lunedì 17 settembre 2018

Nuova versione della ISO/IEC 20000-1

E' stata pubblicata la ISO/IEC 20000-1:2018 che sostituisce la versione del 2011:
- https://www.iso.org/standard/70636.html.

Per chi non lo sapesse, la ISO/IEC 20000-1 ha titolo "Service management system requirements" e rappresenta (mi scusino i puristi) la norma che permette di certificare l'adozione di ITIL da parte delle aziende.

Non l'ho ancora letta. So solo che è stata modificata per recepire l'HLS, ossia per essere impostata come le altre norme sui sistemi di gestione (per esempio, ISO 9001 e ISO/IEC 27001), con l'analisi del contesto, delle parti interessati, dei rischi e delle opportunità, eccetera.

domenica 16 settembre 2018

Sentenza del TAR e competenze dei DPO (Post scriptum)

Ulteriori considerazioni dopo il post sulla sentenza del TARI del Friuli Venezia Giulia sulle competenze del DPO:
- http://blog.cesaregallotti.it/2018/09/sentenza-del-tar-e-competenze-dei-dpo.html.

Post scriptum 1
Monica Perego ha scritto a me e ad altri quanto segue. Lo sottoscrivo pienamente.
"Trattare i temi privacy significa possedere un mix di competenze organizzative, legali e tecniche. Per le ultime due puoi ricorrere ad esperti sulla base delle specifiche esigenze. La prima è più on-off. Questo si comprende molto bene quando si fa analisi dei rischi. Io in aula lavoro sulla acquisizione delle competenze organizzative. Per quello che mi riguarda il DPO deve capirne di processi e di logiche di funzionamento delle organizzazioni. Il resto se lo prende all'esterno se non lo possiede."

Post scriptum 2
Con Monica Perego avevamo pensato a come dare maggior valore legale alla richiesta della certificazione Lead auditor ISO/IEC 27001. La soluzione ce la fornisce Accredia, con la sua linea guida "I riferimenti all'accreditamento e alla certificazione nelle richieste di offerta e nei bandi di gara" (al capitolo 6 ci sono esempi pratici e ricordo che Accredia usa il termine "ISMS Responsabile gruppo di audit"):
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1711&areaNews=94&GTemplate=default.jsp.

Nota
Io il bando di gara oggetto della sentenza non l'ho letto. Ma mi sembra strano che la sentenza non chiarisca se il certificato LA 27001 era richiesto come sostituto di laurea.

Ampliata la Legge accessibilità alle app

E' stato pubblicato il D. Lgs. 106 del 2018 dal titolo "Riforma dell'attuazione della direttiva (UE) 2016/2102 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici":
- www.gazzettaufficiale.it/eli/id/2018/09/11/18G00133/sg.

Modifica la Legge 4 del 2004 sull'accessibilità agli strumenti informatici da parte delle persone con disabilità. La estende ai siti web e alle applicazioni mobili degli enti pubblici.

Mi pare una bella cosa (anche se non avevo capito che la precedente Legge non includeva i siti web).

Sentenza del TAR e competenze dei DPO

Una recente sentenza del TAR del Friuli Venezia Giulia ripropone la questione sulle competenze del DPO. Parto con il link diretto alla sentenza (grazie a Glauco Rampogna):
- https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=.

La discussione su LinkedIn è qui:
- https://www.linkedin.com/pulse/il-dpo-%C3%A8-un-professionista-del-diritto-i-diplomi-iso-balducci-romano/.

Come sempre ci sono giuristi che al termine "misure adeguate" pensano a qualche bel "protocollo", come finora hanno fatto per la 231 e per la privacy. Ci sono anche giuristi che non hanno ancora capito la differenza tra "designazione" e "autorizzazione" e "contratto". Ci sono anche giuristi che hanno inviato un "contratto di nomina a responsabile" al fornitore. E giuristi che NON rispondono agli interessati in modo chiaro, o fanno scrivere informative incomprensibili (alla faccia di quanto chiesto dal GDPR). Ci sono non-giuristi messi ugualmente male.

Detto questo, c'è chi ne sa più di me (EDPS) e ha scritto questo (grazie a Pierfrancesco Maistrello per averlo segnalato):
- https://edps.europa.eu/sites/edp/files/publication/10-10-14_dpo_standards_en.pdf.

