giovedì 26 febbraio 2015

NISTIR 8023 per i "Replication devices"

Il NIST ha pubblicato un internal report dal titolo "Risk Management for Replication Devices":
- http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-8023

Il termine "Replication device" si riferisce a ogni strumento che riproduce (cioè copia, stampa, acquisisce digitalmente) documenti, immagini o oggetti da origine elettroniche o fisiche; tra di essi vi sono fotocopiatrici, stampanti, stampanti 3D, scanner, scanner 3D e macchine multifunzione (fotocopiatrice, stampante e scanner).

Si tratta spesso di oggetti sottovalutati dal punto di vista della sicurezza, tanto che raramente ne è fatta un'analisi preliminare su questo aspetto e, poi, ne è tenuto un censimento a scopi di monitoraggio.

Il documento del NIST è molto sintetico e, a mio avviso, può essere usato come base per valutare e gestire altri macchinari (inclusi quelli industriali) presenti in un'azienda.

mercoledì 25 febbraio 2015

Internet of Things

Dopo aver fatto indigestione negli ultimi 5 o 6 anni con il "cloud", ora sembra che sia arrivato il turno del "Internet of things" o IoT. In pochissime parole, l'insieme di tutti i dispositivi che si connettono a Internet; non solo pc o simili, ma anche altri, tra cui sensori di autoveicoli, dispositivi medici, elettrodomestici, eccetera.

Gli oggetti rappresentano dei rischi perché non sempre sono programmati correttamente e gli aggiornamenti non sono previsti. Possono quindi essere sfruttati da malintenzionati per accedere ad una rete privata in modo ancora più semplice che se attaccassero dei pc.

Questa mia descrizione è troppo sintetica, ma è solo per introdurre l'argomento e segnalare la pubblicazione " Internet of things: Risk and value considerations" di ISACA, ottimo punto d'inizio per studiare la materia (tra l'altro, ISACA prevede di realizzare una serie di studi dedicati all'IoT):
- www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/internet-
of-things-risk-and-value-considerations.aspx


Segnalo anche che il "HP Cyber risk report 2015" (già commentato in precedenza) dedica un paragrafo alla materia:
- http://www8.hp.com/us/en/software-solutions/cyber-risk-report-security-vulne
rability/index.html

ISO/IEC TR 90006 - Commento

Tony Coletta, che rappresenta l'Italia al ISO/IEC JTC 1 SC 7, mi ha risposto in merito al mio post sulla ISO/IEC 90006 (e lo ringrazio molto):
- http://blog.cesaregallotti.it/2015/02/isoiec-tr-90006.html

Tony mi scrive: "C'è almeno una cosa che considero interessante nella 90006 e a cui ho contribuito: trovare nella 20000 l'equivalente dei controlli della progettazione e sviluppo della 9001 (riesame, verifica e validazione). In qualche misura si trovano, ma la 20000 li chiama "test" e "verifiche" e li sparge nei punti più strani. Forse nella nuova edizione della 20000 si utilizzerà una terminologia più appropriata".

Mi associo alla speranza di Tony: che ci sia standardizzazione negli standard e che la lunga e onorata storia della ISO 9001 (malgrado non tutte le certificazioni siano ineccepibili) non sia ignorata, per presunzione, da chi scrive altri standard.

Tony mi segnala anche di vedere la differenza di definizione del termine "document". Infatti, nella ISO/IEC 20000 è stata aggiunta una nota alla definizione dei documenti ("specificano intenti da conseguire") per renderla più omogena a quella delle registrazioni ("riportano i risultati ottenuti o forniscono evidenza delle attività svolte").

ISO/IEC 29147 - Vulnerability disclosure

Franco Ferrari mi ha segnalato la pubblicazione (a febbraio 2014) della ISO/IEC 29147 dal titolo "Vulnerability disclosure". Già Stefano Ramacciotti me l'aveva segnalata a suo tempo.

La norma presenta un processo, e le relative considerazioni, che i produttori di sistemi informatici dovrebbero seguire per ricevere e verificare le segnalazioni sulle vulnerabilità dei propri prodotti e per risolverle.

