venerdì 29 luglio 2022

Articolo sulla EN 17799 (certificazioni GDPR)

Segnalo questo articolo di Fabio Guasconi dal titolo "Certificazioni GDPR, entra in gioco l'ente di normazione europeo: ecco perché è una svolta":
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.

Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.

giovedì 28 luglio 2022

Privacy: nuovo Registro delle opposizioni

Grazie a Silvestro Marascio di DFA ho i riferimenti al DPR che, dal 27 luglio 2022, estende il Registro delle opposizioni a cellulare e posta cartacea. Prima il Registro serviva solo per il telefono fisso.

Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.

Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.

Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.

Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.

martedì 26 luglio 2022

Sulle competenze (un articolo)

Avevo scritto in merito alla carenza di esperti di sicurezza (http://blog.cesaregallotti.it/2022/06/mancanza-di-esperti-di-sicurezza-cyber.html). A questo proposito, Toto Zammataro di AlixPartners mi ha segnalato questo articolo:
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.

Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".

E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.

L'articolo è interessante anche in altri punti e ne consiglio la lettura.

mercoledì 20 luglio 2022

ISO/IEC 27400:2022 sulla sicurezza IoT

Monica Perego mi ha segnalato la pubblicazione della ISO/IEC 27400:2022 dal titolo "Cybersecurity - IoT security and privacy - Guidelines":
- https://www.iso.org/standard/44373.html.

Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.

Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.

DPCM 92/2022 - Regolamento per l'accreditamento dei laboratori al CVCN

Glauco Rampogna mi ha segnalato l'uscita in Gazzetta del DPCM 92/2022, ossia del Regolamento per l'accreditamento dei laboratori di prova al CVCN:
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.

Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.

Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.

Interessante osservare che non è previsto alcun intervento di Accredia.

Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.

martedì 19 luglio 2022

Rapporti SOC 2 - un piccolo studio

Periodicamente mi arrivano richieste in merito ai rapporti SOC 2. Ho chiesto aiuto a Marco Ondoli di Grant Thornton e a Fabrizio Bulgarelli di PKF, che mi hanno fornito materiale e chiarimenti per capire la questione. Li ringrazio molto ed è bene precisare che quanto segue è una mia rielaborazione e gli eventuali errori sono tutti miei e non loro.

Intanto mi ha aiutato la "SOC 2 User Guide" di ISACA (non la trovo più disponibile online). Da qui ho capito che:
- i rapporti SOC servono per dimostrare alle organizzazioni l'efficacia dei propri controlli operativi;
- fino al 2011, la pubblicazione di riferimento era la SAS 70 della AICPA ed era relativa ai rapporti per le organizzazioni che volevano dimostrare l'efficacia della progettazione e dell'esercizio dei controlli con impatto sui rapporti contabili;
- dal 2011 sono entrati in vigore i 3 tipi di rapporti SOC 1, SOC 2 e SOC 3 (SOC sta per Service organization control);
- i rapporti SOC 1 sono relativi ai controlli interni sui rapporti contabili (ICFR, internal control over financial reporting) e sono descritti dalla SSAE 18 e dalla ISAE 3402; in precedenza erano descritti dalla SSAE 16);
- i rapporti SOC 2 e SOC 3 sono descritti dalla SSAE AT Section 101 e servono alle organizzazioni che forniscono servizi informatici (service provider) a clienti (user entitiy) a descrivere i controlli relativi a sicurezza, disponibilità, integrità delle elaborazioni, riservatezza e privacy (questi sono i 5 principi);
- i rapporti SOC 2 descrivono i sistemi IT oggetto del rapporto, i controlli progettati e i test condotti e riportano un parere degli auditor in merito all'efficacia dei controlli; la loro distribuzione dovrebbe essere ristretta;
- i rapporti SOC 2 di tipo 1 descrivono i controlli progettati in un certo momento specifico;
- i rapporti SOC 2 di tipo 2 descrivono anche l'efficacia dei controlli in esercizio lungo un certo periodo di tempo;
- i rapporti SOC 3 riportano solo la descrizione dei sistemi IT oggetto del rapporto e il parere degli auditor in merito all'efficacia dei controlli.

