È stata pubblicata la EN 319 403, dal titolo " Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers":
- http://uninfo.it/index.php/news/focus/item/pubblicata-la-norma-en-319403-nasce-l-accreditamento-per-la-conformita-dei-servizi-fiduciari
È applicabile ai fornitori di servizi che vorranno ottenere dall'AgID lo status di servizio qualificato. Tra questi servizi vi sono quelli relativi a:
- firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
- certificati di autenticazione di siti web;
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
Grazie ad Andrea Caccia per la segnalazione.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
giovedì 24 settembre 2015
Valutatori e competenze
Prendo lo spunto da questo post di Paolo Perego:
- https://codiceinsicuro.it/blog/premetto-io-non-sono-uno-sviluppatore/.
Riassunto: chi fa i vulnerability assessment delle applicazioni dovrebbe avere un po' di esperienza di programmazione; in caso contrario le raccomandazioni per il miglioramento non possono essere pienamente adeguate.
Estendo e penso a auditor, assessor e alcuni consulenti (detti "advisor"), che spesso non hanno mai scritto una riga di procedura da condividere con tutte le parti interessate. Ho notato che sono spesso prodighi di "buoni consigli", senza però alcuna idea della loro fattibilità nel contesto di riferimento.
Piccolo aneddoto: recentemente ho seguito un audit. L'auditor si è proclamato ex programmatore. Ha fornito suggerimenti su tutto, con molto entusiasmo, ma senza chiedersi se fossero realmente applicabili e utili per l'azienda in cui si trovava (tra le tante: ha suggerito di usare diagrammi causa-effetto per individuare le cause di OGNI non conformità, ha chiesto di vedere un'analisi del rischio di ogni processo, ha suggerito di adottare ITIL per la gestione dei sistemi e della rete, malgrado le persone coinvolte fossero 8).
Per un solo settore non ha dato consigli: lo sviluppo delle applicazioni (eppure qualche idea sarebbe stata utile).
Perché? Perché incompetente in materia o perché capiva che, per quel contesto, era stato fatto il massimo? Forse la seconda.
- https://codiceinsicuro.it/blog/premetto-io-non-sono-uno-sviluppatore/.
Riassunto: chi fa i vulnerability assessment delle applicazioni dovrebbe avere un po' di esperienza di programmazione; in caso contrario le raccomandazioni per il miglioramento non possono essere pienamente adeguate.
Estendo e penso a auditor, assessor e alcuni consulenti (detti "advisor"), che spesso non hanno mai scritto una riga di procedura da condividere con tutte le parti interessate. Ho notato che sono spesso prodighi di "buoni consigli", senza però alcuna idea della loro fattibilità nel contesto di riferimento.
Piccolo aneddoto: recentemente ho seguito un audit. L'auditor si è proclamato ex programmatore. Ha fornito suggerimenti su tutto, con molto entusiasmo, ma senza chiedersi se fossero realmente applicabili e utili per l'azienda in cui si trovava (tra le tante: ha suggerito di usare diagrammi causa-effetto per individuare le cause di OGNI non conformità, ha chiesto di vedere un'analisi del rischio di ogni processo, ha suggerito di adottare ITIL per la gestione dei sistemi e della rete, malgrado le persone coinvolte fossero 8).
Per un solo settore non ha dato consigli: lo sviluppo delle applicazioni (eppure qualche idea sarebbe stata utile).
Perché? Perché incompetente in materia o perché capiva che, per quel contesto, era stato fatto il massimo? Forse la seconda.
Caso Volkswagen
Il caso è molto marginale per gli argomenti di questo blog:
- http://www.pressreader.com/italy/corriere-della-sera/20150923/281685433644490/TextView.
Però due riflessioni le faccio:
- se questi hanno fatto dei test tarocchi su un'automobile, perché stupirci quando gli sviluppatori di software meno critici fanno lo stesso?
- smettiamo di parlare male dell'Italia e degli italiani quando emergono queste cose: non è un problema di cultura nazionale, è un problema di cultura imprenditoriale. Tradotto: smettiamo di dire "qui è difficile applicare certe procedure perché siamo italiani" e cominciamo a dire "qui è difficile applicare certe procedure perché alla Direzione non interessa". Chissà che avere ben chiara la causa del problema renda meno difficile risolverlo.
