venerdì 25 novembre 2022

EN 17640 sulla certificazione dei prodotti ICT

Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.

Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).

Digital resignation

Segnalo questo interessante articolo dal titolo "Digital resignation: Non dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.

Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.

venerdì 18 novembre 2022

Convegno Accredia sulle certificazioni di cybersecurity

Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:  

- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.

Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango perplesso sulla spinta a sviluppare schemi nazionali di certificazione).

Guide per lo sviluppo sicuro di NSA

Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo sviluppo sicuro.

Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.

Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.

Si tratta di cose note, ma ben approfondite.

mercoledì 16 novembre 2022

"Data Breach Investigations Report" di Verizon

Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.

Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.

lunedì 7 novembre 2022

ISO survey 2021

E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.

Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).

Nuova ISO/IEC 27001: l'articolo definitivo

Con molta umiltà, segnalo l'articolo scritto da me e Fabio Guasconi dal titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.

giovedì 3 novembre 2022

Pubblicato il rapporto semestrale di NCSC

Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.

In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.

Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS

Dal SANS Newsbites apprendo che CISA FBI MS-ISAC hanno pubblicato la guida "Understanding and Responding to Distributed Denial-of-Service Attacks":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.

Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".

Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.

martedì 1 novembre 2022

Presentazione sulla nuova ISO/IEC 27005:2022

Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.

Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".

Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.

Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.