martedì 26 aprile 2022

CNIL dichiara illegali i Google Analytics

Il CNIL, su reclamo dell'associazione noyb, ha in sostanza dichiarato illegale l'uso dei Google Analytics:
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.

Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai servizi di intelligence degli USA.

Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa notizia.

Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics (anche se io non saprei come fare dal mio blog). Temo però che la stessa decisione possa applicarsi alle altre soluzioni Google (penso all'email e al file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più difficile cambiare. Spero di leggere interpretazioni e casi di studio interessanti.

venerdì 15 aprile 2022

Stato degli standard ISO/IEC 270xx

Agli inizi di aprile 2022 si sono tenuti i meeting del ISO/IEC JTC 1 SC 27, ossia del gruppo che segue gli standard della famiglia ISO/IEC 27001, sicurezza e privacy.

Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.

Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.

lunedì 11 aprile 2022

Guida per le PMI per la sicurezza e la privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato la "SME Guide on Information Security Controls" della SBS:
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.

La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.

Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.

venerdì 8 aprile 2022

Certificazioni GDPR: il punto della situazione

Elia Barbujani mi ha intervistato per IusLaw Web Radio su "Certificazioni GDPR: il punto della situazione":
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.

Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.

mercoledì 6 aprile 2022

Analisi dei nuovi controlli della ISO/IEC 27002

Giulia Zanchettin mi ha segnalato questa pagina web dal titolo "Detailed explanation of 11 new security controls in ISO 27001:2022":
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.

Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.

Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.

Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.

Pubblicazione Enisa sugli standard di valutazione del rischio

Glauco Rampogna mi ha segnalato la pubblicazione ENISA dal titolo "Risk management standards":
- https://www.enisa.europa.eu/publications/risk-management-standards.

Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.

Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.

Guida CERT EU sulla sicurezza

Il CERT EU ha pubblicato la "Security Guidance 2022-01 - Cybersecurity mitigation measures against critical threats":
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.

Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.

PCI DSS 4.0

Fabio Guasconi di Bl4ckSwan ha segnalato la pubblicazione della PCI DSS 4.0:
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).

Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.

martedì 5 aprile 2022

Rapporto Clusit 2022

Se qualcuno non l'avesse ancora notato, il Clusit ha pubblicato il suo rapporto "sulla sicurezza ICT in Italia":
https://clusit.it/rapporto-clusit/.

Sempre pieno di dati interessanti.

Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.

lunedì 4 aprile 2022

Incidente: mezzi meccanici che non funzionano senza l'IT

Pierluigi Stefli mi ha segnalato questa notizia dal titolo "Furto in un'azienda agricola di Rottofreno: rubati oltre 250mila euro di materiale":
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.

In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.

Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".

Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).

BCI Horizon Scan Report 2022

Il BCI ha pubblicato la versione 2022 del suo Horizon Scan Report:
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.

Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.

La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.