giovedì 24 settembre 2015

EN 319403 per i servizi fiduciari

È stata pubblicata la EN 319 403, dal titolo " Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers":
- http://uninfo.it/index.php/news/focus/item/pubblicata-la-norma-en-319403-nasce-l-accreditamento-per-la-conformita-dei-servizi-fiduciari

È applicabile ai fornitori di servizi che vorranno ottenere dall'AgID lo status di servizio qualificato. Tra questi servizi vi sono quelli relativi a:
- firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
- certificati di autenticazione di siti web;
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

Grazie ad Andrea Caccia per la segnalazione.

Valutatori e competenze

Prendo lo spunto da questo post di Paolo Perego:
- https://codiceinsicuro.it/blog/premetto-io-non-sono-uno-sviluppatore/.

Riassunto: chi fa i vulnerability assessment delle applicazioni dovrebbe avere un po' di esperienza di programmazione; in caso contrario le raccomandazioni per il miglioramento non possono essere pienamente adeguate.

Estendo e penso a auditor, assessor e alcuni consulenti (detti "advisor"), che spesso non hanno mai scritto una riga di procedura da condividere con tutte le parti interessate. Ho notato che sono spesso prodighi di "buoni consigli", senza però alcuna idea della loro fattibilità nel contesto di riferimento.

Piccolo aneddoto: recentemente ho seguito un audit. L'auditor si è proclamato ex programmatore. Ha fornito suggerimenti su tutto, con molto entusiasmo, ma senza chiedersi se fossero realmente applicabili e utili per l'azienda in cui si trovava (tra le tante: ha suggerito di usare diagrammi causa-effetto per individuare le cause di OGNI non conformità, ha chiesto di vedere un'analisi del rischio di ogni processo, ha suggerito di adottare ITIL per la gestione dei sistemi e della rete, malgrado le persone coinvolte fossero 8).

Per un solo settore non ha dato consigli: lo sviluppo delle applicazioni (eppure qualche idea sarebbe stata utile).

Perché? Perché incompetente in materia o perché capiva che, per quel contesto, era stato fatto il massimo? Forse la seconda.

Caso Volkswagen

Il caso è molto marginale per gli argomenti di questo blog:
- http://www.pressreader.com/italy/corriere-della-sera/20150923/281685433644490/TextView.

Però due riflessioni le faccio:
- se questi hanno fatto dei test tarocchi su un'automobile, perché stupirci quando gli sviluppatori di software meno critici fanno lo stesso?
- smettiamo di parlare male dell'Italia e degli italiani quando emergono queste cose: non è un problema di cultura nazionale, è un problema di cultura imprenditoriale. Tradotto: smettiamo di dire "qui è difficile applicare certe procedure perché siamo italiani" e cominciamo a dire "qui è difficile applicare certe procedure perché alla Direzione non interessa". Chissà che avere ben chiara la causa del problema renda meno difficile risolverlo.

Accordo USA-UE per i dati personali

Franco Ferrari mi ha segnalato il recente Umbrella agreement, accordo USA-UE per la protezione dei dati personali scambiati con la finalità di prevenzione, rilevazione, indagine e gestione dei procedimenti legali di reati, incluso il terrorismo:
- http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

Da quanto capisco:
- per essere adottato in Europa deve essere ancora approvato dalla Commissione;
- l'accordo non introduce elementi peggiorativi della situazione attuale; forse la migliora.

Riflessione sulle sanzioni privacy

Pierfrancesco Maistrello di Vecomp, mi ha reso partecipe di qualche sua riflessione.

Anche lui ha notato la scarsa comprensione dei requisiti normativi vigenti presso alcune PA.

Relativamente ad un sistema biometrico, per far comprendere il problema ad un suo committente, ha pensato di utilizzare il vecchio e consumato asso nella manica del conto della serva: Violazione del 162, comma2-ter, cioè 30mila-180mila Euro.

E il data breach, nei conti della serva? Considerando anche le ipotesi aggravate dell'art.164-bis, l'ammontare è attorno ai 50-60mila Euro. Con le migliori delle attenuanti non si scende sotto i 12mila Euro.

Pierfrancesco mi chiede: chi compra o commissiona soluzioni biometriche o grafo-metriche questo lo ha capito?

Rispondo: probabilmente no, perché sperano sempre nello stellone o nell'inefficienza della giustizia italiana (a individuare i reati e sanzionarli).

ISO 9001 e "risk thinking"


Con la nuova ISO 9001, si richiede di identificare e "affrontare" i rischi, senza però fornire ulteriori dettagli.

Ho avuto l'occasione di raccogliere alcune indicazioni da Nicola Gigante, rappresentante italiano presso il ISO/TC176/SC2/WG24 (ossia il gruppo che ha elaborato la ISO 9001:2015), basate sulle indicazioni fornite da ISO e maturate nel corso della scrittura della norma stessa.

Si premette che la norma non richiede esplicitamente di documentare i rischi e le opportunità individuate; in altre parole, non è richiesto che le organizzazioni predispongano un'analisi dei rischi, ma che lo sviluppo, mantenimento e valutazione del sistema di gestione sia orientato da un approccio che metta la valutazione dei rischi al primo posto.

La norma non impone alcun approccio strutturato per affrontare rischi e opportunità: saranno le organizzazioni a decidere, con il rischio (!) che vi possa essere una generale banalizzazione del requisito.

Tuttavia va considerato che, come spesso accade a causa della natura "sistemica" della norma, anche in questo caso esiste una "circolarità": in altri termini, stabilire, da parte dell'organizzazione, con quale livello di approfondimento debba essere affrontata la gestione del rischio è essa stessa una operazione "risk-based", come tale soggetta a giustificazione e a valutazione di efficacia. Questo dovrebbe essere il primo effetto di un corretto orientamento al rischio.

