sabato 30 aprile 2016

Nuovo PCI DSS 3.2

Enos mi ha segnalato la nuova versione del PCI DSS, ora arrivata alla 3.2.

Segnala l'articolo del SANS (che insiste soprattutto sull'aggiornamento a TLS 1.2):
- https://isc.sans.edu/forums/diary/New+release+of+PCI+DSS+version+32+is+available/21003/

Un documento più tecnico, nonché ufficiale, è il "Summary of changes":
- https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_Summary_of_Changes.pdf

Un articolo (da tweet di @mattia_reggiani):
- https://www.helpnetsecurity.com/2016/04/28/pci-dss-3-2-whats-new/

Anche se non ci si occupa di circuiti di carte di credito, è importante conoscere il PCI DSS perché, con tutte le cautele del caso, rappresenta uno stato dell'arte della sicurezza informatica.

venerdì 29 aprile 2016

Stato delle norme ISO/IEC 270xx

Venerdì 15 aprile si è concluso a Tampa (Florida, USA) il 52mo meeting dell'SC 27 dell'ISO/IEC JTC 1, ossia il gruppo che si occupa della redazione e aggiornamento delle norme collegate alla ISO/IEC 27001 e a cui ho partecipato come delegato italiano.

Rapidamente elenco lo stato delle norme discusse:
  • ISO/IEC 27001: si è deciso di non procedere, per ora, al suo aggiornamento, ritenendo adeguata l'attuale versione del 2013;
  • ISO/IEC 27002: si è deciso di avviarne l'aggiornamento (richiederà comunque qualche anno);
  • ISO/IEC 27003 (guida alla ISO/IEC 27001): non è stata discussa e se ne è rimandata la discussione a giugno in modo da redigere la bozza finale (FDIS) e, spero pubblicarla per fine 2016;
  • ISO/IEC 27004 (guida alle misurazioni della sicurezza): come la ISO/IEC 27003, la discussione è stata rimandata a giugno;
  • ISO/IEC 27005 (guida alla valutazione del rischio): dopo anni di discussione su una bozza, si è deciso di ripartire da zero; questo, ahimè, rimanderà l'aggiornamento (necessario) di questa norma importantissima di almeno 3 anni;
  • ISO/IEC 27007 (guida all'audit sulla ISO/IEC 27001): si è proceduto a migliorare la bozza della sua nuova versione (non ritengo si tratti comunque di una norma fondamentale);
  • ISO/IEC 27008 (guida alla valutazione dei controlli di sicurezza): come per la ISO/IEC 27007, si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27009 (uso della ISO/IEC 27001 in specifici settori): si è discusso della bozza finale in modo che venga pubblicata quanto prima; 
  • ISO/IEC 27011 (controlli per il settore delle telecomunicazioni): si è discusso in modo da predisporre la bozza finale di una nuova versione di questa norma;
  • ISO/IEC 27014 (governance della sicurezza delle informazioni): si è deciso di aggiornare questa norma; i lavori quindi partiranno al prossimo incontro;
  • ISO/IEC 27019 (controlli per il settore dell'energia): si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27021 (competenze sui sistemi di gestione per la sicurezza delle informazioni): si è discusso delle bozze di questa nuova norma.

Si sono discusse anche molte altre cose. Mi piace segnalare solo che sono stati avviati i lavori per una norma sulle "cyber insurance".

Rapporto semestrale MELANI

È pubblicato il 22o rapporto semestrale della "Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI" della Confederazione Svizzera:
- https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/rapporto_semestrale-2-2015.html.

Si trova anche in inglese.

In questo numero il tema principale è la gestione delle vulnerabilità (ma purtroppo non dà raccomandazioni complete per aggiornarsi).

Io sono un fan dei rapporti MELANI e ne consiglio sempre la lettura.

venerdì 22 aprile 2016

qSOA

Luciano Quartarone ha reso pubblico un suo foglio Excel per realizzare una Dichiarazione di applicabilità (o Statement of applicability o SOA) utilizzabile per la conformità alla ISO/IEC 27001 o per una valutazione dei controlli di sicurezza:
- http://www.lucianoquartarone.it/wp/?p=752.

Gentilmente, Luciano fa notare che si può integrare con il mio foglio di calcolo VERA per calcolare dei livelli di rischio.

Nuova Direttiva europea sulla privacy

Agostino Oliveri di Sicurdata mi ha fatto notare che ho segnalato la pubblicazione del nuovo  Regolamento europeo sulla privacy, ma mi sono dimenticato di dire che (come scrive Agostino): "nella stessa data (14 aprile 2016) di approvazione del regolamento EU, il Parlamento Europeo ha approvato la Direttiva privacy relativa al trattamento di dati personali da parte delle autorità competenti ai fini di prevenzione, ricerca, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché la normativa PNR".

Mi scuso per la mia mancanza e ringrazio Agostino.

Per approfondimenti rimando ancora alla pagina informativa del nostro Garante della privacy:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361.

Come si pronuncia "auditor"? (2a parte)

Il mese scorso avevo scritto un piccolo articolo sulla pronuncia della parola "auditor":
- http://blog.cesaregallotti.it/2016/03/come-si-pronuncia-auditor.html.

Dicevo che l'Accademia della crusca segnalava che la pronuncia in italiano di "auditor" poteva basarsi su una raccomandazione della ISO 9000:2005. Però io questa raccomandazione non l'avevo trovata.

Stefano Brancolini di Engineering, che ringrazio, mi ha segnalato che questa questione è riportata nella UNI EN ISO 19011 (evidentemente c'è un refuso sul sito dell'Accademia della crusca), dove non si parla in modo esplicito della pronuncia, ma della derivazione latina.

