Ho avuto modo di leggere sul numero Q3 2016 di "Continuity", rivista del BCI, due articoli interessanti:
- The neuroscience of crisis leadership;
- Making the call.
Li segnalo perché mettono in ordine gli errori più frequenti che facciamo, non necessariamente in occasione di crisi:
- atteggiamento di attacco e difesa per paura di sbagliare;
- incapacità di prendere decisioni perché la realtà è troppo diversa da quanto previsto;
- impulsività, che è certo utile, ma deve essere mitigata dal calcolo;
- cattiva comunicazione.
Il secondo articolo elenca un insieme alternativo di errori personali:
- pregiudizio causato dalle aspettative (expectancy bias);
- pregiudizio orientato alla conferma (confirmation bias);
- decisioni prese sulla base di quanto già nelle nostre menti (availability heuristic);
e di gruppo (ricerca del consenso, sottovalutazione dei meno esperti, carisma di un leader).
Per leggere questi articoli (e anche altri, che però mi sono sembrati meno interessanti), è necessario scaricare il pdf della rivista da questa pagina:
- http://www.thebci.org/index.php/continuity.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
lunedì 26 settembre 2016
venerdì 23 settembre 2016
Dossier sul nuovo CAD
Segnalo questa serie di articoli del Forum PA dal titolo "Dossier: Speciale Cad. Inizia la fase attuativa, l'analisi di FPA e dei nostri esperti":
- http://www.forumpa.it/speciale-cad-inizia-la-fase-attuativa-lanalisi-di-fpa-e-dei-nostri-esperti.
- http://www.forumpa.it/speciale-cad-inizia-la-fase-attuativa-lanalisi-di-fpa-e-dei-nostri-esperti.
Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 3)
Appena scritto la "parte 2" di questo post, ecco che mi è arrivata notizia della disponibilità del materiale dell'incontro organizzato da Tech & Law Center dal titolo "Controllo del lavoratori, cyber espionage e tutela del segreto industriale":
- http://techandlaw.net/ita-13-settembre-2016-controllo-del-lavoratori-cyber-espionage-e-tutela-del-segreto-industriale/.
Io ho apprezzato soprattutto il materiale di Jacopo Giunta.
- http://techandlaw.net/ita-13-settembre-2016-controllo-del-lavoratori-cyber-espionage-e-tutela-del-segreto-industriale/.
Io ho apprezzato soprattutto il materiale di Jacopo Giunta.
Vendor Security Alliance
Da Dark Reading Weekly leggo che società come Uber, Dropbox e Twitter hanno costituito la Vendor Security Alliance (VSA):
- http://www.darkreading.com/vulnerabilities---threats/vulnerability-management/uber-dropbox-other-tech-leaders-team-up-to-boost-vendor-security-/d/d-id/1326926?.
L'idea sembrava buona, ma poi leggo che "ogni anno, VSA collaborerà con degli esperti per pubblicare un questionario in modo che le società possano determinare il proprio livello di rischio".
Un altro questionario? Ancora? Secondo me, non servirà a niente. Però potremo leggerlo dal 1 ottobre sul loro sito:
- https://www.vendorsecurityalliance.org/.
Dico questo perché non è il fornitore che deve valutare il proprio livello di rischio, ma sei tu che devi valutarlo e sulla base di questo stabilire le misure di sicurezza da chiedere ai fornitori. E quindi non bisogna inviare un questionario ai fornitori, ma istruzioni precise, e poi agire opportunamente (cambiando il fornitore, dando al fornitore il tempo di adeguarsi, accettare la situazione) nel caso il fornitore non attui quanto richiesto.
- http://www.darkreading.com/vulnerabilities---threats/vulnerability-management/uber-dropbox-other-tech-leaders-team-up-to-boost-vendor-security-/d/d-id/1326926?.
L'idea sembrava buona, ma poi leggo che "ogni anno, VSA collaborerà con degli esperti per pubblicare un questionario in modo che le società possano determinare il proprio livello di rischio".
