martedì 29 agosto 2017

Pubblicata ISO/IEC 29151

Fabio Guasconi di Bl4ckSwan mi ha informato che è stata pubblicata la ISO/IEC 29151 dal titolo "Code of practice for personally identifiable information protection":
https://www.iso.org/standard/62726.html.

E' applicabile ai soli titolari dei trattamenti (e non mi sembra una buona idea).

Si tratta di un'estensione dei controlli della ISO/IEC 27002. Per alcuni dei controlli già previsti dalla ISO/IEC 27002 sono indicate ulteriori indicazioni per l'attuazione. In Annex A sono poi riportati controlli aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27002.

Questo documento potrebbe essere usato dalle organizzazioni già certificate ISO/IEC 27001 per estendere la propria Dichiarazione di applicabilità (o Statement of applicability). Questo poi potrebbe portare a certificazioni ISO/IEC 27001 basate "sui controlli riportati dalle ISO/IEC 27001 e ISO/IEC 29151" (non sono previste certificazioni ISO/IEC 29151).

Ora è anche in corso di discussione la ISO/IEC 27552, che dovrà estendere (non ridurre!) la ISO/IEC 27001 in modo che sia dedicata alla protezione dei dati personali. C'è da dire che i lavori su questa norma sono in stato ancora di "Working draft" e pertanto uscirà tra non meno di due anni.

mercoledì 23 agosto 2017

ISO 18295 sui Costumer contact centre

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione, a luglio 2017, della norma ISO 18295 dal titolo "Customer contact centres". Essa è divisa in due parti: la prima ("Requirements for customer contact centres") presenta i requisiti proprio di customer contact centre (CCC), mentre la seconda ("Requirements for clients using the services of customer contact centres") presenta i requisiti che dovrebbero attuare i clienti, interni o esterni, dei CCC.

Si tratta di norme certificabili. Non si tratta di norme di "sistemi di gestione", ma "di servizio", e pertanto non sono impostate come la ISO 9001:2015 o la ISO/IEC 27001:2013.

Prima di questa norma era disponibile la norma europea EN 15838 (dal titolo "Customer Contact Centres: Requirements for service provision"), ora abrogata. In Italia la EN 15838 andava integrata con la UNI 11200 (dal titolo "Servizi di relazione con il cliente, con il consumatore e con il cittadino, effettuati attraverso centri di contatto: Requisiti operativi per l'applicazione della UNI EN 15838:2010") e ora vedremo se questa norma nazionale avrà ancora ragione di esistere.

La UNI 11200 è comunque interessante perché riporta delle metriche più precise rispetto a quelle generiche delle norme europee e internazionali. In molti casi riporta anche dei valori di riferimento (o SLA).

Tecnicamente, le norme precedenti riguardavano solo l'erogazione dei servizi. Ora la parte 2 della ISO 18295 introduce requisiti anche per i clienti dei contact centre.

Segnalo quindi la presentazione di queste norme fatta dall'ISO: https://www.iso.org/news/ref2191.html.

27 settembre: DFA Open Day - GDPR e investigazioni aziendali

Io sono Consigliere di DFA e sono molto orgoglioso di presentarvi l'Open day 2017 dedicato a GDPR e investigazioni aziendali:
- http://www.perfezionisti.it/open-day/dfa-open-day-2017/.

Ci si può iscrivere gratuitamente, ma al momento in cui io sto scrivendo questo annuncio l'evento risulta "tutto esaurito". Magari si libereranno dei posti nei prossimi giorni:
- https://www.eventbrite.it/e/biglietti-dfa-open-day-2017-36684332827.

Ritirata la ISO/IEC 27015

Franco Ferrari di DNV GL mi ha segnalato che è stata ritirata la ISO/IEC 27015 dal titolo "Information security management guidelines for financial services":
https://www.iso.org/standard/43755.html.

Infatti sembra che i fornitori di servizi finanziari (soprattutto le banche) preferiscono appoggiarsi ad altri standard interni o di altra provenienza. Per esempio, mi risulta che la BCE (Banca centrale europea) si appoggia sul NIST Cybersecurity framework, di origine USA.

