giovedì 31 ottobre 2013

Transizione alla ISO/IEC 27001:2013

L'IAF, International Accreditation Forum, l'organizzazione che si occupa di
dare le regole per gli organismi di accreditamento e quelli di
certificazione, ha approvato la risoluzione 2013-13 che riporta le regole
per la transizione delle certificazioni dalla alla ISO/IEC 27001:2005 alla
ISO/IEC 27013.

La risoluzione è molto succinta e stabilisce che i certificati ISO/IEC
27001:2005 non saranno più validi dal 1 ottobre 2015. Non sono date
ulteriori regole sulla formazione degli auditor o su altri aspetti. Trovo
sia un peccato.

Le organizzazioni certificate dovranno comunque ricevere nei prossimi mesi
una comunicazione del proprio organismo di certificazione con indicate le
regole per la transizione.

Privacy e call center extra-UE

Dalla newsletter del Garante privacy, segnalo il recente Provvedimento
relativo ai call center siti in Paesi extra-UE:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2724806

Apparentemente non dice nulla di nuovo, ma in realtà la newsletter segnala
le seguenti novità:
- i call center dovranno dichiarare la nazione dalla quale chiamano o
rispondono;
- per le chiamate in entrata, dovrà essere data all'utente la possibilità di
scegliere un operatore collocato sul territorio nazionale;
- dovrà essere segnalato preventivamente al Garante l'affidamento delle
attività di call center in Paesi extra-UE.

Non sono un protezionista, ma sono contento che finalmente il Garante si sia
accorto di questo fenomeno e cerchi di controllarlo.

Stato delle norme ISO/IEC 270xx

Venerdì 25 ottobre si è concluso a Songdo (Corea del Sud) il 47mo meeting
dell'SC 27 dell'ISO/IEC JTC 1. Hanno partecipato circa 250 delegati, di cui
70 per il WG1 (ossia il gruppo che si occupa delle norme della famiglia
ISO/IEC 27000 e collegate alla ISO/IEC 27001). La delegazione era composta
da 4 persone: io per il WG 1, Stefano Ramacciotti per il WG 3, Dario Forte
per il WG 4 e Andrea Caccia per i WG 1 e 4 e come rappresentante per ETSI.

Di seguito, le decisioni in merito alle norme del WG 1 affrontate in questo
meeting.

ISO/IEC 27000 (Overview and vocabulary)
La norma sarà pubblicata a breve nell'edizione 2013. Si è discusso su come
affrontare la prossima versione. Infatti, ciascun termine è "di proprietà"
di uno standard e può essere ridefinito solo contestualmente
all'elaborazione di quello standard. Purtroppo, il lavoro sui termini e
definizioni è spesso lasciato in secondo piano e ogni tanto i risultati sono
insoddisfacenti (per esempio la definizione di "evento di sicurezza delle
informazioni", non collegata alla definizione di "evento"). Si farà
sicuramente di meglio nel futuro.

ISO/IEC 27001 e 27002
Sarà pubblicato e reso disponibile gratuitamente il documento WG1 SD3
"Mapping Old to New Editions of ISO/IEC 27001 and ISO/IEC 27002". Ne
parleremo quando disponibile.

ISO/IEC 27003 (Guida all'attuazione di un ISMS)
Si è deciso di cambiarla totalmente e cambiarle il titolo (da
"Implementation guidance" a "Guidance"). Ora diventerà una guida alla
ISO/IEC 27001 e sarà suddivisa negli stessi capitoli della ISO/IEC 27001.

ISO/IEC 27004 (Misurazioni)
Tutti i partecipanti hanno concordato per un approccio non teorico. Sarà
proposto un modello al prossimo meeting di aprile: bisognerà vedere come
sarà e se presenterà un insieme minimo di indicatori. Si è anche deciso di
scrivere un testo che non possa essere utilizzato come check list da auditor
e utilizzatori, ma che sia veramente una linea guida. Cambierà titolo da
"Measurements" a "Monitoring, measurement, analysis and evaluation".