Su LinkedIn ho letto i commenti di Riccardo Marchetti e Luca Lezzerini e concordo con loro. Riassumo: perché il DPO deve essere un giurista affiancato da tecnici e non viceversa?

Mia personale conclusione: i criteri imposti dal TAR (ossia dedurre che il DPO debba essere una persona con competenze prevalentemente giuridiche) sono buoni tanto quanto quelli originali. Solo che non è elegante che dei legali (con potere) dicono che un certo lavoro debba essere fatto da legali.

Il testo della sentenza mi ha ricordato alcune discussioni per cui c'è chi vede un conflitto di interessi tra DPO (che deve tutelare gli interessati) e il responsabile della sicurezza (che deve tutelare l'organizzazione). Non le condivido, anche perché la stessa discussione si basa sulla richiesta indipendenza del DPO. Come è noto, però, il DPO è pagato dal titolare e quindi la sua indipendenza è sempre incompleta (qui sto parlando di sostanza, nella teoria siamo tutti bravi a dire il contrario; vedo e vivo gli stessi problemi da anni con gli auditor "indipendenti").

Altri hanno commentato ricordando che il Titolare è responsabile delle proprie azioni e quindi non è compito del TAR discuterle. Condivido anche questa.

Sempre Glauco Rampogna ricorda alcuni punti: "si tenta di legittimare la separazione tra la conoscenza dell'applicazione delle misure di sicurezza e la tutela dei diritti dell'interessato, che invece il GDPR tende ad includere nel ruolo del DPO, a tutto vantaggio della parte giuridica. Il fatto poi di essere in ambito pubblico potrebbe spingere altri soggetti pubblici ad avallare questa tesi in altri ambiti, per un effetto a cascata".

sabato 15 settembre 2018

I rischi dell'autenticazione a due fattori

Avevo scritto due post sull'autenticazione a due fattori (o 2FA):
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html;
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa_15.html.

Bruce Schneier ha segnalato un articolo dal titolo "Before You Turn On Two-Factor Authentication…" che riporta i rischi della 2FA:
- https://medium.com/@stuartschechter/before-you-turn-on-two-factor-authentication-27148cc5b9a1.

Ci ricorda quindi che ogni misura di sicurezza porta con se dei rischi e che la sua introduzione va sempre attentamente ponderata.

Per completezza, il post di Bruce Schneier è qui:
- https://www.schneier.com/blog/archives/2018/08/good_primer_on_.html.

mercoledì 12 settembre 2018

Pubblicata la UNI/PdR 43 per la certificazione GDPR

Fabio Guasconi di Bl4ck Swan e Glauco Rampogna mi hanno segnalato la pubblicazione delle UNI/PdR 43. Come scrive Fabio: "la prima ha una valenza di linea guida; la seconda esprime requisiti che POTREBBERO costituire la base per una certificazione ex articolo 42 del GDPR".

Sono disponibili gratuitamente:
- http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html
- http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html.

Le avevo già commentate quando furono pubblicate le bozze:
- http://blog.cesaregallotti.it/2018/05/privacy-bozza-di-prassi-uni-per-la.html.

Aggiungo solo che la prima parte risulta corretta rispetto alla versione che avevo criticato. Continuo però a pensare che sia inutile alla luce di altri contributi, a mio parere più autorevoli, oggi disponibili.

martedì 11 settembre 2018

IoT Devices security

Niccolò Castoldi (che ringrazio) mi ha segnalato questo documento dal titolo "CTIA Cybersecurity Certification Test Plan for IoT Devices". Il pdf si trova in questa pagina, sotto la rubrica "IoT Cybersecurity Certification Program":
- https://www.ctia.org/about-ctia/programs/certification-resources.

Il commento di Niccolò: "si tratta di una serie di controlli che la CTIA ha elaborato sulla base di molti altri standard e best practice; mi è sembrato ben fatto".

Sono d'accordo con Niccolò. Aggiungo che il documento riguarda solo i dispositivi, non anche gli altri elementi dell'architettura IoT (server o "cloud" e applicazioni per dispositivi mobili).

