Libro "Sicurezza delle informazioni" ed. 2026

Finalmente sono riuscito a pubblicare l'aggiornamento del mio libro "Sicurezza delle informazioni": https://www.cesaregallotti.it/libro.html.

Questa quinta edizione, con le Alpi Giulie (Lago di Fusine) in copertina, `e un aggiornamento dovuto all’entrata in vigore della NIS2, del Regolamento europeo sull’intelligenza artificiale e alla pubblicazione di nuove edizioni di alcune norme ISO.

Segnalatemi eventuali errori che correggerò nella prossima versione (non prima del 2030!). Sicuramente ce ne sono perché avrei dovuto rileggerlo almeno 10 volte e non solo 3 (peraltro un po' annoiato perché sapevo già come va a finire) e perché, oltre ai soliti errorini di formattazione, ho dovuto riesumare il mio vecchio Windows 10 perché il MikTeX di dà problemi con il Windows 11 e anche così non sono riuscito a generare l'indice analitico nell'epub.

VERA 8

Dovrei aver finito. Il VERA 8 è qui: https://github.com/CesareGallotti/VERA.

In italiano e in inglese e anche con i manuali aggiornati.

Se mai qualcuno dovesse sentirsi in colpa e troverà il coraggio per affrontare i sensi di colpa, potrà cancellarli da questo viaggio sottoscrivendo alla mia newsletter: https://infosecandquality.substack.com/.

Se no, continui a usarlo gratuitamente che va bene lo stesso. Almeno ho la soddisfazione di fare audit e consulenze e vedere meno modelli assurdi e complicatissimi (ce ne sono anche di ottimi diversi dal mio e danno anch'essi soddisfazione).

Mio tentativo di correlazione controlli ISO/IEC 27001 e VERA

Ahimè, dovrò aggiornare il VERA con i controlli NIS2. Non credo sia possibile evitarlo.

La prima tappa è quindi cercare di correlare i controlli ISO/IEC 27001:2022 con quelli dell'implementation regulation 2024/2690 e quelli ACN.

Ho provato a farlo e ho caricato il mio tentativo qui: https://github.com/CesareGallotti/VERA.

Nella colonna "Riflessioni CEG" ho inserito alcune cose che penso di fare. Se qualcuno vuole riesaminare, criticare e dare qualche suggerimento è benvenuto. Direi entro il 25 maggio. Che poi dovrò aggiornare il tutto e poi dovrò anche aggiornare il libro e già mi sento affaticato (ma almeno su quello qualche euro lo guadagno).

PS: la prima versione di questo post è del 29 aprile. Ho aggiornato il file il 30 aprile includendo tutto il FNCDP 2025 (e ho notato che è tradotto in un italiano orrendo; chissà se non ci fosse stata di mezzo un’università cosa sarebbe stato) e ripristinando le mie note interpretative, così che possiate commentare anch’esse.

11-13 marzo: Security summit e mio intervento

Il 11-13 marzo, a Milano, si tiene il Security Summit: https://securitysummit.it/milano-2025.

Io parteciperò il 13 marzo, alle 12.20, insieme a Fabio Guasconi, al seminario UNINFO "Norme tecniche, cosa ci attende nel 2025".

Ricordo che sono anche consigliere DFA, che ha organizzato, sempre il 13 marzo, ma alle 14.20, un intervento dal titolo "AI forensics, una soluzione?" con Maria Elena Iafolla, Mattia Epifani e Valerio Vertua. Loro sono sempre tutti bravissimi e propongono questioni interessanti.

27 febbraio 2025 mattina: mio seminario sulla normativa applicabile

Il giovedì 27 febbraio terrò un intervento su "NIS2: Normativa applicabile all’IT": https://www.coretech.it/it/service/event/eventDetail.php?ID=1223.

In realtà, si parlerà anche di NIS2, ma non solo. Però l'hanno messo davanti al titolo perché oggi sembra richiamare maggiormente l'attenzione.

Dice 10.30 - 11.30, ma potremmo andare avanti più a lungo, ma non oltre l'ora di pranzo.

