sabato 28 settembre 2013

Pubblicate le nuove ISO/IEC 27001 e 27002

Fabrizio Cirilli mi ha informato che sul sito ISO (www.iso.org) sono
disponibili dal 25 settembre le nuove versioni delle norme ISO/IEC 27001 e
27002.

Evidentemente, l'ISO aveva molta fretta e non ha aspettato l'applauso finale
del Meeting dell'SC 27 che si terrà a fine ottobre e che sancirà la fine dei
lavori per la ISO/IEC 27001.

l testo che ho visto, ossia il final draft, non riporta alcuna tabella di
confronto tra la versione del 2005 e quella del 2013. Infatti, questa sarà
oggetto di discussione al Meeting. Mi chiedo ora in quali modalità sarà
pubblicata.

venerdì 27 settembre 2013

Sanzioni per mancata iscrizione della PEC

Segnalo questo interessante articolo di CINDI relativo alle sanzioni
economiche per le imprese che non hanno comunicato al registro delle imprese
il proprio indirizzo di posta elettronica certificata:
- www.cindi.it/iscrizione-indirizzo-pec-registro-imprese-sanzioni/

giovedì 26 settembre 2013

PAS 99:2012 sui sistemi di gestione integrati

Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione della PAS
99:2012, che sostituisce la versione del 2006.

Questa versione è in realtà una linea guida all'Annex SL, ossia alla
struttura che dovranno rispettare tutte le nuove edizioni degli standard ISO
di requisiti per i sistemi di gestione. Sull'Annex SL ho già parlato in
precedenza per i suoi impatti sulla futura versione della ISO/IEC 27001.
Avevo anche segnalato una breve guida IRCA in merito:
-
http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-G
uide-83/


A mio parere, la PAS 99 non aggiunge molto a quella guida, tranne una
riflessione sulla gestione generale dei rischi, ora richiesta quando si
pianifica un sistema di gestione.

La guida è del 2012 e quindi non recepisce, per la ISO/IEC 27001, alcune
scelte fatte nell'ultimo anno.

sabato 21 settembre 2013

Articolo sul caso NSA

Il The Economist del 14 settembre 2013 ha pubblicato un ottimo articolo di
analisi sul caso NSA-PRIMS-Snowden e sulle sue conseguenze.

Ho trovato interessante soprattutto il paragrafo "Who cares?", dove sono
spiegati gli impatti della vicenda (in sintesi, si dice che l'impatto più
negativo l'hanno avuto i produttori USA di tecnologia, a causa dell'immagine
negativa).

Ringrazio mio padre, Roberto Gallotti, per la segnalazione:
-
http://www.economist.com/news/international/21586296-be-safe-internet-needs-
reliable-encryption-standards-software-and

Uso di apparati KVM e furti in banca

Guido Uglietti mi ha segnalato il seguente articolo dal titolo "Barclays
Bank computer heist: Eight arrested over £1.3m haul":
-
http://www.independent.co.uk/news/uk/crime/barclays-bank-computer-heist-eigh
t-arrested-over-13m-haul-8828844.html


In breve: 8 persone sono state arrestate per un furto di 1,3 milioni di
sterline attraverso un attacco informatico.

La cosa interessante è come è stato condotto l'attacco: uno di essi si è
presentato come tecnico informatico presso una filiale della banca in
Svizzera; ha quindi collegato ad un PC un apparato "keyboard video mouse"
(KVM) per intercettare le attività su schermo, tastiera e mouse; ha
collegato il KVM ad un modem e poi ha raccolto (da casa?) tutti i dati
necessari per il furto.

Insomma, è stata usata la buona vecchia tattica di presentarsi da qualcuno
confidando che nessuno verifichi l'identità e la ragione della nostra
presenza.

martedì 17 settembre 2013

Dei delitti, delle contravvenzioni e della privacy nella 231 (errata corrige)

Paolo Cupola, che ringrazio molto, mi ha fatto notare il grossolano mio
errore nel post "Privacy e 231":
- http://blog.cesaregallotti.it/2013/09/privacy-e-231.html

L'articolo 9 del DL 93 del 2013 inserisce nel Dlgs 231 del 2001 i
delitti previsti dal Dlgs 196 del 2003 dall'articolo 167 all'articolo 172.

Nel Dlgs 231 del 2001 sono quindi riportati solo i reati di: trattamento
illecito dei dati, falsità nelle dichiarazioni e notificazioni al Garante,
inosservanza dei provvedimenti del Garante.

Nel Dlgs 231 del 2001 NON sono riportati i reati di: omissione di adozione
delle misure minime di sicurezza, svolgimento di indagini sulle opinioni dei
lavoratori, controllo a distanza dei lavoratori con impianti audiovisivi (questi ultimi sui lavoratori sono riportati dalla Legge 300 del 1970 a cui fa riferimento l'articolo 171).

