lunedì 26 febbraio 2018

Pubblicata la ISO/IEC 27103

E' stata pubblicata la norma ISO/IEC 27103, dal titolo "Cybersecurity and ISO and IEC Standards":
- https://www.iso.org/standard/72437.html.

Si tratta di un Technical report, non di uno standard. Esso elenca i punti chiave del NIST CSF e gli associa i controlli della ISO/IEC 27002 e di altre norme. Un po' anche per dire "guardate che questa cybersecurity è sempre stata parte del nostro lavoro".

È noto che non sono un fan delle "correlazioni": penso che ogni standard abbia un punto di vista diverso e che prima di tutto questo punto di vista vada capito. L'uso di liste di correlazione fa spesso dimenticare i diversi punti di vista e porta a lavori troppo meccanici.

Privacy: Circolare INL sulla videosorveglianza e lavoratori

Paolo Clavi mi ha segnalato questo articolo relativo ad una recente circolare dell'Ispettorato Nazionale del Lavoro (INL) in materia di videosorveglianza:
- http://www.dottrinalavoro.it/notizie-c/inl-installazione-e-utilizzazione-di-impianti-audiovisivi.

A mio parere l'articolo è esaustivo e riassume il contenuto della circolare.


Paolo mi scrive: " introduce un principio assolutamente innovativo: la possibilità di non indicare l'esatta posizione ed il numero delle telecamere da installare, tenuto conto che il layout degli uffici potrebbe cambiare nel tempo e costringerebbe ad onerosi aggiornamenti della pratica. Resta fermo il fatto che le riprese effettuate devono essere coerenti e strettamente connesse con le ragioni legittimanti il controllo e dichiarate nell'istanza. In fondo è un po' un atteggiamento in sintonia con il GDPR e il principio di accountability: la cosa importante è rispettare i principi, sulle modalità si lascia all'azienda la scelta di quelle opportune.

Il testo contiene poi altre interessanti innovazioni, come la mancata necessità della richiesta di autorizzazione in caso di installazione di telecamere in zone esterne estranee alle pertinenze della ditta (es. il suolo pubblico, anche se antistante alle zone di ingresso all'azienda), nelle quali non è prestata attività lavorativa. In fondo, se l'accordo sindacale o l'autorizzazione DTL derivano dalla necessità di informare e tutelare i lavoratori, quando i lavoratori si trovano all'esterno dell'azienda si trovano nelle stesse condizioni di qualsiasi cittadino, per i quali sono sufficienti cartelli informativi ed eventuale esercizio dei diritti di accesso ai dati".

Ci sono anche altri aspetti. Quello che a me colpisce di più è la possibilità di inquadrare direttamente l'operatore, ma solo per tutela della "sicurezza del lavoro" o del "patrimonio aziendale", perché potrebbe sconfinare facilmente nell'uso delle inquadrature per controllare le prestazioni dei lavoratori (il call centre che decurtava un'ora di stipendio a chi andava in bagno è notizia di settimana scorsa:
http://www.corriere.it/cronache/cards/centralinisti-call-center-pagati-33-centesimi-l-ora/finta-busta-paga_principale.shtml).

domenica 25 febbraio 2018

Direttiva NIS - Bozza di decreto italiano

Franco Ferrari di DNV GL mi ha segnalato questo interessante articolo dal titolo "Attuazione della Direttiva NIS, lo stato dopo lo schema di decreto legislativo":
- https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo/.

Dopo tutto il parlare di GDPR, è bene ricordare che le Direttive devono essere "tradotte" dagli Stati membri in una Legge nazionale. In Italia, la "traduzione" avviene attraverso Decreti legislativi.

La Direttiva 2016/1148 (cosiddetta "NIS") impone un elevato livello di sicurezza (basato su un'analisi del rischio) delle reti e dei sistemi informatici delle organizzazioni che operano in alcuni settori (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Il Consiglio dei Ministri italiano ha recentemente pubblicato la prima bozza ("schema") di D. Lgs. di recepimento della Direttiva NIS. Quindi l'articolo commenta questa bozza. Ora penso quindi che sia utile cominciare ad affrontare il tema NIS, senza approfondirlo troppo, visto che le bozze potrebbero essere modificate abbondantemente.