- http://www.pressreader.com/italy/corriere-della-sera/20150923/281685433644490/TextView.
Però due riflessioni le faccio:
- se questi hanno fatto dei test tarocchi su un'automobile, perché stupirci quando gli sviluppatori di software meno critici fanno lo stesso?
- smettiamo di parlare male dell'Italia e degli italiani quando emergono queste cose: non è un problema di cultura nazionale, è un problema di cultura imprenditoriale. Tradotto: smettiamo di dire "qui è difficile applicare certe procedure perché siamo italiani" e cominciamo a dire "qui è difficile applicare certe procedure perché alla Direzione non interessa". Chissà che avere ben chiara la causa del problema renda meno difficile risolverlo.
Accordo USA-UE per i dati personali
Franco Ferrari mi ha segnalato il recente Umbrella agreement, accordo USA-UE per la protezione dei dati personali scambiati con la finalità di prevenzione, rilevazione, indagine e gestione dei procedimenti legali di reati, incluso il terrorismo:
- http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.
Da quanto capisco:
- per essere adottato in Europa deve essere ancora approvato dalla Commissione;
- l'accordo non introduce elementi peggiorativi della situazione attuale; forse la migliora.
- http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.
Da quanto capisco:
- per essere adottato in Europa deve essere ancora approvato dalla Commissione;
- l'accordo non introduce elementi peggiorativi della situazione attuale; forse la migliora.
Riflessione sulle sanzioni privacy
Pierfrancesco Maistrello di Vecomp, mi ha reso partecipe di qualche sua riflessione.
Anche lui ha notato la scarsa comprensione dei requisiti normativi vigenti presso alcune PA.
Relativamente ad un sistema biometrico, per far comprendere il problema ad un suo committente, ha pensato di utilizzare il vecchio e consumato asso nella manica del conto della serva: Violazione del 162, comma2-ter, cioè 30mila-180mila Euro.
E il data breach, nei conti della serva? Considerando anche le ipotesi aggravate dell'art.164-bis, l'ammontare è attorno ai 50-60mila Euro. Con le migliori delle attenuanti non si scende sotto i 12mila Euro.
Pierfrancesco mi chiede: chi compra o commissiona soluzioni biometriche o grafo-metriche questo lo ha capito?
Rispondo: probabilmente no, perché sperano sempre nello stellone o nell'inefficienza della giustizia italiana (a individuare i reati e sanzionarli).
Anche lui ha notato la scarsa comprensione dei requisiti normativi vigenti presso alcune PA.
Relativamente ad un sistema biometrico, per far comprendere il problema ad un suo committente, ha pensato di utilizzare il vecchio e consumato asso nella manica del conto della serva: Violazione del 162, comma2-ter, cioè 30mila-180mila Euro.
E il data breach, nei conti della serva? Considerando anche le ipotesi aggravate dell'art.164-bis, l'ammontare è attorno ai 50-60mila Euro. Con le migliori delle attenuanti non si scende sotto i 12mila Euro.
Pierfrancesco mi chiede: chi compra o commissiona soluzioni biometriche o grafo-metriche questo lo ha capito?
Rispondo: probabilmente no, perché sperano sempre nello stellone o nell'inefficienza della giustizia italiana (a individuare i reati e sanzionarli).
ISO 9001 e "risk thinking"
Con la nuova ISO 9001, si richiede di identificare e
"affrontare" i rischi, senza però fornire ulteriori dettagli.
Ho avuto l'occasione di raccogliere alcune indicazioni da
Nicola Gigante, rappresentante italiano presso il ISO/TC176/SC2/WG24 (ossia il
gruppo che ha elaborato la ISO 9001:2015), basate sulle indicazioni fornite da
ISO e maturate nel corso della scrittura della norma stessa.
Si premette che la norma non richiede esplicitamente di
documentare i rischi e le opportunità individuate; in altre parole, non è
richiesto che le organizzazioni predispongano un'analisi dei rischi, ma che lo
sviluppo, mantenimento e valutazione del sistema di gestione sia orientato da
un approccio che metta la valutazione dei rischi al primo posto.
La norma non impone alcun approccio strutturato per
affrontare rischi e opportunità: saranno le organizzazioni a decidere, con il
rischio (!) che vi possa essere una generale banalizzazione del requisito.
