CIS Critical Security Controls Version 8.1

Segnalo che ad agosto sono stati pubblicati i CIS Critical Security Controls Version 8.1: https://www.cisecurity.org/controls/v8-1.

L'ho saputo da un post su LinkedIn di Davide Giribaldi e copio alcune sue considerazioni:

• I controlli CIS, non sono un vero e proprio framework, ma una serie di 18 controlli di libera adozione, che partendo dalle 6 funzioni stabilite dal Framework NIST CSF 2.0 (Govern, Identify, Protect, Detect, Respond, Recover) propongono un numero crescente di azioni a seconda della maturità digitale dell'azienda.
• Ogni controllo prevede anche 3 livelli d'implementazione a seconda della maturità cyber dell’organizzazione.

Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione

Segnalo questo breve articolo dal titolo "Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione": https://formiche.net/2024/08/mucca-cyber-attacco-svizzera/.

Racconta delle conseguenze del controllo di un robot di mungitura da parte di malintenzionati. La lezione finale è "quando si parla di cyber-attacchi, si pensa soltanto alle grandi imprese e infrastrutture", ma bisogna prestare attenzione anche a tutti gli altri ambiti.

Ringrazio Stefano Ramacciotti per la segnalazione.

Gli uomini possono fare tutto (settembre 2024)

In altro post ho avuto modo di citare Gianna Detoni. La conosco di nome, ho letto e apprezzato altri suoi articoli e forse le ho stretto la mano una volta, ma non ci conosciamo personalmente. La sua persona è collegata a una mia disavventura.

Nel 2019 assistei a Milano a un convegno organizzato proprio da Gianna Detoni sulla continuità operativa. Tutto molto interessante. Però a un certo punto mi suona il telefono ed era l'asilo di un mio figlio: non ero andato a prenderlo!

In realtà pensavo di essermi accordato con i suoceri, ma non era così. Ho quindi lasciato tutto e preso un taxi e mi sono precipitato all'asilo del bambino (mia moglie era a lavorare più lontano e con meno flessibilità di me). Una figuraccia che ancora oggi il bambino, ora ragazzino, mi rinfaccia ogni tanto.

Quindi gli uomini possono fare tutto, anche sbagliare in modo terribile.

Alcune riflessioni sulla "cyber resilience"

Pietro Luca Savorosi mi ha scritto per segnalarmi un articolo di Gianna Detoni del 2018 dal titolo "Il Grande Malinteso – Business Continuity e Cyber Resilience": https://www.ictsecuritymagazine.com/articoli/grande-malinteso-business-continuity-cyber-resilience/.

Condivido quanto scritto sulla inutilità del termine "cyber resilience" perché riguarderebbe la continuità e la disponibilità dell'IT in senso esteso, materie già note da tempo. Anche se tendo a essere più rigido con la terminologia, penso che si possa applicare il principio "chiamatelo come volete, purché lo facciate".

L'articolo mi ha fatto riflettere su altri aspetti e ne approfitto per aggiungerli:

• la “continuità operativa” è ormai una materia molto vasta e bisogna evitare l'idea che il business continuity manager sia tuttologo e quindi identificare e monitorare tutte le soluzioni di continuità;
• penso che la continuità operativa sia in realtà "un adempimento in più", che richiede una persona che la segua come suo compito specifico, non necessariamente unico; in caso contrario, altre figure con responsabilità più operative non avranno mai lo stimolo per riflettere, almeno periodicamente, sulla continuità operativa e per fare i necessari test; questo non per incompetenza o mala fede, ma perché la normale attività può essere talmente frenetica che è impossibile seguirne altre sporadiche senza un valido supporto;
• la continuità operativa è una cosa strana perché molte volte non identifica scenari che poi si avverano (i famosi cigni neri, ma soprattutto una pandemia in Europa), quindi va pensata nel modo più appropriato, tale da poter essere essa stessa elastica.

Pietro mi segnala un paio di certificazioni di competenze in cyber resiliency. Su questo penso che una persona con competenze di informatica e di continuità operativa, automaticamente le abbia anche in cyber resiliency. Però il mercato della formazione, come altri, tende a presentare sempre nuovi titoli e sta a noi identificare quelli veramente utili.