Per allietare le vacanze di tutti, ho caricato il VERA 7.1 (il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazoni) in italiano e in inglese sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.
Il 7.1 in italiano è una correzione del 7.0 già pubblicato, mentre il 7.1 in
inglese è la sua traduzione (con l'inglese ero rimasto fermo al 6.0).
Il VERA 7.1 riporta i controlli della ISO/IEC 27001:2013 e quelli della ISO/IEC 27001:2022.
E' morto Kevin Mitnick, uno degli hacker più abili. Non un grande tecnico, ma uno con la capacità di inventare tecniche per ingannare le persone e spingerle a svelare password e altri segreti.
Consiglio a chiunque si occupa di sicurezza di leggere il suo primo libro, "L'arte dell'inganno": https://www.feltrinellieditore.it/opera/larte-dellinganno-1-2/. Anche se è del 2002, quindi con riferimenti tecnologici obsoleti, è ancora fondamentale proprio perché la tecnologia non è così importante.
La notizia l'ho appresa da Not Boring Privacy: https://www.instagram.com/p/Cu6GaqXtYnj/?igshid=MTc4MmM1YmI2Ng.
Grazie alla newsletter di Project:IN Avvocati, vengo a conoscenza del sito web del DoC degli USA per il Data protection framework (DPF), ossia per i trasferimenti di dati da UE a USA: https://www.dataprivacyframework.gov/.
Segnalo questo comunicato di AgID dal titolo "Nasce INAD, l’Indice Nazionale dei Domicili Digitali": https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/06/06/nasce-inad-lindice-nazionale-domicili-digitali.
Non sono uno che aderisce a queste cose immediatamente (anche per attivare la PEC ci ho messo un bel po'), ma penso che questa iniziativa sia molto importante.
Ci ricordiamo che il Privacy Shield, ossia l'accordo che regolava il traferimento dei dati da Europa a USA, fu invalidato a luglio 2020 (esattamente 3 anni fa). A luglio 2023, dopo esattamente 3 anni (meno qualche giorno) è stato approvato il "EU-US Data Privacy Framework”: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.
Io sarò cauto con i miei clienti, spingendoli a mantenere le modalità seguite da qualche anno, ossia dopo la Schrems II, ossia mantenere in Europa i sistemi informatici o, alla peggio, usare fornitori che adottano le SCC.
Segnalo questo articolo dal titolo "Accesso abusivo a sistema informatico o telematico da parte di dipendenti o collaboratori": https://www.altalex.com/documents/2023/07/05/accesso-abusivo-sistema-informatico-telematico-parte-dipendenti-collaboratori.
In pochissime parole (se ho capito giusto): un dipendente aveva aperto una cartella Dropbox (pubblica!) per scambiare i dati aziendali con clienti e colleghi; poi si licenzia e cambia le credenziali alla cartella in modo che l'azienda non possa più accedervi. Alla fine viene ritenuto colpevole.
A questo proposito è ovvio che è discutibile il fatto che l'azienda abbia permesso al dipendente di aprire una cartella non controllata dall'azienda stessa su un sistema di file sharing pubblico. Vanno però anche ricordate le questioni relative alla "proprietà" della cartella: se è usata per l'azienda, sembra che debba rimanre di "proprietà" dell'azienda.
Davide Giribaldi di Swiss Cyber Com mi ha segnalato la guida di Enisa dal titolo “Good Practices for Supply Chain Cybersecurity” e uscita a fine maggio: https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity
Riporto le considerazioni di Davide, che ringrazio:
“La Guida è riferita solo all’analisi degli operatori essenziali (che poi non si chiameranno più così per la NIS2) e importanti.
La mia impressione è che evidenzi un aspetto interessante, ovvero la difficoltà non tecnica, ma organizzativa e culturale alla responsabilizzazione delle terze parti. (Fig. 6 pag. 12 del report) dove la certificazione di uno standard (ISO/IEC 27001 ad esempio) viene visto come elemento di garanzia (corretto se si esce dalla logica nota a tutti che spesso, per le PMI, le certificazioni sono pezzi di carta necessari e non una vera e propria filosofia su cui basare la strategia aziendale), ma allo stesso tempo evidenzia difficoltà ad adottare criteri come quello dell’audit sul campo nei confronti dei fornitori.
Molto interessante anche il risultato della verifica sui criteri aziendali considerati per la valutazione dei rischi informatici della catena di fornitura. Tra questi segnalo la “spesa” fatta nei confronti del fornitore, considerato il terzo più importante.
Sia chiaro, più spendo nei confronti di un fornitore, più mi fido dei suoi prodotti e servizi, ma non credo sia un elemento oggettivo di cybersecurity”.
