lunedì 1 marzo 2021

Pubblicata la ISO/IEC 27006-2 per le certificazioni ISO/IEC 27701 (PIMS)

E' stata pubblicata la ISO/IEC TS 27006-2 "Requirements for bodies providing
audit and certification of information security management systems — Part 2:
Privacy information management systems":
- https://www.iso.org/standard/71676.html.

Di questa norma ho già accennato in precedenza. Essa regolamenta le
certificazioni dei sistemi di gestione per la privacy rispetto alla norma
ISO/IEC 27701.

Ricordo ancora che questa certificazione non soddisfa quanto previsto dagli
articoli 42 e 43 del GDPR, ma è comunque una "buona" certificazione.

Evito di ripetere cose già dette e rimando a un articolo che avevo scritto
insieme ad Andrea Caccia e Fabio Guasconi a gennaio 2020 ma ancora attuale:
-
https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tu
tto-sulla-norma-iso-iec-27701/
.

Personalmente spero che Accredia si allinei al più presto a questa norma,
mettendo fine allo schema attuale, visto che non ne apprezzo alcune scelte.

Elementi particolarmente significativi:
- stabilito il calcolo delle giornate di audit (anche se il metodo è
incompleto perché non considera il caso in cui l'ambito ISO/IEC 27701 sia un
sottoinsieme di quello ISO/IEC 27001);
- indicate le competenze degli auditor e del gruppo di audit;
- specificato come deve essere il certificato ISO/IEC 27701 (che deve essere
a sé stante, anche se collegato a un certificato ISO/IEC 27001).

giovedì 25 febbraio 2021

Storia delle norme di sicurezza informatica (molto breve)

Mi sono divertito a scrivere una brevissima storia delle norme di sicurezza informatica:
- https://www.key4biz.it/storia-delle-norme-degli-standard-e-delle-linee-guida-di-sicurezza-informatica/346992/.

L'ho impostata facendo riferimento al diverso livello di prescrittività delle norme nel tempo.

L'articolo riprende e in parte approfondisce il mio intervento al Dig.eat 2021.

martedì 23 febbraio 2021

3 violazioni di dati personali in strutture sanitarie e problemi vari

La newsletter del Garante privacy del 19 febbraio 2021 riporta la notizia "Data breach sanitari, il Garante privacy sanziona tre strutture":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544567.

In due casi, un invio cartaceo è stato indirizzato alla persona sbagliata, mentre nel terzo caso un'infermiera aveva contattato i familiari di una paziente, nonostante questa avesse richiesto di non farlo.

Il terzo caso è abbastanza semplice da capire: la richiesta della paziente non era stata archiviata in modo opportuno e la struttura sanitaria non aveva ben stabilito come gestire questo tipo di richieste in modo che il personale non faccia errori (p.e. con maschere che ricordano le opzioni indicate dai pazienti oppure cancellando i numeri di telefono non più dichiarati accettabili dai pazienti).

Gli altri due casi sono invece di difficile comprensione. I provvedimenti indicano che "sono ricostruite le dinamiche dell'accaduto, analizzate le cause e definite le azioni correttive", ma io non e trovo traccia. Certamente i provvedimenti non sono sempre il posto dove trovare queste informazioni, ma così ho avuto l'idea di una giustizia un po' cieca, che non ammette l'errore.

Infatti il GDPR non richiede che non vengano fatti errori, ma che vengano valutati i rischi privacy. I provvedimenti non specificano niente in merito alla valutazione del rischio delle aziende ospedialiere. E qui si palesa lo scenario peggiore quando si parla di valutazione del rischio, ossia l'affermazione (scorretta) secondo cui "se c'è stato un incidente, vuol dire che la valutazione del rischio non era adeguata".

Dispiace che si sia arrivati a questo. Così la valutazione del rischio rimarrà sempre più un esercizio formale (utile solo a qualche auditor o consulenti per lanciarsi in noiosissime disqusizioni; l'ultima lezione che ho ricevuto, in un'azienda di 5 persone, riguardava i rischi inerenti, correnti, attesi e residui).

