lunedì 30 aprile 2018

GDPR: Perché avere un DPO certificato

Confesso che mi sono sempre chiesto perché tanta fretta ad avere le tanto pubblicizzate certificazioni da DPO.

Franco Ferrari di DNV GL mi ha inoltrato il link a questo articolo che me lo spiega:
- https://www.puntosicuro.it/security-C-124/privacy-C-89/la-qualificazione-dei-responsabili-del-trattamento-della-protezione-dei-dati-AR-18008/.

In sostanza, una persona certificata secondo una norma UNI (in questo caso, DPO secondo quanto previsto dalla norma UNI 11697) garantisce di poter offrire una "prestazione a regola d'arte". Come dice l'articolo: "l'adeguarsi alla norma UNI 11697 è fatto volontario e garantisce che il soggetto conforme a questa norma possa offrire una prestazione a regola d'arte".

Ecco quindi che un titolare, "se sceglie soggetti certificati secondo la norma UNI, per definizione egli non può sbagliare e quindi non è soggetto ad una possibile " culpa in eligendo"".

Segnalo che ora sono ancora in fase di approvazione, da parte di Accredia, i primi accreditamenti alle società che vogliono certificare secondo la UNI 11697.

PS: Monica Perego mi ha  chiesto quale sia il documento legislativo che stabilisce come la fornitura di un bene o la prestazione di un servizio, eseguita in conformità a norme UNI, CEI od equivalenti norme europee od internazionali, costituisce fornitura o prestazione a “regola d’arte”. Non le ho saputo rispondere. Se qualcuno ha la risposta, prego di fornirmela.

Nuova ISO/IEC 17025 sui laboratori

E' stata pubblicata la versione del 2017 della ISO/IEC 17025, applicabile ai laboratori:
- https://www.iso.org/standard/66912.html.

La notizia l'avevo sottovalutata, ma in realtà essa ha impatto sui "laboratori" che conducono vulnerability assessment e penetration test (da ricordare che AgID, per l'applicazione del Regolamento eIDAS, richiede che i tali laboratori siano accreditati ISO/IEC 17025 entro il 1 giugno 2019) e sui laboratori di acquisizione e analisi delle prove forensi.

Per questo segnalo questo articolo di Forensics Focus che fornisce dettagli sulle novità della ISO/IEC 17025:
- https://articles.forensicfocus.com/2018/04/20/changes-to-forensic-laboratory-accreditation-requirements-iso-iec-17025/.

sabato 28 aprile 2018

GDPR: Casi pratici sui fornitori

In questi giorni molti miei clienti stanno "scoprendo" quanto sia difficile adeguarsi al GDPR quando si tratta di gestire i fornitori, ossia i "responsabili" o "processor".

I casi sono numerosi e normalmente riguarda i grandi fornitori che impongono il proprio modello contrattuale.

Qualche esempio:
  • un fornitore ha risposto al mio cliente che non concede il diritto di audit (ma a sua volta se lo prende per verificare se il cliente usa il proprio software senza aver pagato il numero corretto di licenze);
  • un grosso fornitore di servizi cloud anche di gestione del personale non prevede la localizzazione dei dati né fornisce alcuna garanzia richiesta dal GDPR (Paese ritenuto adeguato, clausole contrattuali o BCR nel caso di grandi imprese);
  • un fornitore non ha voluto specificare le misure di sicurezza adottate.

Cambiare fornitore, lo sappiamo, non è facile. Non solo per questioni economiche dirette (la transizione sicuramente ha un costo), ma anche perché il rapporto con il precedente fornitore si è consolidato negli anni in termini di condivisione delle procedure e di competenze.

Dovremo aspettare le multe perché finalmente i contratti siano adeguati al GDPR? Temo sarà così.

domenica 22 aprile 2018

Le non-deroghe alle sanzioni sul GDPR

Come è noto, il CNIL (il Garante francese) ha annunciato un periodo "di grazia" per le sanzioni previste dal GDPR per i primi 6 mesi dalla sua entrata in vigore (mi spiace, ma non trovo la notizia corretta, anche se la seguente è chiara):
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire.

Il Garante italiano, a seguito dei rallentamenti sulla "normativa italiana che adegua il Codice privacy al GDPR" ha pubblicato un Provvedimento forse un po' troppo prolisso che, in sostanza, tratta anche dei controlli previsti per il GDPR, ma si conclude dicendo che entrerà in vigore dopo 6 mesi dall'entrata in vigore della "nuova normativa italiana" (grazie a Pierfrancesco Maistrello per la segnalazione):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8080493.