Questo lo trovo molto bizzarro: piuttosto che appoggiare uno standard internazionale, con procedure di approvazione aperte, alcune istituzioni preferiscono appoggiarsi a standard elaborati da strutture che sfuggono completamente al loro controllo. Contenti loro...

Il flop della regolamentazione dei cookies

Fabrizio Monteleone di DNV GL mi ha segnalato uno studio dal titolo "Uncovering the Flop of the EU Cookie Law". L'ho trovato su questo sito:
https://scirate.com/arxiv/1705.08884.

Riassumo l'abstract. La Direttiva ePrivacy richiede che i siti web chiedano consenso esplicito agli utenti prima di usare i "tracking cookies". Gli autori hanno quindi analizzato più di 35.000 siti web e hanno scoperto che il 65% di questi siti installa i tracking cookies prima che l'utente possa accettarli esplicitamente. Gli autori sono convinti che le agenzie di controllo non facciano controlli, ma anche delle difficoltà di attuazione delle misure tecniche richieste.

martedì 22 agosto 2017

Del NIST e della lunghezza e complessità delle password

Il NIST ha pubblicato la SP 800-63B, una nuova versione della "Digital Identity Guidelines: Authentication and Lifecycle Management":
http://csrc.nist.gov/publications/PubsSPs.html.

In realtà vedo che ha pubblicato anche, nella stessa data, la SP 800-63C e la SP 800-63-3. Confesso che mi sono perso in questi documenti e non li ho letti. Però segnalo quanto richiamato dal SANS Newsbites (https://www.sans.org/newsletters/newsbites/xix/62#200), in particolare facendo riferimento al punto 5.1.1 del SP 800-63B, "Memorized secrets", e all'Appendix A: "il nuovo documento suggerisce di usare password lunghe, facili da ricordare e da cambiare solo quando si pensa siano state compromesse". Un autore della precedente guida del NIST dice che "rimpiange" la vecchia impostazione che richiedeva di usare password complesse (con lettere maiuscole, minuscole, numeri e caratteri speciali) e da cambiare almeno ogni 3 mesi.

Si ritiene preferibile lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non presenti in una blacklist di password troppo facili (per esempio password già diffuse a seguito di altri attacchi, parole del dizionario, caratteri sequenziali o ripetuti, come 1234 e aaaa, parole derivate dal nome del servizio, dal nome dell'utente, dalla sua user-id o altri elementi). Infatti le password sono più spesso individuate attraverso attacchi di social engineering e non di forza bruta.

Per quanto riguarda la lunghezza, il NIST fa notare che questa non ha impatto sugli attacchi offline, visto che questi sono rivolti ai valori hash, indipendenti dall'input. Per gli attacchi online, bisogna invece prevedere altre misure di sicurezza, come il blocco dopo alcuni tentativi errati, valutando però la possibilità che un malintenzionato possa provare deliberatamente password errate per bloccare l'utente. E' comunque raccomandata una lunghezza minima di 8 caratteri.

Per quanto riguarda la complessità, il NIST segnala che spesso gli utenti riescono ad aggirare la richiesta con scelte banali, per esempio usando al posto di "password" la stringa "Password1". In altri casi, la complessità porta gli utenti a scrivere le proprie password, annullando (o peggiorando) la misura.

Personalmente ho qualche perplessità e devo ancora pensare ai pro e ai contro di queste proposte. Per esempio, il cambio periodico della password è necessario negli ambienti in cui gli utenti si scambiano le password (anche se proibito o sconsigliato) o le usano su strumenti non personali o aziendali (e quindi ricavabili dalla cache dello strumento).

In Italia, comunque, sono ancora vigenti le misure minime del Codice della privacy che impone una lunghezza minima di 8 caratteri, un minimo di complessità e il cambio ogni 3 o 6 mesi. Vedremo dopo le modifiche che saranno apportate al Codice e ai Provvedimenti (e Linee guida) del Garante privacy.

Nota: un articolo simile l'ho proposto a https://www.ictsecuritymagazine.com/ (finora non risulta pubblicato).