venerdì 30 giugno 2023

Garante privacy: illecite le email pubblicitarie senza consenso (anche se con il link per disiscriversi)

Il titolo è questo e spiega tutto: "Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9903191#3.

Da ricordare questo link per poterlo mostrare ai tanti che parlano di "consenso soft".

Questionario Clusit per la sicurezza dei fornitori

Il Clusit ha pubblicato un questionario per la selezione di fornitori ICT: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori/.

L'idea è quella di proporre un questionario di riferimento per tutte le organizzazioni che vogliono analizzare i propri fornitori (potenziali e attivi). in merito alla sicurezza informatica.

Questo dovrebbe evitare il proliferare di questionari che, soprattutto ad alcune aziende, richiede troppo lavoro inutile, visto che si assomigliano tutti, ma sono diversi e ciascuno richiede tempo per essere analizzato e per scrivere le risposte.

Applaudo quindi all'iniziativa e la raccomando a tutti.

martedì 27 giugno 2023

18 settembre 2023: Convegno su NIS2 e non solo

Io sono membro del direttivo dell'associazione DFA. Abbiamo organizzato un incontro perché negli ultimi anni sono state pubblicate numerose normative dedicate alla sicurezza dei sistemi informatici e delle reti in Italia e in Unione Europea e il numero e la complessità di queste normative ci hanno posto numerosi interrogativi e li vorremmo affrontare, evidenziandone gli aspetti pratici da affrontare e raccogliendo le esperienze già fatte.

L'incontro ha nome DFA Open day e sarà il 18 settembre 2023 a Milano (all'Università Statale di Milano).

Si parlerà di:

  • Ambito di applicazione e relazioni tra le normative e ruolo delle autorità di controllo;
  • Rischi cyber e come valutarli e affrontarli per rispondere alle normative;
  • Gestione degli incidenti e delle notifiche, considerando i diversi ambiti di applicazione delle normative, le diverse autorità da coinvolgere e le diverse regole da seguire;
  • Sistemi di certificazione, in particolare quelli che saranno promossi da ACN e ENISA;
  • Accordi di condivisione delle informazioni sulla cybersicurezza.

Il link per registrarsi e partecipare (gratuitamente): https://www.eventbrite.it/e/biglietti-nis-2-e-non-solo-applicazione-in-pratica-662307749307.

domenica 18 giugno 2023

Gli uomini possono fare tutto (Giugno 2023)

Questa volta, purtroppo, segnalo un insuccesso. Il 5 giugno alle 14 un mio figlio aveva la festicciola di classe a scuola. Il programma prevedeva un'esecuzione dei bambini di qualche canzone con l'ukulele (Yellow submarine e altre) e poi merenda con le cose portate da ciascuno.

Avevo già un appuntamento per quel pomeriggio e il cliente è stato molto gentile e riuscimmo a concordare una bella riduzione del mio impegno. Però, visto che avrebbe avuto un audit dopo qualche giorno, non annullammo completamente l'incontro. Così mi presentai a scuola alle 15, a concerto finito (ma a merenda ancora da cominciare).

Mio figlio mi fece un bel musone (ci tiene alla mia presenza, nonostante pensi ci siano papà sicuramente migliori di me) e, sinceramente, mi spiacque non essere arrivato per tempo.

Poi ho visto una registrazione di 10 secondi del concerto ed era anche carino. Però il dispiacere è un po' diminuito ;-)

Regolamento DORA

Del Regolamento DORA avevo accennato in precedenza. Nel titolo la R sta per "resilienza" e l'ambito di applicazione è il settore finance. A ben vedere, questa resilienza richiede di occuparsi di sicurezza informatica (reti e sistemi informatici).

Per una prima idea del DORA, segnalo questo articolo di novembre 2022: https://www.cybersecurity360.it/legal/regolamento-dora-cosi-leuropa-garantira-la-resilienza-operativa-digitale-per-il-settore-finanziario/.

L'articolo è di Giancarlo Butti che ha recentemente pubblicato il libro "Manuale di resilienza" (https://www.iter.it/prodotto/manuale-di-resilienza/). Non ho letto il libro e quindi non posso dirne alcunché. Conosco Giancarlo e quindi so che sicuramente è molto interessante.

Bozza dell'Artificial intelligence Act approvata dal Parlamento UE

Non mi sono occupato finora delle proposte normative di intelligenza artificiale. Il motivo principale è che si tratta di normative ancora in fase di elaborazione. Adesso la situazione è avanzata ulteriormente e un articolo di Guerre di rete dal titolo "Intelligenza artificiale - AI Act, l’Europarlamento tiene" permette di capire bene la situazione attuale e gli elementi in discussione: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-leuroparlamento.

 Per capire qualcosa di intelligenza artificiale, anche se in modo non approfondito, ricordo la pubblicazione (gratuita) del Clusit dal titolo "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni": https://iasecurity.clusit.it/. E' di inizio 2021, ma gli argomenti ci sono quasi tutti.

martedì 6 giugno 2023

Operazione "Ghost money"

Enos D'Andrea mi ha segnalato la notizia sull'Operazione "Ghost money": https://www.commissariatodips.it/notizie/articolo/operazione-ghost-money/index.html.

In brevissimo: hanno arrestato una gang che rubava soldi semplicemente presentando falsi mandati SEPA alle banche. L'istituto di credito dava disponibilità di una somma prima di verificare la non genuinità della documentazione depositata e, ovviamente, i criminali si affrettavano a bonificare i fondi su altri conti correnti.

Interessante quindi osservare come meccanismi progettati per velocizzare le operazioni possono essere sfruttati per furti.