martedì 20 dicembre 2016

Chiarimenti sulla "certificazione" di Lead auditor

Segnalo questo articolo di Fabrizio Cirilli dal titolo "Certificazione degli auditor/lead auditor per la ISO/IEC 27001: c'è ancora troppa confusione!":
- http://www.ictsecuritymagazine.com/articoli/certificazione-degli-auditorlead-auditor-la-isoiec-27001-ce-ancora-troppa-confusione/.

Trovo sia importante che quanti richiedono titoli di competenza sappiano di cosa si sta parlando. A mio avviso, Fabrizio ha ben colto il punto.

Nota personale: questo articolo lo lessi a fine novembre su LinkedIn; preso da pigrizia non l'avevo segnalato. Provvedo adesso, seppure un po' in ritardo, grazie ad un tweet di @sramakk, che ringrazio.

Linee guida DPO

Elisa Fontanelli mi ha segnalato la pubblicazione delle "prime linee guida dei Garanti europei", così come proposte dal nostro Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5792160.

La più interessante è quella sui DPO, proposta dal WG Art. 29. In particolare, mi sembrano  importanti alcuni chiarimenti in merito a chi deve obbligatoriamente nominare un DPO.

Alcuni chiarimenti su:
- http://europrivacy.info/it/2017/01/09/dpo-fulfilling-other-tasks-and-conflict-of-interests-in-wp29-guideline-wp243-isaca-frameworks-are-helpful-tools-to-better-define-internal-segregation-of-duties/

sabato 17 dicembre 2016

Parlamento EU e sicurezza nel settore energia

Fabio Teoldi mi ha segnalato quanto segue: il Parlamento Europeo recentemente ha pubblicato il Rapporto "Cyber Security Strategy for the Energy Sector", scaricabile dal sito dello European Parliament Think Tank:
- http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL_STU(2016)587333.

Non si tratta di uno studio con consigli per gli operatori, ma rappresenta una base di partenza per approfondire la materia.

giovedì 8 dicembre 2016

ISO 9002 - Linea guida per la ISO 9001

È stata pubblicata la ISO/TS 9002:2016 dal titolo "Guidelines for the application of ISO 9001:2015":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66204.

Mi è stata segnalata in una conversazione tra auditor DNV GL. Il commento che ha accompagnato la notizia è stato "I contenuti non sono proprio rivoluzionari, ma vale la pena leggerla". Condivido.

sabato 3 dicembre 2016

Pubblicata la ISO/IEC 27011

È stata pubblicata la seconda edizione del 2016 della norma ISO/IEC 27011 dal titolo "Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64143.

Si tratta di una raccolta di controlli di sicurezza, da aggiungere a quelli della ISO/IEC 27002, per gli operatori di telecomunicazioni..

venerdì 2 dicembre 2016

Elenco dispositivi per la firma elettronica qualificata

Mi segnala Franco Ferrari di DNV GL questo articolo di Andrea Caccia dal titolo "Elenco dei dispositivi certificati per la firma elettronica qualificata (firma digitale)":
- https://www.linkedin.com/pulse/elenco-dei-dispositivi-certificati-per-la-firma-digitale-caccia.

Grazie a tutti e due.

Cybersecurity Playbook

Confesso che tutte e due i termini del titolo della pubblicazione "Cybersecurity Playbook" mi innervosiscono. Però, essendo scritta da Pete Herzog, mi sono sforzato di darle un'occhiata. Si tratta di 27 pagine di raccomandazioni di sicurezza informatica, sintetiche, chiare e ben scritte.

Alcune misure sono anche originali rispetto alle tante pubblicazioni che ci sono in giro.

Ne consiglio la lettura:
- https://www.barkly.com/comprehensive-it-security-plan.

mercoledì 30 novembre 2016

Vulnerabilità nel protocollo NTP

Il protocollo NTP è quello che consente di sincronizzare gli orologi di pc e server in modo che abbiano tutti lo stesso orario (perché è divertente vedere l'orologio di John Belushi in Animal House, ma non averlo nella realtà). Normalmente i sistemi operativi hanno installato un codice open source e freeware con il nome ntpd e realizzato da un gruppo di persone dal nome NTP.org.

Intorno a giugno 2016 hanno scoperto numerose vulnerabilità nel ntpd, con impatto soprattutto sui sistemi operativi Windows.

E a quel punto si scopre che questa storia l'abbiamo già sentita, anche se con protagonisti diversi. Allora il protagonista principale era OpenSSL, ma la storia è ancora quella: si scopre che un protocollo importantissimo e diffusissimo è mantenuto da pochissime persone che non ricevono neanche un supporto economico sufficiente per continuare a lavorarci.

Non commento oltre perché queste storie sono sconfortanti. Ringrazio quindi Marco Fabbrini per avermi segnalato questo articolo:
- http://www.infoworld.com/article/3144546/security/time-is-running-out-for-ntp.html.

E non disperate. Alla fine sono riusciti a riparare le vulnerabilità (dal SANS NewsBites):
- http://www.theregister.co.uk/2016/11/23/ntp_patch_time_rolls_around_again/.

lunedì 28 novembre 2016

NIST Systems Security Engineering

Il NIST ha pubblicato la NIST Special Publication 800-160 dal titolo "Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems":
- http://csrc.nist.gov/publications/PubsSPs.html#800-160.

Un malloppo di 257 pagine. L'ho sfogliato e mi sembra un po' troppo teorico. Ho trovato più interessante l'Appendice G del corpo del documento.

giovedì 24 novembre 2016

Privacy a scuola

Il Garante privacy ha pubblicato un opuscolo dal titolo "La scuola a prova di privacy":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5601934.

È soprattutto indirizzato a chi opera nella scuola, ma può essere utile a tutti.

Privacy shield approvato dal Garante

Dalla newsletter del Garante (e una gentile segnalazione di Ivo Trotti di TNS Italia, che ringrazio), segnalo che il Garante privacy italiano ha autorizzato il trasferimento dei dati personali negli USA alle organizzazioni che aderiscono al Privacy shield.

Non ripercorro la storia del Safe Harbor e del Privacy Shield. Ecco quindi la decisione del Garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5652873.

Ovviamente non troverete alcun link alla lista delle organizzazioni che hanno aderito al privacy shield. Sarebbe troppo facile. Però una semplice ricerca sul web fornisce il link:
- https://www.privacyshield.gov/list.

Non ho studiato il Privacy shield framework, ma capisco che un'azienda USA può aderire per dati HR (cioè per trattare i dati del personale dipendente) e/o dati non-HR.

sabato 19 novembre 2016

Cloud Adoption & Risk Report Q4 2016

Marco Fabbrini mi ha segnalato il report "Cloud Adoption & Risk Report Q4 2016" della Skyhigh (neanche sapevo che esistesse questa azienda). Il rapporto è presentato da un interessante articolo dal titolo "Cloud use could be putting businesses at risk":
- http://betanews.com/2016/11/17/cloud-use-business-risk/.

È breve e dice cose già note, che però è bene non dimenticare. Per esempio il fatto che le clausole contrattuali sono spesso negative per i clienti: il 69,7% non specifica di chi è la proprietà dei dati, solo l'8,7% assicura di non trasferire i dati a terze parti (qui però bisognerebbe capire le eccezioni), solo il 16% si impegna a cancellare i dati in caso di chiusura del contratto.

L'articolo si conclude ricordando che i siti di conversione di documenti da/a pdf, sebbene spesso ritenuti innocui, sono spesso usati per convertire dati molto critici, ma questi siti hanno clausole di garanzia per i clienti molto deboli (e quindi dovremmo chiederci cosa ci guadagnano offrendo il servizio di conversione).

I più interessati possono scaricarsi il rapporto completo dal titolo :
- https://www.skyhighnetworks.com/cloud-computing-trends-2016/.

Io mi sono solo letto l'estratto presentato nella pagina web e l'ho trovato molto interessante.

Pubblicata la 27035 sulla gestione degli incidenti

Sono state appena pubblicate le nuove norme ISO/IEC 27035 e ne è stata quindi cancellata la versione del 2011.

La nuova ISO/IEC 27035 è divisa in due parti. La prima ha titolo "Principles of incident management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60803.

La seconda parte ha titolo "Guidelines to plan and prepare for incident response" (di 145 pagine, ossia molto lunga):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62071.

Trovo interessante l'appendice C, che propone un esempio di categorizzazione degli incidenti, per gravità e ambito. Non credo sia un esempio ottimale, ma almeno c'è.

Pubblicata ISO/IEC 27050 sull'electronic discovery

È stata pubblicata da poco la ISO/IEC 27050-1 dal titolo "Electronic discovery -- Part 1: Overview and concepts":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63081.

Le parti 2 (Guidance for governance and management of electronic discovery) e 3 (Code of Practice for electronic discovery) sono ancora in bozza.

venerdì 18 novembre 2016

Dare più privacy per migliori prestazioni

Non so quanto questo articolo (segnalato da Crypto-gram di novembre) dal titolo "Want People to Behave Better? Give Them More Privacy" riguardi effettivamente la sicurezza delle informazioni e la normativa sulla privacy, però mi sembra comunque interessante:
- https://www.psychologytoday.com/blog/the-outsourced-mind/201604/want-people-behave-better-give-them-more-privacy.

In sintesi: se i datori di lavoro e i manager controllano di meno i lavoratori, questi tendono ad auto-organizzarsi in modo più efficiente e lavorare con miglliori prestazioni.

Credo che ciò sia degno di riflessione. Certamente bisogna bilanciare le esigenze di controllo (necessarie) con quelle di auto-gestione e responsabilizzazione delle persone.

giovedì 17 novembre 2016

Segnalazione di copia slide

Settimana scorsa avevo segnalato delle slide su privacy e sanità:
- http://blog.cesaregallotti.it/2016/11/dati-e-sanita.html.

Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:
- http://www.smau.it/speakers/paola.generali/.

