giovedì 27 agosto 2015

Check list

A luglio, con perfetto tempismo, ben tre clienti mi hanno chiesto cosa ne pensassi dell'uso di check list per gli audit. La mia risposta è stata: "non le ritengo utili, anzi, le ritengo dannose". Non sono un genio e a questa conclusione sono arrivato dopo aver usato delle check list e averne visto i difetti.

Come auditor di certificazione, la mia check list dovrebbe essere la norma di riferimento. Ovviamente, negli anni, ho creato degli appunti relativi ai requisiti più sintetici e ad alcuni settori merceologici; però non costituiscono assolutamente una check list.

Come auditor interno, i requisiti da verificare sono le procedure e regole interne, e quindi svolgo l'audit con quelle, non con un'altra cosa (le check list). Infatti: perché dovrei avere un documento di riferimento (la check list) diverso da quello che hanno le persone da intervistare (le politiche e le procedure)? Se ho difficoltà ad orientarmi tra regole e procedure, perché dovrei pretendere che non ne abbiano gli intervistati? Se ci sono regole scritte solo sulla mia check list e non nelle regole e procedure consegnate al personale, come posso pretendere che le seguano? Perché, quando necessario, invece di aggiornare un solo documento bisogna aggiornarne due? Come faccio a capire se una procedura è scorretta, incompleta o poco chiara se non la leggo insieme alla persona intervistata e mentre mi illustra come applica i requisiti stabiliti?

Anche qui non sono completamente impreparato: sul piano di audit riporto le procedure applicabili ad ogni intervista e prima di ogni intervista rileggo le procedure e mi segno i punti più importanti da verificare.

Certamente le check list compilate possono dimostrare che l'audit è stato fatto completamente. Ma anche un rapporto di audit, con riportate le procedure analizzate e le prove raccolte, lo può fare.

Privacy: comunicazione compromissioni nella PA

Il 2 luglio 2015 il Garante ha pubblicato il Provvedimento dal titolo "Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche" (doc web 4129029):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4129029.

In sintesi, il Garante richiede alle pubbliche amministrazioni di "comunicare al Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati".

Insomma, si tratta di un'estensione della misura cosiddetta "data breach", finora prevista solo per i fornitori di servizi di telecomunicazione.

Spid - Un articolo

In precedenza avevo annunciato novità sullo Spid, Sistema pubblico di identità digitale. Franco Ferrari di DNV GL mi ha segnalato questo articolo, che mi pare chiarisca bene cos'è lo Spid e cosa succederà nel prossimo futuro:
- http://www.wired.it/attualita/2015/07/29/guida-spid-sistema-identita-digitale/.

Sicurezza applicazioni e apps

Un'altra puntata sulla sicurezza delle applicazioni informatiche.

Stefano Ramacciotti mi ha segnalato questo link con il commento "l'articolo dice un po' le solite cose, ma i link di approfondimento possono essere utili":
- https://www.checkmarx.com/2015/07/01/9-secure-coding-practices-you-cant-ignore/.

Vista l'ignoranza in materia, penso che anche l'articolo sia interessante (noto che alcuni link sono datati, ma incredibilmente attuali).

Dal NTT Security Blog, ho avuto invece notizia della pubblicazione (del 2014!) "OWASP Mobile Security Project - Top Ten Mobile Risks":
- https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks.

Altri standard: ISO/IEC 27033-1 e 27034-2

Segnalo la pubblicazione di altre due norme internazionali:

Sicuramente è stato interessante per gli autori scriverle. Per capire la sicurezza delle reti e delle applicazioni IT, raccomando però la lettura di altri manuali più pragmatici, pratici ed economici.

ISO/IEC 29190 - Privacy capability assessment model

È stata pubblicata la ISO/IEC 29190:2015 dal titolo "Privacy capability assessment model":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=45269.

L'intenzione è quella di presentare un metodo per valutare i processi relativi alla privacy, in linea con quanto già proposto dalla ISO/IEC 15504.

