La Commissione Europea ha pubblicato le "Cloud Service Level Agreement
Standardisation Guidelines" (ringrazio Giacomo Orlando della segnalazione):
- http://europa.eu/rapid/press-release_IP-14-743_en.htm
-
https://ec.europa.eu/digital-agenda/en/news/cloud-service-level-agreement-st
andardisation-guidelines
Il documento è interessante. Ma continuo a pensare che ci siano troppe linee
guida per la gestione dei fornitori cloud, mentre per i fornitori di servizi
informatici non cloud non c'è quasi nulla, sebbene loro gestione lasci
spesso a desiderare. Tra l'altro, nel documento non ho trovato alcun
requisito non applicabile a fornitori di servizi IT non cloud.
Quindi mi piacerebbe vedere almeno una linea guida una sulla gestione in
generale dei fornitori dei servizi IT (per cui prevedere anche qualche
requisito in più di quelli che ci sono nel documento).
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
lunedì 30 giugno 2014
sabato 28 giugno 2014
Registro dei certificati ITIL
E' attivo il registro delle persone certificate ITIL (da notizia del gruppo
EXIN Certified Professionals di LinkedIn:
-
http://www.itil-officialsite.com/candidate-register/candidate-register.aspx
EXIN Certified Professionals di LinkedIn:
-
http://www.itil-officialsite.com/candidate-register/candidate-register.aspx
Wind e Exchange
In giugno due notizie di interruzione di servizi si sono imposte. La prima è
il "blackout di Wind": l'operatore di telecomunicazioni ha avuto un problema
di "configurazione dei router" che ha bloccato la connettività dei suoi
utenti per diverse ore:
-
http://www.tomshw.it/cont/news/blackout-wind-sotto-la-lente-dell-agcom/57277
/1.html
- http://www.forexinfo.it/Wind-Infostrada-le-cause-del
L'altro caso riguarda il blocco di Office 365: il servizio cloud di
Micorosoft è rimasto fermo per 9 ore per un "problema hardware":
-
http://www.ictbusiness.it/cont/news/exchange-online-attivo-dopo-nove-ore-di-
blocco/32712/1.html
Le due notizie mi sembrano in qualche collegate, anche se non saprei dire
esattamente come: forse perché piccoli errori hanno messo in difficoltà
tantissime persone, forse perché si dimostra quanto siamo dipendenti da
servizi con SLA non perfettamente garantiti, forse perché le mitiche grandi
imprese fanno anche loro degli errori.
il "blackout di Wind": l'operatore di telecomunicazioni ha avuto un problema
di "configurazione dei router" che ha bloccato la connettività dei suoi
utenti per diverse ore:
-
http://www.tomshw.it/cont/news/blackout-wind-sotto-la-lente-dell-agcom/57277
/1.html
- http://www.forexinfo.it/Wind-Infostrada-le-cause-del
L'altro caso riguarda il blocco di Office 365: il servizio cloud di
Micorosoft è rimasto fermo per 9 ore per un "problema hardware":
-
http://www.ictbusiness.it/cont/news/exchange-online-attivo-dopo-nove-ore-di-
blocco/32712/1.html
Le due notizie mi sembrano in qualche collegate, anche se non saprei dire
esattamente come: forse perché piccoli errori hanno messo in difficoltà
tantissime persone, forse perché si dimostra quanto siamo dipendenti da
servizi con SLA non perfettamente garantiti, forse perché le mitiche grandi
imprese fanno anche loro degli errori.
UNI CEI ISO/IEC 27002:2014
Finalmente è uscita la versione italiana della ISO/IEC 27002:2013 ed ha
codice UNI CEI ISO/IEC 27002:2014. Purtroppo gli anni sono diversi e quindi
si dovrà citare la "ISO/IEC 27002:2013" o la "UNI CEI ISO/IEC 27002:2014".
Altri metodi denotano scarsa conoscenza della materia.
La ISO/IEC 27002 è una lettura consigliata per quanti vogliono occuparsi di
sistemi di gestione per la sicurezza delle informazioni, anche se ci sono
punti in cui è troppo generica o ripetitiva.
Faccio i complimenti a Fabio Guasconi, che ha coordinato il non semplice
lavoro di traduzione delle 86 pagine della norma.
La norma è acquistabile sul sito dell'UNI: http://store.uni.com (la versione
italiana della UNI CEI ISO/IEC 27002:2014 costa 98 Euro, mentre la versione
inglese costa 75 Euro; infine la ISO/IEC 27002:2013 costa 153 Euro; non
capisco che differenza ci possa essere tra queste ultime due).