C'è chi ha voluto leggerci un periodo di 6 mesi di sospensione (da maggio a novembre, quindi) dei controlli relativi all'applicazione del GDPR in Italia (grazie a Luca Gibilterra per la segnalazione):
https://www.agendadigitale.eu/sicurezza/privacy/gdpr-il-garante-privacy-differisce-di-sei-mesi-i-controlli-su-applicazione/.

Essendo la fonte autorevole (Gabriele Faggioli, non solo persona molto preparata, ma anche Presidente del Clusit), la notizia si è diffusa velocemente e il Garante ha dovuto chiarire la questione (grazie a Pierfrancesco Maistrello):
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593.

In effetti, visto che non si sa quando sarà approvata la "normativa italiana", si rischiava di non vedere alcun controllo del Garante per lunghi anni.

Faggioli ha comunque voluto replicare (grazie a Luca Gibilterra per la segnalazione):
https://www.agendadigitale.eu/sicurezza/privacy/gdpr-ecco-perche-riteniamo-ci-sia-stato-un-rinvio-dei-controlli-sulle-aziende/.

Io sarò semplicistico, ma eviterei di sperare in una deroga delle sanzioni di qualsiasi tipo. Il Garante ha più volte ripetuto che non la promuoverà. Inoltre credo che il Garante non sia l'unico che può indagare e sanzionare a norma del GDPR.

PS: alcuni post italiani non mi sembra siano più disponibili. Ad ogni modo la storia è interessante perché ci illustra quanto crescano aspettative e isteria con l'avvicinarsi del 25 maggio.

GDPR: Deroga sul registro dei trattamenti

Pierfrancesco Maistrello mi ha segnalato questo Position paper del WP Art. 29, che riguarda le deroghe relative al registro dei trattamenti:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045.

Come è noto, il registro dei trattamenti non va fatto dalle organizzazioni con meno di 250 persone che non trattano dati sensibili (ci sono anche altri casi). Ovviamente, risulta ovvio che tutte le aziende con dipendenti tratta dati sensibili, seppure in modo limitato, e quindi l'esclusione risulta un po' ridicola.

Il WP Art. 29 chiarisce questo fatto, per quanto ovvio, ma aggiunge che in questi casi il registro dovrebbe riportare solo i trattamenti non occasionali che presentano rischi per gli interessati, relativi ai dati sensibili o giudiziari.

Il documento conclude con la "solita" raccomandazione di fare comunque il registro completo. Posso aggiungere dicendo che a questo punto, in effetti, costerebbe veramente poco completarlo con gli altri trattamenti.

sabato 21 aprile 2018

Nuova versione del NIST Cyber Security Framework

Il NIST ha pubblicato la versione 1.1 del suo "Framework for Improving Critical Infrastructure Cybersecurity", più noto come "Cyber Security Framework" o CSF:
https://www.nist.gov/cyberframework.

Ho sempre espresso qualche perplessità su alcuni punti del CSF e sul suo uso in alcuni contesti, ma la sua validità è innegabile.

I controlli cambiati sono quelli relativi all'identificazione e autenticazione e alla gestione delle vulnerabilità. Il pdf ha comunque una tabella con i cambiamenti apportati, non solo ai controlli.

Dalla pagina web, sotto il menu "framework", è possibile scaricare anche l'Excel.

martedì 17 aprile 2018

DFA Open Day - 5 luglio 2018

DFA è l'associazione degli alunni e docenti del Corso di Perfezionamento in "Computer forensics e investigazioni digitali" e di tutti gli altri corsi di Perfezionamento organizzati dalle Cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell'Università degli Studi di Milano (io ne sono Presidente da quest'anno):
- http://www.perfezionisti.it/

Il pomeriggio del 5 luglio, presso la Statale di Milano, abbiamo organizzato l'Open Day, con vari interventi relativi a digital forensics, privacy e altre cose. Il programma è in costruzione e poi attiveremo le modalità di iscrizione (gratuita!). Intanto invito tutti a prendere nota della data.

VERA per privacy - versione beta

Ho pubblicato la versione beta del mio file Excel per la privacy:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2018-VERA-4.4-ITA-privacy-BETA-20170416.xlsx.

