lunedì 29 maggio 2017

Videosorveglianza lavoratori, consenso e Cassazione

Articolo di Altalex dal titolo "Controlli a distanza e consenso dei lavoratori: la Cassazione fa dietrofront":
http://www.altalex.com/documents/news/2017/05/10/controlli-a-distanza-e-consenso-dei-lavoratori-la-assazione-fa-dietrofront.

La Corte di Cassazione in passato aveva dichiarato ammissibile l'installazione di telecamere nei luoghi di lavoro (in questo caso, in un negozio), purché fosse stato raccolto il consenso, anche non sottoscritto, da parte dei lavoratori. Con questa sentenza (Cassazione penale, sez. III, sentenza 08/05/2017 n° 22148), invece la Cassazione si smentisce e ribadisce la necessità di avere l'autorizzazione da parte delle rappresentanze sindacali o della Direzione territoriale del lavoro.

ICT e lavoro

Franco Ferrari di DNV GL mi ha segnalato questa pubblicazione dell'INAIL dal titolo "ICT e lavoro: nuove prospettive di analisi per la salute e la sicurezza sul lavoro":
https://www.inail.it/cs/internet/comunicazione/news-ed-eventi/news/news-monografia-ict-lavoro-dimeila.html.

Si tratta di un lavoro interessante. Ho trovato interessante soprattutto il capitolo relativo ai rischi per il lavoratore (come ci si poteva aspettare da un lavoro dell'INAIL).

Chiaramente si parla del rischio di eccesso di impegno lavorativo, ma anche di cyberloafing (parola che non conoscevo e che indica l'eccesso di frammentazione e interruzione delle attività). Ci sono ultreriori rischi che intuitivamente tutti conosciamo, ma che è bene rileggere (per esempio io sono rimasto colpito dal rischio di "non uno inconsapevole degli strumenti informatici", con impatti anche sull'e-learning).

Infine, per il telelavoro ho scoperto che il riferimento normativo per le pubbliche amministrazioni è il DPR 70 del 1999.

giovedì 25 maggio 2017

Sensibilizzazione 02 - Materiale ENISA

In molti mi chiedono se ho in mente video o altro per la sensibilizzazione
del personale. La risposta è sempre quella:
https://www.enisa.europa.eu/media/multimedia/material.

Trovo molto divertenti i video e i disegni.

Sensibilizzazione 01 - L'indovino

Segnalo questo video molto interessante dal titolo "Amazing mind reader reveals his gift":
https://www.youtube.com/watch?v=F7pYHN9iC9I.

Utile (forse) per ricordare quanto bisogna stare attenti a quello che si pubblica sul web.

Grazie a Francesca Lazzaroni di Spike Reply.

giovedì 18 maggio 2017

Hacking dei robot industriali

Questa notizia dal titolo "Così i robot industriali possono essere hackerati" mi aveva interessato prima ancora di Wannacry (infatti viene da un Tweet di @carolafrediani del 4 maggio):
http://www.lastampa.it/2017/05/04/tecnologia/news/cos-i-robot-industriali-possono-essere-hackerati-87LOt65ts9mYBhM6dKqIxL/pagina.html.

L'autore pone già la domanda chiave: perché si dovrebbe collegare un impianto industriale a Internet? La risposta sembra ovvia, ma in realtà non considera i problemi che dovrebbero bilanciare tanta innovazione.

Sappiamo bene i rischi dei macchinari industriali, solitamente legati all'aspettativa di vita molto più lunga dei normali PC (e quindi sempre maggiori difficoltà ad essere aggiornati), a cui aggiungere una ancora bassa competenza in materia di sicurezza, la necessità di non avere fermi (e quindi di aggiornarli il più raramente possibile), eccetera.

Dall'articolo non si ricavano notizie su come i produttori di macchine industriali prevedono di migliorare la sicurezza di quanto offrono. E ancora una volta temo che il problema sia legato a competenze e avidità (o, più elegantemente, time-to-market), per cui o non hanno idee o non ne vogliono avere.

Eppure il materiale per studiare il problema c'è e si chiama IEC 62443 e NIST 800-82. Non sono letture emozionanti, ma sono utili. Da queste norme si ricava anche il principio importante per cui le macchine industriali non sono come i giocattoli dei bambini: sono pericolose, non devono essere costantemente aggiornate, non dovrebbero essere esposte su Internet, non dovrebbero neanche essere accessibili da reti esterne.

Oltre a ciò in Italia abbiamo gli incentivi di Industria 4.0, senza che si chiedano dei livelli di sicurezza, nonostante conosciamo da anni il problema (ma, da quello che leggo, temo che i consiglieri dei governi presente e passati non se lo pongano).