Franco Ruggieri ha colto l'occasione per segnalarmi che nell'ordine dei cavalieri di S. Stefano, creato nel 1562 da Cosimo I de' Medici con sede a Pisa, c'era la carica dello "Auditore" che aveva il compito di controllare tutto l'Ordine. In effetti ne era il vero Capo. Quindi, ben prima che ereditassimo dagli anglo-sassoni il termine "auditor", c'era già in vigore una carica con tale nome. Ergo: il termine è di origine latina e non britannica!

Grazie Franco: un po' di cultura storica non fa mai male (anzi!).

giovedì 14 aprile 2016

Approvato il Regolamento europeo sulla privacy

Finalmente, dopo diversi anni di elaborazione è stato approvato il Regolamento europeo sulla privacy:
- http://www.europarl.europa.eu/news/en/news-room/20160407IPR21776/Data-protection-reform-Parliament-approves-new-rules-fit-for-the-digital-era.

Qualche approfondimento dal Parlamento europeo sulla riforma:
- http://www.europarl.europa.eu/news/en/news-room/20160413BKG22980/QA-new-EU-rules-on-data-protection-put-the-citizen-back-in-the-driving-seat.

La pagina informativa del Garante (grazie a Pierfrancesco Maistrello per la segnalazione):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361.

Ricordiamolo: questo Regolamento sostituirà il nostro Dlgs 196 del 2003 e sarà applicabile in tutta Europa.

I tempi: intorno a giugno sarà pubblicato nella Gazzetta ufficiale europea (EU Official Journal) e dopo 2 anni e 20 giorni dovrà essere applicato. Quindi c'è ancora un po' di tempo.

Il testo definitivo approvato ancora non ce l'ho. Non so se prendere per buono quello che circola da gennaio e quindi aspetto. Sul sito del Garante ci sono comunque i testi in italiano e alcuni hanno gioito per il ritorno dei termini "Titolare" e "Responsabile" (http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4884272).

Confesso che mi mancheranno i consulenti che vendevano (dal 2012!) questo regolamento come imminente. Era una buona cartina di tornasole per capire la loro preparazione e prudenza.

A questo aggiungo altre due notizie. La prima, grazie anche per questo a Pierfrancesco Maistrello, riguarda l'inizio della revisione della "ePrivacy Directive" (quella dei cookies, per intenderci):
- https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive.

La seconda riguarda l'avanzamento del Privacy Shield, ossia l'accordo tra USA e Europa in merito alla privacy. Il WP Art. 29 ha dato il suo parere (grazie a un tweet di @EU_EDPS) con la "Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision"
- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

EN 16234-1:2016 sulle competenze digitali

Da AgID ricevo la notizia della pubblicazione della EN 16234-1:2016 "e-Competence Framework (e-CF) – A common European Framework for ICT Professionals in all industry sectors – Part 1: Framework":
- http://www.agid.gov.it/notizie/2016/04/07/nasce-il-framework-europeo-competenze-digitali.

Per ora si tratta solo dello schema di riferimento, mentre le caratteristiche dei profili professionali saranno pubblicate in un secondo tempo.

Giusto segnalare che questo schema di riferimento è uguale al e-CF 3.0, disponibile gratuitamente anche in italiano:
- http://www.ecompetences.eu/e-cf-3-0-download/.

Tool per formare le persone sul phishing

Non so come funzioni esattamente questo strumento GoPhish, ma mi piace l'idea: formare il personale in modo pratico affinché riconosca il phishing e non faccia errori che possono compromettere la propria organizzazione o la propria vita privata:
- https://www.helpnetsecurity.com/2016/04/12/gophish-free-phishing-toolkit-training-employees/.

lunedì 11 aprile 2016

Sicurezza nei social media

Pierfrancesco Maistrello mi ha segnalato questa pubblicazione del Clusit e di Oracle Community for Security dal titolo "La sicurezza nei social media":
- http://social.clusit.it.

Come spesso mi succede, faccio questa segnalazione con grande ritardo. Forse non avevo notato la notizia a suo tempo o forse l'avevo ignorata perché ci sono molte pubblicazioni su questo tema. Però questa è fatta bene ed è fatta in italiano. Non ci sono più scuse per ignorare questo argomento.

martedì 5 aprile 2016

Attacco ad una centrale idrica

Pierfrancesco Maistrello di Vecomp mi ha segnalato questo attacco ad una centrale idrica, simile a quello condotto contro la centrale elettrica in Ucraina:
- http://www.securityweek.com/attackers-alter-water-treatment-systems-utility-hack-report.

La segnalazione viene da Verizon, che ha modificato il nome della centrale idrica e non ha rivelato dove si trova.

Qui la situazione credo sia incredibile: lo stesso sistema per controllare l'impianto era usato per i pagamenti on-line.

Pierfrancesco (ovviamente) concorda con me: "non credo affatto che qualsivoglia esigenza legata al business possa imporre un'esposizione di queste reti all'esterno".

ISO 22318 - Continuità della filiera di fornitura

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione (a settembre!) della ISO/TS 22318 dal titolo "Societal security — Business continuity management systems — Guidelines for supply chain continuity":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=65336.

Questa norma fornisce alcuni spunti interessanti sulla gestione dei fornitori relativamente alla continuità operativa. Soprattutto non riduce erroneamente il tutto a "chiedere ai fornitori di avere un piano di continuità operativa".

Una riflessione su questi standard: sono utili? Per studiare la continuità operativa non sarebbe meglio leggere un libro piuttosto che uno standard?

Scusatemi, per una volta che non parlo male di uno standard ISO, riesco a lamentarmi lo stesso...