Accredia ha pubblicato la Circolare tecnica DC N° 12/2023 con titolo "Avvio
accreditamento, ambito PRD, schema di certificazione EuroprivacyTM/®":
-
https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.
In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da
Europrivacy per accreditare, a livello italiano, gli organismi di
certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati
personali. Il meccanismo è stato concordato a livello EA, ossia di
accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.
Deduco, in poche parole, che il percorso di certificazione secondo gli
articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno
essere coinvolti i "soliti" organismi di certificazione, secondo modalità
già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque
ricordato che quelle citate sono certificazioni di sistemi di gestione,
mentre la certificazione Europrivacy è di processo o servizio, quindi con
significative differenze.
Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 28 febbraio 2023
lunedì 27 febbraio 2023
"Interoperable EU Risk Management Toolbox" di ENISA
Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il
documenti "Interoperable EU Risk Management Toolbox":
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.
Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.
Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).
Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.
Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.
Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).
Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.
Il futuro di SPID (e della CIE)
Da Project:IN Avvocati, segnalo questo articolo di Wired dal titolo "I
contratti per gestire Spid stanno per scadere. E non c'è un accordo per
rinnovarli":
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.
Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.
La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.
Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.
Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.
La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.
Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)
domenica 19 febbraio 2023
Best Cyber Insights of 2023
Claudio Sartor mi ha segnalato questo post su LinkedIn:
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.
Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.
Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".
Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.
Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.
Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".
Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.
mercoledì 15 febbraio 2023
NIST Cybersecurity Framework 2.0 in lavorazione
Da Crypto-gram del 15 febbraio, segnalo che sono iniziati i lavori per
l'aggiornamento del NIST Cybersecurity Framework:
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.
Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).
E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.
Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).
E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.
martedì 14 febbraio 2023
Regole di transizione alla ISO/IEC 27001:2022
Accredia ha approvato il 25 gennaio 2023 la circolare con le regole di
transizione delle certificazioni ISO/IEC 27001:2013 alla ISO/IEC 27001:2022:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.
Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.
Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".
venerdì 10 febbraio 2023
Ancora sui Google Analytics
La storia dei Google Analytics ormai è vecchia, ma un cliente in questi
giorni mi ha chiesto chiarimenti e, proprio proprio a proposito, Guido
Scorza dell'Autorità Garante Privacy mi ha fatto il piacere di pubblicare un
articolo dal titolo "Google Analytics, Scorza: Ecco cosa devono sapere le
aziende":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.
ISO 31700: mio brevissimo articolo di presentazione
Segnalo questo mio brevissimo articolo dal titolo "Privacy by design:
requisiti e casi d'uso della norma ISO 31700":
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.
L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.
L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".
martedì 7 febbraio 2023
Numero degli utenti UE per i servizi digitali
Mi sono imbattuto (grazie inizialmente a Project:IN Avvocati) in questa
notizia "Digital Services Act: Commission provides guidance for online
platforms and search engines on publication of user numbers in the EU":
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.
Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).
Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.
Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).
Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.
giovedì 2 febbraio 2023
Libro "Sicurezza Informatica - Spunti ed Approfondimenti"
Segnalo che è liberamente scaricabile il libro "Sicurezza Informatica –
Spunti ed Approfondimenti" di Andrea Pasquinucci:
- https://www.ictsecuritymagazine.com/pubblicazioni/.
Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.
- https://www.ictsecuritymagazine.com/pubblicazioni/.
Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.
Iscriviti a:
Post (Atom)