lunedì 27 febbraio 2017

Certificazione conservatori (nuove regole)

Accredia ha pubblicato le nuove regole per la certificazione dei conservatori:
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=113&IDCTX=5418&id_context=5418.

Rispetto alle precedenti regole, le giornate si sono ridotte arrivando, in prima certificazione, a circa 8 (prima erano 13 o 11).

Preferisco non commentare.

Non sono invece state fornite le scadenze entro le quali vanno effettuate le verifiche secondo il nuovo schema. Tali informazioni dovranno essere comunicate da Agid.

Grazie a Simona Montinari di DNV GL per la segnalazione.

giovedì 23 febbraio 2017

BCI Horizon Scan 2017

Inizio anno, tempo di rapporti sulla sicurezza, con tutti i loro punti positivi e negativi. L'Horizon Scan è quello del BCI:
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.

Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.

Norma italiana per DPO

Mi informa Fabio Guasconi che è in fase di inchiesta pubblica la bozza di norma tecnica UNI/UNINFO che definisce i profili e le competenze dei professionisti che lavorano nella privacy, inclusi quindi DPO:
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.

Scadenza: 25 marzo.

lunedì 20 febbraio 2017

Provvedimento su trattamenti dati sul posto di lavoro

Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.

Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.

Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.

Le 7 tecniche di attacco più pericolose

Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata a RSA 2017, di lista:
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.

Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.

E quindi cosa fare? Non lo dicono.

giovedì 16 febbraio 2017

sabato 11 febbraio 2017

Prodotti di sicurezza insicuri

Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.

Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".

Grazie Marco.

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

lunedì 6 febbraio 2017

Linee guida DPO in Italiano

Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.

Ingiunzione a responsabile del trattamento

Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.

Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?

Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.