Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 19 febbraio 2013
Google e privacy
Enzo Ascione di Intesa Sanpaolo, mi ha inviato questo articolo dal titolo "Google, Garanti Privacy Ue pronti ad azione repressiva":
- http://www.corrierecomunicazioni.it/it-world/19711_google-garanti-privacy-ue-pronti-ad-azione-repressiva.htm
Io continuo a temere questi fornitori di servizi, come ho già avuto modo di dire:
- http://blog.cesaregallotti.it/2013/01/google-le-password-e-i-token.html
- http://blog.cesaregallotti.it/2013/01/accordi-con-i-servizi-esterni-cloud-e.html
Errori di configurazione del Cisco IOS
Sul Clusit Group di LinkedIn, Aldo Ceccarelli ha segnalato un link ad un articolo dal titolo "Top 10 Cisco IOS Configuration Mistakes":
- http://www.petri.co.il/cisco-ios-configuration-mistakes.htm <http://www.petri.co.il/cisco-ios-configuration-mistakes.htm>
Capisco che la configurazione di un firewall non è materia per principianti, ma mi chiedo come si possa immettere sul mercato (e vendere a caro prezzo) prodotti che hanno meccanismi che non richiedono la conferma della password, Telnet di default al posto di SSH, parametri di sicurezza SNMP minimali.
E dire che poco fa mi lamentavo della poca professionalità di troppi sviluppatori!
Voglio sperare che l'articolo si riferisca a prodotti ormai obsoleti.
Privacy e AdS applicativi - Parte 2
Dopo l'articolo dal titolo "Privacy e AdS applicativi" in cui si riportavano le parole (verbali) di un rappresentante dell'ufficio del Garante in merito alle utenze applicative con poteri di amministrazione, Massimo Cottafavi di Reply mi ha segnalato un problema di interpretazione.
Come sappiamo, il Provvedimento sugli amministratori di sistema era seguito da delle FAQ. La FAQ 22 dà ragione all'interpretazione riportata:
- D: È corretto affermare che l'accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
- R: Si. L'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema
Evidentemente, visto che si tratta di un allegato al provvedimento sugli amministratori di sistema, è lecito esplicitare ulteriormente così: "L'accesso applicativo, *anche di power user*, non è compreso tra le caratteristiche tipiche dell'amministratore di sistema".
Però Max fa notare che questo è smentito dalla FAQ 1: "l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi [...] i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni".
Quando un'applicazione diventa complessa e quindi i suoi AdS sono da considerare AdS? Se un power user pasticcia con le utenze di un sistema Zucchetti per medie imprese non viene registrato, mentre quello del SAP sì?
I dubbi permangono, quindi.
L'articolo precedente:
- http://blog.cesaregallotti.it/2013/02/privacy-e-ads-applicativi.html
Innovazione digitale (un caso pratico)
A pochi interesserà sapere che sono stato nominato Presidente di un seggio per le elezioni del 24 e 25 febbraio (a qualcuno in più interesserà sapere quanto si guadagna; non lo so; so che nel 2011, per 3 consultazioni e un totale di 7,5 giornate di lavoro ho guadagnato 340 Euro).
Fino al 2011, il Presidente di seggo riceveva una copia delle "Istruzioni per le operazioni degli uffici elettorali di sezione" almeno una settimana prima dell'inizio dei lavori, in modo che potesse prepararsi e garantire la speditezza delle operazioni.
Quest'anno non mi è arrivato nulla; ho telefonato all'Ufficio elettorale e mi hanno risposto che ora le istruzioni non sono più distribuite con anticipo (immagino per risparmiare sui lavori dei messi comunali): posso scaricarle dal sito del Ministero degli Interni.
Credo di essere un caso che si trova a metà tra quelli che ci erano arrivati da soli (magari con Google) e quelli che si presenteranno ai seggi senza un minimo di preparazione (i Presidenti che non hanno mai fatto questo mestiere) o senza quel poco ma necessario ripasso (i Presidenti con esperienza) utili a garantire l'auspicata speditezza delle operazioni.