L'ho letta rapidamente e l'ho trovata: inutile (non aggiunge molto rispetto a quanto già presente nella ISO/IEC 15504 e nel Cobit) e pasticciata (dove aggiunge, si trova solo confusione).

Ora, però, i venditori di "assessment" hanno un'altra cosa da proporre.

mercoledì 26 agosto 2015

Windows 10

È ora disponibile gratuitamente Windows 10 per chi ha Windows 7 e Windows 8. Probabilmente lo installerò, ma devo prima verificare se questo Windows 10 è anche "Pro" (come il mio Windows 8).

In molti mi hanno assicurato che è migliore di Windows 8, in termini di prestazioni e facilità d'uso.

Però ci sono almeno due problemi da approfondire.

Il primo riguarda la privacy: Microsoft ha capito che deve agire come Google, Facebook e Amazon, raccogliendo il maggior numero di dati possibili sui propri utenti e poterli usare (o rivenderli a chi li vuole usare) per finalità di marketing e pubblicità. Non riesco né ad esserne sorpreso né indignato,  visto che il mercato dell'informatica è ormai questo e tutti, chi più chi meno, ci siamo adeguati. Per adeguarsi un po' di meno, o si passa a Linux o si configura con attenzione il proprio sistema operativo Windows 10, come suggerito da questi articoli (ricevuti dalla newsletter SANS News Bytes):
- http://www.slate.com/articles/technology/bitwise/2015/08/windows_10_privacy_problems_here_s_how_bad_they_are_and_how_to_plug_them.single.html;
 - http://www.wired.com/2015/08/windows-10-security-settings-need-know/.

Altro aspetto riguarda la gestione delle wi-fi e il meccanismo Wi-Fi Sense: Windows 10 permette di condividere le password di accesso alle wi-fi a cui ci si è collegati con tutti i propri contatti Sype e Outlook. Cioè: io invito un mio amico a casa, gli do la password wi-fi e automaticamente tutti i suoi amici ce l'hanno. Non ho capito se è comunicata anche agli amici degli amici:
- http://arstechnica.com/gadgets/2015/07/wi-fi-sense-in-windows-10-yes-it-shares-your-passkeys-no-you-shouldnt-be-scared/;
- http://www.zdnet.com/article/no-windows-10s-wi-fi-sense-feature-is-not-a-security-risk/.

Come fare, quindi, se, al contrario degli articoli citati, si pensa che questo sia un rischio? Modificare l'SSID della propria wi-fi aggiungendo "_optout":
- http://money.cnn.com/2015/07/30/technology/windows10-wifi-sense/

Problema: con i router ADSL Alice Telecom non è possibile modificare l'SSID (l'assistenza tecnica mi ha chiesto 9 Euro per dirmi come fare). Non mi sembra molto corretto, visto che si tratta di sicurezza...

Hacking e automobili

La notizia è nota da tempo: è possibile accedere via wi-fi al sistema di controllo di certe vetture e comandarle a distanza:
- http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ (in inglese);
- http://www.itespresso.it/fca-richiama-14-milioni-di-auto-hackerate-110191.html (in italiano, per quanto brutto).

La cosa incredibile, come già è stato dimostrato con gli aerei, è che l'attacco inizia con la compromissione del sistema di intrattenimento, da quale poi accedere al sistema di controllo. Questo la dice lunga sulla competenza di chi ha progettato questi sistemi (o dei loro responsabili che hanno imposto sistemi più economici): da sempre sappiamo che, per sicurezza, i sistemi più critici devono essere completamente isolati da quelli meno critici.

E, ancora una volta, si vede come gli sviluppatori (di qualunque livello) di sistemi informatici siano completamente disinteressati alla sicurezza, inclusi quelli che lavorano in ambienti da sempre attentissimi a questo aspetto.

