Sono disponibili le presentazioni tenute al Security Summit il 14 marzo 2011 durante la sessione dedicata all'itSMF. Una è mia.
Il link alla home dell'itSMF per la notizia:http://www.itsmf.it/index.php
Il link con le tre presentazioni:http://www.itsmf.it/index.php?method=section&action=zoom&id=2265
Il mese prossimo conto di dare ulteriori dettagli sul Security Summit.
martedì 15 marzo 2011
lunedì 14 marzo 2011
Nuovo CAD - Relazione convegno 3 marzo Politecnico Milano
Giovedì 3 marzo si è tenuto un appuntamento al Politecnico di Milano sulle
novità introdotte dal Dlgs 235 del 2010 al Codice dell'Amministrazione
Digitale.
Hanno partecipato Giovanni Manca, Pierluigi Perri e Stefano Zanero. Incontro
molto interessante e molto tecnico.
Alcuni elementi emersi sono elencati di seguito.
- Tipologie di firme informatiche: ce ne sono 4. Probabilmente almeno una è
di troppo (quella "digitale", perché si sovrappone a quella "elettronica
qualificata", a sua volta un caso particolare della "elettronica avanzata",
a sua volta caso particolare della "elettronica"... sigh...)
- Firma grafometrica (ossia la firma su una sorta di tavoletta): una delle
tecnologie del futuro potrà essere proprio questa, introdotta all'articolo
25 comma 2 del CAD.
Bisognerà però poi capire come il tutto si intersecherà con la privacy,
visto che la firma grafometrica è anche una caratteristica biometrica
- Certificazione dei prodotti: il DPCM del 10 febbraio 2010 proroga
ulteriormente la possibilità dei certificatori di firma elettronica di
autodichiarare il livello di sicurezza dei propri dispositivi per
l'apposizione di firme elettroniche con procedure automatiche.
Nel corso del dibattito si è ribadito che (i) è comunque auspicabile che
tali prodotti (hardware o appliance come smart card, lettori e HSM) siano
certificati ISO/IEC 15408 (Common Criteria) rispetto a precisi Protection
Profiles e (ii) gli installatori stiano attenti a questo aspetto, di modo
che non si avrà un detrimento del sistema (tra l'altro, su questo punto, il
DPCM del 30 marzo 2009 è ancora in vigore per le altre casistiche)
- Firma remota e firma massiva: argomenti molto delicati, trattati (tra le
righe, per la verità) dall'articolo 35 ai commi 2, 3 e 5. Dovranno comunque
essere emesse delle regole tecniche (Articolo 71)
- Conservatori accreditati: si è discusso di questa nuova interessante
figura riportata dall'articolo 44-bis; i requisiti di sicurezza richiesti
non sembrano semplici da soddisfare per tutte quelle aziende di media
dimensione che potrebbero essere interessate a questo tema.
Si è anche accennato al rischio di avere modalità di accreditamento che non
garantiscono un buon livello di sicurezza (Manca ha fatto il paragone con le
certificazioni ISO 9001 e ISO/IEC 27001 aggiungendo una frase che io riporto
così "non tutti i certificatori sono bravi come il DNV"... io mi sono
sentito onorato di questo riconoscimento anche se molto indiretto)
- Business Continuity: l'articolo 50-bis dice che "le pubbliche
amministrazioni predispongono i piani di emergenza in grado di assicurare la
continuita' delle operazioni indispensabili per il servizio e il ritorno
alla normale operatività".
Manca ha ironizzato sul fatto che anche gli asili nido dovranno avere il
loro BCP.
Io ho fatto notare che questa normativa rischia di riportarci indietro:
l'argomento viene affrontato in una normativa di tipo IT e si rischia che
ritorni diffusa l'equazione Business Continuity = Continuità dei sistemi IT;
proprio quando finalmente questo errore era meno diffuso (insieme a Business
Continuity = Continuità in caso di disastri)
- Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche
amministrazioni: l'articolo 51 prevede che vengano emesse delle regole
tecniche su questi temi. Vedremo come saranno.
- Copie di documenti: molto parlare si è fatto degli articoli 22 (Copie
informatiche di documenti analogici), 23 (Copie analogiche di documenti
informatici), 23-bis (Duplicati e copie informatiche di documenti
informatici).
Gli articoli non sono un esempio da seguire in termini di chiarezza e di
coerenza con la tecnologia attuale.
Aggiungo il link alla pagina pertinente della DigitPA:http://www.digitpa.gov.it/firma-digitale
Aggiungo il link al testo vigente del CAD:http://www.digitpa.gov.it/sites/default/files/CAD_lgs_235_2010.pdf
Nota mia finale.
Non ho avuto il coraggio di fare la domanda: "a fronte di questa normativa,
che valore hanno le e-mail? e i log dei sistemi?".
Fornisco la mia risposta: vale il comma 1-bis dell'articolo 20: "L'idoneita'
del documento informatico a soddisfare il requisito della forma scritta e il
suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto
delle sue caratteristiche oggettive di qualita', sicurezza, integrita' ed
immodificabilita', fermo restando quanto disposto dall'articolo 21."
Mi auguro di ricevere (e pubblicherò) ulteriori pareri.
Ho posto la domanda a Giovanni Manca via mail e mi ha risposto: "La sua
valutazione è corretta!".
Faccio notare che la risposta di Manca è arrivata via Mail, quindi, fino a
prova contraria, ritenetela informale.
novità introdotte dal Dlgs 235 del 2010 al Codice dell'Amministrazione
Digitale.
Hanno partecipato Giovanni Manca, Pierluigi Perri e Stefano Zanero. Incontro
molto interessante e molto tecnico.
Alcuni elementi emersi sono elencati di seguito.
- Tipologie di firme informatiche: ce ne sono 4. Probabilmente almeno una è
di troppo (quella "digitale", perché si sovrappone a quella "elettronica
qualificata", a sua volta un caso particolare della "elettronica avanzata",
a sua volta caso particolare della "elettronica"... sigh...)
- Firma grafometrica (ossia la firma su una sorta di tavoletta): una delle
tecnologie del futuro potrà essere proprio questa, introdotta all'articolo
25 comma 2 del CAD.