ISO/IEC 27005 (Risk management)
Si è deciso di non limitare il testo ai soli risk assessment e risk
treatment, ossia di mantenerla come è ora. Infatti, alcuni volevano ridurne
lo scopo per evitare sovrapposizioni con la 27001 e la 27003. La maggioranza
ha voluto però evitare di pubblicare un testo troppo sintetico e forse
incomprensibile alla maggioranza dei lettori (come invece, a mio parere, si
è fatto per la 27001).

ISO/IEC 27006 (Requisiti per gli organismi di certificazione)
Si è discusso se mantenere la tabella di riferimento per le giornate di
audit basata sulle persone impiegate nell'ISMS, oppure se seguire un'altra
strada. Malgrado né in questo meeting né nel precedente siano state
individuate strade alternative, metà dei delegati ha votato per questa
seconda opzione; vedremo cosa succederà al prossimo meeting. Si è anche
deciso di riportare la versione del SoA sui "documenti di certificazione" e
non sul certificato, contrariamente a quanto previsto dalla versione della
27006 attualmente in vigore.

ISO/IEC 27016 (Organizational economics)
Sarà pubblicata a breve.

Process reference model e Process assessment model
Di questo ne parlai già in precedenza
(http://blog.cesaregallotti.it/2013/09/spice-modelli-di-maturita-e-isoiec-27
001.html
). Le proposte sono state sostanzialmente bocciate. Attualmente
queste due proposte di standard sono di competenza del SC 7, ma sarà averle
come di responsabilità del SC 27.

Si è anche discusso di ISO/IEC 27009 (cambierà titolo il "Sector specific
application of ISO/IEC 27001 – Requirements), 27011 (requisiti per
telecomunicazioni), 27013 (rapporti tra 27001 e 20000-1)
e 27017 (cloud), senza notizie da segnalare.

ISMS professionals
Si sta studiando da tempo una norma sulle certificazioni delle competenze
dei professionisti degli ISMS. Ora si è deciso di creare uno schema a cui
dovranno adeguarsi gli organismi di certificazione del personale.

domenica 27 ottobre 2013

Stato avanzamento Regolamento EU Privacy

Alberto Piamonte mi ha segnalato questo link:
- www.federprivacy.it/informazione/ultime-news-privacy/988-via-libera-al-nuovo
-regolamento-ue-sulla-privacy.html


La notizia è che la Commissione Libertà civili e giustizia (LIBE) del
Parlamento Ue ha dato voto positivo alla proposta di Regolamento Europeo
privacy di cui ho parlato in altri post:
- http://blog.cesaregallotti.it/2013/09/articolo-sullo-stato-del-regolamento-u
e.html


L'articolo di Federprivacy è decisamente entusiasta, ma rimane ancora almeno
un ulteriore passaggio, ossia il negoziato a tre di Consiglio, Commissione e
Parlamento europei.

Max Cottafavi di Reply mi ha invece segnalato questo link, dove si dice che
l'UK sta invece lavorando per posporre il tutto al 2015:
- http://www.euractiv.com/specialreport-digital-single-mar/france-germany-form
-anti-spy-pac-news-531306


Il Garante, nella sua newsletter del 31 ottobre, riassume le principali novità:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2726619#3

Credo rimanga valida la regola di base: finché non sarà approvato definitivamente, eviterei di dedicare troppo tempo a questo possibile Regolamento.

venerdì 18 ottobre 2013

Facebook e i profili segreti

Massimo Cottafavi di Reply mi ha segnalato un po' preoccupato questa
notizia:
-
http://www.lastampa.it/2013/10/14/tecnologia/addio-ai-profili-segreti-su-fac
ebook-HdLcdF3CdeRrKjESHSiD3J/


Facebook, quindi, ci dice che potrà condividere le nostre informazioni con
altri soggetti, a scopi pubblicitari e di marketing. Sono sorpreso: pensavo
lo facesse già da tempo ;-)

giovedì 17 ottobre 2013

Privacy e 231 - Tutto annullato (ed errata corrige)

Con la newsletter del 16 di ottobre avevo segnalato dei contributi sulla
possibilità che parte dei delitti previsti dal Codice Privacy fossero
compresi nel Dlgs 231 del 2001. Ma non avevo controllato e il Decreto Legge
93/2013 è stato convertito in Legge con modificazione (Legge 119/2013) e non
è "passata" la proposta.