Non avrei soluzioni da proporre. Forse nelle scuole e nelle università dovrebbero integrare meglio questo aspetto nelle materie (ma recentemente ho sentito presentazioni agghiaccianti da parte di "esperti di sicurezza" che tengono corsi in qualche università; dimostrando così che la selezione dei docenti per questa materia è ancora carente); forse dovremmo noi "esperti" trovare altre strade per promuovere la sicurezza (temo che i convegni con sole presentazioni commerciali o di tecniche "base" non siano sufficienti); forse Governo e Autorità varie potrebbero trovare ulteriori strade (ma ancora una volta si vede come in questi ambienti siano molto presenti degli "esperti" incompetenti).

Scusate lo sfogo.

Colgo l'occasione per riportare una cosa che mi ha scritto Andrea Rui: "Un tempo ero più disfattista, e pensavo che fosse un problema tutto italiano: vedendo ciò che è accaduto negli ultimi anni agli americani ed ai giapponesi mi sono reso conto che il problema è uniformemente distribuito, e che alcuni sono soltanto più bravi a far credere di essere migliori degli altri".

Negli USA vogliono proporre una normativa per la sicurezza informatica delle automobili. Ottima iniziativa, ma forse non sufficiente (anche perché riguarda solo le automobili):
- http://www.wired.com/2015/07/senate-bill-seeks-standards-cars-defenses-hackers/.

PS: segnalo anche questo articolo del The Economist:
- http://www.economist.com/news/science-and-technology/21657766-nascent-internet-things-security-last-thing-peoples.

Nel finale ricorda il tempo, lungo, passato prima che la sicurezza ferroviaria e delle automobili fosse presa seriamente.

Qualche commento sulla futura ISO 9001:2015

IRCA ha pubblicato un documento dal titolo "ISO 9001:2015: understanding the international standard". Purtroppo è disponibile solo agli iscritti.

Il documento riepiloga i cambiamenti maggiori rispetto all'edizione del 2008: l'adozione dell'Annex SL e, quindi, un maggiore allineamento con gli altri standard relativi ai sistemi di gestione; il maggiore coinvolgimento della Direzione, anche se solo attraverso il cambiamento del termine "impegno" con "leadership"; la necessità di analizzare non solo l'organizzazione ma anche il contesto in cui opera; l'introduzione di tecniche di valutazione del rischio e la promozione di un "pensiero basato sul rischio"; l'integrazione dei requisiti per i fornitori con quelli per gli outsourcer; l'uso di "informazioni documentate" al posto di "documenti" e "registrazioni".

Trovo molto interessante la parte relativa alle cose NON richieste a chi adotta il nuovo standard;
  • non è necessario rimuovere il "referente della Direzione per il sistema qualità"; la norma non lo più richiede esplicitamente, ma non lo vieta neanche; si osservi che oggi è molto più chiaro il fatto che la responsabilità del sistema di gestione per la qualità è della Direzione, ma è anche vero che alcune attività di coordinamento e supervisione dovranno essere assegnate a qualcuno (segnalo che in passato mi divertivo molto ad osservare alcuni auditor perplessi perché in alcune aziende in cui ero consulente il "responsabile qualità" era il Direttore Generale o l'Amministratore Delegato; purtroppo non potrò più godere di questo discutibile divertimento);
  • non è necessario buttare via tutti i manuali e le procedure già fatti: se li avete fatti bene, vuol dire che sono utili e vanno mantenuti; osservate che i processi e le attività devono comunque essere stabili e, quindi, un minimo di documentazione è raccomandata; forse vedremo meno documenti inutilmente lunghi per essere "a prova di auditor" e questo sarà un beneficio per tutti;
  • rinumerare i documenti esistenti per allineamento con la nuova struttura della norma: io ho sempre pensato che fosse un errore numerare e ordinare i documenti come i capitoli della norma perché su certe cose è l'azienda che deve guidare, non la norma; comunque nessuno vi vieta di rinumerarli;
  • riordinare i documenti per allinearli al nuovo standard: ancora una volta ho sempre pensato fosse molto stupido avere il manuale qualità numerato secondo la norma (ma, in Italia, Accredia l'aveva raccomandato...) perché un manuale scritto così spesso era di difficile lettura per il personale medio di un'azienda (e infatti non era usato come "manuale", ma come "presentazione" neanche tanto chiara, come ricordo bene dalle mie precedenti esperienze di lavoratore dipendente);
  • modificare i documenti esistenti per adottare la nuova terminologia: non ho mai condiviso l'idea che chi adotta la ISO 9001 debba anche adottarne la terminologia (e, per esempio, usare "non conformità" e non "difettosità" o "azioni correttive e preventive" e non "azioni di miglioramento"), ma non la ritengo infondata; bisogna però evitare di modificare termini chiari ("procedure", "istruzioni", "registrazioni") con termini oggettivamente poco chiari ("informazioni documentate").