Bisognerà però poi capire come il tutto si intersecherà con la privacy,
visto che la firma grafometrica è anche una caratteristica biometrica
- Certificazione dei prodotti: il DPCM del 10 febbraio 2010 proroga
ulteriormente la possibilità dei certificatori di firma elettronica di
autodichiarare il livello di sicurezza dei propri dispositivi per
l'apposizione di firme elettroniche con procedure automatiche.
Nel corso del dibattito si è ribadito che (i) è comunque auspicabile che
tali prodotti (hardware o appliance come smart card, lettori e HSM) siano
certificati ISO/IEC 15408 (Common Criteria) rispetto a precisi Protection
Profiles e (ii) gli installatori stiano attenti a questo aspetto, di modo
che non si avrà un detrimento del sistema (tra l'altro, su questo punto, il
DPCM del 30 marzo 2009 è ancora in vigore per le altre casistiche)
- Firma remota e firma massiva: argomenti molto delicati, trattati (tra le
righe, per la verità) dall'articolo 35 ai commi 2, 3 e 5. Dovranno comunque
essere emesse delle regole tecniche (Articolo 71)
- Conservatori accreditati: si è discusso di questa nuova interessante
figura riportata dall'articolo 44-bis; i requisiti di sicurezza richiesti
non sembrano semplici da soddisfare per tutte quelle aziende di media
dimensione che potrebbero essere interessate a questo tema.
Si è anche accennato al rischio di avere modalità di accreditamento che non
garantiscono un buon livello di sicurezza (Manca ha fatto il paragone con le
certificazioni ISO 9001 e ISO/IEC 27001 aggiungendo una frase che io riporto
così "non tutti i certificatori sono bravi come il DNV"... io mi sono
sentito onorato di questo riconoscimento anche se molto indiretto)
- Business Continuity: l'articolo 50-bis dice che "le pubbliche
amministrazioni predispongono i piani di emergenza in grado di assicurare la
continuita' delle operazioni indispensabili per il servizio e il ritorno
alla normale operatività".
Manca ha ironizzato sul fatto che anche gli asili nido dovranno avere il
loro BCP.
Io ho fatto notare che questa normativa rischia di riportarci indietro:
l'argomento viene affrontato in una normativa di tipo IT e si rischia che
ritorni diffusa l'equazione Business Continuity = Continuità dei sistemi IT;
proprio quando finalmente questo errore era meno diffuso (insieme a Business
Continuity = Continuità in caso di disastri)
- Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche
amministrazioni: l'articolo 51 prevede che vengano emesse delle regole
tecniche su questi temi. Vedremo come saranno.
- Copie di documenti: molto parlare si è fatto degli articoli 22 (Copie
informatiche di documenti analogici), 23 (Copie analogiche di documenti
informatici), 23-bis (Duplicati e copie informatiche di documenti
informatici).
Gli articoli non sono un esempio da seguire in termini di chiarezza e di
coerenza con la tecnologia attuale.
Aggiungo il link alla pagina pertinente della DigitPA:http://www.digitpa.gov.it/firma-digitale
Aggiungo il link al testo vigente del CAD:http://www.digitpa.gov.it/sites/default/files/CAD_lgs_235_2010.pdf
Nota mia finale.
Non ho avuto il coraggio di fare la domanda: "a fronte di questa normativa,
che valore hanno le e-mail? e i log dei sistemi?".
Fornisco la mia risposta: vale il comma 1-bis dell'articolo 20: "L'idoneita'
del documento informatico a soddisfare il requisito della forma scritta e il
suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto
delle sue caratteristiche oggettive di qualita', sicurezza, integrita' ed
immodificabilita', fermo restando quanto disposto dall'articolo 21."
Mi auguro di ricevere (e pubblicherò) ulteriori pareri.
Ho posto la domanda a Giovanni Manca via mail e mi ha risposto: "La sua
valutazione è corretta!".
Faccio notare che la risposta di Manca è arrivata via Mail, quindi, fino a
prova contraria, ritenetela informale.
Errata corrige: DPR 178/2010 su Privacy e diritto di opposizione
Il mese scorso, trattando di DPR 178/2010 su Privacy e diritto di opposizione, avevo scritto che l'argomento non era trattato sul sito del Garante Privacy:http://blog.cesaregallotti.it/2011/02/dpr-1782010-privacy-e-diritto-di.html
Massimo Cottafavi (Spike Reply) mi ha contraddetto, segnalandomi due link dal sito stesso:
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1785597
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1784528
Colpito e affondato!
Massimo Cottafavi (Spike Reply) mi ha contraddetto, segnalandomi due link dal sito stesso:
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1785597
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1784528
Colpito e affondato!
mercoledì 9 marzo 2011
L'analisi del rischio operativo: il caso DB Consorzio
Segnalo questo interessante articolo di Enrico Toso di Deutsche Bank:http://www.zerounoweb.it/index.php?option=com_content&task=view&id=4464&Itemid=0
Nella sinteticità di alcuni spunti, segnalo:
- il reimpiego di contributi provenienti da precedenti analisi (tema molto complesso, ma generalmente svilito dai tanti che pensano di avere "LA soluzione" adatta per tutti i contesti e di essere molto più bravi di quelli che li hanno preceduti; qui si parla di "elemento vincente")
- il pericolo di una versione eccessivamente analitica ma poco mantenibile e quello di una descrizione generica ma inutile allo scopo (il tema della mantenibilità dell'analisi è cruciale)
- la "verifica di fondatezza perché il modello potesse essere considerato attendibile e sostenibile in sede di contraddittorio o di verifica interna o esterna, o perché lo stesso avesse un valore esimente in sede di giudizio".
Nella sinteticità di alcuni spunti, segnalo:
- il reimpiego di contributi provenienti da precedenti analisi (tema molto complesso, ma generalmente svilito dai tanti che pensano di avere "LA soluzione" adatta per tutti i contesti e di essere molto più bravi di quelli che li hanno preceduti; qui si parla di "elemento vincente")
- il pericolo di una versione eccessivamente analitica ma poco mantenibile e quello di una descrizione generica ma inutile allo scopo (il tema della mantenibilità dell'analisi è cruciale)
- la "verifica di fondatezza perché il modello potesse essere considerato attendibile e sostenibile in sede di contraddittorio o di verifica interna o esterna, o perché lo stesso avesse un valore esimente in sede di giudizio".
lunedì 7 marzo 2011
NIST SP 800-39, Managing Information Security Risk
Il NIST ha pubblicato il proprio equivalente della ISO/IEC 27003.