Tutto questo per dire che questa piccola storia mi ha permesso di ripassare una nota, ma spesso dimenticata, lezione: "prima di introdurre innovazioni, è necessario istruire gli utenti per tempo".
Un'altra lezione che ho ripassato: il termine "istruire" non implica presentazioni in Powerpoint o filmati o grossi manuali o chissà che altro; nel caso specifico bastavano due righe sottolineate sulla lettera di nomina ("Il Presidente può consultare le Istruzioni per le operazioni degli uffici elettorali di sezione disponibili sul sito xxx").
Backdoor (sui prodotti Barracuda)
La notizia è ormai vecchia di un mese, ma la riporto brevemente: diversi prodotti della Barracuda Network (firewall, VPN, filtri antispam) hanno una backdoor non documentata che permette l'accesso a degli apparati da remoto.
Questo è l'articolo segnalato da Crypto-Gram (ma ce ne sono molti altri):
- http://arstechnica.com/security/2013/01/secret-backdoors-found-in-firewall-vpn-gear-from-barracuda-networks/
Non sorprendiamoci troppo: basta andare in quasi qualunque reparto IT per vedere come la mentalità dell'artigiano (contrapposto, mi si perdoni, al "professionista") sia prevalente e come l'unica e sola guida sia il fatturato trimestrale.
giovedì 14 febbraio 2013
Furto di dati aziendali
Claudio Nasti di Chantecler mi ha segnalato questo interessante articolo dal titolo "Dati aziendali, sottrarli non è ritenuto sbagliato":
- http://www.lineaedp.it/articolo/0000095971/30/8/Dati_aziendali_sottrarli_non_e_ritenuto_sbagliato.html#.UR1ChvJdCSp
Ecco alcuni dati di un recente studio di Symantec: il 50% dei dipendenti che lasciano un'azienda si copiano i dati dell'azienda stessa e, nel 40% dei casi, prevede di riutilizzarli dal suo nuovo datore di lavoro; solo il 38% dei dipendenti afferma che il loro manager vede la protezione dei dati come una priorità di business.
Brevissimo articolo che vale la pena di leggere (a patto di ricordarsi che, in questo contesto, IP non è l'Internet protocol, ma la intellectual property; cosa che non ho fatto ad una prima lettura).
Confesso che non sono un innocente. Ma mi è anche accaduto (ormai millenni or sono) di trovare qualcuno che mi chiedesse se potevo passargli documenti di un mio precedente datore di lavoro o di un mio ex cliente. Come se ormai fossero documenti pubblici. Ovviamente mi sono rifiutato. Ma la cosa fa pensare.
Per chi volesse approfondire il tema da un punto di vista legale, suggerisco di partire da Legge 633/1941 sul Diritto d'autore, Dlgs 30/2005 sulla proprietà industriale e CCNL.
venerdì 8 febbraio 2013
Quaderno su vulnerability assessment e penetration test
Isaca Venice Chapter ha pubblicato il suo primo quaderno dal titolo "Vulnerability Assessment e Penetration Test - Linee guida per l'utente di verifiche di terze parti sulla sicurezza ICT":
- http://www.isaca.org/chapters5/Venice/NewsandAnnouncements/Pages/Page1.aspx
Ritengo sia un documento interessante perché ricorda una serie di argomenti che non sempre sono chiari ai responsabili di sicurezza informatica:
- differenza tra VA e PT
- normativa applicabile
- metodologie e tipi di PT
- requisiti per commissionare un PT
- schema di contratto
Una piccola e probabilmente inutile critica: troppa focalizzazione sui PT (i VA, ad un certo punto, sono quasi dimenticati).
Ringrazio Daniela Quetti di DFA per la segnalazione.
lunedì 4 febbraio 2013
Legge 4/2013 sulle "professioni non organizzate"
E' stata pubblicata la Legge 4/2013 dal titolo "Disposizioni in materia di professioni non organizzate".