Questo perché sono riportati nel 231 i "delitti" previsti dal Codice Privacy e
non le "contravvenzioni". I "delitti" sono quelli che prevedono le sanzioni
di morte, ergastolo, reclusione e multa, mentre le "contravvenzioni" sono
quelle che prevedono le sanzioni di arresto e ammenda. Solo gli articoli 167
(trattamento illecito), 168 (falsità di dichiarazioni) e 170 (inosservanza
dei Provvedimenti) parlano di "reclusione" (non prevedono "multe") e quindi
sono "delitti". Gli articoli 169 (misure minime) e 171 (sui lavoratori,
rimandando alla Legge 300 del 1970) parlano di "arresto" e "ammenda" e
quindi sono "contravvenzioni" e pertanto non rientrano nel Dlgs 231.

Il riferimento è l'articolo 17 del Codice Penale.

Mi scuso con tutti per l'errore. Meno male che il DL non è ancora stato
convertito in Legge e quindi forse non ho fatto troppi danni...

lunedì 16 settembre 2013

Violati i social network di Alpitour

Le pagine Facebook del gruppo Alpitour sono state prese in possesso da
malintenzionati (probabilmente dopo un attacco di phishing) che hanno
postato dei link a siti malevoli:
-
http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-fa
cebook-hackerate


A questo proposito, è necessario riflettere sulla gestione dei social media
da parte delle imprese.

Una prima riflessione è di Piero Tagliapietra, autore anche del post
precedente, che elenca le modalità di attacco e alcune contromisure (la
consapevolezza sembra essere quasi l'unica):
- http://www.pierotaglia.net/social-media-ransomware-concept/

Una seconda riflessione è di Andrea Zapparoli Manzoni, che ha segnalato la
notizia su Alpitour sul Gruppo Clusit di LinkedIn. Anche in questo caso,
dopo una descrizione dello stato della sicurezza dei social media, sono
elencate delle contromisure, le cui più importanti sono quelle organizzative
e di consapevolezza:
-
http://www.slideshare.net/idialoghi/i-dialoghi-social-business-security-soci
al-media-week-2011

venerdì 13 settembre 2013

SPICE (modelli di maturità) e ISO/IEC 27001

L'SC 7 del JTC 1 dell'ISO/IEC sta lavorando su una nuova edizione dello
standard ISO/IC 15504 noto anche come SPICE. Per essere molto sintetici, lo
SPICE è quello standard che tratta della capacità e della maturità dei
processi e delle modalità per dimostrarle e valutarle. La nuova edizione
prevede anche una riorganizzazione e rinumerazione degli standard da 33001
(in particolare, la ISO/IEC 33001 presenterà un'introduzione e la
terminologia, la 33002 i requisiti per effettuare un assessement dei
processi, eccetera).

Di particolare importanza sono i "process reference model (PRM)" e i
"process assessment model (PAM)", documenti che descrivono i processi in
modo da poterli analizzare e valutare secondo quanto previsto dallo
standard.

Due delle norme della serie ISO/IEC 330xx, attualmente in bozza, hanno
l'ambizione di presentare rispettivamente un esempio di PRM e un esempio di
PAM per la gestione della sicurezza delle informazioni in relazione con la
ISO/IEC 27001.

L'iniziativa raccoglierà certamente il favore di quanti vorrebbero
introdurre i modelli di capacità anche nella sicurezza delle informazioni.
Io devo confessare che l'iniziativa mi lascia perplesso soprattutto perché
si è appena finito di scrivere la futura ISO/IEC 27001 dopo molte
discussioni e immediatamente ne viene presentata una sorta di
interpretazione che, potenzialmente, potrà introdurre delle confusioni (per
fare un esempio banale, nei requisiti del risk assessment della ISO/IEC
27001 non si parlerà più di "asset" per evitare di imporre un modello di
risk assessment basato sugli asset; per motivi di ordinamento alfabetico,
però, il processo di "asset management" è proprio il primo presentato nella
bozza di PAM ridando, seppure involontariamente, un'impropria importanza
agli asset stessi).

Da un altro punto di vista, l'iniziativa presenta elementi interessanti. Uno
dei primi riguarda l'Annex A della ISO/IEC 27001 da sempre oggetto di
critiche e discussioni. Infatti, mentre la ISO 9001 e la ISO 14001, per
esempio, riportano i requisiti dei processi di gestione della qualità e
dell'ambiente nel corpo del testo dello standard, la ISO/IEC 27001 riporta
processi importantissimi come la gestione degli incidenti in un allegato,
conferendogli così un diverso livello di interpretazione. Le proposte di PRM
e PAM, per contro, evidenziano questi processi allo stesso livello degli
altri e comportano un'altra visione dei requisiti.