L'ho trovato interessante da leggere, come quasi tutte le pubblicazioni del NIST, con molte idee e considerazioni utili, in termini teorici (cito tra gli altri, le rfilessioni dulle diverse tollerabilità del rischio, la convivenza di diverse metodologie di risk assessment nella medesima organizzazione, i rapporti con le terze parti). Inoltre, è gratuito.
Il link:http://csrc.nist.gov/publications/PubsSPs.html#800-39
L'ho trovato interessante da leggere, come quasi tutte le pubblicazioni del NIST, con molte idee e considerazioni utili, in termini teorici (cito tra gli altri, le rfilessioni dulle diverse tollerabilità del rischio, la convivenza di diverse metodologie di risk assessment nella medesima organizzazione, i rapporti con le terze parti). Inoltre, è gratuito.
Il link:http://csrc.nist.gov/publications/PubsSPs.html#800-39
Proteggersi dal leakage
Dopo il caso di Wikileaks, qualcuno mi ha chiesto cosa si può fare per
prevenire il coinvolgimento di un'azienda in eventi simili.
Propongo di seguito alcune mie riflessioni. Ogni contributo per migliorarle
sarà ben accetto (e opportunamente attribuito).
Le tecniche sono quelle di prevenzione dallo spionaggio industriale e si
possono ridurre in due opzioni.
OPZIONE 1: pianificare una serie di interventi, tra i quali l'impostazione
di un preciso processo di gestione delle credenziali e delle autorizzazioni
(incluso un meccanismo basato sui ruoli), la revisione periodica e la
riduzione delle autorizzazioni, la formazione, la chiusura delle connessioni
a Internet, la limitazione dell'uso della posta elettronica al di fuori del
perimetro dell'organizzazione (alcune aziende mettono a disposizione
"funghi" per permettere l'uso illimitato dell'e-mail), il blocco delle porte
USB, la restrizione delle attività di configurazione sui pc
Sono in commercio diversi prodotti per il controllo delle comunicazioni da/a
un'organizzazione. Una molto breve ricerca su Internet mi ha portato a
questi due (non li conosco, non li ho mai provati), ma sicuramente i grossi
produttori e system integrator ne propongono altri:
- http://www.slideshare.net/mmilazzo/infomation-leakage-prevention-ita
- http://cleverconsultingsrl.createsend3.com/t/r/l/yujjfd/bmlklukr/j
Ognuno di questi interventi richiede un elevato sforzo da parte
dell'organizzazione che intende attuarli. In alcuni casi lo sforzo è
economico, in tutti è di tipo culturale e organizzativo (provate a togliere
la connessione Internet al personale e rischiate grandi malumori, se non
opportunamente previsti e gestiti).
OPZIONE 2: non fare nulla. Ogni azione non chiuderà mai tutti i buchi; basti
pensare che il dossier Mitrokin è stato costituito anche attraverso
documenti copiati a mano.
Tra queste due opzioni, vi è il "livello adeguato", individuabile a seguito
di risk assessment. Un risk assessment che si basi su due parametri
specifici:
- quali informazioni sono gestite dall'azienda, quali danni può portare una
loro diffusione al suo esterno, qual è la loro appetibilità, per chi sono
appetibili
- quali sono gli "agenti di attacco": quali sono le loro motivazioni e i
loro mezzi
prevenire il coinvolgimento di un'azienda in eventi simili.
Propongo di seguito alcune mie riflessioni. Ogni contributo per migliorarle
sarà ben accetto (e opportunamente attribuito).
Le tecniche sono quelle di prevenzione dallo spionaggio industriale e si
possono ridurre in due opzioni.
OPZIONE 1: pianificare una serie di interventi, tra i quali l'impostazione
di un preciso processo di gestione delle credenziali e delle autorizzazioni
(incluso un meccanismo basato sui ruoli), la revisione periodica e la
riduzione delle autorizzazioni, la formazione, la chiusura delle connessioni
a Internet, la limitazione dell'uso della posta elettronica al di fuori del
perimetro dell'organizzazione (alcune aziende mettono a disposizione
"funghi" per permettere l'uso illimitato dell'e-mail), il blocco delle porte
USB, la restrizione delle attività di configurazione sui pc
Sono in commercio diversi prodotti per il controllo delle comunicazioni da/a
un'organizzazione. Una molto breve ricerca su Internet mi ha portato a
questi due (non li conosco, non li ho mai provati), ma sicuramente i grossi
produttori e system integrator ne propongono altri:
- http://www.slideshare.net/mmilazzo/infomation-leakage-prevention-ita
- http://cleverconsultingsrl.createsend3.com/t/r/l/yujjfd/bmlklukr/j
Ognuno di questi interventi richiede un elevato sforzo da parte
dell'organizzazione che intende attuarli. In alcuni casi lo sforzo è
economico, in tutti è di tipo culturale e organizzativo (provate a togliere
la connessione Internet al personale e rischiate grandi malumori, se non
opportunamente previsti e gestiti).
OPZIONE 2: non fare nulla. Ogni azione non chiuderà mai tutti i buchi; basti
pensare che il dossier Mitrokin è stato costituito anche attraverso
documenti copiati a mano.
Tra queste due opzioni, vi è il "livello adeguato", individuabile a seguito
di risk assessment. Un risk assessment che si basi su due parametri
specifici:
- quali informazioni sono gestite dall'azienda, quali danni può portare una
loro diffusione al suo esterno, qual è la loro appetibilità, per chi sono
appetibili
- quali sono gli "agenti di attacco": quali sono le loro motivazioni e i
loro mezzi
venerdì 4 marzo 2011
Rischi e sistemi virtuali
Sul Volume 1 del 2011 dell'Isaca Journal è apparso l'interessante articolo
"Virtualization Benefits and Security Audit of Virtual IT Systems".
