domenica 31 agosto 2014

Manuale sul diritto europeo in materia di protezione dei dati

A luglio avevo ricevuto dalla newsletter di Filodiritto la notizia della
pubblicazione "Manuale sul diritto europeo in materia di protezione dei
dati", ma l'avevo ignorata. Massimo Cottafavi di Reply mi ha segnalato a sua
volta la notizia e quindi non posso fare a meno di darla.

La pubblicazione si trova a questo indirizzo:
- http://fra.europa.eu/en/publication/2014/handbook-european-data-protection-law.

Essa è curata dalla "European Union Agency for Fundamental Rights" o EU FRA.
La guida mi sembra fatta molto bene, con molti esempi e molte informazioni.

Perché l'avevo ignorata? Perché di fronte alla domanda "chi nominare
responsabili (interni e esterni) del trattamento?" ho trovato risposte
troppo vaghe. Inoltre ho il sospetto che non aggiunga molto alla letteratura
già diffusa (anche se questo manuale è gratuito e fatto bene) e che sia in
ritardo, vista la probabile e futura approvazione del Regolamento Europeo.

lunedì 25 agosto 2014

Cloud forensics

Segnalo questo interessante articolo di Marco Mattiucci dal titolo "Le sfide
del Cloud Forensics":
- http://www.marcomattiucci.it/cloud_challenges.php

Ci sono molti spunti da tenere a mente: la definizione di "domicilio
informatico", la volatilità dei dati, le difficoltà di cancellazione,
eccetera.

HTTP Shaming

HTTP Shaming è un sito "gogna", dove sono riportati i siti che non
proteggono adeguatamente e quando necessario le connessioni con meccanismi
crittografici:
- http://httpshaming.tumblr.com/

Interessante osservare come regole architetturali di base non siano seguite.

Da quello ho trovato anche questo sito "gogna", in cui sono riportati i siti
che rimandano via e-mail le password di registrazione (pratica inutile e
potenzialmente nociva):
- http://plaintextoffenders.com/

La notizia l'ho ricevuta via SANS NewsBites del 19 agosto, che a sua volta
segnala questo interessante articolo:
-
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-
lax-security/

Patch Microsoft con problemi

Questa me l'ha segnalata Marco Fabbrini:
-
http://www.hwupgrade.it/news/sistemi-operativi/patch-tuesday-di-agosto-disin
stallare-l-aggiornamento-2982791-descritto-da-ms14-045%C2%A0_53641.html


In pochissime parole: un security update di Microsoft per Windows introduce
instabilità ai sistemi fino, in alcuni casi, a bloccarli.

Marco aggiunge il commento: "quando mi dicono che le patch di sicurezza
vengono installate senza nessuna prova, di solito mi limito ad una "faccia"
strana; dopo questo articolo le argomentazioni potranno essere altre!"

sabato 9 agosto 2014

ISO/IEC 27036-2:2014 sulla gestione dei fornitori

È stata recentemente pubblicata la ISO/IEC 27036-2:2014 dal titolo
"Information security for supplier relationships — Part 2: requirements":
-
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber
=59680


A rigore si tratta quindi di una norma "certificabile", anche se non mi
sembra che i requisiti siano tali da poter essere utilizzati in questo modo.
Tra l'altro, la norma stessa non riporta alcun metodo per valutare la
conformità di adozione.

La norma riporta cosa prevedere per stabilire delle relazioni tra acquirente
e fornitore, e infatti stabilisce i requisiti sia per gli uni sia per gli
altri. Anche da questo punto di vista mi sembra di difficile valutazione,
anche se molti aspetti riportati sono interessanti.