Non commento ulteriormente, visto che l'articolo mi pare esaustivo.

CISCO Annual cybersecurity report 2018

Dal SANS NewsBites, riprendo la notizia della pubblicazione del "2018 Annual Cybersecurity Report" della Cisco:
- https://www.cisco.com/c/en/us/products/security/security-reports.html.

Non mi pare ci siano cose particolarmente rilevanti o innovative (a meno che qualcuno più paziente di me non me le segnali), ma sicuramente è utile saperle (ed è utile anche vedere quali di queste cose "invitano" ad usare i prodotti e servizi della Cisco, in modo da dare loro il giusto peso).

I "major findings", infatti, sottolineano:
- la diffusione degli attacchi DDoS;
- la diffusione dello spamming;
- la pericolosità degli attacchi da parte del personale interno,
- lo sfrtuttamento dell'IoT e delle reti industriali,
- i rischi derivanti dalla numerosità di prodotti e fornitori,
- l'opportunità di migliorare la sicurezza attraverso l'outsourcing (via cloud).

lunedì 19 febbraio 2018

Libro: La vita segreta

Segnalo questo libro dal titolo "La vita segreta: Tre storie vere dell'èra digitale" di Andrew O'Hagan:
- https://www.adelphi.it/libro/9788845932151.

Non parla di sicurezza delle informazioni (se non in modo funzionale), né di GDPR.

Però, attraverso tre storie estreme (una su Assange, un'altra su Satoshi e quella in mezzo su una persona creata solo per l'ambiente virtuale) parla di identità, bisogno di privacy, bisogno di visibilità e forse altre cose.

Lo consiglio perché mi sembra dica qualcosa a noi che ci occupiamo di informatica non solo da un punto di vista puramente tecnico, ma anche culturale, se possiamo dire così.

venerdì 16 febbraio 2018

Articolo sulle certificazioni privacy

Segnalo questo articolo di ICT Security Magazine dal titolo "GDPR perché certificarsi - La vera ragione economica e il fenomeno della selezione avversa". Infatti ho trovato qualcuno di più critico di me.
- https://www.ictsecuritymagazine.com/articoli/gdpr-perche-certificarsi-la-vera-ragione-economica-fenomeno-della-selezione-avversa/.

Nuova privacy per telemarketing (precisazione 2)

Avevo segnalato il nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/02/nuova-privacy-per-telemarketing.html

Alessandro Borgese degli Idraulici della privacy mi ha segnalato che "manca ancora il decreto attuativo e pertanto le novità introdotte vedranno la luce tra un po'". Lo dimostra inviandomi questo articolo di Repubblica del 2 febbraio:
- http://www.repubblica.it/economia/2018/02/02/news/difese_contro_il_telemarketing_la_rivoluzione_puo_attendere-187679069/.

Riassumo dicendo che "ad ora sono in vigore solo alcune delle novità: l'obbligo del telemarketer a chiamarci con un numero in chiaro e la corresponsabilità dell'azienda committente della campagna telefonica illecita (finora invece era sanzionabile solo l'agenzia esecutrice di quest'ultima)". E che "il punto centrale è il nuovo registro delle opposizioni, una delle novità che devono aspettare il decreto attuativo per entrare in vigore. Il nuovo registro include anche i numeri riservati e quelli cellulare".

Libro bianco della cyber security in Italia (precisazione sul documento)

Recentemente avevo segnalato la nuova edizione del Libro Bianco: "Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici". Avevo detto che i link disponibili sul sito ufficiale (https://www.consorzio-cini.it/index.php/it/) non funzionavano e avevo fornito un link alternativo.

Giancarlo Caroti mi ha fatto notare che il link alternativo rimanda all'edizione precedente del 2015 (che fu presentato a febbraio 2016 in un evento in Sapienza a cui fece un intervento lo stesso Caroti). Giancarlo mi conferma che neanche lui riesce a rintracciare l'edizione del 2017.