Spero che la rotta cambi, ma non credo che succederà in tempi brevi: l'approccio basato sul rischio è bello da raccomandare e da sbandierare, ma è difficile da capire e accettare fino in fondo.

lunedì 22 febbraio 2021

Pubblicazioni ENISA per TSP

Franco Ferrari di DNV mi ha segnalato la recente pubblicazione (16 febbraio) di nuovi documenti da parte di ENISA, significativi per i TSP (e forse non solo per loro).

Security Framework for Trust Providers
- https://www.enisa.europa.eu/publications/security-framework-for-trust-providers/.

Security Framework for Qualified Trust Providers
- https://www.enisa.europa.eu/publications/security-framework-for-qualified-trust-providers.

Remote ID Proofing
- https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing.

Assessment of Qualified Trust Service Providers
- https://www.enisa.europa.eu/publications/assessment-of-qualified-trust-service-providers/.

Recommendations for QTSPs based on Standards
- https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards/.

Me li dovrò studiare per bene, ma sono sicuro che siano estremamente validi.

Purtroppo ENISA ha un sito web che non aiuta a trovare i documenti: la pagina "Publications" non evidenzia questi nuovi documenti e, in realtà, si concentra sui rapporti, sui documenti interni e altra roba non molto importante per gli altri. Poi ha etichette e argomenti (topic) non aggiornati alle attuali esigenze. Insomma, la situazione è molto difficile e ritengo che sia un peccato vista la qualità della documentazione di ENISA.

martedì 16 febbraio 2021

Disponibili gli interventi di DIG.eat 2021

Segnalo che si è chiusa la manifestazione DIG.eat 2021.

Io ho tenuto un intervento, ma gli argomenti trattati sono molto vari e interessanti. Tutti gli interventi sono disponibili al pubblico e raccomando a tutti di guardare se ci sono cose di interesse:
- https://anorc.eu/attivita/il-netflix-della-cultura-digitale-chiuso-il-dig-eat-2021-la-piattaforma-offrira-contenuti-gratis-e-on-demand.

Il difetto è che è necessario registrarsi per poter accedere ai contenuti. Però ne vale la pena.

Linee guida EDPB sulla gestione degli incidenti

L'EDPB (la commissione dei garanti privacy europei) ha pubblicato le "Guidelines 01/2021 on Examples regarding Data Breach Notification" (grazie a Giancarlo Caroti di Neumus che me le aveva inoltrate qualche giorno fa):
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en.

Per ora sono solo in inglese.

Non dicono nulla di nuovo a chi si occupa di privacy e sicurezza delle informazioni. Ma... lo dicono bene.

Innanzi tutto sono presentati 18 casi di incidente. Essi possono essere causati da alcuni attacchi (ransomware, intrusione in un sito web, copia di dati da parte di un interno, accesso non autorizzato da parte di un interno a causa di un errore di configurazione, perdita o furto di dispositivi IT, perdita o furto di documenti cartacei, invio di email o posta cartacea a destinatari sbagliati, furto di identità con attacco di social engineering, riconfigurazione malevola di un server di posta). Già qui abbiamo una sorta di lista di minacce da considerare perché significative.

Poi sono anche elencate le misure di sicurezza preventive raccomandate. Ripeto: nulla di nuovo, ma messo per bene.

Inoltre l'EDPB raccomanda la redazione di un "Manuale per gestire gli incidenti". E proprio il documento stesso, se utilizzato opportunamente, fornisce la base per una prima versione di questo manuale (proprio prendendo i casi riportati e personalizzando i relativi processi di "mitigazione e obblighi").

I casi sono accompagnati anche da considerazioni in merito alla necessità di notificare all'autorità garante e agli interessati l'evento.

Finalmente, dopo tantissimi documenti fumosi, che raccomandano le "solite" misure di sicurezza, un documento facilmente leggibile e pratico.