In generale, organizzazioni semplici, di piccole dimensioni, con tecnologie consolidate e caratterizzate da un contesto stabile, non avranno effettivamente bisogno di strumenti sofisticati per mettere in pratica il "risk-based thinking". In tali realtà potrebbe essere sufficiente "lavorare" sugli atteggiamenti mentali di ciascuno, affinché ogni decisione - a livello strategico, tattico, e operativo - sia determinata da una sia pure intuitiva valutazione della concatenazione dei possibili eventi.

Nelle organizzazioni più grandi e complesse, invece, l'approccio al rischio dovrà verosimilmente essere di tipo più strutturato e potrebbe comportare la messa in atto di metodi, infrastrutture e competenze mirate. In caso contrario, cioè in presenza di un approccio riduttivo al tema del rischio, l'auditor chiederà ragione di ciò all'organizzazione, che dovrà fornire spiegazioni convincenti (cioè oggettivamente sostenibili).

In ogni caso l'efficacia dell'approccio dovrà essere dimostrata dall'organizzazione (vedere per esempio, al riguardo, il p.to 9.3.2 e, relativo al riesame di Direzione) e all'auditor spetterà valutare l'adeguatezza delle dimostrazioni (anche se rappresentate solo da argomentazioni).

E' evidente che questo "gioco" è possibile se vi sono competenze adeguate da entrambe le parti (organizzazione e auditor).

Mio (di Cesare Gallotti) parere personale: forse qualche indicazione in più sarebbe stata utile. Ora correremo il rischio (!) di vedere auditor imporre valutazioni del rischio molto dettagliate, altri accontentarsi di un'analisi SWOT generale e poi chissà che altro, con il risultato che le aziende, ancora una volta, non capiranno le motivazioni della ISO 9001, non ne coglieranno i benefici e, anzi, la rifiuteranno ancora di più.

Infine: ringrazio Nicola per avermi consentito la pubblicazione.

PA e adempimenti

Fabrizio Bottacin, dopo aver letto il mio post in merito al Provvedimento del Garante privacy sul data breach (http://blog.cesaregallotti.it/2015/08/privacy-comunicazione-compromissioni.html), mi ha comunicato alcune sue considerazioni che riassumo nel seguito.

Condivido con Fabrizio la necessità di rifletterci.

Il Provvedimento è un po' monco rispetto al D.Lgs. 82 del 2005 (Codice per l'Amministrazione Digitale). Questo riporta delle misure non applicabili solo dalla PA, ma anche da altri soggetti.

I gestori dei servizi pubblici, quindi PA o altri soggetti, devono adempiere ai dettami in materia di continuità Operativa (art. 50bis), sicurezza dei dati (art. 51), fruibilità del dato (art. 58), organizzazione dei servizi in rete (art. 63).

Ci sarebbero due riflessioni da fare, quindi:
- molti (come sappiamo) non sanno nemmeno che sono tenuti a questi adempimenti;
- il Provvedimento del Garante poteva essere esteso ai "gestori di servizi pubblici" e non solo alle PA.

domenica 6 settembre 2015

Scadenze sul protocollo IT per la PA

Segnalo questo articolo (grazie a Giovanni Francescutti e Franco Ferrari di DNV GL) dal titolo "Gestione dei documenti informatici nella PA: scatta tra un mese (11 ottobre 2015) una scadenza cruciale":
- http://www.agendadigitale.eu/egov/gestione-dei-documenti-informatici-nella-pa-scatta-tra-un-mese-una-scadenza-cruciale_1660.htm

I toni sono molto giornalistici, ma il contenuto è interessante.

sabato 5 settembre 2015

Corso di sicurezza IT del MIT

Il corso "Computer Systems Security" del 2014 MIT:
- http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-computer-systems-security-fall-2014/

Direi che bisognerebbe darci un'occhiata.

Gli esperti credono alle bugie

La mia traduzione del titolo della notizia è scorretta. Quello giusto sarebbe: "Quelli che si auto-proclamano esperti, hanno più probabilità di credere ad asserzioni false":
- http://www.washingtonpost.com/news/speaking-of-science/wp/2015/07/20/self-proclaimed-experts-more-likely-to-fall-for-made-up-facts-study-finds/

In sostanza: se elenchi ad un fan del rock indie dei gruppi inesistenti, ti rispondono che li conoscono o ne hanno sentito parlare; se chiedi a degli esperti di finanza se conoscono alcuni termini, più si sentono esperti, più è elevata la probabilità che conoscono anche quelli inesistenti (anche se dici loro che si tratta di un esperimento e alcuni termini sono inventati!).

L'articolo si conclude dicendo che, una volta ci si reputa un esperto, si smette di imparare e questo ci porta a non essere più esperti e a fare figuracce.

Mi è venuto in mente che, quando avete a che fare con dei consulenti (che si proclamano esperti), potreste chiedere loro di cose inesistenti e vedere l'effetto che fa (questo quando non sono già abbastanza esaltati di loro stessi e non dicono sciocchezze senza alcun invito...).

mercoledì 2 settembre 2015

I manager parlano di sicurezza, ma poi...

La notizia è sempre la stessa, ma mi piace ribadirla perché un po' di polemica non guasta:
- http://www.csoonline.com/article/2978020/security-leadership/do-boards-of-directors-actually-care-about-cybersecurity.html.

In sostanza:
- una ricerca di CSO dice che il 60% dei responsabili della sicurezza delle informazioni fanno almeno una presentazione annuale ai manager;
- il 42 dei manager pensa che la sicurezza delle informazioni non sia un problema della Direzione.

Ognuno tragga le proprie conclusioni.