giovedì 10 maggio 2012

Chi partecipa ai comitati ISO (Lamentazione)

Dal 7 al 15 maggio 2012 si è tenuto l'incontro dell'SC 27 a Stoccolma per scrivere, tra le altre, le future ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27006 (requisiti per gli organismi di certificazione), norme sulla computer forensics, norme sulla certificazione di prodotti (queste ultime, in Italia, anche richiamate in alcuni dispositivi di legge o norme).

In tutto, la delegazione italiana era composta da 3 persone: me stesso (ho seguito le attività su 27001, 27002 e 27006), Stefano Ramacciotti (Ce.Va. Difesa, che si è occupato dei criteri di valutazione della sicurezza, che generalmente hanno a che fare con la valutazione dei prodotti ai fini della loro certificazione, dei sistemi, dell'implementazione di algoritmi crittografici e di processi di "security engineering") e Fabio Guasconi (di @mediaservice.net, ha seguito il comitato principale in qualità di Capo delegazione). Aggiungo anche Dario Forte che però ha partecipato solo per poche ore via Skype sulle norme di computer forensics. C'era un altro italiano, in rappresentanza della Commissione Europea, Pasquale Stirparo (JRC di Ispra e DFA, che ha seguite le norme sulla forensics).

Alcuni dettagli li ho dati in un altro articolo e spero di riceve contributi dagli altri.

Perché "Lamentazione"? Perché 3 sono troppo poche persone. Il problema è che per partecipare a queste iniziative bisogna pagarsi il viaggio e l'hotel. Ma mi sorprende che dall'Italia non c'era:
- nessuno da Organismi di Certificazione accreditati per la ISO/IEC 27001 (si capisce: o era a Stoccolma o era a fare audit fatturabili; la scelta è facile da capire, non da giustificare)
- nessuno da Accredia (quelli che controllano gli Organismi di Certificazione ISO/IEC 27001, apparentenemente e inspiegabilmente non interessati ad una norma come la 27006; ma in ottima compagnia nel loro disinteresse, visto che a parlare di 27006 eravamo 3 auditor di OdC e 2 rappresentanti degli organismi di accreditamento),
- nessuno delle società di consulenza (anche loro hanno il problema di pagare le spese e non fatturare 7-8 giornate, però si presentano lo stesso sul mercato come "espertissimi" e applicano tariffe coerenti; facciamo eccezione Fabio e io... e io non riesco ad applicare le tariffe che vorrei! (non so nulla di Fabio)),
- nessuno dalla Pubblica Amministrazione o Autorità collegate (anche se poi emettono schemi "conformi" alla 27001, o chiedono la certificazione 27001 nei contratti; forse su suggerimento dei consulenti di cui sopra; solo i francesi e tedeschi avevano referenti dei loro Garanti Privacy), con l'eccezione del Ce.Va. Difesa
- nessuno dalle nostre imprese più rappresentative (anche se dicono di applicare la 27001 o norme collegate e chiedono di avere fornitori certificati)
- nessuno dalle forze dell'ordine (che pur fanno computer forensics)
- nessuno dai laboratori di valutazione della sicurezza dei prodotti informatici (ad eccezione di Stefano Ramacciotti)

Le ragioni sono sicuramente tante e non credo che sia interessante un ulteriore approfondimento in questa sede. Ma non riesco a capire perché non sia ritenuto né utile né interessante un investimento di spesa sulla 27001 variabile dai 4 ai 10mila Euro annui (ci sono 2 incontri all'anno, in posti anche lontani) da TUTTE le aziende italiane che si vantano di fare sicurezza delle informazioni (con la dovuta eccezione di @mediaservice).

(Rimane sempre il problema che per scrivere le norme devo pagare per iscrivermi a UNINFO e per il viaggio e poi per leggere la versione definitiva devo pagare per averla).

PS: ringrazio Stefano Ramacciotti per avermi segnalato refusi e imprecisioni e futuri potenziali articoli di approfondimento sugli ultimi due paragrafi

Nessun commento:

Posta un commento