giovedì 24 febbraio 2022

Lista CISA di strumenti di sicurezza gratuiti

Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha pubblicato un'interessante lista di strumenti gratuiti per la sicurezza:
- https://www.cisa.gov/free-cybersecurity-services-and-tools.

Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più preparati di me non avranno problemi.

Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.

Ringrazio della segnalazione Flora Tozzi di DFA.

mercoledì 16 febbraio 2022

Pubblicata la ISO/IEC 27002:2022

Ho già scritto sulla "futura" ISO/IEC 27002:2022. Ora non è più futura, ma attuale:
- https://www.iso.org/standard/75652.html.

Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata, eccetera. Però penso che questa edizione sia notevolmente interessante e degna di essere letta.

lunedì 14 febbraio 2022

Pubblicato "Sicurezza delle informazioni - Edizione 2022" in italiano e in inglese

Finalmente sono riuscito a publicare la nuova edizione di "Sicurezza delle informazioni", aggiornata con i controlli della ISO/IEC 27002:2022 e non solo (anzi... spero di non essere smentito in futuro sulle date di pubblicazione delle ISO/IEC 27001 e 27002, perché se no dovrò correggere!).

Ho colto l'occasione per inserire ulteriori aggiornamenti sulle tecnologie (citando IoT, OT, intelligenza artificiale, eccetera), sulle minacce e gli accreditamenti. Inoltre, Stefano Ramacciotti ha aggiornato l'appendice sui Common Criteria e sulle FIPS 140.

Per questa edizione ho avuto un revisore d'eccezione: Monica Perego. Ma non sempre ho seguito i suoi suggerimenti e quindi eventuali errori sono miei.

 La pagina di presentazione dell'edizione in italiano (consigliata, perché è l'originale, mentre l'inglese è una traduzione):
- http://blog.cesaregallotti.it/p/blog-page.html.

La pagina di presentazione dell'edizione in inglese:
- https://blog.cesaregallotti.it/p/blog-page_20.html.

Attenzione che la copertina è quella con i Giganti della Sila (alberi). Non comprate, quindi, l'edizione con il Perito Moreno (ghiacciaio).

martedì 8 febbraio 2022

EDPB e i requisiti di certificazione CARPA

Franco Ferrari mi ha segnalato il fatto che EDPB ha emesso l'Opinion 1/2022 sui "certification criteria" GDPR - CARPA e la decisione del Garante lussemburghese:
- https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.

E' evidente che è molto importante perché è un ulteriore passo verso lo schema di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto "un numero di cambiamenti" (vedere soprattutto quelli elencati dal punto 2.4 in poi) e quindi dovremo aspettare ulteriormente.

Più semplice è la notizia:
- https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.

Non mi è chiaro perché "The present certification is not a certification according to article 46(2)(f) of the GDPR meant for international transfers".

Leggendo l'Opinion, poi, si vede che viene richiesto l'uso delle norme ISAE 3000 che non conosco. Però, curiosamente, il parere dice che non fanno parte dei "certification criteria" e non mi convince. Infatti la certificazione "secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla mai di "certification criteria", ma di "certification requirements" e questa è una cosa che può creare confusione. Inoltre penso che si debba indagare anche il funzionamento dello "schema di certificazione", se no si rischiano derive e interpretazioni non controllate.

sabato 5 febbraio 2022

Qualificazione dei servizi cloud delle PA

Glauco Rampogna (un Idraulico della privacy) mi ha segnalato la pubblicazione degli atti per qualificare i servizi cloud delle PA:
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.

Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è leggermente fuorviante, visto che parla di classificazione, che si trova in altri documenti, e non cita il cloud).

Un documento riguarda la predisposizione dell'elenco e della classificazione di dati e di servizi delle PA e prevede un questionario. Non so come accedere al questionario e immagino sia a disposizione solo delle PA.

Un altro documento riporta, nell'allegato A2, i "livelli minimi di sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri anche se non si erogano servizi cloud per le PA.

Nello stesso documento è presente un Allegato B2, con riportate le "caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità dei servizi cloud per la PA".

Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud per la PA.

I documenti fanno spesso riferimento al "Regolamento", ossia al ""Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione". Il nome è in effetti un po' lungo e non aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12 3065_725_1.html.

In esso sono riportati criteri di classificazione dei dati e dei servizi digitali (articolo 3, comma 3). Purtroppo mi erano sfuggiti a dicembre, ma li trovo interessanti perché, in sostanza, prevedono una classificazione molto semplice in 3 livelli e non prevede etichettatura. Mi viene da pensare che potrebbero essere usati come base di partenza per la classificazione (e la non-etichettatura) anche dalle organizzazioni non della PA.

Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di miglioramento generale della sicurezza, vengano presto messi a disposizione in un altro formato.