L'articolo presenta brevemente le tecnologie di virtualizzazione e infine
presenta una check list di audit di 141 punti. Come è ovvio, le check list
di audit possono anche essere usate come valido spunto per la pianificazione
e la realizzazione.
Purtroppo l'articolo completo è disponibili ai soli soci ISACA. Il riassunto
lo trovate qui: http://www.isaca.org/Journal/Blog/Lists/Posts/Post.aspx?ID=45
In alternativa, ricordo la SP-800-125 del NIST:http://csrc.nist.gov/publications/PubsSPs.html
"Virtualization Benefits and Security Audit of Virtual IT Systems".
L'articolo presenta brevemente le tecnologie di virtualizzazione e infine
presenta una check list di audit di 141 punti. Come è ovvio, le check list
di audit possono anche essere usate come valido spunto per la pianificazione
e la realizzazione.
Purtroppo l'articolo completo è disponibili ai soli soci ISACA. Il riassunto
lo trovate qui: http://www.isaca.org/Journal/Blog/Lists/Posts/Post.aspx?ID=45
In alternativa, ricordo la SP-800-125 del NIST:http://csrc.nist.gov/publications/PubsSPs.html
mercoledì 2 marzo 2011
Contenzioso penale sul lavoro e privacy
Finalmente, una notizia su un'azienda che agisce correttamente quando conduce indagini su un lavoratore.
In poche parole, l'azienda ha "solo" preso in consegna il pc aziendale per poi metterlo a disposizione dell'autorità giudiziaria.
Ribadisco un concetto importante in modo molto sintetico, parafrasando il "don't do it at home": è giusto e corretto imparare le tecniche di digital forensics, ma non usatele a casa (o nell'azienda) vostra!
La notizia sul sito del Garante: http://www.garanteprivacy.it/garante/doc.jsp?ID=1792844#3
In poche parole, l'azienda ha "solo" preso in consegna il pc aziendale per poi metterlo a disposizione dell'autorità giudiziaria.
Ribadisco un concetto importante in modo molto sintetico, parafrasando il "don't do it at home": è giusto e corretto imparare le tecniche di digital forensics, ma non usatele a casa (o nell'azienda) vostra!
La notizia sul sito del Garante: http://www.garanteprivacy.it/garante/doc.jsp?ID=1792844#3
Non solo Wikileaks (anche lo spionaggio industriale)
Dal sito del BSI, segnalo il breve articolo "Industrial espionage targets Renault electric car designs".
In breve: Renault, General Motors e Ford recentemente sono state vittime di casi di spionaggio industriale.
Mio commento: si parla tanto di Wikileaks in termini sociali o di impatti sulla politica; dovremmo veramente vederlo come punta di un iceberg e come un monito per ogni impresa.
In breve: Renault, General Motors e Ford recentemente sono state vittime di casi di spionaggio industriale.
Mio commento: si parla tanto di Wikileaks in termini sociali o di impatti sulla politica; dovremmo veramente vederlo come punta di un iceberg e come un monito per ogni impresa.
Richiami di prodotto e contro il management
Un articolo sul sito del BSI dice che in UK nel 2010 sono aumentati del 12%
rispetto al 2009 i prodotti richiamati dalle case produttrici.
L'articolo ha titolo "Cutting Corners in quality compromising brands from
Ferrari to Johnson and Johnson" e si trova a questa URL:http://shop.bsigroup.com/en/Browse-By-Subject/Quality--Sampling/Product-reca
lls-in-2010-break-records/?id=185248&utm_source=QUALB-NA&utm_medium=et_mail&
utm_content=546448&utm_campaign=QUALB-NA_2_March_2011&utm_term=article.
Non credo di poter sottoscrivere la tesi dell'articolo, secondo la quale
l'uso della ISO 9004 possa aiutare. Penso piuttosto che in tempi di crisi il
management taglia i costi avendo come unici riferimenti un foglio Excel, il
proprio stipendio e il proprio tenore di vita. Senza agire convenientemente
su processi e tecniche.
Chiunque si sia occupato di processi di qualità avrà visto come troppo
spesso i controlli sono fatti in modo anti-economico (per esempio,
innumerevoli controlli a fine linea a scapito delle attività preventive), da
personale non sempre motivato o completamente competente.
In questo periodo sto leggendo "Contro il management" di Francesco Varanini.
Il mio commento prende spunto anche da questa lettura.
Le sue argomentazioni non risultano nuove al 100% perché in molti abbiamo
visto come in alcune aziende si tagliasse sull'uso della carta, sulla
formazione, sugli strumenti di lavoro e su alcuni rimborsi (del personale
operativo, ovviamente), mentre non c'era alcun limite per alcune trasferte,
alcuni benefit e certa formazione (soft skill manageriali...), oltre a non
pianificare per tempo alcune attività in modo da conseguire risparmi
significativi. Varanini, però, mette tutto questo e anche molto di più in un
buon libro.
Per scrivere questo post, ho "scoperto" che Varanini gestisce un blog:http://www.controilmanagement.blogspot.com/
rispetto al 2009 i prodotti richiamati dalle case produttrici.
L'articolo ha titolo "Cutting Corners in quality compromising brands from
Ferrari to Johnson and Johnson" e si trova a questa URL:http://shop.bsigroup.com/en/Browse-By-Subject/Quality--Sampling/Product-reca
lls-in-2010-break-records/?id=185248&utm_source=QUALB-NA&utm_medium=et_mail&
utm_content=546448&utm_campaign=QUALB-NA_2_March_2011&utm_term=article.
Non credo di poter sottoscrivere la tesi dell'articolo, secondo la quale
l'uso della ISO 9004 possa aiutare. Penso piuttosto che in tempi di crisi il
management taglia i costi avendo come unici riferimenti un foglio Excel, il
proprio stipendio e il proprio tenore di vita. Senza agire convenientemente
su processi e tecniche.
Chiunque si sia occupato di processi di qualità avrà visto come troppo
spesso i controlli sono fatti in modo anti-economico (per esempio,
innumerevoli controlli a fine linea a scapito delle attività preventive), da
personale non sempre motivato o completamente competente.
In questo periodo sto leggendo "Contro il management" di Francesco Varanini.
Il mio commento prende spunto anche da questa lettura.