Mio intervento il 18 febbraio 2021

Interverrò, per un tempo brevissimo con qualche riflessione sulla valutazione del rischio, il 18 febbraio alle 14.30:
- https://www.linkedin.com/posts/coretech-s-r-l_cybersecurity-coretech-coretalks-activity-6767035215618555906-li0e.

Si parlerà di privacy e violazioni di dati personali.

lunedì 15 febbraio 2021

Furto di dati con il lavoro da remoto

Questa notizia l'ho letta su Crypto-gram di febbraio 2021:
- https://www.schneier.com/blog/archives/2021/01/dutch-insider-attack-on-covid-19-data.html.

In breve: due persone sono state arrestate nei Paesi Bassi perché hanno venduto dati dai sistemi del Ministero della salute. Li raccoglievano scattando foto al proprio schermo.

Ovviamente questo sarebbe stato immediatamente rilevato in caso di lavoro in un ufficio con altri colleghi a guardare. Quindi questo caso può permetterci di considerare questa minaccia.

domenica 14 febbraio 2021

Attacco a un impianto idrico in Florida

Il SANS NewsBites segnala la notizia di un attacco a un impianto di trattamento dell'acqua in Florida. Uno degli articoli suggeriti è questo:
- https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-7/.

Sembra che gli attaccanti abbiano sfruttato una cattiva configurazione di TeamViewer, usato dal personale dell'impianto per accedere ai sistemi con un'unica password condivisa. Nell'impianto erano usati anche dei pc Windows 7, ma forse non c'entrano con l'attacco.

Riassumo i commenti degli editor del SANS NewsBites perché mi sembrano decisamente interessanti. Li trovate al completo qui:
- https://www.sans.org/newsletters/newsbites/xxiii/12.

Ecco i commenti da me selezionati.
- Le applicazioni per il controllo remoto, come TeamViewer, dovrebbero essere configurati con credenziali personali per ciascun utente.
- Gli accessi da Internet dovrebbero basarsi sull'autenticazione a più fattori (TeamViewer lo permette e permette anche l'integrazione con altri sistemi di SSO).
- Se, nell'ambito degli impianti industriali, non è possibile aggiornare vecchi sistemi operativi (come Windows 7) allora questi vanno protetti con firewall.

Nulla di innovativo. Le misure da applicare sono sempre le stesse: qualcuno non le applica e comunque ripetercele non fa male.

PS: mi viene da pensare che è ormai quasi un anno che ci ripetiamo di mettere la mascherina. E' vero che inizialmente non c'erano le mascherine, ma adesso ancora troppi pensano di poterne fare a meno. Chi si occupa di sicurezza (delle informazioni, informatica, delle persone, eccetera) non può che ritrovare la ripetizione degli errori e delle superficialità.

giovedì 11 febbraio 2021

Patent box

Fabrizio Monteleone del DNV Italia mi ha segnalato le agevolazioni fiscali dette "Patent box":
- https://www.mise.gov.it/index.php/it/incentivi/impresa/patent-box.

Le imprese possono avere agevolazioni fiscali per l'utilizzo di determinati beni immateriali (software protetto da copyright, brevetti industriali, disegni e modelli, processi, formule e informazioni relativi a esperienze acquisite nel campo industriale, commerciale o scientifico giuridicamente tutelabili). Questi beni devono essere dichiarati all'Agenzia delle entrate.

Io non capisco quasi niente di fiscalità, però mi pare di capire che, nel caso una valutazione del rischio dovesse considerare questi beni immateriali, essa dovrà essere in qualche modo allineata a quanto dichiarato all'Agenzia delle entrate.

giovedì 4 febbraio 2021

Perimetro di sicurezza: decreto sugli incidenti

Del provvedimento in merito al perimetro di sicurezza nazionale avevo scritto a suo tempo:
- http://blog.cesaregallotti.it/2019/09/perimetro-di-sicurezza-nazionale.html.