Indagini sui rischi e sugli attacchi

Inizio anno, tempo di rapporti sulla sicurezza dei più vari tipi.

Il primo, di Protiviti, ha titolo "Executive Perspectives on Top Risks for 2015" e riguarda i rischi (non solo di sicurezza delle informazioni) percepiti da 280 membri di Board e Top Management:
- http://www.protiviti.com/toprisks

In sintesi i rischi ritenuti più importanti sono quelli correlati ai cambiamenti normativi, all'economia generale, agli attacchi informatici, alla disponibilità del personale, alla mancanza di procedure relative alla gestione delle crisi, alle difficoltà di comprendere le aspettative dei clienti. Il decimo rischio forse li riassume tutti: "le attività attuali non riescono ad avere le prestazioni attese in merito a qualità, rapidità, costi e innovazione ". Il mio commento sintetico e, purtroppo, basato su quello che vedo: ne discutono, ma poi non promuovono né seguono attentamente azioni per trattare questi rischi; il motivo, credo, è che i manager sono giudicati nel breve termine su fatturato e utile; "sostenibilità nel medio e lungo termine" non è normalmente un parametro di giudizio.

Questa preoccupazione si percepisce nel settimo rischio che recita "la gestione della sicurezza delle informazioni richiede risorse significative".

Nota terminologica: Protiviti non usa il termine "rischio" come previsto dalle norme internazionali (ISO 31000, ISO/IEC 27001, eccetera). Ma, insomma, si capisce lo stesso.

Il secondo rapporto è il "Horizon Scan 2015" del Business Continuity Institute:
- http://www.thebci.org/index.php/obtain-the-horizon-scan-2015-document

Sintetizzo le 10 minacce ritenute più importanti: attacchi informatici, interruzioni dei sistemi informatici e delle infrastrutture, interruzioni nella filiera di fornitura, clima, malattie, fuoco, terrorismo. Interessante la preoccupazione relativa alla filiera di fornitura, che l'anno scorso era al sedicesimo posto e ora è al quinto: questo aspetto è finalmente considerato come importante. Raccomando, come minimo, la lettura dell'executive summary.

Un dato interessante per scopi polemici: le organizzazioni che dispongono di analisi e non le usano sono il 33%; mi chiedo se è perché sono commissionate a consulenti non capaci o perché sono commissionate solo per far bella figura (due dei mali che affliggono me e i miei colleghi). Un altro caso riguarda l'incapacità di rivedere le proprie decisione anche a fronte di analisi che portano a diverse conclusioni (un tipo di autoinganno molto diffuso: si "dimenticano" subito le posizioni contrarie alla nostra).

L'ultimo report è il "HP Cyber risk report 2015":
- http://www8.hp.com/us/en/software-solutions/cyber-risk-report-security-vulne
rability/index.html


Di questo seleziono alcuni dei temi chiave riportati all'inizio del rapporto: sfruttamento di vulnerabilità note da tempo (a cui sono collegati gli annosi problemi di patch non installate e di correzioni mai prese in considerazione per il principio "funziona e quindi non si tocca"); configurazioni sbagliate, difetti di progettazione, sviluppo e codifica dei software (cose che, per essere risolte, richiedono persone competenti, e quindi costose, che dedicano del tempo, che costa, ad aggiornarsi e trovare soluzioni).

Alcune parti del rapporto sono divulgative, altre più tecniche (per esempio il capitolo sulle vulnerabilità, ma non solo).

lunedì 23 febbraio 2015

Attacco ai siti olandesi

Fabrizio Monteleone di DNV GL mi ha segnalato questo articolo (fa
riferimento ad un attacco DOoS del 10 febbraio):
- http://in.reuters.com/article/2015/02/11/netherlands-government-websites-idI
NKBN0LF0OU20150211


Fabrizio mi sottolinea quanto segue: "Chi tiene alla reputazione o chi
ritiene che il web sia un canale di comunicazione come tutti gli altri e
come tale vada protetto, dovrebbe comportarsi come i genitori che mandano i
figli a scuola da soli: spiegare di fare attenzione agli sconosciuti, non
dare confidenza, chiamare la maestra. Se tutto questo non importa vale
sempre l'assioma che se non si crea il bisogno (in questo caso di
protezione) non si vende il prodotto/servizio, nè si giustificano la nascita
e la crescita di National/Worldwide/Secret agencies...").