Mi spiace con tutti i miei lettori. Posso giustificarmi dicendo che la Legge
è datata 15 ottobre, ma la notizia è "vecchia" di 2 settimane.

La prima ad avvisarmi è stata Paola Generali di GetSolution, seguita da
Fabio Guasconi (mio Presidente all'SC 27), da Massimo Cottafavi di Spike
Reply.

Posso anche aggiungere che tutto questo mi ha permesso di capire che c'è una
differenza tra "reati" e "delitti" e "sanzioni" e "contravvenzioni" grazie
all'errata corrige del mese scorso.

Infine, Stefano Ramacciotti mi ha ricordato che la pena di morte è stata
abolita da anni, mentre io la citavo.

mercoledì 16 ottobre 2013

Deepweb and Cybercrime

Segnalo questa breve ricerca dal titolo "Deepweb and Cybercrime - It's Not
All About TOR" della Trend Micro, segnalata sul gruppo Italian Security
Professional di LinkedIn:
-
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-
papers/wp-deepweb-and-cybercrime.pdf


Francamente, mi aspettavo un po' di più (ho sentito cose più approfondite
durante il corso di Digital forensics della Statale di Milano). Ad ogni
modo, è utile per aggiornarsi un po' sul sottobosco della criminalità
informatica.

venerdì 11 ottobre 2013

Materiale sulla ISO/IEC 27001:2013

Mi hanno segnalato del materiale informativo relativo alla ISO/IEC
27001:2013. Molto è tratto dalla documentazione discussa nel corso della
redazione della ISO/IEC 27001 e può quindi valere la pena leggerlo,
soprattutto per comprendere alcuni impatti introdotti dai cambiamenti.

I titoli delle pubblicazioni sono i seguenti:
- " Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013";
- "Mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC
27001:2013";
- "Checklist of Mandatory Documentation Required by ISO/IEC 27001 (2013
Revision)";
- "Diagram of ISO 27001 2013 Implementation Process".

Non condivido tutto quello che si trova in queste schede: alcune cose le
avrei approfondite di più, altre di meno. Gli ultimi due sono proprio delle
interpretazioni a volte molto libere della norma. Ma si tratta comunque di
analisi valide, che vale la pena studiare.

Ci tengo però a dire che non trovo corretti i riferimenti incrociati tra
nuova e vecchia ISO/IEC 27001 e 27002. Infatti, alcuni requisiti e controlli
del 2005 sono dati per "cancellati", mentre molti sono invece "incorporati"
o "impliciti" in quelli del 2013.

Per concludere: non so se i documenti sono liberamente reperibili, ma se li
trovate con un motore di ricerca vuol dire che, in qualche modo, lo sono...

Amazon e l'errore del prezzo

La notizia è la seguente: Amazon ha messo in vendita un computer ad un
prezzo sbagliato e molto basso. Ha quindi corretto il prezzo e ha comunicato
agli acquirenti che il loro acquisto era annullato.

Notizia e commento di Andrea Monti:
- http://www.ictlex.net/?p=1473

Lo trovo molto pertinente e mi è piaciuta molto la conclusione: "E' regola
generale nel diritto dei contratti che le parti – tutte e due – devono agire
secondo buona fede". Purtroppo lo fanno in pochi...