Le sue argomentazioni non risultano nuove al 100% perché in molti abbiamo
visto come in alcune aziende si tagliasse sull'uso della carta, sulla
formazione, sugli strumenti di lavoro e su alcuni rimborsi (del personale
operativo, ovviamente), mentre non c'era alcun limite per alcune trasferte,
alcuni benefit e certa formazione (soft skill manageriali...), oltre a non
pianificare per tempo alcune attività in modo da conseguire risparmi
significativi. Varanini, però, mette tutto questo e anche molto di più in un
buon libro.
Per scrivere questo post, ho "scoperto" che Varanini gestisce un blog:http://www.controilmanagement.blogspot.com/
Proposta (negli USA) di certificare la sicurezza IT
Aldo Ceccarelli, sul gruppo Clusit di LinkedIn segnala questo articolo:
http://www.linkedin.com/news?viewArticle=&articleID=380816458&gid=54878&type=member&item=44385712&articleURL=http%3A%2F%2Frss%2Eslashdot%2Eorg%2F%7Er%2FSlashdot%2Fslashdot%2F%7E3%2FajQVyVJYd7k%2FIndustry-IT-Security-Certification-Proposed&urlhash=GNav&goback=%2Egde_54878_member_44385712
In breve: alla conferenza RSA è stato proposto di certificare (in modo simile alla revisione dei conti o alla SOX) la siucrezza informatica, al fine di dare maggiore fiducia nelle aziende.
Ovviamnete, se la cosa andrà avanti, sarà interessante vedere quale approccio prenderanno.
http://www.linkedin.com/news?viewArticle=&articleID=380816458&gid=54878&type=member&item=44385712&articleURL=http%3A%2F%2Frss%2Eslashdot%2Eorg%2F%7Er%2FSlashdot%2Fslashdot%2F%7E3%2FajQVyVJYd7k%2FIndustry-IT-Security-Certification-Proposed&urlhash=GNav&goback=%2Egde_54878_member_44385712
In breve: alla conferenza RSA è stato proposto di certificare (in modo simile alla revisione dei conti o alla SOX) la siucrezza informatica, al fine di dare maggiore fiducia nelle aziende.
Ovviamnete, se la cosa andrà avanti, sarà interessante vedere quale approccio prenderanno.
NIST IR 7298, Glossary of Key Information Security Terms
Il NIST ha pubblicato il proprio glossario dei termini della sicurezza.
Non tutte le definizioni sono condivisibili o in linea con altri riferimenti.
Vale però la pena averlo sotto mano: http://csrc.nist.gov/publications/nistir/ir7298-rev1/nistir-7298-revision1.pdf
Non tutte le definizioni sono condivisibili o in linea con altri riferimenti.
Vale però la pena averlo sotto mano: http://csrc.nist.gov/publications/nistir/ir7298-rev1/nistir-7298-revision1.pdf
Ancora sul CAD (Codice Amministrazione Digitale)
L'importanza del CAD per le materie oggetto di questo blog è enorme. Basti pensare ad uno degli aspetti chiave di ogni "sistema di gestione": la rilevanza dei documenti e delle registrazioni. In particolare delle mail o di altri "documenti informatici".
Segnalo quindi un ulteriore articolo da Filodiritto:
"La firma digitale ora si fa con le dita"; http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2190
Segnalo anche il sito per iscriversi a Omat 2011 a Milano (5-6 aprile): www.omat360.it/mi11
Dal "progetto 2011" non sembra che il CAD sarà argomento di discussione, ma bisognerà verificare quando sarà disponibile il programma definitivo.
Segnalo quindi un ulteriore articolo da Filodiritto:
"La firma digitale ora si fa con le dita"; http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2190
Segnalo anche il sito per iscriversi a Omat 2011 a Milano (5-6 aprile): www.omat360.it/mi11
Dal "progetto 2011" non sembra che il CAD sarà argomento di discussione, ma bisognerà verificare quando sarà disponibile il programma definitivo.
mercoledì 16 febbraio 2011
ISO/IEC 17021:2011
Una comunicazione dell'organismo di certificazione NQA dice che il 1° febbraio 2011 è stata pubblicata la revisione della norma internazionale ISO/IEC 17021:2011 "Conformity assessment -- Requirements for bodies providing audit and certification of management systems".
Questa norma fornisce requisiti a cui devono sottostare i soli organismi di certificazione (in altre parole, se non lavorate in un OdC, non vi interessa).
Secondo quanto riportato dalla comunicazione già citata, la ISO 17021:2011 contiene, praticamente invariati, i requisiti per la conduzione degli audit da parte degli Organismi di certificazione; fornisce invece ulteriori criteri per la competenza degli auditor.
IAF (International Accreditation Forum) e ISO (International Organization for Standardization) hanno fissato al 1° febbraio 2013 il termine ultimo per l'implementazione della ISO/IEC 17021:2011 da parte degli Organismi di certificazione di sistemi di gestione.
Questa norma fornisce requisiti a cui devono sottostare i soli organismi di certificazione (in altre parole, se non lavorate in un OdC, non vi interessa).
Secondo quanto riportato dalla comunicazione già citata, la ISO 17021:2011 contiene, praticamente invariati, i requisiti per la conduzione degli audit da parte degli Organismi di certificazione; fornisce invece ulteriori criteri per la competenza degli auditor.
IAF (International Accreditation Forum) e ISO (International Organization for Standardization) hanno fissato al 1° febbraio 2013 il termine ultimo per l'implementazione della ISO/IEC 17021:2011 da parte degli Organismi di certificazione di sistemi di gestione.
lunedì 14 febbraio 2011
ISO 22301 per la Business Continuity
Il BSI ha comunicato con la "Risk and Business Continuity Management Newsletter" del 14 febbraio la possibilità di commentare la ISO 22301 "Continuity management systems – Requirements" attualmente allo stato di DIS (Draft of International Standard).
La ISO 22301 sarà uno standard certificabile, assimilabile alla BS 25999-2:2007, elaborato dallo stesso comitato tecnico che ha emesso la ISO/PAS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management".
La struttura è la stessa della "nuova" ISO/IEC 27001. In altre parole, seguirà la cosiddetta Common Structure a cui via via si uniformeranno tutte le specifiche dei sistemi di gestione ISO. Ovviamente, questo vuole anche dire che la ISO 22301 non seguirà l'impostazione della attuale BS 25999-2.