Io noto un'altra cosa interessante: la società che si occupa dei siti web
attaccati ha rilasciato una dichiarazione: "I primi sintomi indicavano un
problema tecnico interno, poi abbiamo capito che si trattava di un attacco
dall'esterno". Uno specialista di sicurezza ha commentato: "Se stai subendo
un attacco DDoS, lo sai".

Il mio corollario: "Ma che dichiarazione hanno fatto? Un minimo di piano di
emergenza e di comunicazione ("piano di gestione delle crisi") ce
l'avevano?". Faccio anche notare che l'attacco ha colpito le linee
telefoniche: deduco fossero su VoIP e sulla stessa rete della linea dati...
forse non la scelta migliore del mondo.

Threat exchange

Questa notizia l'ho ricevuta inizialmente dal SANS NewsBites: alcune grandi
aziende di informatica (Facebook, Tumblr, Pinterest, Twitter, Yahoo
eccetera) utilizzano un sistema di scambio di informazioni sulle minacce a
cui potrebbero essere sottoposte.

Un articolo:
- http://www.wired.com/2015/02/facebook-unveils-tool-sharing-data-malicious-bo
tnets/


Il sito di Threat Exchange (grazie a Pasquale Stirparo, che ha anche
commentato "onestamente non so quante aziende siano disposte a condividere
certe informazioni... e soprattutto a darle in gestione a FaceBook"):
- https://threatexchange.fb.com

Grazie a Daniela Quetti per avermi ribadito la notizia (inizialmente l'avevo
ignorata).

domenica 22 febbraio 2015

Inganno e autoinganno

Segnalo questo libro che ho trovato molto interessante: "La follia degli
stolti: La logica dell'inganno e dell'autoinganno nella vita umana", di
Robert Trivers (editore Einaudi).

Quanto riportato su inganno e autoinganno ha impatti anche sul lavoro e gli
ambienti di lavoro. Per esempio, pensiamo alle categorie dell'auto inganno:
- sopravvalutarsi (tutti ci sopravvalutiamo e poi facciamo errori);
- denigrare gli altri, distinguere tra "noi" e "loro", l'ipocrisia morale e
le falsi narrazioni sociali (per cui giustifichiamo nostri comportamenti
altrimenti non giustificabili);
- la corruzione del potere (anche un minuscolo potere riduce la capacità di
empatia e di ascoltare gli altri);
- l'illusione del controllo.

Altra cosa interessante che mi sono appuntato è la nostra attitudine a
mantenere la posizione nonostante tutto (per esempio, una volta negata una
preferenza o un'azione, si tende a continuare a negarla, nonostante le prove
contrarie).

Purtroppo il libro tratta alcune teorie in modo frettoloso (per esempio, non
ho capito il "faccismo"); altre parti sono inutilmente lunghe (quella sui
disastri aerei e spaziali) o inappropriate per gli scopi del libro (le
critiche a Israele, l'attacco alla psicologia come pseudo-scienza,
eccetera).

martedì 10 febbraio 2015

Ospedali e continuità operativa

Sandro Sanna mi ha segnalato il seguente articolo:
- http://www.agendadigitale.eu/infrastrutture/1316_in-tre-ospedali-su-quattro-
i-pazienti-sono-alla-merce-dei-crash-informatici.htm


Diciamo che i toni dell'articolo sono un po' troppo "giornalistici".

Però ci sono cose interessanti, come la riflessione sul cloud per trovare
soluzioni di DR e la differenza tra grandi e piccole aziende (e quindi, tra
diverse disponibilità economiche grazie alla differenza di scala).