Un altro questionario? Ancora? Secondo me, non servirà a niente. Però potremo leggerlo dal 1 ottobre sul loro sito:
- https://www.vendorsecurityalliance.org/.
Dico questo perché non è il fornitore che deve valutare il proprio livello di rischio, ma sei tu che devi valutarlo e sulla base di questo stabilire le misure di sicurezza da chiedere ai fornitori. E quindi non bisogna inviare un questionario ai fornitori, ma istruzioni precise, e poi agire opportunamente (cambiando il fornitore, dando al fornitore il tempo di adeguarsi, accettare la situazione) nel caso il fornitore non attui quanto richiesto.
Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 2)
Avevo dato notizia del Provvedimento del Garante privacy che trattava, tra gli altri, degli "strumenti per rendere la prestazione lavorativa":
- http://blog.cesaregallotti.it/2016/09/garante-privacy-e-strumenti-per-rendere.html.
Dal mio commento, in cui sottolineavo il punto relativo agli "strumenti per rendere la prestazione lavorativa", ho avuto modo di scambiare delle opinioni con Giuseppe Bava di Data Management.
Giuseppe intanto mi ha segnalato che il Provvedimento ricorda anche che:
- l'indirizzo MAC è da ritenersi una dato personale;
- le strutture IT non devono memorizzare dati senza finalità precise e plausibili e non devono conservarli per un tempo troppo lungo.
Ma alla fine abbiamo convenuto che sarebbe auspicabile che il Garante aggiorni le Linee guida sull'uso dell'email e Internet sul posto di lavoro, in modo da fornire ulteriore chiarezza sul tema.
- http://blog.cesaregallotti.it/2016/09/garante-privacy-e-strumenti-per-rendere.html.
Dal mio commento, in cui sottolineavo il punto relativo agli "strumenti per rendere la prestazione lavorativa", ho avuto modo di scambiare delle opinioni con Giuseppe Bava di Data Management.
Giuseppe intanto mi ha segnalato che il Provvedimento ricorda anche che:
- l'indirizzo MAC è da ritenersi una dato personale;
- le strutture IT non devono memorizzare dati senza finalità precise e plausibili e non devono conservarli per un tempo troppo lungo.
Ma alla fine abbiamo convenuto che sarebbe auspicabile che il Garante aggiorni le Linee guida sull'uso dell'email e Internet sul posto di lavoro, in modo da fornire ulteriore chiarezza sul tema.
mercoledì 21 settembre 2016
IoT Security framework
Dal SANS NewsBites del 20 settembre trovo la notizia che il Industrial Internet Consortium (IIC) ha pubblicato un Industrial Internet Security Framework (IISF). Questo documento riporta indicazioni per sviluppatori e utenti.
Il documento lo trovate qui:
- http://www.iiconsortium.org/IISF.htm.
Ho cominciato a leggerlo, ma l'ho trovato molto verboso e con poche indicazioni veramente pratiche. Vedo anche molti controlli "organizzativi" (politiche, processi). Intendiamoci: il documento è pieno di spunti interessanti, ma una maggiore sintesi e schematicità avrebbe giovato.
Il documento lo trovate qui:
- http://www.iiconsortium.org/IISF.htm.
Ho cominciato a leggerlo, ma l'ho trovato molto verboso e con poche indicazioni veramente pratiche. Vedo anche molti controlli "organizzativi" (politiche, processi). Intendiamoci: il documento è pieno di spunti interessanti, ma una maggiore sintesi e schematicità avrebbe giovato.
NIST e l'autenticazione via SMS - Precisazioni
Giampiero Raschetti della Banca Popolare di Sondrio mi ha scritto in merito al post che segnalava che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63. Il mio post:
- http://blog.cesaregallotti.it/2016/08/nist-e-lautenticazione-via-sms.html.