Tuttavia va considerato che, come spesso accade a causa
della natura "sistemica" della norma, anche in questo caso esiste una
"circolarità": in altri termini, stabilire, da parte
dell'organizzazione, con quale livello di approfondimento debba essere
affrontata la gestione del rischio è essa stessa una operazione "risk-based",
come tale soggetta a giustificazione e a valutazione di efficacia. Questo
dovrebbe essere il primo effetto di un corretto orientamento al rischio.
In generale, organizzazioni semplici, di piccole
dimensioni, con tecnologie consolidate e caratterizzate da un contesto stabile,
non avranno effettivamente bisogno di strumenti sofisticati per mettere in
pratica il "risk-based thinking". In tali realtà potrebbe essere
sufficiente "lavorare" sugli atteggiamenti mentali di ciascuno, affinché
ogni decisione - a livello strategico, tattico, e operativo - sia determinata
da una sia pure intuitiva valutazione della concatenazione dei possibili
eventi.
Nelle organizzazioni più grandi e complesse, invece,
l'approccio al rischio dovrà verosimilmente essere di tipo più strutturato e
potrebbe comportare la messa in atto di metodi, infrastrutture e competenze
mirate. In caso contrario, cioè in presenza di un approccio riduttivo al tema
del rischio, l'auditor chiederà ragione di ciò all'organizzazione, che dovrà
fornire spiegazioni convincenti (cioè oggettivamente sostenibili).
In ogni caso l'efficacia dell'approccio dovrà essere
dimostrata dall'organizzazione (vedere per esempio, al riguardo, il p.to 9.3.2
e, relativo al riesame di Direzione) e all'auditor spetterà valutare
l'adeguatezza delle dimostrazioni (anche se rappresentate solo da
argomentazioni).
E' evidente che questo "gioco" è possibile se
vi sono competenze adeguate da entrambe le parti (organizzazione e auditor).
Mio (di Cesare Gallotti) parere personale: forse qualche
indicazione in più sarebbe stata utile. Ora correremo il rischio (!) di vedere
auditor imporre valutazioni del rischio molto dettagliate, altri accontentarsi
di un'analisi SWOT generale e poi chissà che altro, con il risultato che le aziende,
ancora una volta, non capiranno le motivazioni della ISO 9001, non ne
coglieranno i benefici e, anzi, la rifiuteranno ancora di più.
PA e adempimenti
Fabrizio Bottacin, dopo aver letto il mio post in merito al Provvedimento del Garante privacy sul data breach (http://blog.cesaregallotti.it/2015/08/privacy-comunicazione-compromissioni.html), mi ha comunicato alcune sue considerazioni che riassumo nel seguito.
Condivido con Fabrizio la necessità di rifletterci.
Il Provvedimento è un po' monco rispetto al D.Lgs. 82 del 2005 (Codice per l'Amministrazione Digitale). Questo riporta delle misure non applicabili solo dalla PA, ma anche da altri soggetti.
I gestori dei servizi pubblici, quindi PA o altri soggetti, devono adempiere ai dettami in materia di continuità Operativa (art. 50bis), sicurezza dei dati (art. 51), fruibilità del dato (art. 58), organizzazione dei servizi in rete (art. 63).
Ci sarebbero due riflessioni da fare, quindi:
- molti (come sappiamo) non sanno nemmeno che sono tenuti a questi adempimenti;
- il Provvedimento del Garante poteva essere esteso ai "gestori di servizi pubblici" e non solo alle PA.
Condivido con Fabrizio la necessità di rifletterci.
Il Provvedimento è un po' monco rispetto al D.Lgs. 82 del 2005 (Codice per l'Amministrazione Digitale). Questo riporta delle misure non applicabili solo dalla PA, ma anche da altri soggetti.
I gestori dei servizi pubblici, quindi PA o altri soggetti, devono adempiere ai dettami in materia di continuità Operativa (art. 50bis), sicurezza dei dati (art. 51), fruibilità del dato (art. 58), organizzazione dei servizi in rete (art. 63).