Wannacry

Tutti i lettori sanno dell'attacco su Internet di venerdì 12 maggio. Per un riassunto, segnalo alcuni articoli in italiano e in inglese:
- http://www.lastampa.it/2017/05/15/tecnologia/news/quattro-cose-da-sapere-ancora-su-wannacry-JLDQytXsyl3fA1bWoONfCJ/pagina.html;
- https://www.cert-pa.it/web/guest/news?id=8382;
- http://business.scoop.co.nz/2017/05/15/wannacry-provides-important-lessons-for-cyber-security/;
- http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html.

Chi ha avuto la pazienza di leggere almeno un articolo dedicato a Wannacry ha capito che per difendersi da questo worm è necessario aggiornare i pc con le ultime patch (la patch per evitare Wannacry è disponibile da marzo). Incredibilmente, molti non hanno attivo l'aggiornamento automatico.

So bene che è più facile dire che fare e so bene che alcuni non attivano gli aggiornamenti automatici per motivi legittimi (alcuni pc usano ancora windows XP). In questi casi, però, tali pc vanno lasciati su reti ben segregate da Internet.

Ancora una volta, però, non sempre questo è possibile. E le cause ultime sono sempre le stesse: mancanza di competenze e soldi per la sicurezza informatica. Una delle loro prime conseguenze sono filiere di fornitura decisamente compromesse da un punto di vista della sicurezza informatica.

CryptoGram segnala un articolo (https://www.engadget.com/2017/04/21/pacemaker-security-is-terrifying/) su una società che vende dispositivi medici con vulnerabilità segnalate nel 2014.

mercoledì 17 maggio 2017

ISO/IEC 27001 del 2017? Non esiste

Recentemente il sito del CEN (https://standards.cen.eu) ha pubblicato la EN ISO/IEC 27001:2017. Subito dopo la UNI, la NEK (norvegese) e il BSI (britannico) hanno pubblicato la medesima norma con data 2017.

Si tratta della ISO/IEC 27001:2013, con le due correzioni del 2014 e del 2015 (ma il testo non è consolidato; è il testo del 2013 con allegate le due correzioni).

Delle due correzioni ho già scritto nel 2015, al momento della loro pubblicazione:
- http://blog.cesaregallotti.it/2015/12/correzioni-isoiec-27001-e-27002.html.

In realtà, il CEN ha recepito solo a gennaio 2017 la ISO/IEC 27001:2013 e quindi l'ha pubblicata con anno 2017 (e con titolo preceduto da "EN"). Immediatamente UNI, NEK, BSI e chissà chi altri hanno recepito quanto fatto dal CEN e quindi hanno ripubblicato la norma con data 2017 e sigla "EN".

Questo è un problema del meccanismo di recepimento dei vari standard. Non riportano la data iniziale dello standard, ma la data del recepimento. Così fu pubblicata la ISO/IEC 27001:2013, poi le italiane UNI e CEI l'hanno recepita solo nel 2014 e hanno quindi pubblicato la UNI CEI ISO/IEC 27001:2014, poi l'EN l'ha recepita nel 2017 e ha pubblicato la EN ISO/IEC 27001:2017, poi, ancora una volta, le italiane hanno recepito quanto recepito dall'EN e hanno pubblicato la UNI/CEI EN ISO/IEC 27001:2017. Ma si tratta sempre della stessa roba.

Vi fa venire il mal di testa? Anche a me. Soprattutto perché temo vedremo errori e incomprensioni nei bandi di gara, nelle richieste di offerta, eccetera.

Solo una nota: per la ISO 9001 i vari enti di normazione sono decisamente più attenti e infatti esiste la ISO 9001:2015, la EN ISO 9001:2015 e la UNI EN ISO 9001:2015, tutte con lo stesso anno. Forse reputano che la 27001 non richiede la medesima attenzione.

lunedì 8 maggio 2017

Guida al GDPR del Garante

Guida al GDPR del Garante:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali.

Tutte le sezioni riportano due paragrafi: "Cosa cambia" e "Cosa non cambia". Mi sembra un'ottima iniziativa.

Grazie a Pierfrancesco Maistrello della segnalazione.

Segnalo che, nella sezione "Approccio basato sul rischio", il Garante dà un'interpretazione in contrasto con quanto io avevo indicato in questo post:
http://blog.cesaregallotti.it/2016/07/abrogazione-misure-minime-privacy.html.

In particolare, il sito del Garante dice quanto segue. "Non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza [...]. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato B al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni".

Semplifico: le misure minime non saranno più applicabili, ma forse ne introdurranno di simili.

Concludo: considerando che le misure minime sono riportate anche in diversi Provvedimenti del Garante (e la loro mancata applicazione è correlata a sanzioni penali), io continuo a considerarle come riferimento essenziale e comunque, prima di darle per non-più-applicabili, aspetto vengano approvate le modifiche al Dlgs 196 e ai Provvedimenti.

UNI 11621 e AgID: Profili professionali per l'ICT

Pensavo di aver già dato la notizia: è stata pubblicata la UNI 11621:2016 dal titolo "Attività professionali non regolamentate - Profili professionali per l'ICT" e si può comprare su http://store.uni.com.

