sabato 26 maggio 2012

Obbligo di aggiornamento delle notizie pubblicate online

Dalla newsletter della DFA, segnalo questo interessante articolo dal titolo "Diritto all’oblio: Cassazione ne conferma il riconoscimento", sulla Corte di Cassazione che ha imposto l’obbligo per gli editori di aggiornare gli archivi online delle notizie pubblicate.

Il caso è semplice: una persona accusata negli anni '90 di corruzione è stata successivamente prosciolta. Purtroppo per lei, sul web e sui motori di ricerca sono ancora facilmente reperibili i vecchi articoli, senza che questi siano accompagnati da un aggiornamento della vicenda.

La Cassazione ha appoggiato la lamentela: è necessaria una misura che consenta l’effettiva fruizione della notizia aggiornata, non essendo sufficiente la mera generica possibilità di rinvenire all’interno del «mare di internet» ulteriori notizie concernenti il caso di specie, ma richiedendosi la predisposizione di sistema idoneo a segnalare (nel corpo o a margine) la sussistenza nel caso di un seguito e di uno sviluppo della notizia.

La notizia

giovedì 24 maggio 2012

ISO 22301 sui Business continuity management systems

Il 15 maggio 2012, l'ISO ha pubblicato la ISO 22301 dal titolo "Business Continuity management systems – Requirements".

Si tratta di uno standard certificabile, che sostituisce la BS 25999-2:2007. Ricordo che questo standard riguarda i Sistemi di gestione per la continuità operativa, applicabile ad ogni tipologia di attività e non solo all'IT.

Per chi fosse completamente a digiuno sulla materia, posso segnalare il "BCM statement" del BCI:
-
http://www.thebci.org/index.php?option=com_content&view=article&id=62&Itemid=105

Altre norme correlate, ma non certificabili, sono:
- ISO/PAS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management".
- BS 25777: 2008 "Information and communications technology continuity management - Code of Practice" (solo per l'IT, quindi)
- ISO/IEC 24762: 2008 "Guidelines for information and communications technology disaster recovery services" (sempre solo per l'IT)

Segnalo anche una pubblicazione correlata al BCM: la BSI PAS 200:2011 sul crisis management.

Non l'ho ancora letta, ma credo che la struttura sarà la stessa della futura ISO/IEC 27001. In altre parole, seguirà la cosiddetta Common Structure a cui via via si uniformeranno tutte le specifiche dei sistemi di gestione ISO. Ovviamente, questo vuole anche dire che la ISO 22301 non seguirà l'impostazione della attuale BS 25999-2 anche se, presumo, la sostanza sarà simile.

Ringrazio quanti, nei giorni scorsi, mi hanno preannunciato l'uscita di questa norma; ho preferito comunque darne notizia solo quando disponibile sul sito della ISO (www.iso.org).

Aggiungo che proprio mentre scrivo è in corso un convegno organizzato dal BSI dal titolo "Nuovo standard ISO 22301 per la continuità operativa". Spero che sarà disponibile il materiale per chi non ha potuto partecipare.

Come scrivere i documenti

Le procedure non devono essere prodotti di alta letteratura, anche se alcuni redattori hanno velleità artistiche.

La scrittura di procedure deve rispondere ai criteri di chiarezza, precisione, uniformità, semplicità, economia.

Per questo ci sono delle regole che dovrebbero essere studiate e seguite: inizialmente con qualche sforzo, poi sempre più facilmente. L'individuazione di cosa scrivere costituisce il processo creativo del redattore di procedure, non la scelta di caratteri, colori e parole non diffuse.

Lungi dal propugnare la diffusione della neo-lingua di Orwell, condivido le premesse e le conclusioni di chi, in questi anni, ha scritto delle regole per la redazione dei testi normativi. Sappiamo bene che non sono stati molto seguiti, ma molti dei principi esposti sono applicabili alle nostre finalità:
- frasi brevi
- evitare la forma passiva dei verbi
- evitare frasi negative e non usare mai le doppie negazioni
- ripetere i termini senza paura
- evitare le maiuscole
- inserire prima le decisioni prese e poi la loro giustificazione
- eccetera

Duole dirlo, ma alcuni non dovrebbero solo studiare le regole di stile, ma tornare a studiare l'italiano, ad esempio l'uso dei congiuntivi e della virgola che non deve mai essere tra soggetto e verbo se non per inserire degli incisi.