4 novembre: Open Day DFA sull'intelligenza artificiale

Il 4 novembre a Milano ci sarà la giornata di studio dell'associazione DFA sull'intelligenza artificiale. Per avere maggiori dettagli e iscriversi (gratuitamente!): https://www.eventbrite.it/e/biglietti-ia-dalla-strategia-alla-pratica-1015451311207.

Questo lo pubblicizzo perché sono consigliere dell'associazione e perché ho contribuito all'organizzazione (in realtà, il mio contributo è stato minimo e gli onori vanno soprattutto agli altri consiglieri che hanno fatto gran parte del lavoro).

Relatori di grande spessore e taglio operativo sono gli obiettivi dell'incontro.

VERA 7.5

Ho pubblicato file e manuale di VERA 7.5, con i controlli della ISO/IEC 27017 e 27018: https://github.com/CesareGallotti/VERA/.

Ho anche aggiunto una piccola check list sui requisiti (capitoli 4-10) della 27001 e qualche campo che nel tempo mi è tornato utile o mi è stato segnalato come utile.

Siete sempre invitati a segnalarmi errori o possibili miglioramenti (anche per come il tutto è disponibile su GitHub, che sto usando come un modesto principiante).

Mio articolo sulle figure professionali per l'IA

Agenda digitale ha pubblicato un mio articolo dal titolo "I professionisti dell’IA: chi sono e quali competenze devono avere": https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/i-professionisti-dellia-chi-sono-e-quali-competenze-devono-avere/.

L'ho scritto principalmente per poter studiare io quelle figure, richieste anche dalla ISO/IEC 42001. Quindi vi prego di segnalarmi errori o omissioni.

Mio articolo sull'uso del non digitale per la sicurezza

Su Digeat è uscito un mio articolo dal titolo "I documenti “non digitali” come argine per la sicurezza": https://digeat.info/.

Il titolo dice già molto e, se vi interessa, buona lettura.

Repository VERA su GitHub

Tanti mi segnalano variazioni a VERA o mi raccomandano aggiunte e modifiche. Io cerco di mantenere il file nel modo più semplice possibile e ho deciso di pubblicarlo su GitHub: https://github.com/CesareGallotti/VERA.

In questo modo, mi sarà forse più facile caricare gli aggiornamenti e chiunque potrà creare un fork per presentare la propria variazione (o forse lo farò io stesso).

Ogni suggerimento sull'uso di GitHub sarà gradito. Se qualcuno vorrà proporre alternative, le prenderò in considerazione (almeno finché non ci saranno fork).

Per intanto, ho caricato il VERA 7.3 (l'ultima versione con qualche correzione) in italiano e inglese e il manuale in italiano e in inglese.

Miei webinar su NIS 2 e whistleblowing

Mi vanto un po' e segnalo questi due webinar che terrò prossimamente.

Nel primo, il 18 aprile alle 10.30, parlerò di NIS2: https://www.coretech.it/en/service/event/eventDetail.php?ID=1124.

Nel secondo, l'8 maggio alle 10.30, parlerò di whistleblowing: https://www.coretech.it/en/service/event/eventDetail.php?ID=1125.

Manuale VERA

Ho scritto una prima bozza di manuale del VERA, il mio foglio Excel per valutare il rischio.

Chi volesse correggere le bozze (e indicare mancanze, imprecisioni, cose incomprensibili, eccetera), mi scriva privatamente.

Sono anni che mi chiedono un manuale e io non ho mai voluto scriverlo per pigrizia. Vito Losacco, amico e collega e concorrente, è stato l'ultimo a chiedermelo e questa volta non sono riuscito a dire di no. Spero solo di non aver peggiorato la situazione.

Virus VERA.XLS

Stefano Ramacciotti mi ha segnalato questa pagina che parla del virus VERA.XLS: http://www.office-archive.com/2-excel/2996ddbb4f8b3ca7.htm.

La discussione è del 2001. Il mio VERA sarebbe nato 7 anni dopo, inconsapevole dell'omonimia. Molto divertente.

Mio articolo sulla ISO/IEC 27001

Ho scritto questo lungo articolo dal titolo "Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022": https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-come-usare-la-nuova-iso-iec-270012022/.

Buona lettura.