Aggiornato il Codice privacy (parte 2)

Nel mio post precedente sul Dlgs 101 (http://blog.cesaregallotti.it/2018/09/aggiornato-il-codice-privacy.html) avevo scritto "ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso)".

Cerco quindi di elencare queste specificità:
  • Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli 2-bis, 2-sexies, 2-quinquiesdecies; dove è specificato cos'è l'interesse pubblico rilevante per cui si possono trattare dati di categorie particolari e dove è richiesto un Provvedimento specifico del Garante);
  • Minorenni (articolo 2-quinquies);
  • Trattamenti di dati genetici, biometrici e relativi alla salute (articolo 2-septies, che però richiede sia preparato un Provvedimento del Garante);
  • Dati relativi a condanne penali e reati (articolo 2-octies, che secondo me complica inutilmente quanto già stabilito dall'articolo 6 del GDPR);
  • Ragioni di giustizia (articolo 2-duodecies);
  • Persone decedute (articolo 2-terdecies);
  • Forze di Polizia (abrogati, sostanzialmente, gli articoli dal 53 al 57);
  • Difesa e sicurezza dello Stato (articolo 58);
  • Uso dei dati pubblici (articolo 61 che richiede regole deontologiche);
  • Ambito sanitario (dall'articolo 75);
  • Dati relativi a studenti (articolo 96);
  • Ricerca scientifica o storica o a fini statistici (articolo 97 e seguenti; articolo 104 e seguenti; è promosso un altro codice deontologico);
  • Rapporto di lavoro (articoli dal 111 al 115, dove sono ribadite cose note e dove sono richieste altre regole deontologiche);
  • Assicurazioni (rimane solo l'articolo 120);
  • Servizi di comunicazione elettronica (articoli dal 121);
  • Giornalismo, libertà di informazione e di espressione (articolo 136 e seguenti e dove sono richieste altre regole deontologiche).

Alla fine, nella maggior parte dei casi, il Codice privacy modificato non fornisce indicazioni utili e, per capire come agire da un punto di vista operativo, dovremo aspettare i provvedimenti o le regole deontologiche o i codici deontologici da parte del Garante.

Per questa veloce analisi mi sono basato sulla versione consolidata (e non ufficiale) del Codice privacy preparata da Francesco Paolo Micozzi di Array:
- https://www2.array.eu/it/nuovo-testo-codice-privacy/.

lunedì 10 settembre 2018

sabato 8 settembre 2018

Correzione alla ISO/IEC 27011

E' stata pubblicata una correzione alla ISO/IEC 27011 dal titolo "Code ofvpractice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- https://www.iso.org/standard/76487.html.

La correzione prevede solo la modifica del titolo del paragrafo 8.2.1 da "Classification guidelines" a "Classification of information". Non molto...

La correzione è visibile direttamente dalla pagina web di iso.org attraverso la "Preview".

La ISO/IEC 27011 presenta un elenco di controlli di sicurezza per gli operatori di servizi di telecomunicazione. Questi controlli sono in realtà un'estensione di quelli della ISO/IEC 27002.

mercoledì 5 settembre 2018

Aggiornato il Codice privacy

Con il D. Lgs. 101 del 2018, è stato aggiornato il D. Lgs. 196 del 2003 (Codice della privacy). Il D. Lgs. 101 si trova sul sito della Gazzetta ufficiale:
- www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.

Ringrazio una mia anonima amica per la segnalazione. Devo però dire che in questi giorni ho visto troppa fibrillazione per l'attesa di questo D. Lgs., come non vedevo neanche quelli che facevano la schedina e aspettavano i risultati delle partite. E, una volta uscita la notizia, tutti a dire quanto sono stati veloci a fornirla (come fossero dei personaggi dei film sui giornalisti). Secondo me, troppi stanno perdendo il senso del nostro mestiere.

Detto questo: il D. Lgs. 196 modificato non è ancora disponibile su Normattiva, ma, per chi non lo sapesse, è quello il posto giusto dove guardare:
- http://www.normattiva.it/.

Il commento di Francesco Pizzetti su Agenda Digitale mi sembra utile (ma sicuramente in futuro usciranno altri articoli; prego tutti di prestare attenzione alla reale competenza di chi li scrive):
- https://www.agendadigitale.eu/sicurezza/privacy/delega-per-il-gdpr-i-punti-forti-e-deboli-un-primo-giudizio/.