La norma è in 4 parti:
- Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF;
- Parte 2: Profili professionali di "seconda generazione";
- Parte 3: Profili professionali relativi alle professionalità operanti nel Web;
- Parte 4: Profili professionali relativi alla sicurezza delle informazioni.

Personalmente ritengo la lettura di queste norme di difficile comprensione. Però potranno essere utilizzate per "certificare" le competenze da organismi di formazione.

AgID ha ripreso queste norme e le ha pubblicate come "Linee guida per la qualità delle competenze digitali nelle professionalità ICT". Si possono reperire (insieme ad una più approfondita documentazione su come sono state costruite) su http://open.gov.it/linee-guida-competenze-ict/.

giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

Stato delle norme della famiglia ISO/IEC 27000

Il 22 aprile si è concluso il meeting del gruppo di lavoro che si occupa delle norme della serie ISO/IEC 27000. Hanno partecipato 90 esperti da 29 Paesi. Io non ci ho partecipato, ma segnalo lo stato dei lavori.

Sono partiti (o ripartiti, nel caso della ISO/IEC 27005) i lavori per le nuove versioni delle ISO/IEC 27002 e 27005. Per queste norme, i tempi previsti per le nuove versioni sembrano essere molto lunghi (almeno 4 anni).


Per quanto riguarda la ISO/IEC 27005 sarà pubblicata una correzione all'edizione del 2011, per eliminare alcune incongruenze che questa norma presenta rispetto alla ISO/IEC 27001:2013. Inizialmente, come è noto, si pensava di pubblicare una nuova versione della ISO/IEC 27005, ma le difficoltà di lavorazione hanno portato ad una sola "correzione".

Sono anche partiti i lavori per la nuova versione della ISO/IEC 27014 ed è stato deciso di revisionare la ISO/IEC 27009, in quanto sono stati individuati alcuni errori. Per queste norme i tempi sono almeno di 3 anni.

Sono continuati i lavori per alcune norme in stato più avanzato di lavorazione: la ISO/IEC 27007 (audit del SGSI), ISO/IEC 27008 (audit dei controlli di sicurezza), la ISO/IEC 27019 (controls for the energy utility industry), la ISO/IEC 27012 (competenze). Queste norme dovrebbero essere pubblicate nella primavera del 2018 (per la ISO/IEC 27018 i tempi dovrebbero essere più lunghi).

Ulteriori lavori non relativi alla "famiglia ISO/IEC 27000" hanno riguardato, tra gli altri:
- avvio dei lavori la ISO/IEC 27552 dal titolo "Extension to ISO/IEC 27001 for privacy management" (anche qui i tempi di pubblicazione saranno di almeno 3 anni);
- avvio della revisione della ISO/IEC 27031 ("Guidelines for information and communication technology readiness for business continuity");
- avvio preliminare dei lavori per lo standard ISO/IEC 27101 sulla cyber-security (tempi previsti molto lunghi);
- avvio dei lavori per la norma ISO/IEC 27102 dal titolo "Guidelines for cyber insurance".

Ringrazio Fabio Guasconi per avermi fornito alcuni spunti per questo aggiornamento (in altre parole, gli errori sono miei).

Novità sugli esami ITIL

La notizia è di gennaio:
- https://www.axelos.com/news/new-partnership-announced.

Una breve sintesi: le licenze ITIL sono di proprietà dell'inglese OCG, che ha assegnato ad Axelos (dopo una gara) il compito di gestirle (includendo le regole sulle certificazioni ITIL). Prima di Axelos, questo ente era APMG.

Axelos controlla, fino a fine 2017, 5 enti esaminatori (CB, certification bodies). I più famosi in Italia sono APMG e Exin (notare che APMG agiva in passato sia come gestore delle licenze ITIL sia come ente esaminatore, con malcontento degli altri).

Gli enti esaminatori avevano la responsabilità di selezionare e controllare l'operato degli enti di formazione (ATO, accredited training organizations, e AEO, accredited examination organizations), ossia gli enti che erogano i corsi e fisicamente organizzano le sessioni d'esame (gli esami sono forniti dagli enti esaminatori).

Axelos, da gennaio, ha stabilito che l'ente esaminatore, dal 1 gennaio 2018, sarà uno solo: Peoplecert.

Ho tardato a dare la notizia perché volevo chiarirmi le idee. Confesso che non le ho ancora chiare, ma la prima impressione è che questa operazione non mi piace: un unico licenziatario che nomina un unico ente esaminatore non mi convince. Devo anche dire che non so come siano stati selezionati i precedenti 5 enti esaminatori.

La notizia che sicuramente interessa più persone è che i certificati ITIL emessi fino al 31 dicembre 2017 dagli attuali enti esaminatori saranno da ritenersi validi anche in futuro.

PS: so già che alcuni puntualizzeranno il mio riassunto sulla filiera di controllo di CB, ATO e AEO. Mi scuso per le imprecisioni.