 

Quaderno Clusit "Certificazioni professionali in sicurezza informatica 3.0"

È stato pubblicato un nuovo quaderno Clusit intitolato "Certificazioni professionali in sicurezza informatica 3.0". Sono uno degli autori, insieme da Fabio Guasconi e Federico Gozzi.

Il quaderno è liberamente scaricabile in formato pdf da https://clusit.it/blog/quaderni-clusit-certificazioni-professionali-in-sicurezza-informatica-3-0-giugno-2023/.

Riporto di seguito la presentazione del Clusit.

Si tratta di un aggiornamento e revisione dei quaderni pubblicati nel 2005 e nel 2013 da Clusit sullo stesso tema.

Nel quaderno sono descritte certificazioni che dimostrano competenze tecnologiche accanto a quelle che dimostrano competenze principalmente organizzative. In questa edizione abbiamo preferito non riportare le certificazioni relative a prodotti specifici, essendo queste troppo numerose.

Si è cercato di schematizzare il più possibile le specifiche di ogni certificazione, in modo da aiutare coloro che selezionano il personale o scrivono bandi di gara a stabilire quali certificazioni corrispondono alle caratteristiche richieste e nel contempo i professionisti che vogliono certificare e far riconoscere le proprie competenze in un determinato settore ed essere inseriti in una comunità di professioniste e professionisti con cui scambiare competenze ed esperienze.

VERA 7.1 ITA e ENG

Per allietare le vacanze di tutti, ho caricato il VERA 7.1 (il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazoni) in italiano e in inglese sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.  

Il 7.1 in italiano è una correzione del 7.0 già pubblicato, mentre il 7.1 in inglese è la sua traduzione (con l'inglese ero rimasto fermo al 6.0).

 Il VERA 7.1 riporta i controlli della ISO/IEC 27001:2013 e quelli della ISO/IEC 27001:2022.

18 settembre 2023: Convegno su NIS2 e non solo

Io sono membro del direttivo dell'associazione DFA. Abbiamo organizzato un incontro perché negli ultimi anni sono state pubblicate numerose normative dedicate alla sicurezza dei sistemi informatici e delle reti in Italia e in Unione Europea e il numero e la complessità di queste normative ci hanno posto numerosi interrogativi e li vorremmo affrontare, evidenziandone gli aspetti pratici da affrontare e raccogliendo le esperienze già fatte.

L'incontro ha nome DFA Open day e sarà il 18 settembre 2023 a Milano (all'Università Statale di Milano).

Si parlerà di:

• Ambito di applicazione e relazioni tra le normative e ruolo delle autorità di controllo;
• Rischi cyber e come valutarli e affrontarli per rispondere alle normative;
• Gestione degli incidenti e delle notifiche, considerando i diversi ambiti di applicazione delle normative, le diverse autorità da coinvolgere e le diverse regole da seguire;
• Sistemi di certificazione, in particolare quelli che saranno promossi da ACN e ENISA;
• Accordi di condivisione delle informazioni sulla cybersicurezza.

Il link per registrarsi e partecipare (gratuitamente): https://www.eventbrite.it/e/biglietti-nis-2-e-non-solo-applicazione-in-pratica-662307749307.

Gli uomini possono fare tutto (Giugno 2023)

Questa volta, purtroppo, segnalo un insuccesso. Il 5 giugno alle 14 un mio figlio aveva la festicciola di classe a scuola. Il programma prevedeva un'esecuzione dei bambini di qualche canzone con l'ukulele (Yellow submarine e altre) e poi merenda con le cose portate da ciascuno.

Avevo già un appuntamento per quel pomeriggio e il cliente è stato molto gentile e riuscimmo a concordare una bella riduzione del mio impegno. Però, visto che avrebbe avuto un audit dopo qualche giorno, non annullammo completamente l'incontro. Così mi presentai a scuola alle 15, a concerto finito (ma a merenda ancora da cominciare).

Mio figlio mi fece un bel musone (ci tiene alla mia presenza, nonostante pensi ci siano papà sicuramente migliori di me) e, sinceramente, mi spiacque non essere arrivato per tempo.

Poi ho visto una registrazione di 10 secondi del concerto ed era anche carino. Però il dispiacere è un po' diminuito ;-)

Migrazione newsletter

La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l. (per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.

Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.

La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.

Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.

Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.

Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.

Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).

Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).