Purtroppo, da nessuna parte viene riportato un principio fondamentale: avere un lettore spietato.

Sul web ho trovato queste interessanti e veloci letture, con utili esempi:
- "Progetto di semplificazione del linguaggio - Manuale di stile" (si trova con un qualsiasi motore di ricerca)
- "Regole e suggerimenti per la redazione dei testi normativi":
http://www.consiglio.regione.toscana.it/leggi-e-banche-dati/Oli/Manuale/man-ed-3.asp
- "Il progetto per la semplificazione del linguaggio amministrativo":http://www.mef.gov.it/documenti/open.asp?idd=4500

Infine, segnalo il sito della Rete per l'eccellenza dell'italiano istituzionale (solo la prima lettera è in maiuscolo, come da regole):
-
http://ec.europa.eu/dgs/translation/rei/

lunedì 21 maggio 2012

Common Criteria 3.1

I Common Criteria, detta in pochissime parole, sono uno standard internazionale (ISO/IEC 15408, dal 2009 alla versione 3.1) per la valutazione della sicurezza dei prodotti e sistemi IT.

La materia non è banalissima, anche perché, come tutte le certificazioni, si basa su dei concetti non facili da capire ad un primo approccio.

Per chi fosse interessato, raccomando la lettura di questo articolo (segnalatomi da Stefano Ramacciotti del Ce.Va. Difesa), in cui sono descritte le caratteristiche dello schema, insieme alle critiche che sollevano:
-
http://www.difesa.it/SMD/Staff/Reparti/II-reparto/CeVa/pubblicazioni/estere/Documents/CommonCriteria_ISSA%20Journal_0411.pdf

Stefano mi ha anche segnalato una sua presentazione del 2009. Si trova nello zip del seminario tecnico "Le novità nel campo degli standard per la sicurezza It" tenuto al Security Summit 2009; il file di interesse è "10.06.09_Ramacciotti.pdf" con la presentazione dal titolo "I Common Criteria 3.1 ad un anno di distanza dalla loro entrata in vigore. Cosa è cambiato dalla versione 2.3 alla 3.1R2".
-
http://roma.securitysummit.it/upload/file/Seminari/Seminario-Clusit-10-giugno.zip

Per saperne ancora di più, segnalo il portale dedicato proprio ai Common Criteria:
-
http://www.commoncriteriaportal.org/

Andamento delle norme della famiglia ISO/IEC 270xx

Ecco qui la situazione delle norme della famiglia ISO/IEC 270xx dopo l'incontro di Stoccolma del SC 27:
- ISO/IEC 27000: è attualmente allo stadio di DIS
- ISO/IEC 27001: rimarrà allo stadio di CD; si suppone di rilasciarla in stadio di DIS a ottobre, poi in aprile 2013 come FDIS, per pubblicare la nuova versione della ISO/IEC 27001 a ottobre 2013
- ISO/IEC 27004 (misurazione dei controlli): ne è stata lanciata la revisione
- ISO/IEC 27006 (norma per gli Organismi di Certificazione ISO/IEC 27001):
ne è stata lanciata la revisione
- ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1): è ora in stato di FDIS e dovrebbe quindi essere rilasciata ad ottobre
- ISO/IEC 27014 (Governance of information security): è ora in stato di FDIS e dovrebbe quindi essere rilasciata ad ottobre
- ISO/IEC TR 27015 (linee guida per i Financial Services): è ora in stato di DTR (corrispondente allo stadio DIS)
- ISO/IEC 27036 (gestione fornitori): è allo stato di CD; questa norma è in
3 parti, la seconda delle quali mi pare essere certificabile
- ISO/IEC 27037 (digital evidence): è allo stato di Final Draft, dovrebbe essere quindi pubblicata entro fine 2012
- ISO/IEC 27041, 27042 e 27043 (sulla computer forensics): sono allo stadio di Committee Draft
- ISO/IEC 24762 (linee guida sul DR): è stata avviata la revisione

Sono attualmente in corsi degli studi per le norme su: Capability Maturity Framework for Information Security Management, Privacy / Personal Information Management Systems, Information Security within Smart Grid Environments, International Certification of Information Security Management Specialists.

