giovedì 22 giugno 2017

Raccomandazioni per i fornitori di cloud

Francesca Lazzaroni di Spike Reply mi ha segnalato una pubblicazione del German Federal Office for Information Security (anch'esso designato con BSI) sul cloud:
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecommendationsCloudComputingProviders.html.

Si tratta di una pubblicazione del 2011, ma mi sembra utile perché per ogni argomento è proposta una tabella di sintesi delle misure di sicurezza da prevedere per i servizi cloud (e non solo, per la verità). Queste tabelle potrebbero essere utili anche per chi si occupa di contratti con fornitori cloud.

In passato avevo già segnalato altre pubblicazioni:
- di AIEA, In italiano: http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud;
- di ENISA: https://www.enisa.europa.eu/media/press-releases/enisa2019s-security-guide-and-online-tool-for-smes-when-going-cloud.

mercoledì 21 giugno 2017

Perché avere lo spezzatino dei documenti?

Dalla newsletter di ANSSAIF segnalo questo articolo dal titolo "Asset Protection. Perché alle aziende piace lo 'spezzatino' di norme ai testi unici?":
https://www.key4biz.it/assetprotection-perche-alle-aziende-piace-lo-spezzatino-norme-ai-testi-unici/191349/.

In sintesi, l'autore lamenta che troppe organizzazioni pubblicano documenti distinti per codice etico, regolamento per la privacy e guida alla sicurezza, nonostante siano elementi assolutamente integrabili.

martedì 20 giugno 2017

Inventario degli asset: l'incompreso

Mio articolo dal titolo "Inventario degli asset: l'incompreso":
- https://www.ictsecuritymagazine.com/articoli/inventario-degli-asset-lincompreso/.

Mi hanno proposto di scrivere articoli per ICT Security Magazine. Di materia ne avrei e spero quindi di scriverne altri nel futuro.

martedì 13 giugno 2017

Piano Triennale per l'IT nella PA

Da un tweet di @diritto2punto0 segnalo la pubblicazione del "Piano Triennale 2017-2019 per l'informatica nella Pubblica Amministrazione":
https://pianotriennale-ict.italia.it/.

Confesso che non l'ho letto. Il poco che ho visto dimostra un piano decisamente ambizioso, ma alcuni mi dicono irrealizzabile nei tempi prospettati e considerando che si sta parlando di PA.

Su Nova 24 (grazie a Roberto Gallotti) ho letto un articolo di presentazione del piano. Sul web ne è disponibile solo una scansione su Twitter, probabilmente non legale (ma finché c'è, si può leggere):
https://twitter.com/gabferrieri/status/873839729661399040/photo/1.

Aggiornamento "Piano nazionale per la protezione cibernetica e la sicurezza informatica"

Segnalo da un tweet di @cgiustozzi il "Piano nazionale per la protezione cibernetica e la sicurezza informatica":
http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/pubblicato-il-nuovo-piano-nazionale-cyber.html.

venerdì 9 giugno 2017

Sensibilizzazione 03 - La telefonata

Fabio Biancotto di Air Dolomiti mi ha segnalato questo video, indirizzato a chi fornisce assistenza (e non dovrabbe fornirne troppa):
https://www.youtube.com/watch?v=lc7scxvKQOo.

venerdì 2 giugno 2017

British Airways ferma per un giorno

Avevo letto inizialmente la notizia sul Corriere della Sera su un articolo dal titolo "Gb: guasto al sistema informatico, voli British tutti a terra, caos a Londra":
http://www.corriere.it/esteri/17_maggio_27/gb-guasto-sistema-informatico-voli-british-tutti-terra-caos-londra-24359854-42d4-11e7-bf8f-efa16b87b247.shtml.

Il problema sembra fosse dovuto ad un tecnico che per sbaglio ha staccato la corrente:
http://www.corriere.it/cronache/17_giugno_02/voli-cancellati-british-airways-causare-caos-errore-umano-un-tecnico-ha-spento-interruttore-06e0857c-476e-11e7-b4db-9e2de60af523.shtml.

Le stesse notizie in inglese, dai link forniti dal SANS Newsbyte:
Reuters: http://www.reuters.com/article/us-britain-airports-heathrow-idUSKBN18P01O;
BBC: http://www.bbc.com/news/uk-40069865.