Mi spiace essere stato implicato in una faccenda così e spero sia chiaro a tutti che non approvo in alcun modo il copia-incolla di materiale altrui, anche se liberamente disponibile. Certamente si può cogliere ispirazione per alcune cose (sennò dovremmo iniziare sempre da zero e non ci evolveremmo), però penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

Mio errato riferimento al GDPR

Nell post su PIA e valutazione del rischio in ambito privacy (http://blog.cesaregallotti.it/2016/10/privacy-pia-e-valutazione-del-rischio_28.html) ho fatto un errore: ho indicato che il GDPR (il Regolamento europeo sulla privacy) ha come riferimenti "Regolamento 169/2016", mentre si tratta del 679/2016.

Il post ora è corretto.

Ringrazio Agostino Oliveri (di Sicurdata) e Andrea Praitano (di Business-e) per avermi corretto.

Andrea, poi, in ambito PIA, ricorda che il CNIL francese ha pubblicato dei documenti ben fatti su questo argomento (io li avevo segnalati a suo tempo, ma un promemoria non guasta):
https://www.cnil.fr/en/privacy-impact-assessments-cnil-publishes-its-pia-manual.

sabato 12 novembre 2016

Sicurezza per le piccole imprese

Fabio Teoldi mi ha segnalato la nuova edizione della pubblicazione del NIST "NISTIR 7621 - Small Business Information Security: The Fundamentals". Si trova in questa pagina:
- http://csrc.nist.gov/publications/PubsNISTIRs.html

Mi piace e non solo perché il titolo non riporta "cyber", ma "information".

Potremo discutere lungamente dei controlli inclusi ed esclusi, ma mi sembra un'iniziativa importante, oltre che ben fatta.

Riscaldamento in Finlandia bloccato

Questa notizia l'ho letta sul SANS NewsBites: degli appartamenti in Finlandia sono rimasti senza acqua calda per una settimana perché il sistema di riscaldamendo è stato oggetto di attacco DDOS:
- http://www.theregister.co.uk/2016/11/09/finns_chilling_as_ddos_knocks_out_building_control_system/.

La cosa può far sorridere (Brian Honan, sul SANS NewsBites, commenta: "This brings a whole new definition to a cyber cold war").

Però ci sono lezioni da imparare:
- il sistema, fosse stato progettato correttamente, non doveva bloccarsi in assenza di attacco da Internet (classico caso per cui una funzionalità migliorativa diventa più importante delle funzionalità di base);
- chi ha progettato il sistema non aveva previsto un firewall di controllo accessi da Internet.

venerdì 11 novembre 2016

IT Audit & Cloud

Segnalo la pubblicazione "IT Audit & Cloud" di AIEA:
- http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud.

Presenta una bella carrellata dei rischi da considerare quando si usano servizi cloud, delle condizioni contrattuali da prevedere e di altre misure pertinenti. Non tratta dettagli tecnici ed è molto breve. Una lettura interessante, insomma.

Normativa e-commerce

Segnalo questi 4 articoli proposti da Altalex sul commercio elettronico e in particolare sul D. Lgs. 70 del 2003. Mi sembra una buona occasione per ripassare.

1- E-commerce B2C: vendere online tra rispetto della normativa e attenzione al cliente:
http://www.altalex.com/documents/news/2016/04/06/e-commerce-b2cvendere-online-tra-rispetto-della-normativa-e-attenzione-per-il-cliente;
2- Se il consumatore cambia idea: il diritto di recesso nell'e-commerce di prodotti:
www.altalex.com/documents/news/2016/07/06/e-commerce-e-diritto-di-recesso;
3- Le controversie online: le ADR del commercio elettronico:
www.altalex.com/documents/news/2016/06/30/controversie-online-adr-commercio-elettronico;
4- Vendita online dei beni alimentari: requisiti, adempimenti e peculiarità:
www.altalex.com/documents/news/2016/10/21/vendita-online-dei-beni-alimentari.
.

mercoledì 2 novembre 2016

Stato delle norme della famiglia ISO/IEC 27000

Il 27 ottobre si è concluso ad Abu Dhabi il 53o meeting dell'ISO/IEC JTC 1 SC 27, il cui WG 1 si occupa delle norme della serie ISO/IEC 27000. Io ho partecipato in qualità di delegato italiano (in tutto la delegazione italiana era composta da 4 persone). I delegati erano in tutto 110 da 29 Paesi.

La buona notizia è che abbiamo finito i lavori sulla ISO/IEC 27003, ossia la guida all'interpretazione della ISO/IEC 27001:2013. Alcuni sperano sarà pubblicata entro fine 2016, io penso che lo sarà per inizio 2017. Questa norma è importante perché ci ha permesso di consolidare alcune decisioni prese per la ISO/IEC 27001. Certamente questa norma risulta pubblicata in ritardo, ben 3 anni dopo la ISO/IEC 27001, però era necessaria.

Sono partiti i lavori per la nuova ISO/IEC 27002, con una prima fase che consiste nell'elaborazione di una "design specification" (utile per evitare successivi ritardi). Nella migliore delle ipotesi uscirà tra 4 anni. Gli esperti hanno deciso di modificare la norma esistente per includere gli aggiornamenti tecnici necessari e per migliorare il testo già esistente (chiunque l'abbia letto con attenzione ha notato ripetizioni, eccessivi approfondimenti in qualche punto, eccessiva sintesi in altri).

Sono ripartiti, dalla fase di design specification, i lavori per la ISO/IEC 27005 sulla valutazione del rischio. Negli ultimi 4 anni gli esperti non hanno trovato un accordo per la modifica di questa norma e quindi si ripartirà da capo, con una nuova impostazione. Come ho già scritto in passato, molti sono d'accordo sulla direzione da prendere (ossia superare la metodologia asset-minacce-vulnerabilità basata sui "censimenti"), ma non hanno trovato il modo per affrontarla. La mia opinione è che in troppi vogliono promuovere la propria idea senza riuscire ad arrivare ad una sintesi di tutte.

Il problema dietro la ISO/IEC 27005 è che la ISO/IEC 27001 promuove l'uso di metodologie meno dettagliate, mentre la ISO/IEC 27005 (che dovrebbe essere una guida all'attuzione della ISO/IEC 27001) promuove invece l'approccio opposto. Anzi, proprio per questo motivo alcuni partecipanti hanno rilevati dei "difetti" nella attuale ISO/IEC 27005 che la mette in conflitto con la ISO/IEC 27001. Francamente, non so cosa pensare e cercherò di capire come questa questione sarà risolta.

Sono partiti o continuati i lavori per altre norme, tra cui la revisione delle ISO/IEC 27007, 27008, 27014, 27017 e 27019, la nuova ISO/IEC 27021, la pubblicazione di linee guida sulla "cyber resilience" (sarà quindi un business continuity per l'IT) e la "cyber insurance" (questa è in uno stadio successivo alla design specification ed è stata avviata la pratica per un "new item proposal"). La ISO/IEC 27015 sarà eliminata.

Infine, si vuole inaugurare una serie ISO/IEC 27100 sulla cyber security. Io continuo a vedere indecisione su cosa voglia dire "cyber security" (in realtà, nessuno vuole dirlo; si parla in pratica solo di IoT e tutti i lavori che ho visto sinora, incluso quello del NIST, parlano di sicurezza IT aziendale). Vedremo.

martedì 1 novembre 2016

Dati e sanità

Pasquale Tarallo mi ha segnalato questa sua presentazione relativa ai dati in ambiente sanitario:
- http://www.slideshare.net/tarallop/healthcare-data-management-67790102.

Mi racconta, tra l'altro, che è rimasto molto colpito dalla scarsa attenzione alla privacy nelle strutture sanitarie. E ha ragione (ci sono passato anche io di recente, anche se per cose decisamente modeste).

Post scriptum del 17 novembre 2016: Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:


Mantengo questo post con questo post scriptum per ricordare a me stesso e agli altri che certe cose non si fanno. Penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

venerdì 28 ottobre 2016

Privacy: PIA e valutazione del rischio

Sulla newsletter di ottobre 2016 del European data protection supervisor (EDPS) si trova un articolo dal titolo "ISRM and DPIAs: what they are and how they differ". L'articolo si trova a pagina 4 del pdf:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_49_EN.pdf.

Secondo l'EDPS, la valutazione del rischio relativo alla sicurezza delle informazioni (ISRM), riguarda solo i rischi di sicurezza, mentre il privacy impact assessment (PIA) è più ampio e include anche i casi in cui potrebbero essere violati i diritti degli interessati.

Il ragionamento, però, non mi convince: quando il Regolamento richiama i rischi, essi riguardano principalmente i trattamenti e i diritti degli interessati. Quindi: quando si parla di rischi in ambito privacy, io non vedo differenza tra ISRM e PIA.

Per i più attenti: il "risk assessment" è una parte del "risk management" e, a rigore, non ha senso paragonare un meccanismo gestionale (ISRM) con uno di valutazione (PIA), ma credo che sia stato fatto un errore terminologico e con ISRM intendano ISRA (information security risk assessment).

L'ISRM è richiesto dal Regolamento Europeo 45/2001, sulla protezione dei dati personali da parte delle istituzioni e degli organismi comunitari (mentre il recente GDPR, ossia il Regolamento 679/2016, riguarda tutte le entità).

L'EDPS ha anche pubblicato a marzo (quindi i riferimenti normativi non sono corretti, visto che il GDPR è stato pubblicato a maggio) una linea guida gli ISRM. Essa è in realtà un riassunto della ISO/IEC 27005:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/16-03-21_Guidance_ISRM_EN.pdf.

Grazie a Pierfrancesco Maistrello per alcuni consigli e precisazioni su questo post. E anche Agostino Oliveri e Andrea Praitano per la correzione all'esatto riferimento del GDPR.

mercoledì 26 ottobre 2016

DDoS con l'IoT

Venerdì 21 ottobre, Internet ha avuto dei problemi. In particolare, molti servizi popolari (inclusi Twitter e Netflix) sono risultati inaccessibili.

Il tutto è successo perché Dyn, un DNS centrale di Internet, è stato oggetto di un attacco DDoS. Fin qui nulla di nuovo, se non l'ulteriore consapevolezza di quanto sia fragile l'infrastruttura informatica su cui oggi basiamo la nostra vita. La novità è che il DDoS è stato scatenato usando i "dispositivi di casa", ossia gli oggetti che compongono l'IoT e che troppi considerano come inoffensivi, le volte che sono consapevoli della loro esistenza.