Ora è in discussione il DPCM per la comunicazione degli incidenti da parte delle organizzazioni che rientrano nel perimetro. La bozza ("schema") è reperibile sul sito della Camera:
- https://www.camera.it/leg18/682?atto=240&tipoAtto=Atto&idLegislatura=18&tab=1#inizio.

Ringrazio Giancarlo Caroti per la segnalazione.

Non mi piace annunciare provvedimenti in bozza (e infatti non lo faccio quasi mai, nonostante ne riceva alcune volte notizia), ma questo merita alcune brevi considerazioni:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile;
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più
male che bene;
- è richiesto che le informazioni sugli incidenti vengano comunicate a molti
soggetti e penso che questa diffusione di informazioni sia rischiosa (anche
se l'allegato C specifica le misure di sicurezza da prevedere per queste
informazioni, bisogna dire che sono talmente generica da non essere
significative);
- Il DPCM richiede anche esplicitamente ai soggetti inclusi nel perimetro di
adottare le misure minime di sicurezza già previste da AgID.

PS: non annuncio più provvedimenti in bozza da quando, in epoche
preistoriche, avevo annunciato la morte del DPS, poi annullata, e
l'inserimento della privacy nel D. Lgs. 231, poi non avvenuto. Inoltre le
bozze sono spesso modificate (come ha dimostrato il GDPR). Infine, i
commenti possono aspettare l'approvazione definitiva dei provvedimenti,
visto che sono sempre previsti dei tempi di adozione che lasciano il tempo
anche per queste cose.

lunedì 25 gennaio 2021

"Un piccolo libro sulla privacy, il GDPR e come attuarlo" e beneficenza

Pubblicizzando il libro degli Idraulici della privacy "Un piccolo libro sulla privacy, il GDPR e come attuarlo", avevo detto che i ricavati sarebbero andati in beneficenza.

Mi sembra giusto dire come sono andate le cose.

Innanzi tutto abbiamo pubblicato la versione digitale su Streetlib e quella cartacea prima su Lulu e poi su Youcanprint (distribuisce in più posti rispetto a Lulu). Ovviamente non abbiamo potere contrattuale con queste piattaforme che quindi si sono tenute il loro margine.

In tutto al 31 gennaio abbiamo ricavato 1133 Euro. Metà è andata alla Fondazione Meyer (https://donazioni.fondazionemeyer.it/) e metà alla Parrocchia di San Stanislao a Roma che si occupa del supporto alimentare alle famiglie in difficoltà (soprattutto adesso con le difficoltà legate all'emergenza COVID).

Grazie a quanti hanno sostenuto, anche promuovendola, l'iniziativa.

CSA Cloud Controls Matrix v4

La Cloud security alliance ha pubblicato il 20 gennaio 2021 la versione 4 della sua Cloud Controls Matrix v4:
- https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/.

Ho lavorato sulla versione 3 e l'ho trovata in alcuni punti non chiara, in altri inutilmente ripetitiva e in altri ancora (la maggior parte) utilissima e molto significativa. Non ho ancora letto la versione 4 e quindi non mi pronuncio.

Penso che, al di là dei suoi difetti, sia un documento fondamentale per chi si occupa di sicurezza informatica. Infatti è di alta qualità, autorevole e ampiamente riconosciuto. Oltre a ciò, su di esso si basa il porgramma STAR, una sorta di certificazione dei servizi cloud.

Ringrazio Antonio Salis di Engineering per avermi segnalato la novità.

Antonio mi segnala che hanno anche pubblicato due ulteriori documenti:
- Enterprise Architecture CCM Mapping (sulla versione 3.0.1): https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-v301-mapping;
- Enterprise Architecture CCM Shared Responsibility Model:
https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-shared-responsibility-model/.

Cito la email di Antonio Salis: "Questi propongono una mappatura dei controlli CCM secondo un modello di responsabilità condivisa per IaaS, PaaS e SaaS. Vorrebbero dare una vista delle responsabilità lato cloud con il dominio di controllo specifico (per il cloud provider o per il cloud user). Forse per evitare di aggiungere altre colonne al CCM e renderlo ancor più difficile da consultare, hanno gemmato due documenti, ma il risultato non è un esempio di chiarezza". Condivido.