Ci sarebbero due riflessioni da fare, quindi:
- molti (come sappiamo) non sanno nemmeno che sono tenuti a questi adempimenti;
- il Provvedimento del Garante poteva essere esteso ai "gestori di servizi pubblici" e non solo alle PA.
domenica 6 settembre 2015
Scadenze sul protocollo IT per la PA
Segnalo questo articolo (grazie a Giovanni Francescutti e Franco Ferrari di DNV GL) dal titolo "Gestione dei documenti informatici nella PA: scatta tra un mese (11 ottobre 2015) una scadenza cruciale":
- http://www.agendadigitale.eu/egov/gestione-dei-documenti-informatici-nella-pa-scatta-tra-un-mese-una-scadenza-cruciale_1660.htm
I toni sono molto giornalistici, ma il contenuto è interessante.
- http://www.agendadigitale.eu/egov/gestione-dei-documenti-informatici-nella-pa-scatta-tra-un-mese-una-scadenza-cruciale_1660.htm
I toni sono molto giornalistici, ma il contenuto è interessante.
sabato 5 settembre 2015
Corso di sicurezza IT del MIT
Il corso "Computer Systems Security" del 2014 MIT:
- http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-computer-systems-security-fall-2014/
Direi che bisognerebbe darci un'occhiata.
- http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-computer-systems-security-fall-2014/
Direi che bisognerebbe darci un'occhiata.
Gli esperti credono alle bugie
La mia traduzione del titolo della notizia è scorretta. Quello giusto sarebbe: "Quelli che si auto-proclamano esperti, hanno più probabilità di credere ad asserzioni false":
- http://www.washingtonpost.com/news/speaking-of-science/wp/2015/07/20/self-proclaimed-experts-more-likely-to-fall-for-made-up-facts-study-finds/
In sostanza: se elenchi ad un fan del rock indie dei gruppi inesistenti, ti rispondono che li conoscono o ne hanno sentito parlare; se chiedi a degli esperti di finanza se conoscono alcuni termini, più si sentono esperti, più è elevata la probabilità che conoscono anche quelli inesistenti (anche se dici loro che si tratta di un esperimento e alcuni termini sono inventati!).
L'articolo si conclude dicendo che, una volta ci si reputa un esperto, si smette di imparare e questo ci porta a non essere più esperti e a fare figuracce.
Mi è venuto in mente che, quando avete a che fare con dei consulenti (che si proclamano esperti), potreste chiedere loro di cose inesistenti e vedere l'effetto che fa (questo quando non sono già abbastanza esaltati di loro stessi e non dicono sciocchezze senza alcun invito...).
- http://www.washingtonpost.com/news/speaking-of-science/wp/2015/07/20/self-proclaimed-experts-more-likely-to-fall-for-made-up-facts-study-finds/
In sostanza: se elenchi ad un fan del rock indie dei gruppi inesistenti, ti rispondono che li conoscono o ne hanno sentito parlare; se chiedi a degli esperti di finanza se conoscono alcuni termini, più si sentono esperti, più è elevata la probabilità che conoscono anche quelli inesistenti (anche se dici loro che si tratta di un esperimento e alcuni termini sono inventati!).
L'articolo si conclude dicendo che, una volta ci si reputa un esperto, si smette di imparare e questo ci porta a non essere più esperti e a fare figuracce.
Mi è venuto in mente che, quando avete a che fare con dei consulenti (che si proclamano esperti), potreste chiedere loro di cose inesistenti e vedere l'effetto che fa (questo quando non sono già abbastanza esaltati di loro stessi e non dicono sciocchezze senza alcun invito...).
mercoledì 2 settembre 2015
I manager parlano di sicurezza, ma poi...
La notizia è sempre la stessa, ma mi piace ribadirla perché un po' di polemica non guasta:
- http://www.csoonline.com/article/2978020/security-leadership/do-boards-of-directors-actually-care-about-cybersecurity.html.
In sostanza:
- una ricerca di CSO dice che il 60% dei responsabili della sicurezza delle informazioni fanno almeno una presentazione annuale ai manager;
- il 42 dei manager pensa che la sicurezza delle informazioni non sia un problema della Direzione.
Ognuno tragga le proprie conclusioni.
- http://www.csoonline.com/article/2978020/security-leadership/do-boards-of-directors-actually-care-about-cybersecurity.html.
In sostanza:
- una ricerca di CSO dice che il 60% dei responsabili della sicurezza delle informazioni fanno almeno una presentazione annuale ai manager;
- il 42 dei manager pensa che la sicurezza delle informazioni non sia un problema della Direzione.
Ognuno tragga le proprie conclusioni.
Iscriviti a:
Post (Atom)