Due articoli (in italiano e in inglese) che riassumono gli eventi:
- http://www.ilpost.it/2016/10/24/attacco-informatico-venerdi-21-ottobre-mirai-dyn/;
- https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/.

Un ulteriore articolo:
http://www.darkreading.com/vulnerabilities---threats/root-and-the-new-age-of-iot-based-ddos-attacks-/d/d-id/1327281.

Commento finale: i dispositivi IoT sono quasi tutti sviluppati e mantenuti senza alcuna considerazione per la sicurezza. Dubito saranno mai disponibili delle patches per tutti i dispositivi vulnerabili al malware Mirai, quello usato per infettare i dispositivi e poi lanciare l'attacco a Dyn.

martedì 25 ottobre 2016

CISPE: codice per i fornitori cloud

Enrico Toso di DB Consorzio, che ringrazio, mi ha segnalato questa iniziativa: un codice di condotta per i fornitori di servizi cloud, promosso da Cispe, una coalizione di cloud provider.

L'articolo di partenza:
- http://www.adnkronos.com/soldi/economia/2016/10/02/sicurezza-trasparenza-nel-cloud-nasce-primo-codice-condotta-europeo_yIuOK4YMWtlIkIRgWd2a0L.html.

Il sito del CISPE da cui scaricare il documento:
- https://cispe.net/.

I miei commenti (posto che il documento mi sembra ben fatto):
  • attualmente è disponibile un documento in bozza e questo è un peccato;
  • chissà se tra le molte iniziative sul cloud (incluse quelle promosse da CSA, ma non solo), questa avrà una buona rilevanza.

Videoriprese ai lavoratori che commettono reato

Il caso in breve: dei dipendenti timbravano l'entrata e uscita dal lavoro in orari diversi da quelli reali. Il datore di lavoro ha quindi verificato con delle telecamere e la Cassazione ha approvato il metodo:
- http://www.filodiritto.com/news/2016/videoriprese-cassazione-penale-consentito-al-datore-di-lavoro-riprendere-i-lavoratori-che-commettono-reato.html.

Ecco la ragione: "le garanzie procedurali regolate dall'articolo 4 dello Statuto dei Lavoratori non si applicano qualora il controllo di videoriprese sia effettuato al fine di accertare la commissione di reati: nel caso specifico, il delitto di truffa".

Purtroppo l'articolo non dice se e come era fornita informativa sulle videoriprese.

venerdì 21 ottobre 2016

OWASP Application Security Verification Standard

È disponibile la versione 3.0.1 della OWASP Application Security Verification Standard (ASVS):
- https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project.

Mi sembra una interessante check list per 3 livelli diversi di criticità delle applicazioni. Ovviamente la check list può essere vista "al contrario" ed essere usata non solo per le verifiche, ma anche per gestire i progetti.

Questa mi è stata segnalata da Daniel Halber di HID Global e lo ringrazio.

lunedì 17 ottobre 2016

ISO 37001 sui sistemi anti frode

Massimo Cottafavi di SNAM mi informa della pubblicazione della ISO 37001:2016 dal titolo "Anti-bribery management systems - Requirements with guidance for use":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=65034.

Al momento non ne so altro se non quanto riportato da questo post su LinkedIn (sempre segnalato da Massimo):
- https://www.linkedin.com/pulse/pubblicata-la-norma-iso-370012016-diretta-streaming-di-ciro-strazzeri.

mercoledì 12 ottobre 2016

Privacy, timbrature e GPS

Ringrazio ancora Pierfrancesco Maistrello di Vecomp per avermi segnalato questo recente Provvedimento del Garante dal titolo "Verifica preliminare. Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per finalità di rilevazione delle presenze":
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5497522.

In poche parole, il Garante ha autorizzato l'uso di un sistema alternativo al cartellino per la rilevazione presenze di dipendenti e collaboratori: la persona usa una app dello smartphone per selezionare "entrata" e "uscita"; la app, con il GPS, registra anche la posizione della persona, in modo da verificare che la segnalazione avvenga veramente sul posto di lavoro.

La sentenza è interessante perché stabilisce alcune misure da considerare: aggiornamento dell'informativa, rapporti con il fornitore, tempi di conservazione dei dati (5 anni per le timbrature, il minimo indispensabile per la posizione), la notifica al Garante stesso.

martedì 11 ottobre 2016

Wi-fi pubblico e responsabilità

Segnalo questo articolo dal titolo auto-esplicativo "Chi offre al pubblico un servizio Wi-Fi gratuito non è responsabile per le attività degli utenti":
- http://www.filodiritto.com/articoli/2016/10/chi-offre-al-pubblico-un-servizio-wi-fi-gratuito-non-e-responsabile-per-le-attivita-degli-utenti.html.

Si tratta di una decisione recente della Corte di Giustizia dell'Unione Europea.

Codice deontologico privacy e informazione commerciale

Segnalo che il Garante privacy ha pubblicato il "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale":
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4298343.

Questo codice deontologico copre un'area non ancora trattata nell'ambito delle comunicazioni commerciali e di marketing, ossia il caso in cui i dati personali siano stati forniti direttamente dagli interessati, magari nell'ambito di altre operazioni.

Analisi del nuovo CAD

Segnalo, dopo averne segnalati altri, questo articolo sul nuovo CAD (grazie a Franco Ferrari di DNV GL):
- http://www.agendadigitale.eu/egov/c-era-una-volta-la-pec-la-norma-cad-la-svaluta_2526.htm.

Andrea Caccia riassume le ragioni delle modifiche al Codice dell'amministrazione digitale (CAD) e si concentra sul futuro della PEC.

Assicurazioni sulla sicurezza ICT

Segnalo questo articolo dal titolo "Le nuove polizze di copertura assicurativa sul Cyber Risk":
- www.altalex.com/documents/news/2016/09/23/le-nuove-polizze-di-copertura-assicurativa-sul-cyber-risk.

Sono sempre perplesso in merito a questo tipo di assicurazioni, e ne ho già scritto in passato
(http://blog.cesaregallotti.it/2016/03/studio-sulle-assicurazioni-informatiche.html,
http://blog.cesaregallotti.it/2015/12/lo-stato-delle-cyber-assicurazioni.html,
http://blog.cesaregallotti.it/2015/10/assicurazione-si-rifiuta-di-pagare-dopo.html,
http://blog.cesaregallotti.it/2014/07/le-assicurazioni-relative-agli.html e
http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html).

Questo articolo ha il pregio di presentare degli esempi reali di polizze (anche se mi pare di vedere anche un po' di pubblicità).

Misure minime di AgID per la PA

Più di uno (cito Pierfrancesco Maistrello di Vecomp, ma anche la mailing list di sikurezza.org e Franco Ferrari di DNV GL) mi hanno segnalato la pubblicazione delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni" dell'AgID:
- http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni.

Le ho lette e non mi sono piaciute. Innanzi tutto perché sono ricavate dal Cyber Security Framework (CSF) del NIST, su cui ho già espresso delle perplessità. Poi perché ritengo che queste "misure minime" siano un riassunto mal fatto dei controlli del CSF.

Infatti, come mi dice Pierfrancesco:
1- queste misure minime non sono veramente "minime" e contengono cose oggi irrealizzabili (e, aggiungo io, forse inutili) come il DLP;
2- propone una valutazione delle misure per un livello "minimo", "standard" e "alto" senza indicare esattamente come stabilirlo.

Infine io aggiungo una cosa già detta tempo fa: negli anni, con fatica, la Pubblica amministrazione si è avvicinata alla ISO/IEC 27001; non capisco che senso abbia aggiungere un altro schema.

Report semestrale Cisco sulla sicurezza

Segnalo il "Report semestrale sulla cybersecurity 2016" di Cisco del luglio 2016 (mi diverto a segnalare che la data è solo nell'ultima pagina):
- http://www.cisco.com/c/m/it_it/offers/sc04/2016-midyear-cybersecurity-report/index.html.

Nulla di nuovo, molto tecnico e con qualche pubblicità. Però ritengo sia fatto bene e vale la lettura. Ho trovato particolarmente interessante le pagine dal titolo "Gli attacchi di ransomware nella sanità servono da lezione per tutti i settori" e "Consigli per la sicurezza": due brevi riassunti delle vulnerabilità e delle azioni più importanti.

lunedì 26 settembre 2016

Neuroscienza e leadership

Ho avuto modo di leggere sul numero Q3 2016 di "Continuity", rivista del BCI, due articoli interessanti:
- The neuroscience of crisis leadership;
- Making the call.

Li segnalo perché mettono in ordine gli errori più frequenti che facciamo, non necessariamente in occasione di crisi:
- atteggiamento di attacco e difesa per paura di sbagliare;
- incapacità di prendere decisioni perché la realtà è troppo diversa da quanto previsto;
- impulsività, che è certo utile, ma deve essere mitigata dal calcolo;
- cattiva comunicazione.

Il secondo articolo elenca un insieme alternativo di errori personali:
- pregiudizio causato dalle aspettative (expectancy bias);
- pregiudizio orientato alla conferma (confirmation bias);
- decisioni prese sulla base di quanto già nelle nostre menti (availability heuristic);

e di gruppo (ricerca del consenso, sottovalutazione dei meno esperti, carisma di un leader).

Per leggere questi articoli (e anche altri, che però mi sono sembrati meno interessanti), è necessario scaricare il pdf della rivista da questa pagina:
- http://www.thebci.org/index.php/continuity.

venerdì 23 settembre 2016

Dossier sul nuovo CAD

Segnalo questa serie di articoli del Forum PA dal titolo "Dossier: Speciale Cad. Inizia la fase attuativa, l'analisi di FPA e dei nostri esperti":
- http://www.forumpa.it/speciale-cad-inizia-la-fase-attuativa-lanalisi-di-fpa-e-dei-nostri-esperti.

Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 3)

Appena scritto la "parte 2" di questo post, ecco che mi è arrivata notizia della disponibilità del materiale dell'incontro organizzato da Tech & Law Center dal titolo "Controllo del lavoratori, cyber espionage e tutela del segreto industriale":
- http://techandlaw.net/ita-13-settembre-2016-controllo-del-lavoratori-cyber-espionage-e-tutela-del-segreto-industriale/.

Io ho apprezzato soprattutto il materiale di Jacopo Giunta.