Sugli schemi di certificazione per GDPR

Fabio Guasconi ha tenuto un interessante webinar il 12 gennaio per il Clusit e Osservatori (ringrazio poi Franco Vincenzo Ferrari di DNV GL per avermelo ricordato):
- https://www.osservatori.net/it/eventi/on-demand/webinar/isoiec-27701-certificazione-gdpr-approccio-oggi-domani-webinar.

L'evento è a pagamento. Io mi permetto solo di segnalare due cose che mi erano sfuggite sui lavori di standardizzazione per gli schemi di certificazioni previsti dal GDPR.

In poche parole, a livello CEN, ossia europeo, sono in discussione due standard per la certificazione prevista dal GDPR:
- uno basato sulla ISO/IEC 27701, che prevede un suo "raffinamento" per poterla usare con la ISO/IEC 17065 (come previsto dal GDPR) in ambito europeo;
- uno che prevede un nuovo standard basato sull'italiana PdR 43-2, non più limitata all'ambito ICT e più orientata alle PMI.

La previsione è di finire i lavori entro fine 2021. Poi, ovviamente, bisognerà vedere come saranno recepiti dall'EDPB, visto che questi sarebbero gli standard per le organizzazioni da certificare, ma vanno ancora creati gli schemi di certificazione con le caratteristiche degli organismi di certificazione e le modalità per verificare se gli organismi hanno le caratteristiche previste, le competenze richieste agli auditor, il calcolo dei tempi di audit, eccetera.

sabato 23 gennaio 2021

Microsoft Teams (e non solo) e la privacy

Glauco Rampogna degli Idraulici della privacy mi ha segnalato questo articolo dal titolo, un po' lungo, "I looked at all the ways Microsoft Teams tracks users and my head is spinning":
- https://www.zdnet.com/article/i-looked-at-all-the-ways-microsoft-teams-tracks-users-and-my-head-is-spinning/.

L'articolo è forse troppo emotivo, ma pone due problemi importanti. Il primo è quello della privacy e del controllo a distanza dei lavoratori. Dovrei capire meglio se e come le funzionalità di monitoraggio possano essere messe a disposizione dei manager, però dovrò approfondire la questione, visti gli impatti sulla privacy.

Il secondo tema è quello delle tecniche gestionali, che vorrebbero, erroneamente, essere quantitative. Come si chiede l'autore, il numero di messaggi inviati è veramente sintomo di una buona produttività (e, aggiungerei, non di inutile spreco di risorse)? Purtroppo il mito del management by objective continua a sopravvivere, nonostante fosse già stato criticato negli anni Quaranta da Deming (non un tizio qualsiasi).

Ovviamente le stesse considerazioni valgono per tutti questi strumenti che da una parte aiutano i lavoratori e le organizzazioni, ma dall'altra mettono a disposizione strumenti per controllare i lavoratori stessi.

Libro su sicurezza delle informazioni e GDPR

Chiara Ponti e Renato Castroreale pubblicheranno (a febbraio) un libro dal titolo "Il sistema integrato per la sicurezza delle informazioni ed il GDPR":
- https://www.epc.it/Prodotto/Editoria/Libri/Il-sistema-integrato-per-la-SICUREZZA-delle-INFORMAZIONI-ed-il-GDPR/4909.

Mi hanno chiesto di scrivere la presentazione e io l'ho fatto molto volentieri. Il testo, infatti, tratta di un argomento fondamentale, ossia, come dice il titolo, dell'integrazione delle attività relative alla sicurezza delle informazioni e al GDPR. Oggi sempre più organizzazioni stanno seguendo questo approccio, ma ancora troppe separano quasi completamente le due materie, spesso affidando la prima ai tecnici e la seconda ai legali, senza capire le tantissime relazioni reciproche e la necessità di avere un approccio interdisciplinare in ambedue.