Se non dovesse funzionare il link diretto, ecco la pagina web di riferimento:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Io lo uso per la valutazione del rischio privacy, per la PIA e per i controlli privacy di ENISA. Spero che le istruzioni chiariscano i diversi modi con cui può essere usato. In caso contrario... vi prego di darmi suggerimenti.

Per questa versione Beta, grazie a: Alessandro Gaspari (che mi ha mandato il suo Excel, con anche traduzione, delle misure del "Handbook on Security of Personal Data Processing" di ENISA del dicembre 2017), Stefano Posti, Pierlugi Stefli.

lunedì 16 aprile 2018

ISO 9004:2018

Franco Ferrari di DNV GL mi ha informato dell'uscita della nuova edizione della ISO 9004 dal titolo "Quality management - Quality of an organization - Guidance to achieve sustained success":
- https://www.iso.org/standard/70397.html.

Si tratta, in poche parole, di una riscrittura della precedente ISO 9004 per allinearla alla ISO 9001:2015.

domenica 15 aprile 2018

Valutazione del rischio per il CIS

Franco Ferrari mi ha segnalato la pubblicazione della "CIS RAM Version 1.0", ossia la pubblicazione del Center for Internet Security dal titolo "Risk Assessment Method". Essa è collegata ai controlli di cui avevo già dato notizia:
- https://www.cisecurity.org/controls/

L'ho sfogliato molto rapidamente, ma confesso che, quando ho cominciato a occuparmi di valuazione del rischio, avrei voluto avere una pubblicazione così. Ho notato una cosa importante: sono presentati più approcci, uno dei quali è quello solito ("asset based"), mentre gli altri sono meno tradizionali.

Sono anni che l'approccio asset-based non è più usato efficacemente, se non in rari casi. Spero che anche questa pubblicazione permetterà di riconsiderare la centralità di questo approccio.

AgID e le regole per i fornitori cloud

AgID ha pubblicato le due circolari relative ai criteri per la qualificazione dei Cloud Service Provider per la PA e per la qualificazione di servizi SaaS per il Cloud della PA (grazie a Franco Ferrari di DNV GL per la notizia):
- http://www.agid.gov.it/notizie/2018/04/10/piano-triennale-circolari-software-service-cloud-cloud-service-provider-pa.

Consiglio vivamente di leggere le due circolari, in particolare gli Allegati, anche a chi non offre servizi per la PA. Infatti essi riportano le "misure minime di sicurezza" che penso saranno di riferimento per il futuro in Italia.

Io avevo mandato qualche commento nella fase di consultazione pubblica. Non ho controllato se e come sono stati recepiti. Ritengo comunque che sia un lavoro da considerare attentamente.

Servizi SaaS:
- https://cloud-pa.readthedocs.io/it/latest/circolari/SaaS/circolare_qualificazione_SaaS_v_4.12.27.html.

Cloud service provider (IaaS e PaaS):
- https://cloud-pa.readthedocs.io/it/latest/circolari/CSP/circolare_qualificazione_CSP_v1.2.html.

Articolo "GDPR: il 25 maggio non accadrà nulla"

In questi giorni ho visto molti richiami all'articolo di Andrea Lisi dal titolo "GDPR e Protezione dei dati, ma il 25 maggio non accadrà nulla":
- https://www.key4biz.it/gdpr-e-protezione-dei-dati-il-25-maggio-non-accadra-nulla/218389/.

Conferma alcune cose che dico da tempo, meglio di come le dico io. Quindi lo consiglio.

Ius law web radio: Come effettuare una DPIA secondo la ISO/IEC 29134

Elia Barbujani di Ius law web radio mi ha intervistato su PIA e ISO/IEC 29134. La puntata (48 minuti!) è qui:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-come-effettuare-una-dpia-secondo-la-iso29134/.

mercoledì 4 aprile 2018

Rapporto Clusit 2018

Il Clusit, a metà marzo 2018, ha pubblicato il consueto rapporto annuale sulla sicurezza informatica:
- https://clusit.it/rapporto-clusit/.

A mio parere è meno interessante di altre volte. Però consiglio comunque di guardarlo.

Il Clusit ha organizzato a marzo il Security summit di Milano. Le presentazioni sono ora disponibili:
- https://www.securitysummit.it/event/Milano-2018/atti.