Bisogna fare attenzione al metodo scelto da UNI per proteggere il diritto
d'autore: si può aprire il file solo sul proprio computer e quindi va
necessariamente stampato subito, per evitare che un crash ce lo faccia
perdere per sempre.
codice UNI CEI ISO/IEC 27002:2014. Purtroppo gli anni sono diversi e quindi
si dovrà citare la "ISO/IEC 27002:2013" o la "UNI CEI ISO/IEC 27002:2014".
Altri metodi denotano scarsa conoscenza della materia.
La ISO/IEC 27002 è una lettura consigliata per quanti vogliono occuparsi di
sistemi di gestione per la sicurezza delle informazioni, anche se ci sono
punti in cui è troppo generica o ripetitiva.
Faccio i complimenti a Fabio Guasconi, che ha coordinato il non semplice
lavoro di traduzione delle 86 pagine della norma.
La norma è acquistabile sul sito dell'UNI: http://store.uni.com (la versione
italiana della UNI CEI ISO/IEC 27002:2014 costa 98 Euro, mentre la versione
inglese costa 75 Euro; infine la ISO/IEC 27002:2013 costa 153 Euro; non
capisco che differenza ci possa essere tra queste ultime due).
Bisogna fare attenzione al metodo scelto da UNI per proteggere il diritto
d'autore: si può aprire il file solo sul proprio computer e quindi va
necessariamente stampato subito, per evitare che un crash ce lo faccia
perdere per sempre.
lunedì 23 giugno 2014
Garante e biometria
Massimo Cottafavi di Spike Reply mi ha segnalato lo schema di Provvedimento
del Garante in materia di biometria:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
132642
In particolare, mi ha segnalato le citazioni della ISO/IEC 27001. In poche
parole, il Garante prevede per le organizzazioni certificate ISO/IEC 27001
delle semplificazioni in materia di misure di sicurezza per gli strumenti
biometrici.
Non mi dilungo su alcune imprecisioni, la prima delle quali è che parla di
un'inesistente ISO/IEC 27001:2006 e che non prende in considerazione la
nuova norma del 2013 o la sua traduzione del 2014.
Il punto chiave è che sono esonerati dall'obbligo di istanza di verifica
preliminare le organizzazioni già certificate ISO/IEC 27001 che estendono il
proprio ambito di certificazione ai meccanismi crittografici. Per chi non è
certificato è disponibile un percorso diverso. Massimo Cottafavi riflette:
"se uno è certificato ma non intende ampliare l'ambito di certificazione
(per tanti motivi, il primo dei quali è il costo), apparentemente non può
neanche seguire la strada alternativa".
Penso che abbia ragione e spero che il Garante modifichi il Provvedimento
(ho mandato la riflessione seguendo la procedura).
del Garante in materia di biometria:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
132642
In particolare, mi ha segnalato le citazioni della ISO/IEC 27001. In poche
parole, il Garante prevede per le organizzazioni certificate ISO/IEC 27001
delle semplificazioni in materia di misure di sicurezza per gli strumenti
biometrici.
Non mi dilungo su alcune imprecisioni, la prima delle quali è che parla di
un'inesistente ISO/IEC 27001:2006 e che non prende in considerazione la
nuova norma del 2013 o la sua traduzione del 2014.
Il punto chiave è che sono esonerati dall'obbligo di istanza di verifica
preliminare le organizzazioni già certificate ISO/IEC 27001 che estendono il
proprio ambito di certificazione ai meccanismi crittografici. Per chi non è
certificato è disponibile un percorso diverso. Massimo Cottafavi riflette:
"se uno è certificato ma non intende ampliare l'ambito di certificazione
(per tanti motivi, il primo dei quali è il costo), apparentemente non può
neanche seguire la strada alternativa".
Penso che abbia ragione e spero che il Garante modifichi il Provvedimento
(ho mandato la riflessione seguendo la procedura).
sabato 14 giugno 2014
Libro "Sicurezza delle informazioni"
Finalmente ce l'ho fatta e ho pubblicato il mio libro "Sicurezza delle
informazioni". Si trova in formato pdf in alcune librerie on-line. Per il formato epub bisogna aspettare qualche giorno perché deve essere validato. Personalmente preferisco il formato pdf.