Essa riguarda "l'attività economica, anche organizzata, volta alla prestazione di servizi o di opere a favore di terzi, esercitata abitualmente e prevalentemente mediante lavoro intellettuale [...]" con l'esclusione delle professioni già regolamentate in ordini e collegi (avvocati, ingegneri, eccetera). Insomma, riguarda l'attività di consulenti, auditor e formatori in molte discipline.
La Legge prevede che "La professione e' esercitata in forma individuale, in forma associata, societaria, cooperativa o nella forma del lavoro dipendente".
All'articolo 2 sono regolamentate le associazioni professionali (codici deontologici, promozione della formazione permanente, sportello per fornire informazioni ai cittadini e utenti, eccetera). L'elenco delle associazioni che si auto-certificano come conformi alla Legge 4/2013 sarà disponibile sul sito del Ministero dello sviluppo economico.
Agli articoli 4 e 5 sono forniti ulteriori requisiti per le associazioni professionali, il primo delle quali riguarda la pubblicazione delle norme e regolamenti, inclusi, se pertinenti, quelli relativi al riconoscimento delle competenze dei propri associati, che le governano. E' anche consigliata, ma non obbligatoria, la certificazione ISO 9001 per le associazioni.
Ritengo che l'articolo 6 sia importante: "promuove l'autoregolamentazione volontaria" basata su norme tecniche "UNI ISO, UNI EN ISO, UNI EN e UNI". Sarà a questo punto importante (vedere anche l'articolo 9) quali saranno queste "norme tecniche UNI definite per ciascuna professione" per le quali un organismo di certificazione potrà rilasciare una certificazione: spero non si tratti della ISO 9001, visto che nei casi di singoli professionisti la sua applicazione sarebbe quanto meno discutibile.
Anche gli articoli 7 e 8 sono importanti perché specificano come un'associazione può rilasciare attestazioni relative alle competenze dei propri partecipanti.
Concludo dicendo che questa norma è importante. Forse qualche punto mi è ancora oscuro, ma sarà certamente chiarito con la sua applicazione.
Ho avuto notizia di questa Legge (ma senza il suo riferimento numerico!) dal CEPAS:
- http://www.cepas.it/legge_professioni.asp
Segnalo anche il link dal sito di Accredia:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1133&areaNews=95>emplate=default.jsp
La norma non è ancora disponibile su www.normattiva.it, ma è reperibile sulla Gazzetta Ufficiale 22 del 26 gennaio 2013 (http://www.gazzettaufficiale.it)
venerdì 1 febbraio 2013
Privacy e AdS applicativi
Con il mio lettore Matteo Bonfanti di Lutech ho scambiato qualche opinione sul come considerare gli utenti di un'applicazione con privilegi speciali, principalmente quelli di gestione delle utenze.
Nel dubbio, Matteo Bonfanti ha contattato l'Ufficio del Garante dal quale ha ricevuto la risposta: "il Provvedimento del 27 novembre 2008 non riguarda gli utenti applicativi anche se questi hanno privilegi speciali, a meno che non possano agire direttamente sullo schema del database".
Prendo atto e lo ringrazio molto
Occupandomi anche di sicurezza delle informazioni oltre alla privacy, rimango sempre nel dubbio che:
- elencare tali AdS non dovrebbe essere un problema,
- garantire la loro esperienza, capacità e affidabilità non dovrebbe essere un problema,
- l'applicazione dovrebbe registrare le azioni di tali AdS (anche se ci sono applicazioni che ahimé non lo fanno)
- i log non dovrebbero essere accessibili in scrittura agli AdS applicativi, ma solo a quelli sistemistici
Purtroppo ci sono applicazioni che non generano log e, ogni volta che le vedo, continuo a stupirmi.
Iscriviti a:
Post (Atom)