopo settimane o mesi, eccetera).
Ho già commentato la versione in inglese:
- http://blog.cesaregallotti.it/2011/11/iso-190112011.html
Aggiungo solo che la 19011 si applica ai soli audit di prima parte (audit interni) e di seconda parte (ai fornitori o ai partner). Per gli audit di terza parte (audit degli organismi di certificazione), bisogna fare riferimento alla ISO/IEC 17021.
Ripeto: la norma è interessante, soprattutto se consideriamo come sono svolti alcuni audit (rilievi non discussi con il personale, rapporti inviati dopo settimane o mesi, eccetera).
giovedì 2 febbraio 2012
Regolamento UE sulla Privacy (forse il DPS resusciterà)
Grazie a Uninfo, ricevo notizia sull'attuale bozza del possibile futuro Regolamente Privacy a livello europeo.
Detto in poche parole, questo regolamento, una volta approvato, entrerà in vigore per tutti gli stati UE. Le proposte sono sottoposte, ora, al Parlamento europeo e agli Stati membri dell’Unione (riuniti in sede di Consiglio dei Ministri) per discussione e, una volta adottate, non entreranno in vigore prima di due anni.
Il link:
- http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Ho trovato molto interessante la lettura della bozza e scrivo qui alcuni punti:
- articolo 26: stabilisce chiaramente che se il Responsabile (Processor) tratta i dati senza opportune istruzioni del Titolare (Controller), allora deve essere considerato Titolare Congiunto (Joint Controller). Osservo che il trasferimento ad altri da parte del Processor è vietato, se non dopo autorizzazione da parte del Controller: il 99% degli attuali Responsabili Esterni saranno quindi Joint Controller
- articolo 28: il DPS è morto e, se passa questo articolo, risorgerà; forse più molesto di prima, tranne che per le aziende con meno di 250 addetti (bisognerà poi vedere come tradurre "employing fewer than 250 persons")
- articolo 30: bisogna ancora fare una "valutazione dei rischi"
- articoli 31 e 32: gli incidenti con impatto sui dati personali dovranno essere comunicati al Garante e agli interessati
- articolo 33: la notifica al Garante viene un poco trasformata; anzi... bisognerà anche fare un "impact assessment"
- articolo 35 e seguenti: le aziende con più di 250 persone dovranno nominare un Data Protection Officer
- articolo 39: potrà esistere una "certificazione privacy"; ne vedremo delle belle... temo.
Copiando un intervento di Daniela Quetti, segnalo anche
- Riferimento ad un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui imprese e organizzazioni hanno il proprio stabilimento principale.
- Viene introdotto il diritto all’oblio: chiunque potrà cancellare i propri dati se non sussistono motivi legittimi per mantenerli.
- Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell'Unione.
- Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri;
Altro di interessante c'è. Per chi volesse: buona lettura!
Altri commenti sono benvenuti.
La Direttiva collegata al Regolamento riguarda solo il trattamento dei dati da parte delle autorità addette a prevenire, investigare, rilevare e perseguire crimini.
PS: Fabrizio Bottacin, dopo aver letto questo post, mi ha risposto privatamente sul mio dubbio relativo al "employing fewer than 250 persons":
- http://blog.cesaregallotti.it/2012/03/precisazione-sul-regolamento-ue-privacy.html
Detto in poche parole, questo regolamento, una volta approvato, entrerà in vigore per tutti gli stati UE. Le proposte sono sottoposte, ora, al Parlamento europeo e agli Stati membri dell’Unione (riuniti in sede di Consiglio dei Ministri) per discussione e, una volta adottate, non entreranno in vigore prima di due anni.
Il link:
- http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Ho trovato molto interessante la lettura della bozza e scrivo qui alcuni punti:
- articolo 26: stabilisce chiaramente che se il Responsabile (Processor) tratta i dati senza opportune istruzioni del Titolare (Controller), allora deve essere considerato Titolare Congiunto (Joint Controller). Osservo che il trasferimento ad altri da parte del Processor è vietato, se non dopo autorizzazione da parte del Controller: il 99% degli attuali Responsabili Esterni saranno quindi Joint Controller
- articolo 28: il DPS è morto e, se passa questo articolo, risorgerà; forse più molesto di prima, tranne che per le aziende con meno di 250 addetti (bisognerà poi vedere come tradurre "employing fewer than 250 persons")
- articolo 30: bisogna ancora fare una "valutazione dei rischi"
- articoli 31 e 32: gli incidenti con impatto sui dati personali dovranno essere comunicati al Garante e agli interessati
- articolo 33: la notifica al Garante viene un poco trasformata; anzi... bisognerà anche fare un "impact assessment"
- articolo 35 e seguenti: le aziende con più di 250 persone dovranno nominare un Data Protection Officer
- articolo 39: potrà esistere una "certificazione privacy"; ne vedremo delle belle... temo.
Copiando un intervento di Daniela Quetti, segnalo anche
- Riferimento ad un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui imprese e organizzazioni hanno il proprio stabilimento principale.
- Viene introdotto il diritto all’oblio: chiunque potrà cancellare i propri dati se non sussistono motivi legittimi per mantenerli.
- Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell'Unione.
- Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri;
Altro di interessante c'è. Per chi volesse: buona lettura!
Altri commenti sono benvenuti.
La Direttiva collegata al Regolamento riguarda solo il trattamento dei dati da parte delle autorità addette a prevenire, investigare, rilevare e perseguire crimini.
PS: Fabrizio Bottacin, dopo aver letto questo post, mi ha risposto privatamente sul mio dubbio relativo al "employing fewer than 250 persons":
- http://blog.cesaregallotti.it/2012/03/precisazione-sul-regolamento-ue-privacy.html
Iscriviti a:
Post (Atom)