Giampiero mi ricorda che il testo del NIST "depreca" l'uso di SMS o voce attraverso rete PSTN, vista la sua vulnerabilità. Se non capisco male, quindi, l'uso di SMS via GSM non è da scoraggiare.
Giampiero mi ricorda i rischi relativi all'utilizzo di SMS via cellulare, che sono comuni a tutti gli strumenti di autenticazione a due fattori basati su dispositivi mobili, inclusi dunque anche OTP di qualsivoglia natura.
Lo ringrazio per la precisazione.
- http://blog.cesaregallotti.it/2016/08/nist-e-lautenticazione-via-sms.html.
Giampiero mi ricorda che il testo del NIST "depreca" l'uso di SMS o voce attraverso rete PSTN, vista la sua vulnerabilità. Se non capisco male, quindi, l'uso di SMS via GSM non è da scoraggiare.
Giampiero mi ricorda i rischi relativi all'utilizzo di SMS via cellulare, che sono comuni a tutti gli strumenti di autenticazione a due fattori basati su dispositivi mobili, inclusi dunque anche OTP di qualsivoglia natura.
Lo ringrazio per la precisazione.
domenica 18 settembre 2016
Attenzione a Internet!
Non avrei voluto scrivere del caso di Tiziana Cantone: una persona che ha inviato via Internet un suo film hard a degli amici, che a loro volta l'hanno diffuso fin tanto che tale film è diventato di pubblico dominio e la sua protagonista non ha retto la situazione (complici anche gli sberleffi di ogni tipo e un giudice che le ha chiesto 20mila euro di spese processuali quando lei ha chiesto ai social network di cancellare i video) e alla fine si è suicidata.
Ne scrivo perché si tratta di un caso che ci riguarda tutti perché troppo spesso usiamo Internet e i suoi servizi senza renderci veramente conto di quanto siano pubblici e pervasivi.
Ricordiamo in futuro questo caso, non per sbeffeggiare una persona che ha fatto sì una sciocchezza ma l'ha pagata troppo cara, ma per ricordarci e ricordare che ogni foto e ogni video e ogni commento e ogni post che lasciamo su Internet o inviamo via email è come se fosse appeso in una bacheca accessibile al pubblico e che a pagarla sono sempre i meno forti (vi ricordate uno dei casi della Sony, di cui parlai quasi due anni fa su http://blog.cesaregallotti.it/2015/01/una-riflessioen-sullattacco-alla-sony.html, che ha visto la diffusione delle email degli impiegati "normali"?).
E però sembra che qualcosa stia cambiando, forse finalmente una nuova sensibilità si sta diffondendo: una 18enne ha accusato i suoi genitori perché avevano pubblicato le sue foto da bambina su Facebook:
- http://fusion.net/story/347880/sue-your-parents-for-embarrassing-you-on-facebook/.
Ne scrivo perché si tratta di un caso che ci riguarda tutti perché troppo spesso usiamo Internet e i suoi servizi senza renderci veramente conto di quanto siano pubblici e pervasivi.
Ricordiamo in futuro questo caso, non per sbeffeggiare una persona che ha fatto sì una sciocchezza ma l'ha pagata troppo cara, ma per ricordarci e ricordare che ogni foto e ogni video e ogni commento e ogni post che lasciamo su Internet o inviamo via email è come se fosse appeso in una bacheca accessibile al pubblico e che a pagarla sono sempre i meno forti (vi ricordate uno dei casi della Sony, di cui parlai quasi due anni fa su http://blog.cesaregallotti.it/2015/01/una-riflessioen-sullattacco-alla-sony.html, che ha visto la diffusione delle email degli impiegati "normali"?).
E però sembra che qualcosa stia cambiando, forse finalmente una nuova sensibilità si sta diffondendo: una 18enne ha accusato i suoi genitori perché avevano pubblicato le sue foto da bambina su Facebook:
- http://fusion.net/story/347880/sue-your-parents-for-embarrassing-you-on-facebook/.