A questo proposito ho ricordato come queste materie permettono di avere grandi soddisfazioni, soprattutto perché: 1) si ha l'opportunità di conoscere persone validissime e molto professionali con esperienze e competenze diverse; 2) questa diversità ci richiede di approfondire il rapporto; 3) alcune volte questo approfondimento sfocia nell'amicizia.

Concludo quindi ringraziando Chiara e Renato per avermi dato l'opportunità di riflettere su queste cose.

giovedì 21 gennaio 2021

Password manager

Segnalo questo articolo dal titolo "Gestione delle credenziali: un'analisi comparativa dei principali strumenti di Password Management":
- https://www.ictsecuritymagazine.com/articoli/gestione-delle-credenziali-una-comparazione-tra-i-principali-strumenti-di-password-management/.

Mi accorgo di non aver mai scritto alcunché sui password manager, ma sono strumenti oggi essenziali per gestire qualunque ambiente e pertanto vanno conosciuti.

Analisi dei vulnerability scanner

Segnalo questo articolo dal titolo "I migliori scanner di vulnerabilità per valutare la sicurezza di un'applicazione Web?":
https://www.ictsecuritymagazine.com/articoli/i-migliori-scanner-di-vulnerabilita-per-valutare-la-sicurezza-di-unapplicazione-web/.

Il titolo è forse più pretenzioso di quanto è il contenuto reale dell'articolo. Però è molto interessante vedere come nessuno dei 7 strumenti di scansione delle vulnerabilità analizzati abbia identificato tutte le vulnerabilità.

Mi sembra che forse altri strumenti avrebbero potuto essere analizzati (i più noti sono Nessus e OpenVAS), ma mi sembra che l'analisi non avesse ambizioni di completezza, essendo stata condotta nell'ambito di una tesi universitaria.

sabato 16 gennaio 2021

Attacco a Leonardo S.p.A.

A dicembre è stato identificato un attacco a Leonardo S.p.A., azienda italiana parzialmente pubblica e presente su molti progetti, inclusi quelli di difesa.

Glauco Ramponga degli Idraulici della privacy mi ha fatto inviato un buon link:
- https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa/.

Ecco il super-riassunto di Glauco, che ringrazio.
ReaQta Threat Intelligence Team ha identificato il malware utilizzato in un'operazione di esfiltrazione contro Leonardo Spa. L'analisi del malware, che hanno soprannominato Fujinama, ne evidenzia le capacità di furto ed esfiltrazione dei dati mantenendo un profilo ragionevolmente basso, nonostante la mancanza di sofisticazione, principalmente a causa del fatto che il vettore dannoso è stato installato manualmente da un insider.

Quindi il punto chiave è che si sia avverato il caso peggiore: un interno, con responsabilità nella sicurezza informatica, ha installato software dannoso nella rete che avrebbe dovuto proteggere.

Sandro Sanna mi aveva inviato un ulteriore link che riporta la notizia dell'arresto di due possibili responsabili, che avevano l'obiettivo di reperire informazioni relative ad un preciso progetto:
- https://www.startmag.it/innovazione/neuron-ecco-il-vero-bersaglio-dellattacco-hacker-a-leonardo/.

Ricordo che uno dei rischi delle valutazioni del rischio è la cosiddetta sindrome di Fort Apache: si pensa che i "cattivi" siano tutti fuori, mentre dentro ci sono solo i "buoni". Questo caso, veramente significativo, ci ricorda di stare molto attenti.

venerdì 15 gennaio 2021

Sintesi dell'attacco SolarWinds

Per capire bene il caso SolarWinds raccomando l'articolo di Bruce Schneier:
- https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html.

La prima parte descrive in modo estremamente sintetico, da uno dei più noti esperti di sicurezza informatica (che scrive anche benissimo, cosa molto rara) il caso.