Vendor Security Alliance

Da Dark Reading Weekly leggo che società come Uber, Dropbox e Twitter hanno costituito la Vendor Security Alliance (VSA):
- http://www.darkreading.com/vulnerabilities---threats/vulnerability-management/uber-dropbox-other-tech-leaders-team-up-to-boost-vendor-security-/d/d-id/1326926?.

L'idea sembrava buona, ma poi leggo che "ogni anno, VSA collaborerà con degli esperti per pubblicare un questionario in modo che le società possano determinare il proprio livello di rischio".

Un altro questionario? Ancora? Secondo me, non servirà a niente. Però potremo leggerlo dal 1 ottobre sul loro sito:
- https://www.vendorsecurityalliance.org/.

Dico questo perché non è il fornitore che deve valutare il proprio livello di rischio, ma sei tu che devi valutarlo e sulla base di questo stabilire le misure di sicurezza da chiedere ai fornitori. E quindi non bisogna inviare un questionario ai fornitori, ma istruzioni precise, e poi agire opportunamente (cambiando il fornitore, dando al fornitore il tempo di adeguarsi, accettare la situazione) nel caso il fornitore non attui quanto richiesto.

Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 2)

Avevo dato notizia del Provvedimento del Garante privacy che trattava, tra gli altri, degli "strumenti per rendere la prestazione lavorativa":
- http://blog.cesaregallotti.it/2016/09/garante-privacy-e-strumenti-per-rendere.html.

Dal mio commento, in cui sottolineavo il punto relativo agli "strumenti per rendere la prestazione lavorativa", ho avuto modo di scambiare delle opinioni con Giuseppe Bava di Data Management.

Giuseppe intanto mi ha segnalato che il Provvedimento ricorda anche che:
- l'indirizzo MAC è da ritenersi una dato personale;
- le strutture IT non devono memorizzare dati senza finalità precise e plausibili e non devono conservarli per un tempo troppo lungo.

Ma alla fine abbiamo convenuto che sarebbe auspicabile che il Garante aggiorni le Linee guida sull'uso dell'email e Internet sul posto di lavoro, in modo da fornire ulteriore chiarezza sul tema.

mercoledì 21 settembre 2016

IoT Security framework

Dal SANS NewsBites del 20 settembre trovo la notizia che il Industrial Internet Consortium (IIC) ha pubblicato un Industrial Internet Security Framework (IISF). Questo documento riporta indicazioni per sviluppatori e utenti.

Il documento lo trovate qui:
- http://www.iiconsortium.org/IISF.htm.

Ho cominciato a leggerlo, ma l'ho trovato molto verboso e con poche indicazioni veramente pratiche. Vedo anche molti controlli "organizzativi" (politiche, processi). Intendiamoci: il documento è pieno di spunti interessanti, ma una maggiore sintesi e schematicità avrebbe giovato.

NIST e l'autenticazione via SMS - Precisazioni

Giampiero Raschetti della Banca Popolare di Sondrio mi ha scritto in merito al post che segnalava che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63. Il mio post:
- http://blog.cesaregallotti.it/2016/08/nist-e-lautenticazione-via-sms.html.

Giampiero mi ricorda che il testo del NIST "depreca" l'uso di SMS o voce attraverso rete PSTN, vista la sua vulnerabilità. Se non capisco male, quindi, l'uso di SMS via GSM non è da scoraggiare.

Giampiero mi ricorda i rischi relativi all'utilizzo di SMS via cellulare, che sono comuni a tutti gli strumenti di autenticazione a due fattori basati su dispositivi mobili, inclusi dunque anche OTP di qualsivoglia natura.

Lo ringrazio per la precisazione.

domenica 18 settembre 2016

Attenzione a Internet!

Non avrei voluto scrivere del caso di Tiziana Cantone: una persona che ha inviato via Internet un suo film hard a degli amici, che a loro volta l'hanno diffuso fin tanto che tale film è diventato di pubblico dominio e la sua protagonista non ha retto la situazione (complici anche gli sberleffi di ogni tipo e un giudice che le ha chiesto 20mila euro di spese processuali quando lei ha chiesto ai social network di cancellare i video) e alla fine si è suicidata.

Ne scrivo perché si tratta di un caso che ci riguarda tutti perché troppo spesso usiamo Internet e i suoi servizi senza renderci veramente conto di quanto siano pubblici e pervasivi.

Ricordiamo in futuro questo caso, non per sbeffeggiare una persona che ha fatto sì una sciocchezza ma l'ha pagata troppo cara, ma per ricordarci e ricordare che ogni foto e ogni video e ogni commento e ogni post che lasciamo su Internet o inviamo via email è come se fosse appeso in una bacheca accessibile al pubblico e che a pagarla sono sempre i meno forti (vi ricordate uno dei casi della Sony, di cui parlai quasi due anni fa su http://blog.cesaregallotti.it/2015/01/una-riflessioen-sullattacco-alla-sony.html, che ha visto la diffusione delle email degli impiegati "normali"?).

E però sembra che qualcosa stia cambiando, forse finalmente una nuova sensibilità si sta diffondendo: una 18enne ha accusato i suoi genitori perché avevano pubblicato le sue foto da bambina su Facebook:
- http://fusion.net/story/347880/sue-your-parents-for-embarrassing-you-on-facebook/.

Garante privacy e "strumenti per rendere la prestazione lavorativa"

Massimo Cottafavi di SNAM e Pierfrancesco Maistrello di Vecomp mi hanno segnalato (quasi in contemporanea) questa sentenza del Garante privacy. La situazione è simile a tante altre: i dipendenti di un'azienda (un'università, in questo caso) si lamentano dei monitoraggi relativi alla navigazione Internet:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5408460.

Però qui il Garante parla degli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa", di cui si parla nel nuovo (del 2015) articolo 4 dello Statuto dei lavoratori (Legge 300 del 1970) e di cui ho parlato in precedenza. Il punto chiave del Provvedimento del Garante è il 4.3.

Se ho capito giusto, il Garante dice che gli strumenti di monitoraggio e tracciamento dell'uso dei servizi Internet non sono da considerare "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" e pertanto non possono essere utilizzati senza accordi sindacali o autorizzazione della Direzione territoriale del lavoro.

ISO 22301 in italiano

Questa volta sembra proprio che la notizia sia vera: è finalmente uscita la versione ufficiale UNI in italiano della ISO 22301:2012, ossia la norma dedicata alla continuità operativa (o "business continuity", per chi è abituato all'ingelse):
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-22301-2014.html.

Mi chiedo perché ci siano voluti 4 anni per pubblicare questo testo, ma ora è una domanda inutile. Buona lettura e grazie a Franco Ferrari di DNV GL per la notizia!

Nuovo CAD

Con il D.Lgs. 179 del 2016 è stato modificato il D.Lgs. 82 del 2005, ossia il CAD, ossia il Codice dell'amministrazione digitale, importante perché regola la gestione dei documenti digitali, non solo nella Pubblica amministrazione. Le modifiche si sono rese necessarie per allineare il CAD al Regolamento eIDAS (EU 910/2014).

È possibile leggere il nuovo CAD ricercandolo su www.normattiva.it.

Grazie ai tweet di Daniele Tumietto, che segnala questo articolo di analisi:
- http://www.mysolutionpost.it/blogs/socialmediamente/ragone/2016/09/codice-amministrazione-digitale.aspx.

Andrea Caccia, invece, analizza gli impatti che il nuovo CAD ha sulla PEC, ossia la Posta elettronica certificata. Non sembrano impatti positivi:
- https://www.linkedin.com/pulse/pec-la-fine-dellincantesimo-andrea-caccia.

Altri articoli usciranno nei prossimi giorni e ne darò notizia.

martedì 23 agosto 2016

Firme elettroniche nel mondo

Stefano Ramacciotti mi ha segnalato (commentandola come non molto scientifica né approfondita, ma comunque interessante) la seguente presentazione relativa alle firme elettroniche nel mondo:
- https://www.esignlive.com/resource-center/electronic-signature-laws-around-the-world/.

Se non riuscite a sopportare il fatto che si tratta di una presentazione commerciale o se volete confrontarvi direttamente con le legislazioni nazionali, segnalo che la presentazione riporta il seguente sito:
- http://193.62.18.232/dbtw-wpd/textbase/esiglaws.htm.

Il problema di questo sito è che elenca sì la normativa nazionale pertinente per ogni Paese (anche se per l'Italia mancano tutti i provvedimenti tecnici), ma non dice come consultarla. Però faccio i complimenti al Institute of Advanced Legal Studies (IALS), School of Advanced Study, University of London, che ha avviato questo lavoro.

Per quanto riguarda la presentazione, Andrea Caccia mi ha segnalato che, quando tratta delle "certificate signature", sostiene erroneamente l'equivalenza tra una firma elettronica basata su certificato e la firma qualificata.

Linee guida NIST sul BYOD

Il NIST ha pubblicato due documenti dedicato al BYOD e, in generale, al lavoro da remoto.

La prima è la SP 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf.

La seconda è la SP 800-114 Revision 1, User's Guide to Telework and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf.

La pagina web dove sono annunciate queste due pubblicazioni:
- http://csrc.nist.gov/news_events/#pub2and3.

La prima è rivolta alle aziende, la seconda ai "lavoratori remoti". Mi chiedo quali "lavoratori remoti" si possano leggere il malloppo tecnico di 44 pagine proposto dal NIST.

Io sono un estimatore delle SP del NIST: chiare ed esaustive. Purtroppo negli ultimi anni non posso aggiungere l'aggettivo "sintetiche".

Intendiamoci: sono ottime per chi non conosce l'argomento. Ma chi lo conosce già, e vorrebbe verificare la completezza delle proprie competenze, è costretto ad affrontare un testo molto didattico e poco sintetico (e anche i "riassumento" sono un po' troppo verbosi).

Comunque sia, chiunque si occupa di sicurezza delle informazioni dovrebbe leggerle.

NIST e l'autenticazione via SMS

Da Crypto-gram di Bruce Schneier leggo che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63:
- https://pages.nist.gov/800-63-3/sp800-63b.html.