Nelle librerie che seguono c'è sicuramente, ma, quando il formato epub sarà validato, si troverà anche sui celeberrimi Amazon e Ibs:
- http://www.ultimabooks.it;
- http://libreriarizzoli.corriere.it
- http://www.bookrepublic.it
- http://www.deastore.com
- http://www.cubolibri.it
- http://www.hoepli.it
- http://www.libreriaebook.it
- http://www.biblonstore.it
- http://ebook.unita.it
La versione "giusta" è quella del 10 giugno e vi invito a guardare
l'anteprima per vedere gli argomenti trattati (analisi del rischio, ISO/IEC
27001 e non solo) e quindi decidere se vi interessa.
L'ho pubblicato come self-publisher tramite la piattaforma Narcissus.me. Un
nome un programma. Ed è stato molto divertente, anche se terribilmente faticoso.
informazioni". Si trova in formato pdf in alcune librerie on-line. Per il formato epub bisogna aspettare qualche giorno perché deve essere validato. Personalmente preferisco il formato pdf.
Nelle librerie che seguono c'è sicuramente, ma, quando il formato epub sarà validato, si troverà anche sui celeberrimi Amazon e Ibs:
- http://www.ultimabooks.it;
- http://libreriarizzoli.corriere.it
- http://www.bookrepublic.it
- http://www.deastore.com
- http://www.cubolibri.it
- http://www.hoepli.it
- http://www.libreriaebook.it
- http://www.biblonstore.it
- http://ebook.unita.it
La versione "giusta" è quella del 10 giugno e vi invito a guardare
l'anteprima per vedere gli argomenti trattati (analisi del rischio, ISO/IEC
27001 e non solo) e quindi decidere se vi interessa.
L'ho pubblicato come self-publisher tramite la piattaforma Narcissus.me. Un
nome un programma. Ed è stato molto divertente, anche se terribilmente faticoso.
venerdì 13 giugno 2014
Privacy e cookie
Il Garante privacy, con Provvedimento Generale dell'8 maggio 2014, ha
regolamentato l'uso dei cookie dei siti web:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
118884
Ne faccio un brevissimo riassunto:
- per i cookie tecnici è richiesta l'informativa con le modalità più idonee;
- per i cookie di profilazione è richiesta l'informativa e il consenso; si
può presentare all'utente solo un'informativa breve (banner), purché sia
comunque disponibile un'informativa lunga.
Non mi pare cambi molto rispetto a quanto già fatto da molti siti web.
regolamentato l'uso dei cookie dei siti web:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
118884
Ne faccio un brevissimo riassunto:
- per i cookie tecnici è richiesta l'informativa con le modalità più idonee;
- per i cookie di profilazione è richiesta l'informativa e il consenso; si
può presentare all'utente solo un'informativa breve (banner), purché sia
comunque disponibile un'informativa lunga.
Non mi pare cambi molto rispetto a quanto già fatto da molti siti web.
giovedì 12 giugno 2014
Draft ISO 9001:2015
La nuova ISO 9001 è allo stato DIS, ossia Draft. Secondo i miei calcoli, se
il consenso sarà sufficiente, a novembre sarà disponibile il final draft e a
inizio 2015 uscirà la nuova norma.
Devo dire che il lavoro mi sembra notevole, anche per i miglioramenti
introdotti all'HLS e all'esplicitazione di aspetti che nella ISO/IEC 27001
sono stati invece ritenuti "impliciti".
In molti hanno scritto sulle novità della norma, soprattutto sull'analisi
del rischio (a cui è anche dedicato un paragrafo nell'introduzione). Io vedo
anche sottolineati: l'attenzione al cliente, il controllo dei cambiamenti,
la conoscenza complessiva dell'organizzazione. Io sottolineo il fatto che
non si parla più di "risorse umane" ma di "persone" e lo trovo un bel
segnale.
Invito quanti vogliono condividere approfondimenti sulla nuova ISO 9001 a
segnalarmeli o inviarmeli.
Consiglio però di aspettare il final draft prima di trarre conclusioni
sull'attuazione della ISO 9001. Potrebbe infatti essere ampiamente
modificata, anche se in molti lo ritengono improbabile.
il consenso sarà sufficiente, a novembre sarà disponibile il final draft e a
inizio 2015 uscirà la nuova norma.
Devo dire che il lavoro mi sembra notevole, anche per i miglioramenti
introdotti all'HLS e all'esplicitazione di aspetti che nella ISO/IEC 27001
sono stati invece ritenuti "impliciti".