Altro articolo (molto sintetico) è di Giusella Finocchiaro:
- http://www.studiolegalefinocchiaro.it/2018/08/10/il-sole-24-ore-privacy-protetta-da-sanzioni-penali/.

Io, dopo una prima lettura, mi sono segnato alcuni punti, ma evito di trattarli nel dettaglio: altri lo faranno in modo molto più approfondito. Darò in futuro qualche link se mi sembrerà interessante. Rimane però la regola: leggere prima direttamente la normativa (il testo consolidato quando sarà disponibile) e solo successivamente gli articoli di giornale o i post sui social network.

Ecco i miei punti:
- ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso), con anche richiami sulle norme deontologiche, i minorenni;
- sono fornite le definizioni di "comunicazione" e "diffusione" (dovrò rileggere il Codice privacy e il GDPR per verificare meglio se questo ha impatto per esempio nelle informative);
- in molti casi mi pare siano promossi provvedimenti del Garante con misure prescrittive, tornando indietro rispetto all'impostazione basata sulla valutazione di adeguatezza; infatti sono stabilite regole sul mantenimento in vigore dei codici di condotta, delle prescrizioni attualmente richieste dalle autorizzazioni generali (che quindi saranno eliminate come autorizzazioni, ma rimarranno come prescrizioni), dei provvedimenti generali; è quindi necessario controllare gli aggiornamenti sul sito del Garante; questo mi induce anche a non dare per morto, tra gli altri, il Provvedimento AdS (anche se avrei voluto farlo);
- segnalo l'autorizzazione all'uso di dati biometrici per i dispositivi di controllo degli accessi, i limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione), i diritti riguardanti le persone decedute;
- continua a sorprendermi che sia necessaria una norma per ricordare che il titolare o il responsabile (intesi come organizzazioni) possono distribuire le responsabilità all'interno dell'organizzazione stessa;
- non mi pare sia stato modificato il comma 4 dell'articolo 130, che introduce il "consenso soft"; visto che ci sono difficoltà di interpretazione su "marketing diretto per legittimo interesse e non sulla base del consenso", speravo in qualcosa di diverso;
- introdotto un articolo un po' assurdo sull'obbligo, per i fornitori di trasmissione IT (e non dei servizi più evoluti), di fornire informazioni sui rischi di violazione della sicurezza della rete; dovremo vedere come sarà attuato;
- sono introdotte, come previsto, le sanzioni penali;
- la deroga alle sanzioni è formulata in modo curioso, vago e forse inutile (visto che il GDPR fornisce dei massimi e che il Garante non è l'unico a comminare sanzioni): "Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie";
- come previsto, l'allegato B con le misure minime è stato eliminato.

Invito a segnalarmi errori, che sicuramente ci sono, o ulteriori considerazioni di tipo "pratico".

PS: Grazie, per avermi segnalato correzioni, a Stefano Posti.

martedì 4 settembre 2018

EN 301 549 sull'accessibilità

Non sono per niente un esperto in materia, ma credo sia importante seguirla.


E' stato pubblicato lo standard EN 301 549 con le specifiche per l'accessibilità (da parte di invalidi) ai siti web e alle applicazioni per dispositivi mobili, con i requisiti di percezione, operatività, comprensibilità e robustezza definiti dalla Web and Mobile Accessibility Directive:
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50127.

Rapporto ENISA sugli incidenti di sicurezza in ambito telecom

Segnalo questo rapporto di ENISA relativo agli incidenti di sicurezza nel settore degli operatori delle telecomunicazioni:
- https://www.enisa.europa.eu/news/enisa-news/169-telecom-incidents-reported-extreme-weather-major-factor/.

Per i più pigri: la maggior parte degli incidenti ha come causa errori hardware o bug software, maltempo, blackout. Il 2% hanno come causa attacchi da parte di malintenzionati.

Parere personale: questo insegna anche alle imprese di altri settori che è bene non sottovalutare gli attacchi degli esterni, ma che è opportuno non dimenticare le minacce meno "di moda" ma comunque significative. Questo discorso, comunque, è vecchio e porta alla conclusione (nota da anni) che chi si occupa di sicurezza informatica deve anche occuparsi di sicurezza fisica e di manutenzione.