Al di fuori delle norme della famiglia ISO/IEC 270xx, anche se di pertinenza del SC27, ho notato che sono in corso i lavori (ora allo stadio di Working
Draft) per la ISO TS 30104, dal titolo "Physical security attacks, mitigation techniques and security requirements". Pare interessante, viste alcune richieste del mercato in tal senso.

Fabio Guasconi, Presidente del comitato SC 27 di Uninfo, mi ha fatto notare che lo stato delle norme sopra indicato, per quanto sembri corretto, sarà da verificare quando sarà emessa la roadmap aggiornata.

Articolo "Everyone Has Been Hacked. Now What?"

Simone Tomirotti mi segnala questo articolo di Wired che suggerisce di: "learning to live with the threat, rather than trying to eradicate it, is the new normal. Just detecting attacks and mitigating against them is the best that many companies can hope to do. (...)   We have to manage the way we assess the risk".
-
http://www.wired.com/threatlevel/2012/05/everyone-hacked/ <http://www.wired.com/threatlevel/2012/05/everyone-hacked/>

Sempre Simone fa alcuni commenti:
- Wired non è una rivista indirizzata verso la cultura del controllo, ma punta verso l'innovazione, eppure anche tra le loro colonne la soluzione è "valutare il rischio";
- negli USA c'è bisogno di un "FBI's former top cyber-cop", che sottolinei l'importanza del risk assessment;
- c'è vita dopo l'auditing

Dopo aver letto questa segnalazione di Simone, ho trovato una riflessione di Bruce Schneier molto simile nella newsletter Crypto-Gram a fronte di un articolo di Kelly Jackson Higgins (si tratta, in realtà, di una serie di articoli sullo stesso tema; quello segnalato è il secondo):
-
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/232800395/damage-mitigation-as-the-new-defense.html

lunedì 14 maggio 2012

Articolo sul caso Wikileaks

Segnalo questo articolo di Stefano Ramacciotti dal titolo "La sicurezza delle informazioni al tempo di Wikileaks".

Il caso è ormai vecchio e l'articolo è di inizio 2011. Però mi sembra interessante per i seguenti punti:
- pone molto bene il problema che c'è nella percezione di "sicurezza delle informazioni" e "sicurezza informatica"
- introduce molto bene i paradigmi di need-to-know e need-to-share
- parla della "Sindrome di Fort Apache" che non conoscevo; è "quell'atteggiamento secondo il quale si pensa che i "cattivi" stiano tutti fuori, e dentro il forte ci siano solo i buoni"; per saperne di più dovrei leggere il libro di Giustozzi, ma già il nome è interessante
- propone alcune misure di sicurezza che non sono normalmente trattate nell'ambito civile e che potrebbero essere mutuate intelligentemente dall'ambito militare
- segnala un attacco ovvio, ma di cui non sapevo il nome ("Pod slurping") e a cui raramente si pensa

L'articolo:
-
http://www.difesa.it/Pubblicistica/info-difesa/Infodifesa140/2011/Documents/Rivista%203-2011/3_Articolo3.pdf

Privacy e responsabilità dell'acquirente di liste di contatti

Il Garante della Privacy, il 5 aprile, ha emesso un Provvedimento su "responsabilità dell'acquirente di liste di contatti":
-
http://www.garanteprivacy.it/garante/doc.jsp?ID=1891156

Il Provvedimento è molto lungo e di difficile lettura. Questo articolo riassuntivo è più semplice:http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3739

Considerazione 1: nella lunga premessa si evince quanto vado a dire da tempo (e non sono un legale), ossia che non è sempre corretto nominare le altre aziende come "Responsabili esterni". In questo Provvedimento è chiaro come le diverse aziende coinvolte si siano nominate reciprocamente "Responsabili" seguendo l'interpretazione più diffusa, senza considerare gli impatti e gli obblighi reciproci derivanti.

Considerazione 2: la lamentela è stata sollevata da una persona iscritta al Registro delle Opposizioni, ma poi questo particolare viene dimenticato nel corso del Provvedimento.