Udine: compromesso il sito dell'azienda sanitaria

Sandro Sanna mi ha inviato questa notizia, a cui potremmo dare il titolo "A
Udine violati i computer dell'Ass 4. On line i reclami dei malati" ed è in
tre parti:
-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/07/news/a-udine-violati-i
-computer-dell-ass-4-on-line-i-reclami-dei-malati-1.7881088

-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/10/news/assalto-informati
co-insiel-noi-parte-lesa-1.7898761

-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/11/news/ma-quale-hacker-c
si-ho-scoperto-i-reclami-all-ass-4-1.7903434


In poche parole: un utente dell'azieda sanitaria numero 4 vuole inviare un
reclamo attraverso il loro sito web e si accorge di una piccola falla di
sicurezza e la comunica ad un giornale on-line.

La "piccola falla" è piuttosto banale: l'applicazione non verifica se le
pagine web sono richieste da un utente autenticato e quindi è sufficiente
cambiare il numero di richiesta dall'URL e questa appare, a prescindere da
chi l'ha fatta. Direi che rientriamo nella quarta vulnerabilità più diffusa
secondo OWASP:
-
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_Refere
nces

Mi chiedo se queste pagine sono almeno protette dagli spider di Google. E
però ho trovato meraviglioso il fatto che Insiel, l'azienda che ha
sviluppato il sistema, si è dichiarata parte lesa.

Ma sappiamo bene come vanno le cose: un prodotto sicuro costa di più di uno
insicuro e quindi si opta spesso e volentieri per il secondo. Mi auguro che
un qualche giudice multi l'Ass 4 per non aver fatto i controlli e Insiel per
aver fatto male il proprio lavoro.

giovedì 10 ottobre 2013

Report 2013 di Verizon

Dal gruppo infotechlegale.it di LinkedIn ricevo la notizia della
pubblicazione del "2013 Data breach investigations report" di Verizon:
- www.verizonenterprise.com/DBIR/2013/

Il report è molto interessante. In particolare, analizza, per il 2012, le
compromissioni di dati rilevate (dove gli attacchi da parte di esterni sono
il 92%) e gli incidenti senza compromissioni (dove invece la maggioranza del
69% è stata causata da personale interno). Il report analizza i settori
merceologici delle imprese coinvolte, i tipi di attaccanti, gli asset e i
dati oggetto degli attacchi.

Ho trovato interessante anche le analisi sui tipi di attacchi adottati per
le comprimissioni e quelli per gli incidenti senza compromissioni (qui, gli
agenti di attacco sono soprattutto gli interni e quindi errori e malware
sono i più diffusi).

Sempre procedendo nella lettura del report, è curioso il paragone tra i dati
relativi al malware analizzati da Verizon e da Microsoft: per Verizon, l'84%
del malware è installato con l'aiuto degli utenti mentre per Microsoft solo
il 45%. La differenza, per Microsoft, è dovuta ad errori di configurazione.

C'è però un neo: il report non si basa su alcun dato dall'Italia.

sabato 5 ottobre 2013

Articolo su privacy e 231

Riprendendo il post precedente
http://blog.cesaregallotti.it/2013/09/privacy-e-231.html, segnalo questo
articolo di approfondimento segnalato da CINDI dal titolo "Il trattamento
illecito dei dati e la responsabilità dell'azienda", il cui merito, oltre ad
un riassunto dei reati che potrebbero essere introdotti nella 231 (se il DL
verrà convertito), è di presentare un esempio delle sanzioni.

Mi permetto di fare una considerazione a cui ho pensato recentemente e
collegandomi al testo dell'articolo stesso "fortunatamente, nell'ottica
delle imprese, l'omessa adozione delle misure minime di sicurezza non
rientra tra i reati presupposto del d.lgs. 231/01". Va detto che i
Provvedimenti del Garante rientrano tra i reati presupposto del d.lgs.
231/2001 e molto spesso riepilogano le misure minime... di conseguenza non
vedo molta fortuna per le imprese che ancora non applicano le misure minime.