Per leggere il draft e commentarlo:http://click.bsi-global-email.com/?ju=fe2a15717662037b771679&ls=fded127776660c7a77127373&m=fef91270746c03&l=fe94167372620c7c75&s=fe2e17707264007d7d1374&jb=ffcf14&t=
La ISO 22301 sarà uno standard certificabile, assimilabile alla BS 25999-2:2007, elaborato dallo stesso comitato tecnico che ha emesso la ISO/PAS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management".
La struttura è la stessa della "nuova" ISO/IEC 27001. In altre parole, seguirà la cosiddetta Common Structure a cui via via si uniformeranno tutte le specifiche dei sistemi di gestione ISO. Ovviamente, questo vuole anche dire che la ISO 22301 non seguirà l'impostazione della attuale BS 25999-2.
Per leggere il draft e commentarlo:http://click.bsi-global-email.com/?ju=fe2a15717662037b771679&ls=fded127776660c7a77127373&m=fef91270746c03&l=fe94167372620c7c75&s=fe2e17707264007d7d1374&jb=ffcf14&t=
14 marzo: mio intervento a itSMF - Security Summit di Milano
Il 14 marzo dovrei intervenire alla sessione dedicata a itSMF con un intervento dal titolo "Sistemi di gestione integrati: come la ISO/IEC 20000 può essere di supporto alla ISO/IEC 27001".
Sarà un'occasione anche per parlare dei lavori sulla ISO/IEC 27013.
Il programma sarà su http://www.securitysummit.it/. Al momento, però, la situazione non è definitiva perché l'evento doveva coprire le giornate del 15, 16 e 17 marzo, ma la nuova festività del 17 ha imposto lo slittamento delle giornate al 14, 15 e 16 marzo con la conseguente necessità di rivedere tutto il programma.
Che desideriate o meno sentire il mio intervento, raccomando comunque di partecipare al Security Summit (organizzato dal Clusit) perché sempre utile per chi si occupa di sicurezza delle informazioni.
Sarà un'occasione anche per parlare dei lavori sulla ISO/IEC 27013.
Il programma sarà su http://www.securitysummit.it/. Al momento, però, la situazione non è definitiva perché l'evento doveva coprire le giornate del 15, 16 e 17 marzo, ma la nuova festività del 17 ha imposto lo slittamento delle giornate al 14, 15 e 16 marzo con la conseguente necessità di rivedere tutto il programma.
Che desideriate o meno sentire il mio intervento, raccomando comunque di partecipare al Security Summit (organizzato dal Clusit) perché sempre utile per chi si occupa di sicurezza delle informazioni.
Dataloss DB
Agli appassionati di statistiche su incidenti e per i colleghi appassionati di "storie dell'orrore informatico", questo sito piacerà:http://datalossdb.org/
Traduco la prima riga della presentazione: "DataLossDB è un progetto di ricerca che è l'obiettivo di documentare gli inciedenti con perdite di dati, conosciuti e segnalati, avvenuti a livello mondiale"
Traduco la prima riga della presentazione: "DataLossDB è un progetto di ricerca che è l'obiettivo di documentare gli inciedenti con perdite di dati, conosciuti e segnalati, avvenuti a livello mondiale"
Microsoft e Data Governance
Da un articolo dell'ISACA Journal Volume 6 del 2010, ho trovato un interessante link alla pagina della Microsoft dedicata alla Data Governance.
Nulla di nuovo sotto il cielo. Ma almeno è gratuito ed è possibile visitare le tante pagine della Microsoft dedicate a questo argomento e non solo:http://www.microsoft.com/datagovernance
Nulla di nuovo sotto il cielo. Ma almeno è gratuito ed è possibile visitare le tante pagine della Microsoft dedicate a questo argomento e non solo:http://www.microsoft.com/datagovernance
giovedì 10 febbraio 2011
Cloud Computing: BSI BIP 0117; NIST
Nel novembre del 2010, il BSI ha pubblicato il documento "BIP 0117 - Cloud
Computing. A Practical Introduction to the Legal Issues". Non uno standard,
non una linea guida: un libro pubblicato da un editore che pubblica anche
standard. Per questo non deve essere considerato come "utile per le
certificazioni ISO o BS".
E' noto che il cloud computing è un argomento forse abusato (lo stesso
documento cita Larry Ellison, CEO della Oracle, molto critico in merito
perché, dice, si sta parlando di cose note da tempo con altri nomi). Ho
comunque trovato interessante questo libro perché richiama e mette in ordine
un insieme di argomenti da tenere presente quando si stipula un contratto
con un outsourcer (cloud o non cloud, italiano o europeo o extraeuropeo).
I titoli di alcuni capitoli rendono l'idea: Security, Data protection (la
nostra "privacy"), Software licensing, Customer data, Service change and
service levels, Contracting and liability.
Come difetto, devo segnalare che il libro è incentrato sulla legislazione
UK.
Il link al BSI Shop (con Overview ufficiale)
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030215581
Grazie a Franco Ferrari (DNV Italia) per la segnalazione.
Il NIST ha inoltre pubblicato il draft della SP-800-144 "Guidelines on
Security and Privacy in Public Cloud Computing". E' una lettura più tecnica
della precedente, presenta all'inizio le diverse definizioni di cloud
computing e ha il pregio di essere gratuita.
http://csrc.nist.gov/publications/PubsDrafts.html#800-144
Computing. A Practical Introduction to the Legal Issues". Non uno standard,
non una linea guida: un libro pubblicato da un editore che pubblica anche
standard. Per questo non deve essere considerato come "utile per le
certificazioni ISO o BS".
E' noto che il cloud computing è un argomento forse abusato (lo stesso
documento cita Larry Ellison, CEO della Oracle, molto critico in merito
perché, dice, si sta parlando di cose note da tempo con altri nomi). Ho
comunque trovato interessante questo libro perché richiama e mette in ordine
un insieme di argomenti da tenere presente quando si stipula un contratto
con un outsourcer (cloud o non cloud, italiano o europeo o extraeuropeo).