In molti hanno scritto sulle novità della norma, soprattutto sull'analisi
del rischio (a cui è anche dedicato un paragrafo nell'introduzione). Io vedo
anche sottolineati: l'attenzione al cliente, il controllo dei cambiamenti,
la conoscenza complessiva dell'organizzazione. Io sottolineo il fatto che
non si parla più di "risorse umane" ma di "persone" e lo trovo un bel
segnale.
Invito quanti vogliono condividere approfondimenti sulla nuova ISO 9001 a
segnalarmeli o inviarmeli.
Consiglio però di aspettare il final draft prima di trarre conclusioni
sull'attuazione della ISO 9001. Potrebbe infatti essere ampiamente
modificata, anche se in molti lo ritengono improbabile.
Social privacy
Franco Ferrari di DNV GL mi ha segnalato l'aggiornamento della pubblicazione
del Garante della privacy dal titolo " Social privacy. Come tutelarsi
nell'era dei social network":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
140082
La pubblicazione è indirizzata ai "ragazzi", ma ci sono molti consigli utili
ed è sicuramente utile anche agli adulti (alcuni miei contatti
"professionali" su Facebook dovrebbero forse ricordarsi che non hanno
chiesto l'amicizia solo ai veri amici...).
del Garante della privacy dal titolo " Social privacy. Come tutelarsi
nell'era dei social network":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3
140082
La pubblicazione è indirizzata ai "ragazzi", ma ci sono molti consigli utili
ed è sicuramente utile anche agli adulti (alcuni miei contatti
"professionali" su Facebook dovrebbero forse ricordarsi che non hanno
chiesto l'amicizia solo ai veri amici...).
martedì 10 giugno 2014
DFA Open Day 2014 - Materiale
Vi segnalo il materiale del DFA Open Day 2014:
- http://www.perfezionisti.it/proposte-formative/dfa-open-day-2014/
E' stato un evento molto bello, con circa 100 persone e molti spunti
interessanti.
- http://www.perfezionisti.it/proposte-formative/dfa-open-day-2014/
E' stato un evento molto bello, con circa 100 persone e molti spunti
interessanti.
Presentazione sul rischio informatico
Enrico Luigi Toso di DB Consorzio mi ha inviato una interessante
presentazione dal titolo "Circolare Banca d'Italia 263 Cap. 8 – Il Rischio
informatico: Un inquadramento metodologico per favorire l'integrazione del
rischio informatico nella gestione del rischio operativo".
Lettura quanto meno impegnativa ma molto interessante e che consiglio perché
ci sono cose molto interessanti sulla valutazione del rischio, applicabili
anche in ambiente non bancario.
Qualche esempio: riflessione sul rapporto tra rendimento e rischio e sul
rapporto tra adeguamento normativo e rischio, suggerimento di analizzare il
rischio per processi e non per asset (anche se poi questi si ripresentano).
Non c'è solo questo, ovviamente.
Il materiale si troverà sul sito (sono richieste credenziali di accesso
fornite dopo registrazione):
- http://www.abieventi.it/eventi/2044/banche-e-sicurezza-2014/
presentazione dal titolo "Circolare Banca d'Italia 263 Cap. 8 – Il Rischio
informatico: Un inquadramento metodologico per favorire l'integrazione del
rischio informatico nella gestione del rischio operativo".
Lettura quanto meno impegnativa ma molto interessante e che consiglio perché
ci sono cose molto interessanti sulla valutazione del rischio, applicabili
anche in ambiente non bancario.
Qualche esempio: riflessione sul rapporto tra rendimento e rischio e sul
rapporto tra adeguamento normativo e rischio, suggerimento di analizzare il
rischio per processi e non per asset (anche se poi questi si ripresentano).
Non c'è solo questo, ovviamente.
Il materiale si troverà sul sito (sono richieste credenziali di accesso
fornite dopo registrazione):
- http://www.abieventi.it/eventi/2044/banche-e-sicurezza-2014/
domenica 8 giugno 2014
Google e diritto all'oblio
La notizia si è molto diffusa ed è questa: la Corte di Giustizia UE ha
stabilito che un motore di ricerca è un titolare di trattamenti di dati
personali e pertanto devono far sparire dalle ricerche le tracce della
persona che vuole essere "dimenticata":
-
http://www.repubblica.it/tecnologia/2014/05/13/news/causa_contro_google_cort
e_ue_motore_di_ricerca_responsabile_dati-85985943/
Mi sto chiedendo se questo sia un bene (se penso a persone accusate
ingiustamente di cui rimane traccia per sempre senza alcun collegamento a
notizie aggiornate) o un male.