Nella newsletter Bruce Schneier fornisce alcuni link ad alcuni articoli:
- https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/
- http://www.eweek.com/security/nist-says-sms-based-two-factor-authentication-isnt-secure.html;
- https://threatpost.com/nist-recommends-sms-two-factor-authentication-deprecation/119507/;
- http://fortune.com/2016/07/26/nist-sms-two-factor/.

Alcuni di questi articoli citano come alternative (ma dovrei capire meglio quanto sono ancora in fase di studio) il Code Generator di Facebook o il Google Authenticator o il Google Promt. Ovviamente ci sono anche il RSA SecurID (con token o meno), i dongle (un po' difficili da usare sui dispositivi mobili) e le caratteristiche biometriche (anch'esse difficili da usare su molti dispositivi).

Vedremo. Per intanto è brutto vedere che una misura di sicurezza che positivamente ma lentamente si stava diffondendo è già obsoleta.

Cambiare password è improduttivo

Avevo già segnalato un articolo contrario al troppo frequente cambio di password.

Ma in agosto Bruce Schneier ha asserito che è una cosa che dice da anni e segnala il seguente articolo:
http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/.

Io lo dico solo da qualche mese, ma penso sia il caso di rifletterci.

Ovviamente, le password che non si cambiano devono essere accompagnate da meccanismi quali: blocco (o allarme che si possa distinguere dal phishing) dopo pochi tentativi sbagliati, lunghezza di almeno 16 caratteri, complessità elevata.

Schneier e IoT

Trovo sempre piacevole leggere Bruce Schneier. Questo è un suo articolo sui rischi dell'Internet of Things:
https://motherboard.vice.com/read/the-internet-of-things-will-cause-the-first-ever-large-scale-internet-disaster.

Credo dica cose originali e interessanti. Certamente ignorate dai produttori e utilizzatori di dispositivi (anche se non capisco perché entusiasmarsi per una lavatrice che posso governare a distanza).

PS: Pier Francesco Massida su LinkedIn mi ha fatto notare come i rischi dell'IoT siano al centro del nuovo romanzo giallo di Jeffrey Deaver "The steel kiss". Non apprezzo molto Deaver (indulge in troppi finti finali), ma apprezzo il fatto che abbia colto il problema.

ISO/IEC 20000-6

Tony Coletta mi ha segnalato la prossima pubblicazione della ISO/IEC 20000-6 dal titolo "Requirements for bodies providing audit and certification of service management systems". In altre parole, si tratta delle regole per gli organismi di certificazione che offrono certificazioni ISO/IEC 20000-1. Ora lo standard si trova in stato di bozza finale:
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64681.

Lettura consigliata solo agli organismi di certificazione.

mercoledì 27 luglio 2016

Perfezionisti e ottimalisti

Segnalo questo articolo di Anna Gallotti (sì... è mia sorella!):
- http://share-coach.com/ita/articoli.php?id=73&read=storia

Lo trovo interessante perché riguarda due aspetti fondamentali per chi si occupa di processi aziendali:
1- quando gli interlocutori sono perfezionisti rallentano l'attuazione di quanto necessario (ovviamente, qui non si sta parlando di "resistenza al cambiamento", che è altra materia); certamente è importante considerare le loro questioni, ma bisogna stare attenti a non bloccare tutto per essere perfetti;
2- i perfezionisti tendono a nascondere gli errori (e criticare quelli altrui), con l'ovvio risultato che poi non si migliora.

venerdì 22 luglio 2016

ISO/IEC 33072 sui processi della sicurezza delle informazioni

Tony Coletta, delegato italiano al ISO/IEC SC 7 WG 10, mi ha informato della recente pubblicazione del nuovo standard ISO/IEC 33072 ddal titolo "Process capability assessment model for information security management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=70803.

Si tratta, in poche parole, di una riscrittura della ISO/IEC 27001 descrivendone i processi e controlli come processi valutabili secondo la scala di capability, da 0 a 5, descritta nella ISO/IEC 33020. Per chi è abituato ad un'altra terminologia, ormai vecchia, traduco dicendo che si tratta di un modello per la valutazione della maturità del sistema di gestione per la sicurezza delle informazioni.

Si tratta di una lettura non veloce (194 pagine!) e impegnativa. Dubito che un esercizio di questo genere sia veramente utile per migliorare la sicurezza delle informazioni, soprattutto considerando che in troppe organizzazioni vedo processi talmente mal gestiti che raggiungere un livello di capacità pari ad 1 sarebbe già un bel risultato.

venerdì 15 luglio 2016

Sulle misure minime

Pierfrancesco Maistrello di Vecomp mi ha scritto un'interessante riflessione sulle misure minime.

Intanto mi ricorda che le misure minime sono considerate obsolete da tempo, come dimostrano anche le due segnalazioni del garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3531329;
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4575782.

E questo mi sembra pacifico. Aggiungo che in alcuni casi erano obsolete anche nel 2003.

Pierfrancesco mi ricorda che l'articolo 36 del Codice Privacy riporta: "Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore".

Pierfrancesco non ironizza, come tutti, sul fatto che l'aggiornamento dal 2003 al 2016 non c'è mai stato. Ma dice: "Sembra quasi una garanzia di immutabilità, dato che il ministro per le innovazioni e le tecnologie non si chiama neanche più così!".

Poi Pierfrancesco mi cita la relazione 2015 del Garante da poco pubblicata: "permangono numerose le violazioni delle misure minime di sicurezza; ciò, nonostante si tratti di adempimenti di non particolare complessità, in vigore da più di dieci anni, che dovrebbero essere stati oramai "metabolizzati" sia dalle imprese che dagli enti pubblici. Deve essere nuovamente segnalata la ormai indifferibile esigenza di aggiornare il Disciplinare tecnico in materia di misure minime di sicurezza, All. B al Codice in vigore dal 2003, le cui prescrizioni appaiono in buona parte non più adeguate allo stato dell'evoluzione tecnica, anche alla luce della ormai consistente esperienza maturata dall'Autorità in sede di controllo. Tale revisione dovrebbe essere ispirata a criteri di semplificazione, rispetto ad adempimenti di natura prettamente burocratica oggi previsti dalle disposizioni, e di maggiore effettività delle misure, prevedendo adeguati accorgimenti tecnici che intervengano in modo progressivo in funzione della quantità e della qualità dei dati, nonché della complessità della struttura tecnologica utilizzata e del numero di incaricati che vi hanno accesso".

Conclude quindi dicendomi "credo che l'abrogazione delle misure minime vigenti sia quantomeno auspicabile".

A me non resta che sottoscrivere e ringraziarlo per questa analisi approfondita.

mercoledì 13 luglio 2016

Standard ETSI per eIDAS

Segnalo questo articolo di Daniele Tumietto che elenca gli standard ETSI necessari all'attuazione di quanto previsto dal Regolamento eIDAS sull'identificazione elettronica e i servizi digitali fiduciari:
- https://www.linkedin.com/pulse/etsi-publishes-european-standards-support-eidas-eseals-tumietto.

Link Diretto alla lista di ETSI:
- https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx.

Privacy shield approvato

Il 12 luglio, più o meno, entra in vigore il Privacy shield, ossia il nuovo accordo USA-EU che sostituisce Safe Harbour, invalidato qualche tempo fa.

Questo accordo permette il trasferimento di dati personali da EU a USA, evitando una serie di adempimenti da parte delle aziende europee. Le aziende USA che vogliono importare dati personali (pensate per esempio ai tanti fornitori di servizi IT, in particolare quelli di hosting e cloud), dal 1 agosto potranno aderire ad un protocollo del U.S. Department of Commerce, in modo simile a quanto avveniva con Safe Harbour.

Al momento non sono riuscito a capire cosa dice il protocollo né in quale sito poter vedere quali aziende aderiscono.

Quindi segnalo qualche link esplicativo (grazie a tweet di @Leilyllia, @roberta_zappala). Segnalo che le traduzioni automatiche in italiano sono piuttosto divertenti:
- http://europa.eu/rapid/press-release_IP-16-2461_en.htm;
- http://europa.eu/rapid/press-release_STATEMENT-16-2443_en.htm;
- http://www.dimt.it/2016/07/12/via-libera-al-privacy-shield-per-la-protezione-dei-dati-trasferiti-tra-ue-e-usa/.

Non mancano le critiche. Joe McNamee, Executive Director of European Digital Rights , ha detto chee questo accordo sarà presto giudicato illegale. Ma non è il solo (grazie a tweet di @edri, @alexsib17, @madmaus:
- https://edri.org/privacy-shield-privacy-sham/;
- http://arstechnica.co.uk/tech-policy/2016/07/privacy-shield-to-be-dragged-across-finish-line-sources/;
- http://www.infosecurity-magazine.com/news/privacy-shield-approved-expected.

Nota: alcuni di questi articoli sono precedenti al 12 luglio, quando l'accordo è diventato operativo.

Anche questa volta mi congedo con un tweet di @DailyPratchett. Terry Pratchett era un genio della letteratura (a mio immodesto avviso) e forse pensava a questo Privacy shield: "The innocent would have nothing to fear, d'you think? I wouldn't bet tuppence".

App per smartphone rischiose

Trovo interessante il caso di Pokemon GO, un gioco per smartphone Android molto popolare e scaricato più di WhatsApp e Snapchat. Il fatto è che l'applicazione chiede permessi quasi totali per accedere ai dati presenti sullo smartphone. E, ovviamente, gli utenti li danno!

I creatori di Pokemon GO hanno scaricato questi dati e pensano di farci qualcosa? Oppure si tratta veramente di un errore di programmazione?

Il problema è che troppi utenti danno piene autorizzazioni alle app per cellulare, senza preoccuparsi delle conseguenze. Anche quando usano cellulari aziendali!

Due articoli, uno in italiano e uno in inglese (grazie ai tweet di @NowSecureMobile e di @roberta_zappala):
- https://www.nowsecure.com/blog/2016/07/12/pokemon-go-security-risks-what-cisos-and-security-pros-need-to-know/;
- [ITA] http://www.ansa.it/sito/notizie/tecnologia/software_app/2016/07/12/pokemon-go-primi-grattacapi-sicurezza_f8fb97f7-13ca-459e-8899-f5e45d065076.html.

