lunedì 31 ottobre 2022

I cambiamenti della ISO/IEC 27001:2022

Glauco Rampogna (grazie!) mi ha segnalato questa presentazione dove sono indicate le differenze tra la ISO/IEC 27001:2013 e la ISO/IEC 27001:2022:
- https://www.linkedin.com/posts/andreyprozorov_new-iso-270012022-activity-6990611587405369344-2ncm.

Il testo precedente e quello nuovo sono messi a confronto e si capiscono bene le differenze.

Sulle conclusioni ho invece molte perplessità: a parte i punti 1 e 2, che sono fuori discussione, gli altri punti richiamano procedure o strumenti non necessari e non le registrazioni, che invece sono necessarie (riesame di direzione, obiettivi, eccetera).

Digital service act (DSA)

Chiara Ponti, Idraulica della privacy, mi ha segnalato la pubblicazione del Regolamento europeo 2022/2065, noto come Digital service act (DSA):
- http://data.europa.eu/eli/reg/2022/2065/oj.

Esso modifica, tra gli altri, la Direttiva e-commerce (2000/31/CE, recepita in Italia con il D.Lgs. 70 del 2003).

Chiara Ponti mi ha dato i suoi appunti sugli aspetti che lei ritiene più importanti. Spero di non sbagliare e li diffondo:
- nuovi obblighi di trasparenza per la pubblicità mirata basata su profilazione degli utenti;
- introduzione di misure mirate alla tutela di minori e soggetti fragili (il tragico caso inglese Molly Russel - 14enne suicida a seguito di abbuffata di post negativi autolesionisti ecc, ha fatto purtroppo scuola);
- divieto di utilizzare tecniche ingannevoli per manipolare o influenzare le scelte degli utenti (c.d. dark pattern);
- obbligo di rapida rimozione di contenuti illeciti;
- obbligo per gli e-commerce e i marketplace di assicurare agli utenti l'acquisto di prodotti o servizi sicuri, verificando l'identità dei commercianti e l'affidabilità delle informazioni fornite;
- introduzione della figura del "responsabile della conformità" ("compliance officer": era ora!), un soggetto nominato dai fornitori di servizi online che avrà il compito di monitorare l'osservanza del Regolamento.

Grazie Chiara!

PS: entrerà in vigore il 17 febbraio 2024 (grazie a Davide Foresti per quest'ultima informazione).

Data governance act (DGA)

A giugno 2022, in Gazzetta europea è stato pubblicato il Data governance act (Regolamento UE 2022/868). Segnalo quindi il comunicato stmpa del Consiglio dell'UE:
- https://www.consilium.europa.eu/it/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/.

La notizia me l'ha data Chiara Ponti, Idraulica della privacy che ringrazio. Chiara ha scritto a sua volta un articolo interessante:
- https://www.zerounoweb.it/cio-innovation/open-innovation/data-governance-act-che-cose-e-quali-novita-introduce/.

In sostanza, il DGA riguarda il trasferimento di dati "che potrebbero essere protetti dalla legislazione in materia di protezione dei dati, dalla proprietà intellettuale oppure contenere segreti commerciali o altre informazioni commerciali sensibili". Si tratta di regole per:
- la condivisione di dati detenuti da enti pubblici (e che devono garantire opportune misure di sicurezza);
- la condivisione di dati tra imprese e singoli (attraverso servizi di intermediazione che a loro volto devono rispettare specifiche regole);
- messa a disposizione di dati per il bene comune (altruismo dei dati per il bene comune; le organizzazioni che li usano devono rispettare specifici codici di condotta).

Sono previsti meccanismi di certificazione per i fornitori di servizi di intermediazione e le organizzazioni per l'altruismo dei dati.

A dirla tutta, non ho capito esattamente i casi d'uso di questo regolamento, ma ho fiducia che, prima o poi, ce la farò.

mercoledì 26 ottobre 2022

Servizi online, necessario l'https

Il Garante ha sanzionato un'azienda perché usava il protocollo http e non https (per cifrare le trasmissioni) per l'accesso all'area riservata, usata per visualizzare lo storico delle bollette di un fornitore di servizi idrici:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9817058.

Anche il mio sito, con solo pagine statiche, usa https!

Raccomandazioni del CISA per la sicurezza di Microsoft 365

Dal SANS Newsbyte segnalo che il CISA ha pubblicato la bozza delle "M365 Minimum Viable Secure Configuration Baseline":
- https://www.cisa.gov/scuba.

