Guida ENISA sul Data protection engineering

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione da parte di ENISA della guida "Data protection engineering":
- https://www.enisa.europa.eu/publications/data-protection-engineering.

E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.

E' comunque una lettura utile e consigliata.

Libro "Rischio digitale Innovazione e Resilienza" del Clusit

Segnalo il libro dal titolo (con troppe maiuscole, ahimè) "Rischio digitale Innovazione e Resilienza: Conoscere, affrontare e mitigare il rischio digitale":
- https://risk.clusit.it.

E' liberamente scaricabile.

Ho contribuito anche io e ne sono molto contento.

Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.

Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).

Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".

NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)

Il NIST ha pubblicato la SP 1800-10 con titolo "Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector":
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.

Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).

Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.

Corso (gratuito) sulla ISO/IEC 27701

Ho avuto modo di conoscere (tramite social) Leocadio Marrero Trulillo. Ho quindi scoperto che tiene numerosi corsi sulla sicurezza e lui stesso mi ha segnalato questo suo video "Bootcamp Sochisi 2022 - Taller N°5: Uso práctico empresarial de la Privacidad ISO 27701":
- https://www.youtube.com/watch?v=lxVLCz0o1HE.

Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la Fundación Sochisi, però mi sembra che ci sia materiale decisamente interessante.

Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po' invidioso per la chiarezza con cui i vari argomenti sono presentati.

VERA 7 - In lavorazione

Sto lavorando al VERA 7, con un'impostazione leggermente diversa dalle precedenti. Niente di sconvolgente, eh... Solo che volevo semplificare un po' l'aggiunta delle minacce e dei controlli in modo da poter integrare più valutazioni del rischio.

Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio volentieri.

Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di gestione.

NSA Network Infrastructure Security Guidance

@CISAgov recommends the Il CISA (Cybersecurity and Infrastructure Security Agency degli USA) ha segnalato che l'NSA ha pubblicato un documento dal titolo "Network Infrastructure Security Guidance":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.

Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio avviso, usato validamente come riferimento per la configurazione della rete.

Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo altrettanto completo e rigoroso, ma orientato allo studio (come era "Building Internet Firewalls", del 2000). Però sono sicuro che un sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà, a parte il tempo da dedicarci, ovviamente.

Giovedì 17 marzo: mio breve intervento sulla ISO/IEC 27005 al Security Summit

Il 15-17 marzo ci sarà il Security Summit nella Milano virtuale:
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.

Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione "Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per eventi", alternativo a quello "per asset".

Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC 27001.

Mio corso di introduzione alle ISO/IEC 27001 e 27002 per Digital&Law Academy

Con Digital&Law Academy ho preparato un corso di 6 ore da seguire online sugli standard ISO/IEC 27001 e ISO/IEC 27002 per la sicurezza delle informazioni:
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.

E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002, la ISO/IEC 27701.

E' a pagamento (350 Euro).

Tempi per forzare le password

Glauco Rampogna degli Idraulici della privacy ha segnalato una tabella che indica il tempo per forzare le password con forza bruta. Si può scaricare da qui:
- https://www.hivesystems.io/password-table.

In sostanza, è meglio avere password di almeno 11 caratteri.

Mia intervista su IusLaw Web Radio sulla ISO/IEC 27002

Elia Barbujani mi ha fatto l'onore di intervistarmi sulla nuova ISO/IEC 27002:
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.

Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.

Vulnerabilità in Zabbix

Dal SANS NewsBites segnalo questo articolo dal titolo, non molto chiaro, "Zabbix vulnerabilities added to CISA catalog":
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.

Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA). Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza di un prodotto (anche) di sicurezza.

Le patch sono disponibili da dicembre.

Lo segnalo per ricordare di prestare attenzione anche a queste cose.

Toyota ferma a causa di un incidente IT presso un fornitore

Il titolo "Toyota suspends domestic factory operations after suspected cyber attack" dice molto di questo articolo (che io segnalo dopo averlo visto sul SANS NewsBites):
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.

In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma rientra sicuramente nei casi di "supply chain attack" e non nell'ambito strettamente informatico.

Sarà interessante sapere di più dell'incidente.