I rapporti SOC 2 devono riportare le seguenti sezioni:
- Description of the service organization's system, che deve essere abbastanza approfondita per poter identificare i rischi pertinenti e far capire al cliente se i sistemi che lo riguardano sono inclusi;
- A written assertion by management of the service organization;
- Design and operating effectiveness testing results, dove sono descritti con maggiore dettaglio e valutati i controlli;
- The service auditor's expressed opinion.

A questo punto ci si può chiedere come valutare i controlli. Ossia se esiste una sorta di check list. La risposta è no, perché la check list può essere ricavata da altri documenti. ISACA, ovviamente, suggerisce di usare COBIT.

Per i servizi cloud è invece possibile usare la CCM della cloud security alliance. E' stato prodotto un rapporto di esempio:
- https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/soc2_csa_ccm_report.pdf.

E' disponibile online il rapporto SOC 3 di Dropbox, che non sembra seguire uno schema preciso:
- https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/business/trust/soc/dropbox-soc-3.pdf.

Non sono previsti corsi su questi rapporti. E' come se facessero parte della "normale" formazione degli auditor tecnici delle società di revisione contabile. Anche leggendo il rapporto di Dropbox si capisce che (come mi scrive Fabrizio Bulgarelli) "dietro a questo documento ci sta tutto il lavoro in dettaglio che non viene reso pubblico, come nelle certificazioni ISO. Ogni società di revisione, ogni team di revisione, usa un suo metodo di attestazione".

Infine sembra che i rapporti SOC possano essere emessi solo da società di revisione contabile.

Guida per le PMI per la sicurezza e la privacy - in italiano

E' stata pubblicata la "Guida ai controlli di sicurezza delle informazioni per le piccole e medie imprese":
- https://www.digitalsme.eu/cybersecurity-e-pmi-pubblicata-la-guida-europea-per-le-pmi-sui-controlli-di-sicurezza-delle-informazioni.

Ne avevo scritto quando era uscita la versione in inglese:
- http://blog.cesaregallotti.it/2022/04/guida-per-le-pmi-per-la-sicurezza-e-la.html.

Ripeto quanto scrissi. La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001. Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.

martedì 12 luglio 2022

Video spiegazione su VERA 6

Agostino Oliveri di Sicurdata mi ha chiesto di registrare un video di spiegazione sull'uso di VERA 6. Eccolo qui:
- https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.

Intanto ho cercato di non pubblicarlo con YouTube, ma su MyRaspTube, che fa parte del PeerTube, che a sua volta fa parte del fediverso (https://notes.nicfab.it/it/posts/mastodon/). Tutto ciò per me è nuovissimo, ma ho colto questa occasione per sperimentare un pochino. Prego di segnalarmi problemi (e poi, quando avrò un po' di tempo, potrei cercare di spostare il blog da Blogger).

Claudio Sartor mi ha segnalato che alcuni filtri di rete non permettono l'accesso a MyRaspTube. Quindi ho caricato il video sul mio sito:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2022-07-08-Vera06-ITA-Spiegazione.mp4.

giovedì 7 luglio 2022

Accessibilità anche dai privati

Franco Vincenzo Ferrari di DNV mi ha segnalato questo articolo dal titolo "Linee guida AgID per l'accessibilità dei siti web: i nuovi obblighi per le grandi aziende":
- https://www.agendadigitale.eu/cittadinanza-digitale/linee-guida-agid-per-laccessibilita-dei-siti-web-i-nuovi-obblighi-per-le-grandi-aziende/.

Così ho scoperto che, con il DL 76/2020, la Legge 4/2004 (Legge Stanca sull'accessibilità) è stata estesa anche le grandi imprese, e non solo la PA, "a garantire a persone con disabilità l'accessibilità dei propri servizi, erogati tramite siti web o applicazioni".