La guida è per Microsoft Defender for Office 365, Microsoft Azure Active Directory, Microsoft Exchange Online, OneDrive for Business, Power BI, Power Platform, SharePoint Online, Teams.

martedì 25 ottobre 2022

Pubblicata la ISO/IEC 27005:2022 sulla gestione del rischio

La ISO/IEC 27005:2022 è stata pubblicata:
- https://www.iso.org/standard/80585.html.

Questa norma tratta della gestione del rischio relativo la sicurezza delle informazioni.

Essa è stata cambiata in modo significativo per uscire dall'unico approccio basato su asset e relative minacce e vulnerabilità, oggi difficile da seguire e che non sempre fornisce risultati utili. E' stato affiancato da un approccio basato su "eventi" (in sostanza la stessa cosa, ma viene meno lo stretto collegamento con gli asset, anche se ovviamente gli eventi vanno identificati e valutati considerando quanto "c'è in casa").

Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta di una norma "di transizione". Il suo valore, a mio parere, è soprattutto quello di superare un approccio, peraltro non condiviso da altre discipline (che io raccomando sempre di analizzare con interesse).

Pubblicata la ISO/IEC 27001:2022

Giovanni Sadun oggi mi ha dato la notizia per primo. La ISO/IEC 27001:2022 è stata pubblicata:
- https://www.iso.org/standard/82875.html.

Ricordo che il cambiamento è all'Annex A, che adesso fa riferimento ai controlli della ISO/IEC 27002:2022 di cui scrissi tempo fa (ma sbagliai indicando che sarebbe stata pubblicata nel 2021):
https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.

Altri cambiamenti riguardano l'integrazione delle correzioni del 2014 e 2015, il cui significato più importante è che non è necessario redigere la Dichiarazione di applicabilità (Statement of applicability) sulla base dei controlli nell'Appendice A, ma può seguire altri insiemi, purché altrettanto esaustivi dell'Appendice A.

Tempi di transizione: tutti i certificati devono essere convertiti entro il 31 ottobre 2025.

giovedì 13 ottobre 2022

Privacy: Approvato il primo schema di certificazione europeo

Cado dalla sedia perché EDPB ha approvato il primo schema di certificazione (o, meglio, di sigillo europeo):
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en.

Il sito di Europrivacy è questo:
https://europrivacy.com/.

Confermo però la mia idea che uno schema così importante dovrebbe essere gestito da entità "pubbliche" e non da entità private, per quanto competenti e corrette. E così pure le specifiche dovrebbero essere oggetto di standardizzazione almeno europea.

Comunque è importante osservare che l'iniziativa ha avuto fin qui successo e dovrà essere presa come punto di riferimento.

mercoledì 12 ottobre 2022

Tool di attacco e difesa (e di controllo delle autorizzazioni su Active Directory)

Dal SANS NewsBites del 11 ottobre, leggo la notizia "US HHS HC3 Presentation on Risks Posed by Legitimate Security Tools". Essa rimanda alla notizia su SC Magazine:
- https://www.scmagazine.com/analysis/risk-management/ongoing-abuse-of-legitimate-security-tools-pose-threat-to-healthcare-hc3-warns.

Si tratta di un elenco di strumenti che possono essere usati per aumentare il livello di sicurezza dei sistemi e della rete, ma anche per attaccarli. La lettura è piuttosto tecnica.

Mi sono incuriosito soprattutto ai tool per il controllo delle autorizzazioni su Active Directory (in particolare AccessEnum dei Sysinternals), attività sempre difficile da fare. Per questo ho trovato interessante l'articolo "Top 11 NTFS Permissions Tools for Smarter Administration" (sul sito web di uno dei tool raccomandati):
- https://blog.netwrix.com/2021/01/13/ntfs-permissions-tools/.

martedì 11 ottobre 2022

Come valutare un SOC

Ringrazio Luca Moroni di Via Virtuosa perché mi ha segnalato i webinar, in italiano, dei Cyber security angels.

Li ho ascoltati (non tutti, ovviamente) e segnalo in particolare quello intitolato "SoC QoS Ovvero elementi valutativi per un Security Operations Center":
- https://www.youtube.com/watch?v=ECB7lX6P49Q.

Mi sembra molto utile per capire come dovrebbe funzionare un SOC e anche perché i KPI, in sicurezza, vanno trattati con molta cautela.

Stato degli standard ISO/IEC 270xx

Il 4 e 5 ottobre 2022 si è tenuto il meeting semestrale del ISO/IEC JTC 1 SC 27 WG 1, il gruppo che si occupa della standardizzazione relativa ai sistemi di gestione per la sicurezza delle informazioni (ossia le norme della famiglia ISO/IEC 27000). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle informazioni: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il pregio di superare l'impostazione basata sul censimento degli asset, a mio parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la pubblicazione della nuova edizione per primavera 2023; non ha grandi novità, ma è stata aggiornata per poter mettere ordine anche nelle regole di accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017 (con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il settore dell'energia); sono in fase di aggiornamento per essere allineate alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011 nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.

Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27701: rimane in stato di CD (quindi con pubblicazione non prima di metà del 2024); gran parte della discussione, come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata a breve; non penso sia una norma importante, ma ho imparato molto partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in sostanza, per evitare una revisione completa, ma non ne raccomanderei l'acquisto perché si tratta di cose anche interessanti, ma la verità è che la norma dovrebbe essere completamente aggiornata considerando l'esperienza maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i fornitori di servizi cloud, importante perché richiesti da alcuni bandi di gara italiani: avviato un gruppo per proporre un adeguamento considerando la nuova ISO/IEC 27001.

Transizione alla ISO/IEC 27001:2022

La ISO/IEC 27001:2022 non è ancora pubblicata, ma sono disponibili i requisiti di IAF per la transizione:
- https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf

Segnalo che è stato recepito l'approccio dell'SC 27 per cui l'Annex A della ISO/IEC 27001 non è di requisiti. Pertanto è detto che "The impact of the changes in ISO/IEC 27001:2022 is limited".

La guida chiede di completare la transizione dei certificati entro 3 anni dall'uscita della ISO/IEC 27001.

Sito dell'ISO/IEC JTC 1 SC 27

Segnalo il sito dell'ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa di scrivere le norme di sicurezza delle informazioni e la privacy, tra cui ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, i Common criteria:
- https://committee.iso.org/home/jtc1sc27.

Alcune cose non sono recentissime, ma sono comunque interessanti. Segnalo in particolare il SC 27 Journal, il Volume 2, Issue 2 di luglio 2022, dedicato alla ISO/IEC 27002:2022. In esso c'è un interessantissimo articolo sulla storia di questa norma.

Privacy: Aggiornamento sull'accordo USA-UE per il trasferimento dei dati personali

E' noto che USA e UE si stanno muovendo per arrivare a un nuovo accordo per il trasferimento dei dati personali. Insomma, un Safe Harbour 3.0 o un Privacy Shield 2.0.

Non è ancora stato definito completamente, ma si stanno facendo passi avanti.

Per capire meglio, penso che la newsletter di IN Avvocati sia ottimamente sintetica ed esaustiva:
https://www.linkedin.com/comm/pulse/40-arriva-un-nuovo-accordo-usa-ue-sui-dati-parte-speciale-

domenica 9 ottobre 2022

Mio articolo sulle competenze in ambito di sicurezza informatica

Ho scritto un articolo dal titolo "La cybersecurity e la ricerca delle competenze nel 2022". Si può leggere seguendo il link da questa pagina di lancio:
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.

Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).

sabato 8 ottobre 2022

Mia presentazione "Spunti per lo sviluppo sicuro del software"

Il 7 ottobre 2022, alla "AppSec and Cybersecurity Governance 2022" organizzata da ISACA Venice Chapter, OWASP Italia e Ca' Foscari University a Mestre, ho avuto l'opportunità di presentare alcune riflessioni su cosa non funziona nello sviluppo sicuro del software:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/20220-10-07-Slides-ISACA-Venice.pdf.

L'iniziativa è stata molto bella e ringrazio in particolare Alberto Elia Martin di ISACA Venice per avermi invitato (il programma della giornata è disponibile su https://sites.google.com/owasp.org/assg2022/) e i tanti colleghi che ho avuto modo di incontrare nuovamente o di conoscere di persona.

giovedì 6 ottobre 2022

Cyber o ciber? e non solo

Pierfrancesco Maistrello mi ha segnalato questo articolo sul sito dell'Accademia della crusca dal titolo "La cibersicurezza è importante. L'italiano pure":
- https://accademiadellacrusca.it/it/contenuti/gruppo-incipit-comunicato-n-16-la-cibersicurezza--importante-litaliano-pure/15345.

Richiama alcune mie riflessioni sull'uso incontrollato del termine ciber.

Pierfrancesco mi dice che l'ha trovato citato durante un convegno con il Garante privacy e l'Ispettorato nazionale del lavoro. Lo segnalo per completezza, ma ormai è passato:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9809806.

Zero trust architecture

Da un po' si sente parlare di Zero trust architecture o ZTA. Glauco Rampogna mi scrive "Una nuova buzzword è "Zero Trust"; in 2 soldini "non fidarti del device solo per il solo fatto di averlo nella tua rete". Per questo mi segnala la pagina del NCCOE, che sta producendo alcune guide:
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.

Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.

In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.

Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.

Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.