lunedì 25 novembre 2019

Fine supporto Windows 7

Sta finendo il supporto a Windows 7. Questo articolo di Agenda Digitale indica alcune possibili soluzioni (oltre ad aggiornare i sistemi):
- https://www.agendadigitale.eu/sicurezza/fine-aggiornamenti-windows-7-e-2008-a-rischio-i-pc-della-pa-ecco-i-consigli.

Prego osservare come, in alcuni ambiti, l'esperienza acquisita con la fine del supporto di Windows XP NON sia servita e alcuni si trovano in difficoltà anche in questo caso.

Attenzione: non voglio dire che sia facile dismettere un sistema operativo da un'organizzazione, solo che, in alcuni ambiti, non si è riusciti ad evitare il ripresentarsi dei problemi poco tempo prima della scadenza.

Conversione del DL Perimetro sicurezza nazionale cibernetica

Fabrizio Monteleone di DNV GL mi ha segnalato la conversione del DL 105 del 2019 "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica ((e di disciplina dei poteri speciali nei settori di rilevanza strategica))". La conversione è avvenuta con la Legge 133 del 2019. Su Normattiva si consulta il DL 105 modificato:
- https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=.

Alcuni spunti sulle novità sono in questo articolo su Agenda Digitale:
- https://www.agendadigitale.eu/sicurezza/sicurezza-cibernetica-italiana-cosi-le-misure-si-rafforzano-in-parlamento/.

mercoledì 20 novembre 2019

ENISA good practices for security of IoT

Alessandro Cosenza di BTicino mi ha segnalato che ENISA ha recentemente pubblicato (19 novembre 2019) di "Good practices for security of IoT: Secure Software Development Lifecycle":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot-1.

Mi sembra molto completo. Tratta di governo, processi, gestione del personale e soluzioni tecnologiche. Mentre i primi punti sono "i soliti", più originali sono le soluzioni tecnologiche. Per chi volesse approfondire, poi, sono segnalati diversi riferimenti (anche se molti riferimenti "tecnici" sono in realtà generici).

martedì 12 novembre 2019

Stato delle assicurazioni GDPR in Europa

Pierfrancesco Maistrello mi ha segnalato questo schema che indica la possibilità di assicurarsi rispetto alle multe del GDPR:
- https://www.dlapiper.com/de/austria/insights/publications/2019/07/updated-guide-on-the-insurability-of-gdpr-fines-across-europe/.

Lo studio completo è disponibile dietro registrazione e mi sembra curioso, visto che si parla di privacy. Comunque ho deciso di non registrarmi e quindi di non leggere il rapporto completo. Infatti l'Italia appare come Paese in cui non sono disponibili assicurazioni per multe da GDPR, ma mi sembra che qualche cosa sia invece stato sviluppato. Forse il rapporto completo riporta qualche indicazione in più.

giovedì 7 novembre 2019

Nuova versione della ISO 22301

E' uscita la nuova versione della ISO 22301, lo standard con i requisiti per (e per certificare) un sistema di gestione per la continuità operativa. Il titolo corretto è: "ISO 22301:2019 - Security and resilience — Business continuity management systems — Requirements":
- https://www.iso.org/standard/75106.html.

Ringrazio Claudio Sartor che mi ha segnalato questo articolo dal titolo "Come cambia lo standard internazionale di business continuity (ISO 22301)":
- https://www.ictsecuritymagazine.com/articoli/come-cambia-lo-standard-internazionale-di-business-continuity-iso-22301/.

martedì 5 novembre 2019

TISAX

TISAX è uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive.

Lo schema riprende quanto già previsto dalla ISO/IEC 27001. Però è interessante leggere l'Excel di autovalutazione, visto che approfondisce alcuni temi:
- https://www.vda.de/en/services/Publications/information-security-assessment.html.

Rapporto MELANI 2019/01

Melani è la "Centrale d'annuncio e d'analisi per la sicurezza dell'informazione" della Confederazione Svizzera. Forse sbaglio, ma dovrebbe essere il CERT nazionale o un suo equivalente. Ogni 6 mesi pubblica un rapporto sullo stato della sicurezza. L'ultimo è quello relativo al primo semestre 2019:
- https://www.melani.admin.ch/melani/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2019-1.html.

Io penso che sia il rapporto meglio scritto e meglio organizzato di tutti quelli che ho visto. Conosco pochissimi equivalenti e li ritengo meno interessanti (e mi dispiace che non non ci siano più emulatori; il nostro www.certnazionale.it è inguardabile, da questo punto di vista).

MELANI ha anche creato liste di controllo per attacchi DDOS, sistemi industriali, CMS e siti web (oltre ad altri documenti):
- https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide.html.