Alla pagina https://www.agid.gov.it/it/linee-guida è possibile scaricare le "Linee guida sull'accessibilità degli strumenti informatici – Per i soggetti erogatori di cui all'art 3 comma 1-bis della legge n. 4/2004". Purtroppo la pagina le riporta come "Linee guida" e basta e bisogna avere un po' di fantasia per trovarle.

Le linee guida non si applicano al solo web, ma ai documenti che sono incorporati nelle pagine web e che sono utilizzati nella rappresentazione o che sono destinati a essere rappresentati insieme alla pagina web in cui sono incorporati, alle web app, al software incorporato nelle pagine web e utilizzato nella rappresentazione o destinato alla rappresentazione insieme alla pagina web in cui è incorporato.

Mi sembra una bella iniziativa, anche se comporterà investimenti per alcune aziende. Penso che anche le altre aziende dovrebbero seguire queste linee guida, anche adottandole con minor fretta.

Ancora su Google Analytics

La faccenda Google Analytics non è banale e su questa ho ricevuto ulteriori contributi.

Il primo è di Claudio Sartor che mi ha consigliato i due video di Matteo Flora:
- Analizziamo il problema: https://youtu.be/Dz_lIYXUhFU;
- Quali soluzioni: https://youtu.be/Q981BTuaEoQ.

Non li ho guardati perché non mi trovo a mio agio a seguire i video. Preferisco la lettura (mi permette di saltare dove voglio, tornare facilmente indietro, sottolineare, copincollare per ulteriori ricerche). Però Matteo Flora è molto bravo e quindi questo può essere utile.

lunedì 4 luglio 2022

2022 CWE Top 25 Most Dangerous Software Weaknesses

E' stata pubblicata la lista "2022 CWE Top 25 Most Dangerous Software Weaknesses":
- https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html.

La lettura è resa complicata perché, per leggere le raccomandazioni, è necessario accedere alla pagina di ogni vulnerabilità e poi consultare la sezione "Potential Mitigations". Per come ragiono io, avrei preferito leggere le raccomandazioni per poi approfondire, eventualmente, quali minacce contrastano. Questa iniziativa è comunque notevole.

sabato 2 luglio 2022

Vietare Google Analytics

Il Garante privacy, in pochissime parole, ha vietato l'uso di Google Analytics in quanto opera un trasferimento eccessivo di dati negli USA. Gentilmente, il Garante lascia tempo di adeguarsi fino a inizio settembre. Il Provvedimento:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.

A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in modo chiaro e sintetico:
- https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il-garante-privacy-e-ora/

Segnalo anche il contributo di Pietro Calorio (un Idraulico della privacy) su LinkedIn, anch'esso chiaro e sintetico:
- https://www.linkedin.com/posts/pietrocalorio_google-analytics-e-privacy-studio-legale-ugcPost-6947462798889127938-pDJz

Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni italiane);
- https://matomo.org/ (può essere installato su propri server).

Questo articolo, dal titolo "Google Analytics vietato in Italia: ecco 5 alternative (gratis e non)", ne segnala altre:
- https://www.wired.it/article/alternative-google-analytics/.

C'è chi intanto parla di Google Analytics 4, attivi da qualche tempo e che non registrano gli indirizzi IP. Anzi, se non ho capito male, non usa proprio i cookie. Non so, a questo punto, se dal punto di vista della privacy, sia un bene, anche perché forse la soluzione prevede il trasferimento comunque di dati personali, anche se non grazie ai cookie.

Andrebbe quindi letto con prudenza questo articolo dal titolo "Google Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/.

NIST su digital forensics e OT

Glauco Rampogna mi ha segnalato la pubblicazione del NIST "NISTIR 8428 - Digital Forensics and Incident Response (DFIR) Framework for Operational Technology (OT)":
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.

E' molto interessante, fosse anche solo per capire alcune peculiarità di sicurezza degli ambienti OT.