I titoli di alcuni capitoli rendono l'idea: Security, Data protection (la
nostra "privacy"), Software licensing, Customer data, Service change and
service levels, Contracting and liability.
Come difetto, devo segnalare che il libro è incentrato sulla legislazione
UK.
Il link al BSI Shop (con Overview ufficiale)
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030215581
Grazie a Franco Ferrari (DNV Italia) per la segnalazione.
Il NIST ha inoltre pubblicato il draft della SP-800-144 "Guidelines on
Security and Privacy in Public Cloud Computing". E' una lettura più tecnica
della precedente, presenta all'inizio le diverse definizioni di cloud
computing e ha il pregio di essere gratuita.
http://csrc.nist.gov/publications/PubsDrafts.html#800-144
Guida NIST - Virtualizzazione
Il NIST ha pubblicato la SP 800-125 dal titolo "Guide to Security for Full Virtualization Technologies".
http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf
La guida è al solito di facile lettura ed espone in ordine: una dissertazione sulle tecniche di virtualizzazione, un'analisi delle minacce applicabili al contesto e le misure raccomandate.
Per specifiche più tecniche, legate al singolo prodotto di VM, è necessario fare riferimento al Security Configuration Checklists Program: http://checklists.nist.gov/
Cancellazione sicura dei files
Dalla newsletter DFA, segnalo il link ad un articolo sulla cancellazione sicura dei files pubblicato dal SANS:http://computer-forensics.sans.org/blog/2011/01/25/digital-forensics-erasing-drives-quick-easy
Anche questo articolo conferma che: UN passaggio di sovrascrittura è sufficiente.
Aggiungo: chi dice che i passaggi devono essere 35 o 37 o qualcosa del genere, fa riferimento a studi degli anni '60 o '70, quando gli hard disk erano ben diversi.
Dal link sopra riportato è possibile rintracciare un altro articolo più corposo (con software freeware)http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf
Anche questo articolo conferma che: UN passaggio di sovrascrittura è sufficiente.
Aggiungo: chi dice che i passaggi devono essere 35 o 37 o qualcosa del genere, fa riferimento a studi degli anni '60 o '70, quando gli hard disk erano ben diversi.
Dal link sopra riportato è possibile rintracciare un altro articolo più corposo (con software freeware)http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf
Codice Amministrazione Digitale e Dlgs 235/2010
Dal 25 gennaio è in vigore il Dlgs 235 del 2010 che ha pesantemente modificato il Codice dell'Amministrazione Digitale (CAD) Dlgs 82 del 2005.
Questo Codice è particolarmente importante perché è il punto di riferimento per la definizione di "documento informatico" e per stabilirne la validità anche dal punto di vista legale.
Il 5 e 6 aprile a Milano è prevista l'edizione del 2011 di Omat. Spero che lì saranno discusse opportunamente le modifiche apportate e il loro impatto.
Per intanto, segnalo l'articolo di Filodiritto che mi ha portato alla notizia:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2178
Per leggere il Dlgs 235 del 2010 e la versione consolidata del CAD, consiglio di utilizzare www.normattiva.it.
Questo Codice è particolarmente importante perché è il punto di riferimento per la definizione di "documento informatico" e per stabilirne la validità anche dal punto di vista legale.
Il 5 e 6 aprile a Milano è prevista l'edizione del 2011 di Omat. Spero che lì saranno discusse opportunamente le modifiche apportate e il loro impatto.
Per intanto, segnalo l'articolo di Filodiritto che mi ha portato alla notizia:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2178
Per leggere il Dlgs 235 del 2010 e la versione consolidata del CAD, consiglio di utilizzare www.normattiva.it.
Norme armonizzate alle Direttive Europee
Alcune Direttive Europee stabiliscono i requisiti di sicurezza per alcuni prodotti. In particolare, ricordo che per gli strumenti elettrici ed elettronici, possono essere applicabili: la Direttiva Bassa Tensione (2006/95/EC), la Direttiva sulla compatibilità elettromagnetica (2004/108/EC), la Direttiva sugli apparati radio e di telecomunicazione (1999/5/EC). Per soddisfare i requisiti tecnici delle Direttive applicabili, è preferibile fare riferimento alle norme tecniche cosiddette "armonizzate".
Fino a poco fa, il sito www.newapproach.org era un ottimo punto di riferimento per sapere quali norme tecniche sono collegate alle Direttive, ma ho scoperto che non è più aggiornato da tempo.
Il link attuale è questo:http://ec.europa.eu/enterprise/policies/european-standards/documents/harmonised-standards-legislation/list-references/index_en.htm.
Fino a poco fa, il sito www.newapproach.org era un ottimo punto di riferimento per sapere quali norme tecniche sono collegate alle Direttive, ma ho scoperto che non è più aggiornato da tempo.
Il link attuale è questo:http://ec.europa.eu/enterprise/policies/european-standards/documents/harmonised-standards-legislation/list-references/index_en.htm.
mercoledì 9 febbraio 2011
Sicurezza: Il trasferimento dei rischi (parte 2)
Il 5 novembre 2010 avevo segnalato la pubblicazione di un articolo Clusit sui rischi trasferibili al mercato assicurativo.
L'autore aveva promesso la futura pubblicazione di una vasta panoramica di sinistri realmente avvenuti e trattati dalle Assicurazioni. Tale seconda pubblicazione è ora disponibile su: www.clusit.it/docs/rscalici_11-01-24.pdf
Devo dire che a me è parso più un elenco di attacchi, più che una descrizione utile a capire come gestire un contratto assicurativo. Certamente interessante per quanti apprezzano le "storie dell'orrore", ma continuo a non vedere una facile applicazione del "trasferimento del rischio alle assicurazioni".
L'autore aveva promesso la futura pubblicazione di una vasta panoramica di sinistri realmente avvenuti e trattati dalle Assicurazioni. Tale seconda pubblicazione è ora disponibile su: www.clusit.it/docs/rscalici_11-01-24.pdf
Devo dire che a me è parso più un elenco di attacchi, più che una descrizione utile a capire come gestire un contratto assicurativo. Certamente interessante per quanti apprezzano le "storie dell'orrore", ma continuo a non vedere una facile applicazione del "trasferimento del rischio alle assicurazioni".