Mi scuso per l'errore e, se avrò aggiornamenti, li fornirò.

giovedì 15 febbraio 2018

Circolare Accredia per le certificazioni ISO/IEC 270XX

Come già detto più volte in questa sede, la ISO/IEC 27001 può essere "estesa" ad altre norme cosiddette sector-specific. Tra queste, le più note sono oggi la ISO/IEC 27108:2014 sulla privacy dei servizi cloud e la ISO/IEC 27017 sui servizi cloud in generale. Altre sono disponibili e altre lo saranno (inclusa la ISO/IEC 27552 sulla privacy in generale).

In poche parole: non è possibile certificarsi direttamente su queste norme sector-specific, ma è possibile farle figurare in un certificato ISO/IEC 27001, come sua estensione.

Accredia, l'ente di accreditamento italiano, aveva regolato qualche mese fa le certificazioni ISO/IEC 27018. Io mi ero lamentato perché era assurda questa limitazione ad una sola delle norme sector-specific:
- http://blog.cesaregallotti.it/2017/07/certificazioni-isoiec-27018.html.

Accredia ha quindi rimediato (probabilmente non a causa mia) con la Circolare Tecnica N° 02/2018:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/.

Rimangono alcune bizzarrie, come richiedere auditor competenti anche sulla ISO/IEC 20000 (chissà perché questa e non per esempio la ISO 22301 o altre) e di verificare fisicamente tutti i data centre utilizzati (senza alcuna deroga nel caso in cui questi siano già certificati). Speriamo che in una prossima versione della Circolare tecnica non ci siano queste bizzarie.

mercoledì 14 febbraio 2018

Sviluppo sicuro delle applicazioni: i test di sicurezza

Un altro mio articolo sullo sviluppo sicuro delle applicazioni. Questo ha titolo "Sviluppo sicuro delle applicazioni: i test di sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-test-sicurezza/.

ENISA Handbook per il GDPR

ENISA ha pubblicato a gennaio 2018 un "Handbook on Security of Personal Data Processing":
- https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing/.

In esso trovo cose interessanti:
- la valutazione del rischio per i processi (con i parametri di valutazione degli impatti e della verosimiglianza delle minacce);
- un elenco di misure di sicurezza da considerare per i diversi livelli di rischio.

Mi pare un documento molto interessante perché molto pratico (a differenza di altre pubblicazioni troppo "teoriche").

Alla luce di questo documento dovrò aggiornare il mio VERA per privacy (ahimè).

Meno interessante è la pubblicazione "Privacy and data protection in mobile applications", perché troppo analitica e con poche indicazioni per la sicurezza delle applicazioni per dispositivi mobili:
- https://www.enisa.europa.eu/publications/privacy-and-data-protection-in-mobile-applications/.

Da osservare comunque che la pubblicazione è piena di link ad altri documenti. Andrebbe quindi esaminata con attenzione.

GDPR: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni

Segnalo questo articolo (22 pagine) di Francesco Pizzetti dal titolo "La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni":
- http://www.medialaws.eu/rivista/la-protezione-dei-dati-personali-dalla-direttiva-al-nuovo-regolamento-una-sfida-per-le-autorita-di-controllo-e-una-difesa-per-la-liberta-dei-moderni/.

Non è un articolo "pratico", a differenza di qualche intervento di Pizzetti a dei convegni e che mi sarebbe piaciuto vedere per iscritto. È più una riflessione, come dice il titolo, sul ruolo del Garante.

Perfect SAP Penetration testing

Recentemente ho chiuso un progetto ISO/IEC 27001 in un'azienda molto "sappizzata". Questa serie di articoli, dal titolo "Perfect SAP Penetration testing" mi sarebbe tornata decisamente utile:
- https://erpscan.com/tag/sap-penetration-testing/.

martedì 13 febbraio 2018

ISO/IEC 27000

E' stata pubblicata la nuova versione del 2018 della ISO/IEC 27000, con i termini e definizioni della sicurezza delle informazioni:
- https://www.iso.org/standard/73906.html.