Ad ogni modo, questa è la sentenza:
-
http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62012CJ0131&qi
d=1401432812901&from=EN
e questo è un commento critico alla sentenza:
-
http://www.filodiritto.com/note-critiche-alla-presunta-salvaguardia-del-diri
tto-alloblio-in-capo-a-chi-non-dovrebbe-e-non-potrebbe-il-motore-di-ricerca/
stabilito che un motore di ricerca è un titolare di trattamenti di dati
personali e pertanto devono far sparire dalle ricerche le tracce della
persona che vuole essere "dimenticata":
-
http://www.repubblica.it/tecnologia/2014/05/13/news/causa_contro_google_cort
e_ue_motore_di_ricerca_responsabile_dati-85985943/
Mi sto chiedendo se questo sia un bene (se penso a persone accusate
ingiustamente di cui rimane traccia per sempre senza alcun collegamento a
notizie aggiornate) o un male.
Ad ogni modo, questa è la sentenza:
-
http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62012CJ0131&qi
d=1401432812901&from=EN
e questo è un commento critico alla sentenza:
-
http://www.filodiritto.com/note-critiche-alla-presunta-salvaguardia-del-diri
tto-alloblio-in-capo-a-chi-non-dovrebbe-e-non-potrebbe-il-motore-di-ricerca/
Password codificate e password di default
Dal SANS Newbyte trovo questa deliziosa notizia: il Department of Homeland
Security (DHS) statunitense ha avvisato gli operatori dei pannelli stradali
Daktronics Vanguard che questi possono essere attaccati a causa delle
password codificate in essi.
Risposta della Daktronics Vanguard: "non si tratta di password codificate,
ma di password di default non modificate".
Due cattive pratiche al prezzo di una:
-
http://www.nextgov.com/cybersecurity/2014/06/flaw-lets-hackers-control-elect
ronic-highway-billboards/85849/
Security (DHS) statunitense ha avvisato gli operatori dei pannelli stradali
Daktronics Vanguard che questi possono essere attaccati a causa delle
password codificate in essi.
Risposta della Daktronics Vanguard: "non si tratta di password codificate,
ma di password di default non modificate".
Due cattive pratiche al prezzo di una:
-
http://www.nextgov.com/cybersecurity/2014/06/flaw-lets-hackers-control-elect
ronic-highway-billboards/85849/
OpenSSL - Ancora!
In tanti hanno scritto delle nuove vulnerabilità riscontrate su OpenSSL. Io
scelgo un link presentato dal SANS Newsbyte:
- http://www.theregister.co.uk/2014/06/05/openssl_bug_batch/
Sembra che, una volta trovato un nuovo giocattolo, tutti vogliano
divertirsi.
Un editor del SANS (Northcutt) dice: "se stai usando OpenSSL, non agitarti
perché i suoi sviluppatori ci stanno lavorando; se non stai usando OpenSSL,
ci si può chiedere se il tuo prodotto è sicuro".
Aggiungo quanto scritto da Stefano Ramacciotti in una discussione sul gruppo Sikurezza.org di LinkedIn: "Il problema non è la crittografia, ma la sua implementazione; il protocollo SSL è a posto; se dovessimo scrivere un nuovo programma per SSL, non solo si rischierebbe di sbagliare ancora nello sviluppo, ma anche nell'implementazione del protocollo stesso".
scelgo un link presentato dal SANS Newsbyte:
- http://www.theregister.co.uk/2014/06/05/openssl_bug_batch/
Sembra che, una volta trovato un nuovo giocattolo, tutti vogliano
divertirsi.
Un editor del SANS (Northcutt) dice: "se stai usando OpenSSL, non agitarti
perché i suoi sviluppatori ci stanno lavorando; se non stai usando OpenSSL,
ci si può chiedere se il tuo prodotto è sicuro".
Aggiungo quanto scritto da Stefano Ramacciotti in una discussione sul gruppo Sikurezza.org di LinkedIn: "Il problema non è la crittografia, ma la sua implementazione; il protocollo SSL è a posto; se dovessimo scrivere un nuovo programma per SSL, non solo si rischierebbe di sbagliare ancora nello sviluppo, ma anche nell'implementazione del protocollo stesso".
Iscriviti a:
Post (Atom)