Considerazione 3: credo che il discorso si faccia ora complesso per coloro che vogliono utilizzare elenchi non pubblici di nominativi per fare telemarketing, visto che "chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito all'invio di materiale pubblicitario". Come può farlo se le garanzie contrattuali, così come richiamate dal Provvedomento, non sono ritenute sufficienti?

venerdì 11 maggio 2012

Lavori sulla futura ISO/IEC 27001 e 27006

Come già detto in altro articolo, ho partecipato all'incontro del WG1 dell'SC27 della ISO del 7-11 a Stoccolma per scrivere la futura ISO/IEC 27001.

Tralascio il resoconto su come si è svolta la riunione e procedo a dare notizie sui punti tecnici più rilevanti.

Alcuni punti relativi alla futura ISO/IEC 27001.
- Uso del Common Text for Management Systems: la ISO ha emesso la ISO Guide 83, in cui sono specificate le regole per la scrittura degli standard sui sistemi di gestione (inclusa la 27001) e l'SC 27 ha confermato che la userà con alcune modifiche; in effetti, il testo proposto dalla ISO Guide 83 presenta alcuni punti che sono difficili da unire con la 27001 (presenta anche alcuni errori nell'inglese, per la verità).
- Risk Assessment: uno dei problemi della ISO Guide 83 è che richiede una gestione dei rischi  dell'organizzazione (la troveremo quindi anche nella ISO 9001), che presenta difficoltà di unione con il risk assessment per la sicurezza delle informazioni; molto dibattito si è fatto sulla distinzione tra "risk assessment per il sistema di gestione" e "risk assessment per la sicurezza delle informazioni"; per me, l'Italia e altri Paesi non ci dovrebbe essere distinzione, per altri sì; alla fine ha prevalso la prima posizione
- Risk Assessment 2: nella bozza iniziale i requisiti sul R.A. erano veramente ridotti, ora sembra che si sia arrivati ad una giusta via di mezzo tra quello troppo prescrittivo della ISO/IEC 27001:2005 e quello troppo vago della bozza iniziale
- Riferimenti ad altri documenti: saranno tolti i riferimenti ad altri documenti e sarà fatta un'operazione simile alla ISO 9001, in cui i riferimenti ad altri standard saranno limitati ad una specifica sezione
- Uso dello Statement of Applicability: è stato deciso di continuare a richiedere lo Statement of Applicability con riferimento all'Annex A
- è stato chiarito che non si richiederanno misurazioni di efficacia di tutti i controlli, ma si richiederà di individuare per quali misurare e misurare
- è stato chiarito che il piano di trattamento del rischio deve riportare tutti i rischi, anche quelli per cui non è richiesta nessuna azione (meglio: per cui l'azione è la accettazione).

Purtroppo, non ho avuto l'occasione di assistere alla discussione sulla ISO/IEC 27002.

Ho anche avuto l'occasione di discutere di ISO/IEC 27006. Da questo punto di vista non ci saranno grosse novità, se non la necessità di allinearla alla attuale ISO/IEC 17021. Il punto più "caldo" riguarda l'Annex C, ossia la tabella con le giornate uomo da prevedere per gli audit. L'Italia ha espresso l'opinione che la tabella ha valori troppo elevati (cioè, richiede troppe giornate di audit) e ha fatto una prima proposta di eliminazione.
Attualmente si è deciso di mantenere l'Annex C ed è stato richiesto all'Italia di presentare una tabella alternativa.

Altre norme sono state discusse, ma la delegazione italiana (vedere altro articolo) era troppo ridotta per poterne seguire i lavori.

giovedì 10 maggio 2012

Chi partecipa ai comitati ISO (Lamentazione)

Dal 7 al 15 maggio 2012 si è tenuto l'incontro dell'SC 27 a Stoccolma per scrivere, tra le altre, le future ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27006 (requisiti per gli organismi di certificazione), norme sulla computer forensics, norme sulla certificazione di prodotti (queste ultime, in Italia, anche richiamate in alcuni dispositivi di legge o norme).