ISO/IEC TS 30104 su sicurezza fisica

Nel 2012 avevo annunciato l'avvio dei lavori della norma ISO/IEC TS 30104 dal titolo "Physical security attacks, mitigation techniques and security requirements":
- http://blog.cesaregallotti.it/2012/05/andamento-delle-norme-della-famiglia.html.

Questo standard è stato pubblicato a maggio 2015 (grazie a Franco Ferrari di DNV GL per l'informazione).

Speravo si trattasse di un documento relativo alla sicurezza fisica in generale (controllo accessi fisici, sorveglianza, anti-intrusione, eccetera), invece riguarda solo la sicurezza fisica dei dispositivi crittografici (HSM, smart card, eccetera).

ISO/TS 22317 e BIA

Franco Ferrari di DNV GL mi ha segnalato la prossima pubblicazione della ISO/TS 22317 dal titolo "Business continuity management systems -- Guidelines for business impact analysis (BIA)":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50054.

Rimango dell'idea che la SP 800-34 del NIST, dal titolo "Contingency Planning Guide for Federal Information Systems", è più chiara e utile (propone anche un modello da usare per la BIA):
- http://csrc.nist.gov/publications/PubsSPs.html#800-34.

domenica 23 agosto 2015

Tripadvisor non risponde della veridicità delle recensioni

Sono sempre molto prudente quando leggo le recensioni di Tripadvisor e di siti simili. E ora ho confermata questa mia attitudine:
- http://www.altalex.com/documents/news/2015/07/22/tripadvisor-recensioni-tar-roma-9355-del-2015.

L'AGCOM aveva inizialmente individuato la diffusione di informazioni ingannevoli nelle recensioni su Tripadvisor e quindi scritto "Tripadvisor, infatti, pur dichiarando di non controllare i fatti contenuti nelle recensioni ed essendo a conoscenza che sul predetto sito vengono pubblicate false recensioni, sia di valenza positiva che negativa, da parte di utenti che non hanno effettivamente fruito dei servizi offerti dalle strutture presenti nel database...".

Poi il TAR del Lazio ha annullato la multa di AGCOM, basandosi sicuramente su aspetti legislativi corretti, ma a mio parere l'annosa questione della veridicità delle recensioni sui siti web rimane aperta.

Per chi volesse leggere la sentenza, l'ho trovata qui:
- http://www.eius.it/giurisprudenza/2015/196.asp.

ISO/IEC 27023 - Confronto versioni 27001 e 27002

La ISO ha pubblicato la ISO/IEC 27023:
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61005

Questa norma, dal prezzo di 118 Franchi svizzeri, riporta le tabelle di correlazione tra le versioni del 2005 e 2013 delle ISO/IEC 27001 e 27002.

Confesso che non ne ho seguito i lavori, visto che era già stato pubblicato un documento ufficiale a inizio 2014, tra l'altro liberamente scaricabile:
- http://www.jtc1sc27.din.de/cmd?level=tpl-bereich&languageid=en&cmsareaid=wg1sd3.

Per questo motivo non capisco perché sia stata pubblicata ora questa versione a pagamento, ben due anni dopo la pubblicazione delle nuove ISO/IEC 27001 e 27002.