Tutto questo richiederebbe una riflessione, anche sul futuro della ISO/IEC
27001, sicuramente interessante. Ritengo però, come ricordato inizialmente,
sia necessario aspettare qualche tempo, quando la nuova versione della
ISO/IEC 27001 sarà stata adottata e oggetto di ampia discussione.

giovedì 12 settembre 2013

DL 93: frode e sostituzione dell'identità digitale

Il DL 93 del 2013, come già detto in altro post, ha inserito nel Dlgs 231
del 2001 alcuni reati in materia di privacy.

Oltre a ciò, il DL 93 tratta di stalking, frode informatica e sostituzione
dell'identità digitale. Il problema, per quest'ultimo punto, è che non vi è
una definizione certa di "identità digitale". Per alcuni si tratta di un
concetto molto esteso e comprende l'insieme di informazioni relative a un
soggetto presenti on line, per altri si può ridurre alle credenziali di
accesso ad un sistema informatico.

Di tutto questo tratta un interessante articolo su CINDI:
-
http://www.cindi.it/la-frode-informatica-aggravata-dalla-sostituzione-dellid
entita-digitale/


Ricordo però che il DL 93 è, appunto, un Decreto Legge. Pertanto, è
opportuno attendere la sua conversione in Legge (con modifiche) per vedere
quale sarà il testo finale.

martedì 10 settembre 2013

Privacy e 231

Questo post è un aggiornamento di quello del 4 settembre, ora eliminato ed è stato riscritto dopo l'errata corrige del 17 settembre (http://blog.cesaregallotti.it/2013/09/dei-delitti-delle-contravvenzioni-e.html).

Max Cottafavi di Spike Reply mi ha segnalato questo articolo dal titolo
"Privacy, responsabilità da 231":
-
www.ilsole24ore.com/art/norme-e-tributi/2013-08-27/privacy-responsabilita-06
4214.shtml


In sintesi, l'articolo 9 del DL 93 del 2013 inserisce nel Dlgs 231 del 2001
i reati di trattamento illecito di dati personali, falsità nelle
dichiarazioni e notificazioni al Garante e inosservanza di provvedimenti del Garante.

Questi reati sono penali, ossia imputabili ad una persona fisica. Ora, anche
le imprese nel loro complesso possono essere oggetto di sanzionamento per
quegli illeciti se sono commessi nel suo interesse o vantaggio e se non era
previsto un "modello organizzativo" finalizzato a contrastarli.

Ad ogni modo, questo provvedimento è un DL. Sarà opportuno aspettare a
quando sarà convertito in Legge entro il 14 novembre. Per intanto mi chiedo:
si hanno notizie di sentenze in merito ai delitti richiamati e stabiliti dal Codice
Privacy? Potrebbero essere un ottimo punto di partenza per capire meglio gli
impatti di questo DL.

La Cassazione, come enunciato dall'articolo sopra riferito, ha emesso una
relazione in merito al DL 93/2013, dedicando poche righe alla questione
privacy. Andrebbero lette considerando che era agosto e la privacy non era
il punto più importante del provvedimento (il DL riporta altre misure molto
importanti come quelle sul femminicidio): per questo forse fa un richiamo alle "società commerciali e associazioni private", quando il Dlgs 231 ha impatto per tutti gli enti.

venerdì 6 settembre 2013

Firewall: configurarli con Drop o Reject?

Questo articolo sulla configurazione dei firewall è interessante:
-
http://www.achab.it/blog/index.cfm/2013/9/drop-vs-reject-qual--la-differenza
.htm


Mi rendo conto che si tratta di un articolo base, ma smonta il principio
secondo cui un firewall debba essere configurato in modo da non fornire
risposte al mittente di un pacchetto quando questo è bloccato. In altre
parole, l'articolo consiglia di impostare il firewall con regole di "Reject"
(per fornire risposte) e non con regole di "Drop".

Mi ha fatto anche piacere leggere un articolo tecnico in italiano che non
dice sempre le stesse cose.

mercoledì 4 settembre 2013

Articolo sullo stato del Regolamento UE sulla privacy

Da Stefano Tagliabue di Telecom Italia: "segnalo un articolo che descrive in
modo chiaro lo stato di avanzamento dei lavori per l'emissione del
Regolamento UE sulla privacy. Tra i possibili scenari prospettati, c'è anche
l'emissione entro aprile 2014 di una "light version" del Regolamento, che
tratti solo dei principi essenziali della privacy, lasciando spazio ad
ulteriori interventi legislativi dopo le elezioni europee".

Il link:
- http://www.wsgr.com/publications/PDFSearch/burton-090213.pdf