La norma è gratuita, quindi dalla pagina dell'ISO non bisogna "comprare", ma seguire il link di "download". Il download si può anche fare direttamente da questa pagina:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html.

lunedì 12 febbraio 2018

Due sentenze sul controllo dei lavoratori (uso cellulari e videoriprese per furti)

Due sentenze che sembrano interessanti, ambedue su Filodiritto.

La prima è una "verifica preliminare" del Garante e relativa al controllo dei consumi del cellulari aziendali. La società (Johnson&Johnson Medical S.p.A.) assicura che i dati saranno usati solo per il controllo dei consumi e non per comminare sanzioni disciplinari. Il Garante ha dato l'approvazione:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7554790.

L'articolo su Filodiritto:
- https://www.filodiritto.com/news/2018/privacy-garante-privacy-il-garante-si-pronuncia-sulla-legittimit-del-controllo-sui-telefoni-aziendali-da-parte-del.html.

La seconda è della Cassazione, che ha ritenuto lecito l'uso di videoregistrazioni "per provare le condotte criminose poste in essere dai lavoratori". Da notare che si sta parlando di procedura penale. L'articolo di Filodiritto:
- https://www.filodiritto.com/news/2018/videosorveglianza-cassazione-penale-utilizzabili-le-videoriprese-per-provare-le-condotte-criminose-poste-in-essere-dai.html.

Nuova privacy per telemarketing (precisazione)

A gennaio avevo dato la notizia di un nuovo provvedimento normativo su privacy e telemarketing:
- http://blog.cesaregallotti.it/2018/01/nuova-privacy-per-telemarketing.html.

Mancava il numero della Legge. Grazie ad Altalex ora posso dire che si tratta della Legge 5 del 2018:
- http://www.altalex.com/documents/leggi/2018/02/05/call-center-prefissi-registro-opposizioni.

Come al solito, si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2018-01-11;5!vig=.

Un riassunto sul GDPR (e il quaderno ANCI)

In tanti (tra cui Franco Ferrari di DNV GL, Pierfrancesco Maistrello e Daniela degli Idraulici della privacy) hanno segnalato questo quaderno dell'ANCI dal titolo "L'attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali: Istruzioni tecniche, linee guida, note e modulistica":
http://www.anci.lombardia.it/documenti/7355-regolamento%20ue%20privacy%20ok_def.pdf.

Può essere utile criticarlo, in modo da fare un ripasso di alcuni punti salienti del GDPR. Così potrò essere criticato anche io per quello che scrivo.

Innanzi tutto prima dice che "è definita la nuova categoria di dati personali", che sono i cosiddetti "dati sensibili di cui al precedente Codice Privacy". Poi tutto il quaderno fa riferimento ai "dati sensibili". Il GDPR usa l'espressione "categorie particolari di dati personali ai sensi dell'articolo 9". Anche io uso l'espressione "dati sensibili" perché più pratica, avendo cura, a inizio di documento, di specificare cosa sono e come li designa il GDPR.

I Titolari e i Responsabili dei trattamenti sono visti come persone fisiche (dice che il titolare è il "Sindaco o suo delegato" e i responsabili sono "Dirigenti/Quadri/Responsabili di U.O."), mentre il GDPR lascia intendere che si tratta di strutture organizzative (le "aziende"), mentre le responsabilità personali, tranne il caso di singoli professionisti, sono da gestire con le normali deleghe interne di ciascuna organizzazione e non sono regolamentate dal GDPR. Per la verità non avrebbero dovuto essere regolate neanche dal Codice privacy e questo sarebbe stato più chiaro se non si fosse tradotto "processor" (che anche in altri contesti è sempre visto come organizzazione non singola persona) con "responsabile" e se poi non avessimo insistito per lasciare in vita la traduzione inesatta. Questa interpretazione è stata data anche da dirigenti e funzionari del GDP in diversi incontri pubblici, dicendo che negli anni hanno sempre visto il "responsabile interno" come figura non prevista dal Codice e il "responsabile esterno" come "responsabile e basta" (potevano scriverlo da qualche parte, visto che scrivono già tanto, così avremmo fatto meglio e io non avrei scritto alcune sciocchezze in passato; purtroppo non mi sembrano abbiano intenzione di scriverlo neanche in futuro).

