La notizia viene dal SANS NewsBites, che segnala un articolo dal titolo
"Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth
Apps":
-
https://www.darkreading.com/application-security/cyberattackers-compromise-microsoft-exchange-servers-malicious-oauth-apps.
Ancora una volta, per proteggersi bisogna: attivare il multi-factor
authentication almeno per gli utenti privilegiati, politiche di controllo
accesso condizionale (che la ISO/IEC 27001 chiama "gestione dinamica degli
accessi"). Sono raccomandate altre pratiche come l'autenticazione anche del
dispositivo, la limitazione temporale delle sessioni, l'attivazione di
allarmi in caso di tentativi di accesso falliti.
Sono cose note e stranote a chi si occupa di sicurezza, ma spesso non
applicate.
mercoledì 28 settembre 2022
sabato 24 settembre 2022
Decreto trasparenza e privacy - Cirolare 19 del Ministero del lavoro
Del Decreto trasparenza e privacy scrissi a suo tempo:
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
giovedì 15 settembre 2022
7 ottobre a Mestre: mio intervento per ISACA Venice
Il 7 ottobre mi hanno invitato a tenere un intervento per ISACA Venice. Ne
sono molto onorato:
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
20 settembre 2022 a Faenza: convegno sul business continuity
Non sono solito segnalare eventi, ma questo è organizzato da Stefano
Ramacciotti, del quale ho molta stima (e infatti ha contribuito anche alla
scrittura del mio libro).
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
lunedì 5 settembre 2022
Libro di Paul C. van Oorschot. Computer Security and the Internet
In un'estate per me avara di letture interessanti, ho avuto l'occasione di
leggere il libro di Paul C. van Oorschot dal titolo "Computer Security and
the Internet: Tools and Jewels from Malware to Bitcoin (Second Edition)". Il
libro si trova gratuitamente sul sito dell'autore:
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
Iscriviti a:
Post (Atom)