I sindacati accusano BA di aver esternalizzato tutto l'IT presso un fornitore in India, perdendo così competenze. BA nega.

Di certo sappiamo che molti problemi delle aziende hanno come causa la gestione orientata alla Borsa (breve periodo) e non all'impresa (lungo periodo) e manager che stanno più attenti agli obiettivi personali (avidità economica) che a quelli dell'impresa (sostenibilità).

E io penso che veramente i manager di oggi non si rendano conto di cosa vuol dire "digitalizzazione". In termini di rischi, di costi e di necessità di manutenzione. Tutti a voler sistemi informatici più belli e più nuovi (cominciando dai pc, tablet, smartphone personali) e nessuno a chiedersi cosa bisogna fare tra qualche anno. E così ci sono aziende che hanno ancora Windows XP e altre che non vogliono investire in una prova di disaster recovery. Giusto pochi giorni fa, una persona mi diceva che ha dovuto combattere lungamente con gli altri manager per evitare che anche la sicurezza fosse esternalizzata e che venisse invece considerata come elemento strategico per il governo dell'impresa.

Oggi mi sembra che un manager non possa più ignorare la gestione dei sistemi IT.

giovedì 1 giugno 2017

Nuovi trend e norme ISO/UNI

Segnalo questa presentazione dal titolo " Uninfo - nuovi trend e norme ISO/UNI - Blockchain, IoT, Big Data, Industry 4.0 e certificazioni Privacy":
https://www.slideshare.net/bl4ckswan/uninfo-nuovi-trend-e-norme-isouni-blockchain-iot-big-data-industry-40-e-certificazioni-privacy.

Per chi vuole avere un quadro degli standard che si stanno preparando su alcuni temi molto innovativi. Segnalo solo che la gran parte degli standard citati non prevedono la possibilità di certificazione della conformità.

Accesso abusivo ai sistemi IT anche con autorizzazione

L'articolo ha titolo " Le Sezioni unite confermano: è abusivo l'accesso a sistemi informatici per ragioni diverse da quelle per le quali l'agente dispone di autorizzazione":
http://www.penalecontemporaneo.it/d/5428-le-sezioni-unite-confermano-e-abusivo-laccesso-a-sistemi-informatici-per-ragioni-diverse-da-quelle.

Provo a riassumere: è stato chiesto alla Corte di cassazione se è da considerare reato l'accesso ad un sistema informatico da parte di qualcuno che ha sì le autorizzazioni a farlo, ma non ne avrebbe motivo. La risposta è sì.

Il quesito riguarda specificatamente pubblici ufficiali o incaricati di un pubblico servizio, ma credo sia importante anche per le aziende private e altre organizzazioni.

Infatti è vero che i sistemi IT dovrebbero essere configurati secondo i principi del privilegio minimo e del "need to know", ma è spesso necessario fare delle semplificazioni per evitare il sovraccarico di lavoro degli amministratori di sistema.

Legge contro il cyberbullismo

E' stata approvata la legge contro il cyberbullismo.

Su Altalex si trova una breve analisi del contenuto di legge:
http://www.altalex.com/documents/news/2016/09/21/bullismo-e-cyberbullismo.

Sul Corriere della Sera si trova la storia di questa legge, la cui proposta ha subito molte critiche prima di essere modificata e approvata nella versione attuale:
http://www.corriere.it/tecnologia/cyber-cultura/cards/lotta-cyberbullismo-arriva-l-ok-camera-cosa-prevede-legge/contro-bullismo-cyberbullismo-l-ok-camera_principale.shtml.

Sul sito della Camera dei Deputati, si trova un'analisi più istituzionale del provvedimento:
http://www.camera.it/leg17/522?tema=prevenzione__e_repressione_del_bullismo_e_del_cyberbullismo.

App medicali e nuovo Regolamento UE sui dispositivi medici

Ho trovato interessante questo breve intervento su "App medicali e nuovo Regolamento UE sui dispositivi medici":
https://www.filodiritto.com/articoli/2017/05/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.html

Mi pare tratti uno degli argomenti di sicurezza informatica più importanti in questo periodo. Infatti i dispositivi medici sono dei casi particolari (e critici) di IoT, che sappiamo essere molto vulnerabile.

Segnalo che anche la "vecchia Direttiva UE sui dispositivi medici" tratta, seppur meno esplicitamente, di app medicali e pertanto andrebbe applicata già da tempo.