Non sono competente di regolamenti comunali. Quello proposto, a mio parere, manca completamente di regole in merito alle misure di sicurezza da adottare (si limita a parlare di sistema di autorizzazione e di sistema antincendio).

Troppa enfasi è ancora data al consenso come base legale per il trattamento. Oggi sappiamo che le basi legali sono di 6 tipi.

Si sono dimenticati i trattamenti relativi al personale del Comune. Certamente i dati dei cittadini sono importantissimi e devono costituire il punto di maggiore attenzione per i Comuni quando si parla di protezione dei dati personali, però non trovo corretto dimenticarsi completamente dei dati del personale.

Interpreta in modo bizzarro il ruolo degli "incaricati" secondo il Codice privacy, dicendo che sono "sub-responsabili del trattamento". Non posso condividere questa lettura. Mi pare, anzi, che non venga colta la possibilità di designare gli incaricati (ossia autorizzare le persone a trattare i dati personali) in modo adeguato alle esigenze di controllo (reale) e efficienza ma, anzi, promuova il "vecchio" metodo basato su lettera formale firmate e controfirmata.

Ancora più bizzarramente prevede che il Titolare possa delegare un responsabile a nominare il DPO ("alla designazione del Responsabile per la Protezione dei Dati (RPD), se a ciò demandato dal Titolare"). Altra lettura che non posso condividere.

Mi ha fatto notare Pierfrancesco Maistrello che viene suggerita la tenuta di più registri dei trattamenti. Ancora una volta non posso condividere questo approccio.

L'ultima parte del documento (da pagina 43 a pagina 78) è costituita dalla "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali" del Garante privacy. Lettura sempre utile.



PS: Francesco Pizzetti e Luca Leone, su LinkedIn hanno commentato dicendo che non bisognerebbe mai usare l'espressione "dati sensibili". Personalmente non vedo ragione oltre la purezza formale. Ho chiesto. Se avrò risposta, la diffonderò.

Libro bianco della cyber security in Italia

NOTA: l'edizione che ho letto, commentato e di cui ho fornito il link è quella del 2015. Me l'ha fatto notare Giancarlo Caroti. Mi scuso per l'errore. Mantengo comunque nel seguito il post originale (inutile nascondere i propri errori).

Franco Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Cybersecurity, ecco il Libro bianco (ma anche il Libro verde) sulla strategia italiana":
- https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-libro-bianco-anche-libro-verde-sulla-strategia-italiana/.

Certo... l'autore sembra decisamente troppo entusiasta (sembra quasi abbia un debito di riconoscenza con qualcuno degli autori). E si dimentica di dare un link dove reperirlo. Eccolo qui:
- https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco.

A me il link non funziona. Quindi l'ho trovato sul sito del Sole 24 Ore:
http://www.ilsole24ore.com/pdf2010/Editrice/ILSOLE24ORE/ILSOLE24ORE/Online/_Oggetti_Correlati/Documenti/Notizie/2015/11/CyberSecurity-Report.pdf.

L'ho letto rapidamente. Sembra ci siano dentro le "solite" (ma non per questo sbagliate o inattuali) idee e più un tono giornalistico che scientifico. Forse chi è più paziente di me se lo leggerà con attenzione e potrà segnalarci i punti più rilevanti (se già non evidenziati dall'articolo segnalato).

Servizio Serc, la forse futura PEC

Franco Ferrari del DNV GL mi ha segnalato questo articolo che presenta il SERC (Servizio elettronico di recapito certificato):
- https://www.agendadigitale.eu/cittadinanza-digitale/servizio-elettronico-recapito-certificato-cose-perche-pensionare-la-pec/.

Forse un giorno questo servizio, previsto dal Regolamento eIDAS, sostituirà la PEC. Per intanto: gli standard tecnici saranno pronti (forse) per febbraio 2019. Ma credo sia giusto informarsi, almeno un po', di cosa si tratta.