Forse un'ulteriore riflessione dovrebbe riguardare: quanti dei servizi
informatici degli ospedali sono già gestiti da fornitori esterni? Con tutto
quello che ne consegue (disponibilità di un DR, controllo degli accessi,
eccetera).

Cassazione Penale: legittimo l'utilizzo di telecamere per provare i furti dei dipendenti

Questa sentenza, che analizza anche il famoso articolo 4 dello Statuto dei
lavoratori, mi pare interessante. In sintesi, l'enunciato è il seguente: " le
norme dello Statuto tutelano sì la riservatezza dei lavoratori ma non fanno
divieto dei cosiddetti "controlli difensivi" del patrimonio aziendale e non
vietano il loro utilizzo in sede processuale.".

L'articolo di Filodiritto:
- http://www.filodiritto.com/news/2015/cassazione-penale-legittimo-lutilizzo-d
i-telecamere-per-provare-i-furti-dei-dipendenti.html
.

La sentenza non è ancora su www.cortedicassazione.it.

sabato 7 febbraio 2015

ISO/IEC TR 90006

Franco Ferrari mi ha segnalato l'esistenza della ISO/IEC TR 90006 dal titolo
" Guidelines for the applications of ISO 9001:2008 to the IT service
management and its integration wirh ISO/IEC 20000-1:2011".

La norma è del 2013 e non la leggerò. Forse mi sfuggirà qualcosa, ma ho
sempre dei dubbi su queste norme di confronto per due motivi: il primo è che
se qualcuno conosce già le due norme (di poche pagine ciascuna!), dovrebbe
essere capace di confrontarle agevolmente; il secondo è che solitamente il
documento finale risulta in una serie di ovvietà, a causa della natura
stessa degli standard internazionali (troppi autori contribuiscono a
eliminare qualsiasi contributo originale e in una norma non si possono
scrivere cose troppo originali).

NSA Information Assurance guidance

Stefano Ramacciotti mi ha segnalato la pagina "Information Assurance
guidance" della NSA:
- https://www.nsa.gov/ia/mitigation_guidance/

Io avevo già visitato questo sito ma non l'avevo segnalato. Quindi ringrazio
Stefano del richiamo. Infatti ho fatto male perché la NSA, nonostante sia
associata a spionaggio e controllo delle persone, ha persone valide e la
loro lista delle 10 misure di sicurezza più importanti ("Top 10 IA
Mitigation Strategies") dovrebbe essere considerata.

Si tratta di misure tecniche spesso non considerate dalle solite
raccomandazioni in circolazione. Insomma, non si tratta delle solite misure
generali ("scrivete una politica di sicurezza", "fate un risk assessment",
"fate gli audit", eccetera) e neanche di processo ("stabilite un processo di
gestione delle utenze", "stabilite un processo di gestione degli incidenti",
eccetera). Sono anche forniti consigli tecnici molto pratici.

Purtroppo non hanno fatto un volumetto di 20 pagine, ma 10 documenti di due
pagine ciascuno. Son tecnici...

giovedì 5 febbraio 2015

Sandbox sui pc

Dalla newsletter di Achab inoltro questa notizia: Dell prevede, nella sua
installazione OEM per i pc business, la messa a disposizione di un programma
di sandboxing:
- https://www.achab.it/achab.cfm/it/blog/achablog/dell-introduce-una-sandbox-s
ui-pc-business


In poche parole, l'utente può decidere quali programmi utilizzare nella
sandbox, senza che invece lavorino direttamente sul sistema operativo, con
tutti i rischi del caso, in particolare se si tratta di browser o programmi
con livello di sicurezza non completamente noto.

Ovviamente, quello annunciato non è l'unico prodotto di sandboxing (vedo che
il più noto è Sandboxie, e poi c'è questo BufferZone Pro della Trustware
gratuito per scopi non commerciali, ma il loro sito oggi non funziona).
Questa tecnologia mi pare interessante e spero di poterla approfondire nel
futuro.