Ma anche altre app sono assai rischiose. Segnalo questo articolo di Paolo Perego su Flash Keyboard:
- https://codiceinsicuro.it//blog/quando-la-spia-e-la-tastiera-del-tuo-smartphone-il-caso-flash-keyboard/.

Videosorveglianza: dove va posta l'informativa

Notizia da tweet di @a_oliveri dal titolo "Privacy - Cassazione Civile: l'informativa in materia di videosorveglianza va sempre posta prima del raggio d'azione della telecamera":
- http://www.filodiritto.com/news/2016/privacy-cassazione-civile-linformativa-in-materia-di-videosorveglianza-va-sempre-posta-prima-del-raggio-dazione-della.html.

Penso che il titolo dica già tutto.

Licenziato chi sta troppo tempo su Facebook

Notizia da tweet di @a_oliveri dal titolo "Licenziato chi sta troppo tempo su Facebook":
- http://www.ilsole24ore.com/art/norme-e-tributi/2016-07-08/licenziato-chi-sta-troppo-tempo-facebook-163506.shtml.

Penso che l'articolo dica già tutto in estrema sintesi e credo sia molto interessante per capire come sono interpretate alcune attività di indagine, per quanto artigianali e condotte senza strumenti sofisticati.

Penso che rimanga da vedere se verrà presentato ricorso in appello e poi, forse, in Cassazione e, quindi, i risultati di questi ricorsi.

martedì 12 luglio 2016

ISO 27799:2016: sicurezza nella sanità

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della nuova versione del 2016 dell ISO 27799 dal titolo "Health informatics -- Information security management in health using ISO/IEC 27002":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62777.

La lettura (confesso che ho sfogliato rapidamente) ha degli alti e dei bassi. Gli alti sono rappresentati da considerazioni in merito alle specificità del settore della sanità (per esempio la gestione delle emergenze), un elenco di minacce da considerare e una guida per l'attuazione della sicurezza delle informazioni.

La mia critica principale riguarda proprio questa guida per l'attuazione, che trovo un po' rigida e "vecchia maniera" e quindi difficile da seguire da quelle strutture che oggi non hanno un approccio ben strutturato alla sicurezza delle informazioni.

domenica 10 luglio 2016

Abrogazione misure minime privacy?

In questi giorni leggo e sento che saranno abrogate le misure minime per la privacy, a causa dell'entrata in vigore del Regolamento europeo sulla protezione dei dati personali.

In realtà, quanto riportato dal Codice privacy italiano (D. Lgs. 196 del 2003) rimane in vigore, purché non in conflitto con il Regolamento. È vero che le misure minime non sono richieste dal Regolamento europeo, ma la loro obbligatorietà, prevista dall'ordinamento italiano, non è in conflitto con esso.

Ovviamente il Parlamento dovrebbe emendare il Codice privacy per evitare confusione e armonizzare completamente la normativa italiana con quella europea (problema che oggi abbiamo con il Codice dell'amministrazione digitale, che non è ancora stato modificato considerando quanto previsto dal Regolamento eIDAS). Probabilmente le misure minime saranno cancellate, ma fino ad allora sono ancora in vigore.

Ho chiesto aiuto a Pierluigi Perri, della Facoltà di Giurisprudenza Università degli Studi di Milano, che ringrazio. Mi ha confermato quanto da me capito. E, anzi, aggiunge: "Il Regolamento espressamente demanda agli Stati membri la definizione delle sanzioni penali (cfr. Considerando n. 149) per cui, visto che allo stato attuale delle cose la violazione delle misure minime è punita penalmente, nulla vieta che vengano riproposte dal nostro Legislatore, in quanto non contrastano con le previsioni di cui all'art. 32 del Regolamento".

giovedì 7 luglio 2016

Come rubare un profilo Facebook senza essere esperti informatici

Questo articolo mi interessa perché dimostra ancora una volta come certe "misure di sicurezza" siano in realtà delle bufale:
- http://attivissimo.blogspot.it/2016/07/come-rubare-un-profilo-facebook-senza.html.

Un malintenzionato ha convinto facilmente Facebook di dargli le credenziali di un altro utente. È bastato inviare una scansione di un documento di identità (falso, in questo caso; ma è facile ottenere una scansione della carta di identità di qualcuno, visto che tutti la richiedono).

Certamente non è facile pensare a meccanismi più sicuri, ma dovremmo farlo.

mercoledì 6 luglio 2016

Direttiva NIS

È stata approvata la Directive on Security of Network and Information Systems (NIS Directive).

Segnalo dei link (grazie ad una segnalazione di Pierfrancesco Maistrello di Vecomp e ad un tweet di @francescotozzi9):
- http://europa.eu/rapid/press-release_MEMO-16-2422_en.htm;
- http://www.europarl.europa.eu/news/en/news-room/20160701STO34371/Cyber-security-new-rules-to-protect-Europe's-infrastructure.

Dal memo della Commissione europea sintetizzo ulteriormente:
- ogni Stato dovrà redigere una strategia sulla sicurezza informatica, dovrà istituire un'autorità relativa, designare uno o più Computer Security Incident Response Teams (CSIRTs);
- gli Stati dovranno collaborare e stabilire un programma di lavoro, condividere informazioni in merito alle minacce;
- la Direttiva riguarda aziende dei settori energia, trasporto, bancario, infrastrutture finanziarie, sanità, fornitura acqua, infrastrutture digitali.

Comunque la Direttiva (a differenza di un Regolamento), per essere completamente applicabile in Italia, deve essere tradotta in Decreto legislativo entro maggio 2018. E quindi è bene studiarla, ma consapevoli che il D. Lgs. potrà avere delle peculiarità a cui stare attenti.

PS: altro link, in italiano, lo segnalo da un tweet di :
- http://www.europarl.europa.eu/news/it/news-room/20160701IPR34481/Sicurezza-online-il-PE-approva-nuove-norme-contro-gli-attacchi-informatici

martedì 5 luglio 2016

Privacy: elenco BCR

La normativa sulla privacy permette il trasferimento dei dati extra-UE in vari casi. Uno di questi riguarda le multinazionali, che possono fornire adeguate garanzie di sicurezza attraverso regole aziendali (Binding corporate rules, BCR) approvate da un'autorità garante europea.

Ivo Trotti di TNS Italia mi ha segnalato il link ufficiale dove sono elencate le imprese con BCR approvate:
- http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm.

lunedì 4 luglio 2016

eIDAS è entrato in vigore

Il 1 luglio 2016 è entrato in vigore il Regolamento europeo eIDAS, su firme elettroniche e altro. Segnalo quindi qualche articolo.

Le domande e risposte della Commissione europea su eIDAS:
- https://ec.europa.eu/digital-single-market/en/news/questions-answers-trust-services-under-eidas.

Un articolo di Daniele Tumietto che spiega cosa è eIDAS, i suoi benefici e le sue relazioni con il CAD:
- https://www.linkedin.com/pulse/eidas-rappresenta-uno-nuovo-strumento-per-nuovi-modelli-tumietto.

Un articolo in inglese che spiega anch'esso cosa è eIDAS:
- https://ec.europa.eu/commission/2014-2019/ansip/blog/building-online-trust-and-confidence-role-eidas-and-digital-identity_en.

Garante: autorizzata rilevazione GPS

Pierfrancesco Maistrello di Vecomp mi ha segnalato questo Provvedimento del Garante privacy:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5217175.

Il Garante ha autorizzato l'uso del cellulare (con GPS!) per calcolare la prestazione lavorativa.

Scrive Pierfrancesco: "precedentemente avevo visto le autorizzazioni per Wind ed Eriksson, che però erano incentrate sulle finalità di sicurezza, con problemi di lavoro isolato, ecc.).

Interessanti le misure: log obbligatori, utenze specifiche con profili determinati e una bella icona obbligatoria sullo schermo del telefonino.

E il titolare, secondo me, è stato fortunato ad avere sindacati collaborativi. Una soluzione del genere, prospettata a qualche ispettore del lavoro, avrebbe creato delle difficoltà.

Altro aspetto da segnalare è la velocità di risposta del Garante: l'istanza è di settembre 2015 e la risposta del 18 maggio. Tempi non brevissimi ma neanche lunghissimi".

martedì 28 giugno 2016

Survey Deloitte su dispositivi medici

Pasquale Tarallo mi ha segnalato questo articolo di Sanità 24 dal titolo "Biomedicali a rischio hacker: Deloitte lancia l'allarme sulla cyber security":
- http://www.sanita24.ilsole24ore.com/art/imprese-e-mercato/2016-06-24/biomedicali-rischio-hacker-deloitte-lancia-l-allarme--cyber-security-162350.php?uuid=AD1elbi.

L'articolo fa riferimento ad una survey di Deloitte dal titolo "Cyber security of networkconnected medical devices in (EMEA) Hospitals 2016" (il link l'ho trovato io con Google):
- http://www2.deloitte.com/nl/nl/pages/over-deloitte/articles/medical-devices-cybersecurity-vulnerable.html.

Non mi interessano i risultati della survey (che trovo sempre poco utili, anche se ormai di moda), ma l'elenco delle misure specifiche, riassunto dall'articolo di Sanità24, mi sembra utile come base di partenza quando si tratta di sicurezza informatica dei dispositivi medici.

ISO/IEC 27009 - Il metastandard

Ho ricevuto notizia che il 6 giugno è stata pubblicata la ISO/IEC 27009 dal titolo "Sector-specific application of ISO/IEC 27001 -- Requirements":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42508.

Si tratta, come dice Fabio Guasconi, un meta-standard, ossia uno standard per scrivere standard relativi ai "controlli per specifici settori" come la ISO/IEC 27011 o la ISO/IEC 27017. In altre parole, uno standard non utile per chi non partecipa alla scrittura degli standard della famiglia ISO/IEC 27000.

venerdì 24 giugno 2016

Videosorveglianza "lunga"

Franco Ferrari di DNV GL mi ha segnalato un articolo del Garante privacy, relativo a due recenti provvedimenti del Garante stesso che autorizzano la conservazione di videoregistrazioni per 30 e 45 giorni:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933227;
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933452.

Si tratta di concessioni per aziende che si occupano di produzione o trattamento di materiali particolarmente critici (microprocessori per carte di pagamento e materiale classificato per il settore marino).