La seconda parte è forse più "strategica" e per me meno interessante.

giovedì 14 gennaio 2021

EU National capabilities assessment framework

Claudio Sartor (lo ringrazio) mi ha segnalato il "National capabilities assessment framework" di ENISA:
- https://www.enisa.europa.eu/publications/national-capabilities-assessment-framework.

Mi astengo dal commentarlo perché finora mi sono occupato di sicurezza per organizzazioni private o pubbliche, non a livello nazionale. Però credo che possa essere di interesse per molti.

In particolare, noto che il livello di maturità non è determinato dalla quantità di documentazione prodotta e questo mi sembra un approccio migliore rispetto ad altre pubblicazioni del genere.

EU Cloud Certification Scheme

Enisa ha avviato la consultazione pubblica per lo schema di certificazione di sicurezza informatica per i servizi cloud (ringrazio Giovanni Francescutti di DNV GL Business Assurance e Giancarlo Caroti di Neumus per avermelo segnalato):
- https://www.enisa.europa.eu/news/enisa-news/cloud-certification-scheme.

Ricordo brevemente che questo schema nasce per le certificazioni promosse dal Cybersecurity act europeo. Questo Regolamento prevede quindi che ENISA proponga degli schemi di certificazione per la sicurezza dei prodotti e servizi informatici. Alcuni schemi sono già attivi (il più celebre è quello noto come Common Criteria, ISO/IEC 15408), ma non sotto il cappello del Cybersecurity act. Ad ora l'unico schema candidato e ufficiale e proprio questo per i servizi cloud.

Va detto che lo schema non necessariamente si baserà sul modello già noto per le certificazioni dei sistemi di gestione (ISO/IEC 27001, per intenderci), ma richiede che ogni Stato membro indichi una NCCA (National cybersecurity certification authority). Non mi risulta che in Italia sia stata ancora indicata. Se però qualcuno ha notizie più aggiornate, gli chiedo di farmele avere.

Per quanto riguarda questa bozza, ho analizzato soprattutto l'Annex A, con i requisiti che devono rispettare i CSP (cloud service provider) che intendono certificarsi. In generale mi sembra scritto male, con molte imprecisioni, ripetizioni e anche cose decisamente discutibili. Vale comunque la pena leggerselo e studiarselo per avere una buona idea dei requisiti che dovrebbero rispettare i CSP.

Spero poi che la versione finale del documento sarà molto migliore di questa bozza.

A questo proposito rimango perplesso su una consultazione pubblica di un documento che ha molti punti dichiaratamente ancora in fase di elaborazione (vedi Annex E e G).

Per quanto riguarda le modalità di verifica, ho letto le appendici senza la dovuta attenzione e quindi è meglio che mi astengo dal commentarle.

lunedì 11 gennaio 2021

DFA Open Day 2021

Il 29 gennaio pomeriggio ci sarà il DFA Open Day:
- http://www.perfezionisti.it/open-day/dfa-open-day-2021/.

DFA è un'associazione che raccoglie consulenti, legali, esperti di privacy e tecnici di digital forensics. Ne sono presidente da 2 anni e sono molto contento di questa edizione. Spero parteciperete numerosi.

Io non tengo nessun intervento (tranne uno sconnesso balbettio che sono costretto a fare in virtù del mio ruolo): sarà molto più interessante ascoltare quelli degli altri.

Dig.eat 2021

Parteciperò al Dig.eat 2021 con una breve relazione sulla storia degli standard e della normativa in materia di sicurezza delle informazioni.

Il Dig.eat sarà dal 18 gennaio al 12 febbraio e il mio intervento sarà proprio il 18 gennaio (ore 15). In apertura, quando la gente non avrà ancora ben capito che è partita l'iniziativa.

Mi sono divertito molto a fare il messaggio di invito (ne avevo fatti 3 ed era previsto che ne selezionassero uno... invece...):
- https://www.linkedin.com/posts/anorc_digeat2021-digitalizzazione-activity-6749980650977144832-sCdZ.

Per iscriversi:
- https://anorc.eu/dig-eat/.

Difetto: per vedere il programma della manifestazione è necessario iscriversi.