domenica 14 novembre 2021

Mia presentazione sullo stato delle certificazioni GDPR

Il 13 novembre ho tenuto una breve presentazione con gli Idraulici della privacy dal titolo "Certificazioni e codici di condotta GDPR: come si sta procedendo?":
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.

Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose che non avevo considerato.

martedì 9 novembre 2021

Articolo sulla valutazione dei rischi di sicurezza delle informazioni e di privacy

Monica Perego ha scritto un articolo dal titolo "La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019":
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.

Monica scrive sempre cose utili e da un punto di vista interessante.

E mi cita! Ne sono onorato.

lunedì 8 novembre 2021

Stato delle norme ISO/IEC 270xx

Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il 27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati pochi giorni perché molti incontri di scrittura degli standard si sono tenuti da remoto nei mesi precedenti.

Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.

Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.

mercoledì 3 novembre 2021

NCSC Rapporto semestrale 2021/1 (ex Melani)

Segnalo il rapporto semestrale di NCSC (ex Melani):
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.

Come al solito è molto interessante e descrive gli incidenti più significativi registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione, ma include anche suggerimenti per le contromisure.

Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato (non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di una raccolta periodica, come dimostra anche il successo del rapporto Clusit).

Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo è un peccato.