Nuova versione del COSO ERM Framework

Per chi non lo conoscesse, il COSO ERM Framework è un documento del "Committee of sponsoring organizations of the treadway commission" (COSO) dedicato all'Entreprise risk management. Per vari motivi, esso è diventato un punto di riferimento per quanto riguarda la gestione delle aziende con un approccio basato sul rischio.

Protiviti, attraverso la sua newsletter, mi ha informato che il COSO ha reso pubblica una bozza della nuova versione dell'ERM framework.

La pagina dove trovare la bozza del nuovo COSO ERM Framework:
- http://erm.coso.org/Pages/default.aspx.

La pagina dove trovare il bollettino di Protiviti, che spiega in sintesi le ragioni del cambiamento e le novità:
- http://www.protiviti.com/cosoerm

Sicuramente l'approccio ha dei punti di interesse, ma mi preme sottolinearne una: il fatto che l'applicazione del framework è stata spesso sbagliata perché concentrata sui dettagli e non usata per impostare le strategie.

Come non riflettere, ancora una volta, sul fatto che troppe valutazioni del rischio si perdono nei dettagli e perdono di vista il loro vero obiettivo, seppellite da troppi dettagli?

Mi fermo qui, per non ripetere cose già dette e ripetute in precedenza (incluse le critiche ai software per valutare il rischio).

martedì 7 giugno 2016

ISO/IEC 27000:2016 disponibile gratuitamente

La ISO/IEC 27000:2016, dal titolo "Information security management systems — Overview and vocabulary", è ora disponbile gratuitamente al seguente indirizzo:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/.

Grazie a Luciano Quartarone per l'aggiornamento.

sabato 28 maggio 2016

Certificazioni IoT

Dal Sans NewsBites del 27 maggio leggo la notizia che ICSA (ossia Verizon) ha lanciato un programma di certificazione dei dispositivi IoT. Segnalo l'articolo di Computerworld (più serio e completo di quello di DarkReading):
- http://www.computerworld.com/article/3075438/security/iot-security-is-getting-its-own-crash-tests.html.

La pagina di ICSA non aiuta perché promuove i test ma non dà indicazioni su quali sono i requisiti da rispettare. Trovo poco serio leggere di "sicurezza dalla progettazione" e poi, ipocritamente, trovare approfondimenti solo sui test:
- https://www.icsalabs.com/technology-program/iot-testing.

Segnalo quindi l'iniziativa della Online Trust Alliance, che ha pubblicato 30 principi per dispositivi sicuri (si trova la sintesi in versione definitiva e la guida completa in bozza):
- https://otalliance.org/initiatives/internet-things.

PS: l'articolo di DarkReading non riporta link per approfondire la notizia. Inoltre usa "cyber" a sproposito e "ecosistema" per "sistema informatico"; due indicatori di competenza acquisita sulle brochure commerciali.

giovedì 26 maggio 2016

Aggiornamenti su eIDAS

Il nuovo CAD, per allinearsi al Regolamento eIDAS, sarà modificato a breve. Per chi vuole approfondire lo stato dell'arte, segnalo questo articolo (da un tweet di @fpmicozzi):
- http://www.ilquotidianodellapa.it/_contents/news/2016/maggio/1463684793525.html.

ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato un report con raccomandazioni in merito all'uso di certificati digitali per i siti web:
- https://www.enisa.europa.eu/publications/qualified-website-authentication-certificates.

Il report riguarda soprattutto le strategie generali per l'Europa, la prima delle quali è orientata, nel breve periodo, all'aumento di siti web che usano certificati digitali, la seconda è migliorare il mercato dei certificati digitali per i siti web.

In questi giorni saranno pubblicate le regole di Accredia per essere "certificati" come Trust service provider (TSP) anche per la vendita di certificati digitali per i siti web. Il numero minimo di giornate di audit per ottenere la qualifica è decisamente elevato.

Certo è che se ai fornitori sono richiesti molti soldi per qualificarsi come fornitore qualificato, il costo di questi certificati sarà troppo elevato e, quindi, questa strategia non avrà successo. Parere mio, per quanto poco possa valere.

Direttiva europea sulla sicurezza informatica

Da tempo si parla della Direttiva europea relativa alla sicurezza delle reti e delle informazioni (network and information security, NIS).

Credo sia il caso di tenere sotto controllo il suo percorso. Essa dovrebbe essere attiva da agosto 2016. Ma, per avere una vera validità in Italia, è necessario vengano emessi degli opportuni Decreti legislativi. Quindi spero che non si scateni il panico che abbiamo già visto per il Regolamento privacy.

Per saperne un po' di più, segnalo la pagina del Consiglio EU:
- http://www.consilium.europa.eu/en/press/press-releases/2016/05/17-wide-cybersecurity-rule-adopted/.

Privacy online

Segnalo questo interessante articolo dal titolo "Going dark: online privacy and anonymity for normal people" (da un tweet di @fpietrosanti):
- https://www.troyhunt.com/going-dark-online-privacy-and-anonymity-for-normal-people/.

Un articolo che spiega perché non è male cercare di restare anonimi online.

A questo problema era collegato il mio post sulle email temporanee:
- http://blog.cesaregallotti.it/2016/05/email-temporanee.html.

Una mia amica (anonimizzata) mi ha segnalato altri servizi di posta temporanea: emailtemporanea.net, spaml.com, bigstring.com, 2prong.com, rppkn.com, ominutemail.com, spambox.us, mailinator.com, veryrealemail.com, mytrashmail.com, tempemail.net, tempinbox.com.

La mia anonima amica mi segnala che alcuni siti non permettono la registrazione con queste.

Ne approfitto a segnalare una frase di Terry Pratchett (da @DailyPratchett), di cui sono un fan, appropriata a questo argomento: "Ah, the rights of the individual, a famous Ankh-Morpork invention, so they say. But what rights are they, really, and whence do they come?"

Il caos degli standard per l'IoT

Segnalo questo articolo dal titolo "Chaos Theory of Standardization in IOT":

La tesi è semplice: sono presenti troppi protocolli di comunicazione per l’IoT e questo non potrà che generare problemi di funzionalità e di sicurezza.

Ho i miei timori: il tentativo di standardizzazione, se mai riuscirà, porterà ad un compromesso al ribasso in termini di sicurezza.

Sicurezza dei pagamenti via Internet

Enrico Toso di DB Consorzio mi ha segnalato che Banca d'Italia ha emesso l'aggiornamento 16 delle Disposizioni di Vigilanza per le Banche - circolare 285 dove ha recepito gli Orientamenti EBA sulla Sicurezza dei pagamenti via Internet. Era un atto formale atteso dallo scorso 3 agosto 2015.

Enrico ricorda che la temuta conversione delle best practice (incluse nell'allegato 1 degli orientamenti) in misure obbligatorie non c'è stata e che, a partire dal 30 settembre 2016, le formule di adeguamento potranno contemplare la sola clausola del "comply" poiché la precedente formula "comply or explain" non sarà verosimilmente più percorribile.

Personalmente, trovo molto interessante il fatto che vogliono migliorare le misure di pagamento elettronico. Forse questo migliorerà le misure anche degli altri siti che non c'entrano nulla con le banche (visto che si innalzerà la qualità desiderata degli utenti). Enrico però mi ricorda che sarà necessario valutare ogni transazione per dimensionare correttamente la robustezza della sicurezza richiesta.

Il testo integrale della nuova Circolare 285 è disponibile al seguente link (A pag 350 / 628 c'e' la sezione VII che riporta il testo dell'aggiornamento):
- http://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/Circ_285_16_Aggto_testo_integrale_segnalibri.pdf

DevOps e SIAM - Integrazioni

A inizio maggio avevo scritto su DevOps e SIAM:
http://blog.cesaregallotti.it/2016/05/devops-e-siam.html.

Deborah Monaco di Quint Wellington Redwood mi ha scritto per DevOps è attiva la DevOps Agile Skills Association (DASA), dedicata allo sviluppo delle competenze DevOps e Agile.

Questa associazione ha l'obiettivo, tra gli altri, di definire un programma di qualifiche DevOps. Da metà giugno 2016 saranno disponibili le certificazioni.

Stefano Ramacciotti mi ha invece suggerito di considerare le certificazioni, di ISC2, CSSLP, ISSEP e CCSP. Esse hanno dei moduli dove parlano della parte sicurezza delle DevOps, o meglio dell'SDLC, e promuovono la sicurezza in ogni fase del SDLC, per evitare di aggiungerla ex post, come un add-on.

Secondo Stefano, le metodologie più classiche e consolidate garantiscono un livello di sicurezza decisamente superiore.

Stefano ha anche avuto la brutta esperienza, di avere incontrato giovani programmatori che non hanno alcuna idea della sicurezza né della sua importanza. Certificazioni non di sicurezza (come, appunto, quelle di DevOps) dovrebbero integrare la sicurezza.

giovedì 19 maggio 2016

eIDAS: norme di sicurezza per dispositivi (precisazione)

Leggendo la mia notizia in merito alla pubblicazione della decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea relativa alle norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS, Andrea Caccia mi ha segnalato una precisazione importante: questa decisione di esecuzione 2016/650 si applica limitatamente ai dispositivi sotto il diretto controllo dell'utilizzatore degli stessi (smart card, token USB, micro SD, eccetera); non si applica dunque (ad esempio) ai dispositivi (HSM) di firma remota.

La mia notizia originale:
http://blog.cesaregallotti.it/2016/05/eidas-norme-di-sicurezza-per.html.

martedì 17 maggio 2016

Report di sicurezza delle informazioni 2016

Verizon ha pubblicato il suo Data Breach Investigations Report (DBIR) 2016:
- http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/.

Non mi pare dica niente di fondamentale e non riesco a capirne fino in fondo l'impostazione (sono analizzate alcune minacce in modo un po' disomogeneo; ci sono delle raccomandazioni, ma non mi sembrano sempre pertinenti alla minaccia in questione). Chi vuole leggere la versione breve, segnalo questo articolo di DarkReading:
- http://www.darkreading.com/endpoint/verizon-dbir-over-half-of-data-breaches-exploited-legitimate-passwords-in-2015/d/d-id/1325242.