In tutto, la delegazione italiana era composta da 3 persone: me stesso (ho seguito le attività su 27001, 27002 e 27006), Stefano Ramacciotti (Ce.Va. Difesa, che si è occupato dei criteri di valutazione della sicurezza, che generalmente hanno a che fare con la valutazione dei prodotti ai fini della loro certificazione, dei sistemi, dell'implementazione di algoritmi crittografici e di processi di "security engineering") e Fabio Guasconi (di @mediaservice.net, ha seguito il comitato principale in qualità di Capo delegazione). Aggiungo anche Dario Forte che però ha partecipato solo per poche ore via Skype sulle norme di computer forensics. C'era un altro italiano, in rappresentanza della Commissione Europea, Pasquale Stirparo (JRC di Ispra e DFA, che ha seguite le norme sulla forensics).

Alcuni dettagli li ho dati in un altro articolo e spero di riceve contributi dagli altri.

Perché "Lamentazione"? Perché 3 sono troppo poche persone. Il problema è che per partecipare a queste iniziative bisogna pagarsi il viaggio e l'hotel. Ma mi sorprende che dall'Italia non c'era:
- nessuno da Organismi di Certificazione accreditati per la ISO/IEC 27001 (si capisce: o era a Stoccolma o era a fare audit fatturabili; la scelta è facile da capire, non da giustificare)
- nessuno da Accredia (quelli che controllano gli Organismi di Certificazione ISO/IEC 27001, apparentenemente e inspiegabilmente non interessati ad una norma come la 27006; ma in ottima compagnia nel loro disinteresse, visto che a parlare di 27006 eravamo 3 auditor di OdC e 2 rappresentanti degli organismi di accreditamento),
- nessuno delle società di consulenza (anche loro hanno il problema di pagare le spese e non fatturare 7-8 giornate, però si presentano lo stesso sul mercato come "espertissimi" e applicano tariffe coerenti; facciamo eccezione Fabio e io... e io non riesco ad applicare le tariffe che vorrei! (non so nulla di Fabio)),
- nessuno dalla Pubblica Amministrazione o Autorità collegate (anche se poi emettono schemi "conformi" alla 27001, o chiedono la certificazione 27001 nei contratti; forse su suggerimento dei consulenti di cui sopra; solo i francesi e tedeschi avevano referenti dei loro Garanti Privacy), con l'eccezione del Ce.Va. Difesa
- nessuno dalle nostre imprese più rappresentative (anche se dicono di applicare la 27001 o norme collegate e chiedono di avere fornitori certificati)
- nessuno dalle forze dell'ordine (che pur fanno computer forensics)
- nessuno dai laboratori di valutazione della sicurezza dei prodotti informatici (ad eccezione di Stefano Ramacciotti)

Le ragioni sono sicuramente tante e non credo che sia interessante un ulteriore approfondimento in questa sede. Ma non riesco a capire perché non sia ritenuto né utile né interessante un investimento di spesa sulla 27001 variabile dai 4 ai 10mila Euro annui (ci sono 2 incontri all'anno, in posti anche lontani) da TUTTE le aziende italiane che si vantano di fare sicurezza delle informazioni (con la dovuta eccezione di @mediaservice).

(Rimane sempre il problema che per scrivere le norme devo pagare per iscrivermi a UNINFO e per il viaggio e poi per leggere la versione definitiva devo pagare per averla).

PS: ringrazio Stefano Ramacciotti per avermi segnalato refusi e imprecisioni e futuri potenziali articoli di approfondimento sugli ultimi due paragrafi

Privacy on Cloud & Mobile

Alessandro Vallega di Oracle mi segnala un lavoro fatto a più a mani e in ambito Clusit sulla privacy sul cloud e in ambito mobile (cellulari, smartphone, tavolette, BYOD, eccetera). In entrambi i documenti si assume il punto di vista di un'azienda italiana titolare dei trattamenti relativi a dati personali.

Gli argomenti sono ormai noti, ma la lettura è comunque interessante per chi non avesse avuto ancora la possibilità di affrontare questi argomenti. Per chi invece li dovesse già conoscere, se ha un po' di pazienza potrebbe trovare alcuni spunti originali.

Ecco il link:
-
https://privacycloudmobile.clusit.it/