Garante privacy e "strumenti per rendere la prestazione lavorativa"
Massimo Cottafavi di SNAM e Pierfrancesco Maistrello di Vecomp mi hanno segnalato (quasi in contemporanea) questa sentenza del Garante privacy. La situazione è simile a tante altre: i dipendenti di un'azienda (un'università, in questo caso) si lamentano dei monitoraggi relativi alla navigazione Internet:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5408460.
Però qui il Garante parla degli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa", di cui si parla nel nuovo (del 2015) articolo 4 dello Statuto dei lavoratori (Legge 300 del 1970) e di cui ho parlato in precedenza. Il punto chiave del Provvedimento del Garante è il 4.3.
Se ho capito giusto, il Garante dice che gli strumenti di monitoraggio e tracciamento dell'uso dei servizi Internet non sono da considerare "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" e pertanto non possono essere utilizzati senza accordi sindacali o autorizzazione della Direzione territoriale del lavoro.
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5408460.
Però qui il Garante parla degli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa", di cui si parla nel nuovo (del 2015) articolo 4 dello Statuto dei lavoratori (Legge 300 del 1970) e di cui ho parlato in precedenza. Il punto chiave del Provvedimento del Garante è il 4.3.
Se ho capito giusto, il Garante dice che gli strumenti di monitoraggio e tracciamento dell'uso dei servizi Internet non sono da considerare "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" e pertanto non possono essere utilizzati senza accordi sindacali o autorizzazione della Direzione territoriale del lavoro.
ISO 22301 in italiano
Questa volta sembra proprio che la notizia sia vera: è finalmente uscita la versione ufficiale UNI in italiano della ISO 22301:2012, ossia la norma dedicata alla continuità operativa (o "business continuity", per chi è abituato all'ingelse):
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-22301-2014.html.
Mi chiedo perché ci siano voluti 4 anni per pubblicare questo testo, ma ora è una domanda inutile. Buona lettura e grazie a Franco Ferrari di DNV GL per la notizia!
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-22301-2014.html.
Mi chiedo perché ci siano voluti 4 anni per pubblicare questo testo, ma ora è una domanda inutile. Buona lettura e grazie a Franco Ferrari di DNV GL per la notizia!
Nuovo CAD
Con il D.Lgs. 179 del 2016 è stato modificato il D.Lgs. 82 del 2005, ossia il CAD, ossia il Codice dell'amministrazione digitale, importante perché regola la gestione dei documenti digitali, non solo nella Pubblica amministrazione. Le modifiche si sono rese necessarie per allineare il CAD al Regolamento eIDAS (EU 910/2014).
È possibile leggere il nuovo CAD ricercandolo su www.normattiva.it.
Grazie ai tweet di Daniele Tumietto, che segnala questo articolo di analisi:
- http://www.mysolutionpost.it/blogs/socialmediamente/ragone/2016/09/codice-amministrazione-digitale.aspx.
Andrea Caccia, invece, analizza gli impatti che il nuovo CAD ha sulla PEC, ossia la Posta elettronica certificata. Non sembrano impatti positivi:
- https://www.linkedin.com/pulse/pec-la-fine-dellincantesimo-andrea-caccia.
Altri articoli usciranno nei prossimi giorni e ne darò notizia.
È possibile leggere il nuovo CAD ricercandolo su www.normattiva.it.
Grazie ai tweet di Daniele Tumietto, che segnala questo articolo di analisi:
- http://www.mysolutionpost.it/blogs/socialmediamente/ragone/2016/09/codice-amministrazione-digitale.aspx.
Andrea Caccia, invece, analizza gli impatti che il nuovo CAD ha sulla PEC, ossia la Posta elettronica certificata. Non sembrano impatti positivi:
- https://www.linkedin.com/pulse/pec-la-fine-dellincantesimo-andrea-caccia.
Altri articoli usciranno nei prossimi giorni e ne darò notizia.
Iscriviti a:
Post (Atom)