Anche la Microsoft ha pubblicato il suo report "Security Intelligence Report (SIR)" relativo al secondo semestre 2015 (a tweet di @skhemissa):
http://www.neowin.net/news/microsoft-publishes-security-intelligence-report-
including-cloud-data-for-the-first-time
.

Non basta? Ecco un elenco di 9 report sulla sicurezza (da un tweet di . Ce n'è per tutti i gusti (segnalo però che il report di Juniper è segnalato malamente, subito dopo quello di Verizon, di cui ho già scritto qui sopra):
- http://www.forbes.com/sites/stevemorgan/2016/05/09/top-2016-cybersecurity-reports-out-from-att-cisco-dell-google-ibm-mcafee-symantec-and-verizon/#49a0a0333edb.

giovedì 5 maggio 2016

Pubblicato il nuovo Regolamento privacy

Sulla Gazzetta ufficiale della UE è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

In realtà è stato pubblicato tutto il "nuovo pacchetto privacy", che include anche 2 Direttive (segnalo che il mese scorso avevo segnalato solo l'approvazione del Regolamento, dimenticandomi delle Direttive; Agostino Oliveri mi ha segnalato l'errore e io mi scuso per l'incompletezza dell'informazione):
  • Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio 
  • Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

Qui il link al testo ufficiale, da cui può essere letto in tutte le lingue dell'Unione:
- http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L:2016:119:TOC.

Il Regolamento sostituirà quindi il nostro Dlgs 196/2003 (cosiddetto "Codice privacy"). Le Direttive, invece, dovranno essere recepite da nostri Decreti legislativi. Entro il 24 maggio 2018 tutte le aziende dovranno adeguarsi al nuovo Regolamento.

Dovremo quindi vedere, nel futuro, se il Dlgs 196 verrà abrogato totalmente o parzialmente (e quindi, per esempio, se rimarrà in vigore l'Allegato B e altre sue parti non previste dal Regolamento. Dovremo anche vedere come il nostro Garante modificherà o abrogherà i Provvedimenti generali o settoriali emessi negli anni (spero che sarà quanto prima creata una pagina dedicata a questo argomento).

Segnalo alcuni punti a mio parere fondamentali se confrontati a quanto già previsto dal nostro Dlgs 196 del 2003:
  • necessità di minimizzare i dati raccolti e trattati considerando le diverse finalità;
  • inserimento, nell'informativa, dei tempi di conservazione dei dati e diritto all'oblio;
  • diritto di portabilità dei dati;
  • possibilità di certificazioni che possono dimostrare gli obblighi del titolare del trattamento;
  • principi di protezione fin dei dati fin dalla progettazione e di default;
  • nessuna considerazione delle attuali filiere di fornitura "lunghe" (ma questa non è una novità, purtroppo);
  • predisposizione di un "registro dei trattamenti" per molte aziende;
  • comunicazione al Garante da parte di qualunque titolare che subisce delle violazioni dei dati trattati;
  • valutazione degli impatti in caso di specifici trattamenti e condizioni (con indice del rapporto);
  • previsione di un "referente (o responsabile) della protezione dei dati" in casi particolari (che però fa riferimento a "trattamenti di dati sensibili su larga scala", senza specificare cosa "su larga scala" significa).

Segnalo quindi questo articolo (da tweet di @europrivacy) dal titolo "Lack of EU Data Reg Guidance Has Companies Uncertain":
- http://www.bna.com/lack-eu-data-n57982070660/.

Ne approfitto per segnalare questo sito web del CNIL che spiega, per ogni Paese del mondo, le regole da seguire per trasferirvi i dati personali:
- https://www.cnil.fr/en/data-protection-around-the-world.

Qualche mia domanda ironica:
  • fino a che anno leggeremo documenti con scritto "il nuovo Regolamento europeo sulla privacy";
  • fino a che anno leggeremo informative e documenti con riferimento al Dlgs 196/2003 (io ho visto riferimenti alla L. 675/1996, abrogato nel 2003, anche nel 2014).

Non dimentico di ringraziare chi mi ha avvisato della pubblicazione del Regolamento: Fabrizio Bottacin del Politecnico di Milano (che mi ha anche allegato il file in italiano); Biagio Lammoglia (che mi ha inviato i link al "pacchetto privacy" sia in inglese che in italiano); Pierfrancesco Maistrello di Vecomp (che però mi ha fornito il link alla sola versione in italiano) e Pasquale Tarallo (anche lui con la sola versione in italiano). Anche se ho ricevuto la medesima notizia molte volte, mi ha fatto piacere in tutti i casi.

L'FBI può attaccare qualunque computer nel mondo

La notizia è decisamente inquietante (da tweet di @F_Traficante): la Corte suprema USA ha sancito nuove regole per le investigazioni digitali dell'FBI che a breve potrà hackerare più facilmente i computer di chiunque, ovunque si trovi, sia indiziato di un qualsiasi reato:
- http://www.repubblica.it/tecnologia/sicurezza/2016/04/29/news/corte_suprema_usa_intercettazioni-138732392/.

Questo articolo ("U.S. Supreme Court allows the FBI to Hack any Computer in the World") è in inglese (da tweet di @mayhemspp):
- http://thehackernews.com/2016/04/fbi-hacking-power.html.

eIDAS: norme di sicurezza per dispositivi di creazione di firme e sigilli elettronici

Da un tweet di @fposati, segnalo che è stata pubblicata in Gazzetta ufficiale UE la decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea. Essa stabilisce le norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS.

Riporto il link a Diritto&Internet con la notizia e il link alla decisione:
- http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/sicurezza-e-firma-elettroniche-pubblicate-le-norme-ue/.

Questa decisione si affianca alle alte già pubblicate per l'esecuzione delle disposizioni del Regolamento eIDAS di cui ho già parlato in altri articoli (dovrei cercare di realizzare un elenco di quante decisioni sono previste e quante pubblicate).

Ricordo la pagina della Commissione europea dedicata a questo tema, anche se non aggiornata con questa ultima decisione:
- https://ec.europa.eu/digital-single-market/en/trust-services-and-eid.

Email temporanee

Non sapevo esistessero i servizi di email temporanee (e gratuite). Grazie ad un tweet di @enigmadt ora lo so e condivido questa informazione:
- http://focustech.it/email-temporanea-mail-gratuita-come-107163.

martedì 3 maggio 2016

ISO/IEC 29147 sulla gestione delle vulnerabilità è gratis

Da un tweet di @mattia_reggiani, segnalo che la ISO/IEC 29147, dal titolo "Information technology -- Security techniques -- Vulnerability disclosure" è ora gratuita:
- http://www.itnews.com.au/news/iso-vulnerability-disclosure-standard-now-free-418253.

L'articolo segnalato fornisce qualche dettaglio in più su questo standard e quanto è collegato ad esso.

Garante privacy: Facebook e il furto di identità

È stata sufficientemente pubblicizzata la notizia relativa alla pronuncia del Garante privacy in merito alle false utenze su Facebook:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4833448.

Ho trovato molto interessante questo articolo che ne spiega l'importanza:
- http://www.webnews.it/2016/04/27/garante-facebook-fake/.

Riassumendo molto, una persona ha subito un furto di identità su Facebook e ha chiesto aiuto al social network, ma "la richiesta di cancellazione o del blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake, non sembravano un percorso fattibile".

Il Garante privacy ha quindi dato ragione alla vittima.

lunedì 2 maggio 2016

Modulo unificato per videosorveglianza e GPS

Il Ministero del lavoro ha pubblicato un modulo, valevole a livello nazionale, per richiedere l'autorizzazione all'installazione di impianti di videosorveglianza e all'installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali:
http://www.assodpo.it/News/tabid/98/articleId/112/articlesListTabId/98/artic
lesListModId/541/articleDetailsModId/541/listType/templateBased/Default.aspx
.

Qual è la novità? Che in precedenza ogni Direzione territoriale aveva il proprio modulo, mentre oggi ce n'è uno solo.

Questa notizia mi è stata data da Massimo Cottafavi di Snam, che ringrazio.

DevOps e SIAM

Federico Corradi di Cogitek mi ha scritto qualche tempo fa per chiedermi se fossi a conoscenza di certificazioni personali in ambito DevOps e SIAM.

Confesso che, pur avendo letto in giro di DevOps, gli dissi che non ne sapevo quasi nulla. Federico Corradi continuò le sue ricerche e me ne ha reso partecipe. Ritengo che sia quindi utile condividerne una sintesi.

DevOps si occupa del rapporto tra sviluppatori di applicazioni IT (normalmente già strutturati con metodo Agile) e le operation (gestori dei sistemi, ma non solo). Materia fondamentale e molto antica, ma un po' dimenticata in questi anni in cui si è puntato soprattutto a migliorare il rapporto tra utilizzatori (o "business") e sviluppatori di servizi IT.

Per quanto riguarda esami e certificazioni personali DevOps, Federico Corradi ha visto che Exin ha annunciato una Devops Master Certification (mi era sembrato di averla vista in qualche email da parte di Exin, visto che con loro collaboro!) che dovrebbe essere disponibile entro l'estate 2016. Anche itskeptic ha annunciato che OGC (!) si dedicherà a Devops e questa certificazione entrerà nel catalogo dei "soliti noti", Exin inclusa.

Federico Corradi ha anche contattato il "Devops Iinsitute", che propone un corso dedicato (DevOps Foundation) e poi due corsi Agile con argomenti DevOps (Certified Agile Service Management o CASM; Certified Agile Process Owner o CAPO).

SIAM (Service Integration and Management) si occupa della gestione di contratti multi-sourcing, ossia contratti con vari fornitori che devono essere tra loro integrati. Anche questa è materia molto antica, soprattutto in ambito manifatturiero, anch'essa negletta in ambito IT soprattutto in questi anni in cui sembra che gli unici fornitori degni di nota siano quelli di servizi cloud.

Federico Corradi è riuscito a trovare due pubblicazioni promozionali sul SIAM:
- una di Axelos:
https://www.axelos.com/case-studies-and-white-papers/who-is-the-king-of-siam;
- una del Information Services Group (ISG; www.isg-one.com): "Assembling the jigsaw: Service Integration and Management in a Multisourced Operating Model".

Sembra però che questa materia sia troppo recente e, quindi, non sono disponibili certificazioni in materia.