Report sicurezza di CISCO
Dalla newsletter del Clusit, segnalo la pubblicazione del
- Cisco 2010 Annual Security Report
- Cisco 4Q10 Global Threat Report
Si trovano a questo indirizzo:http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
- Cisco 2010 Annual Security Report
- Cisco 4Q10 Global Threat Report
Si trovano a questo indirizzo:http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
DPR 178/2010: Privacy e diritto di opposizione
La Legge 166/2009 (Decreto Ronchi) stabiliva che l'uso dei numeri di telefono riportati sugli elenchi pubblici (es. Pagine Bianche) per pubblicità, vendita o ricerche di mercato è consentito nei confronti di chi non abbia esercitato il diritto di opposizione.
Il 7 settembre 2010 (con soli 6 mesi di ritardo) è stato quindi emanato il DPR 178/2010 che regola il registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali. Anche se non enunciate nel titolo, le stesse modalità valgono per chi effettua ricerche di mercato.
E' possibile leggere il DPR su www.normattiva.it o su http://gazzette.comune.jesi.an.it/2010/256/1.htm
Su questo tema si discusse assai perché rappresentava una marcia indietro del diritto alla privacy in favore delle aziende pubblicitarie. In particolare, si vedeva (a ragione, come sappiamo bene) la vittoria di certe pratiche commerciali maleducate e irrispettose della vita privata di ciascuno.
Ad ogni modo, il Decreto Ronchi (del 25 settembre 2009) dava 6 mesi per istituire il registro dei cittadini che esercitano il diritto di opposizione.
Il registro è quindi disponibile su http://www.registrodelleopposizioni.it/.
Note polemiche:
- in pieno disaccordo con il Dlgs 196/2003 (che richiede consensi distinti per finalità distinte), non viene lasciata la possibilità di opporsi alla pubblicità e alle vendite ma di essere disponibile alle ricerche di mercato
- sul sito del Garante non viene detto nulla
- sulle newsletter del Garante non mi sembra di aver letto nulla in merito
Ringrazio Ivo Trotti di TNS per la segnalazione.
Il 7 settembre 2010 (con soli 6 mesi di ritardo) è stato quindi emanato il DPR 178/2010 che regola il registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali. Anche se non enunciate nel titolo, le stesse modalità valgono per chi effettua ricerche di mercato.
E' possibile leggere il DPR su www.normattiva.it o su http://gazzette.comune.jesi.an.it/2010/256/1.htm
Su questo tema si discusse assai perché rappresentava una marcia indietro del diritto alla privacy in favore delle aziende pubblicitarie. In particolare, si vedeva (a ragione, come sappiamo bene) la vittoria di certe pratiche commerciali maleducate e irrispettose della vita privata di ciascuno.
Ad ogni modo, il Decreto Ronchi (del 25 settembre 2009) dava 6 mesi per istituire il registro dei cittadini che esercitano il diritto di opposizione.
Il registro è quindi disponibile su http://www.registrodelleopposizioni.it/.
Note polemiche:
- in pieno disaccordo con il Dlgs 196/2003 (che richiede consensi distinti per finalità distinte), non viene lasciata la possibilità di opporsi alla pubblicità e alle vendite ma di essere disponibile alle ricerche di mercato
- sul sito del Garante non viene detto nulla
- sulle newsletter del Garante non mi sembra di aver letto nulla in merito
Ringrazio Ivo Trotti di TNS per la segnalazione.
ISO 29990:2010 sulla formazione non scolastica
La ISO ha pubblicato con data 1 settembre 2010 la norma ISO 29990:2010
"Learning services for non-formal education and training — Basic
requirements for service providers" (notizia trovata su CertiNews di dicembre 2010).
Provo a tradurre "non-formal education" con "formazione non scolastica e non
universitaria". La norma riguarda quindi anche la formazione professionale e
la formazione con qualifica o certificato finale.
Si tratta di una norma di "requisiti" e quindi potrebbe portare ad una
certificazione.
La prima parte, al capitolo 3, definisce i requisiti quando un ente di
formazione (Learning Service Provider) determina le necessità di formazione,
progetta ed eroga la formazione. Per capire meglio la completezza e
pertinenza dei requisiti bisognerà verificare come la norma sarà applicata.
Una mia prima impressione è che alcune interpretazioni della ISO 9001
applicata alla formazione professionale siano più rigorose di questo
standard.
La seconda parte, al capitolo 4, riporta i "soliti" requisiti di sistema di
gestione basati sul ciclo di Deming e simili a quello di altre norme come la
9001, la 27001 e la 20000-1.
"Learning services for non-formal education and training — Basic
requirements for service providers" (notizia trovata su CertiNews di dicembre 2010).
Provo a tradurre "non-formal education" con "formazione non scolastica e non
universitaria". La norma riguarda quindi anche la formazione professionale e
la formazione con qualifica o certificato finale.
Si tratta di una norma di "requisiti" e quindi potrebbe portare ad una
certificazione.
La prima parte, al capitolo 3, definisce i requisiti quando un ente di
formazione (Learning Service Provider) determina le necessità di formazione,
progetta ed eroga la formazione. Per capire meglio la completezza e
pertinenza dei requisiti bisognerà verificare come la norma sarà applicata.
Una mia prima impressione è che alcune interpretazioni della ISO 9001
applicata alla formazione professionale siano più rigorose di questo
standard.
La seconda parte, al capitolo 4, riporta i "soliti" requisiti di sistema di
gestione basati sul ciclo di Deming e simili a quello di altre norme come la
9001, la 27001 e la 20000-1.
martedì 8 febbraio 2011
ISO 26000:2010 -- Guida alla responsabilità sociale
Il 28 ottobre, la ISO ha pubblicato la ISO 26000:2010 "Guidance on social
responsibility". Dal mese di novembre è anche disponibile la versione
italiana ufficiale della UNI.
Questa linea guida era molto attesa, anche in virtù del successo
dell'iniziativa SA 8000 del SAI. In molti pensavano che la 26000 avrebbe
messo sotto il cappello ISO un'iniziativa che potremmo definire "locale",
esattamente come la BS 7799 poi diventata ISO/IEC 27001, la BS 15000
diventata ISO/IEC 20000 o i Common Criteria diventati ISO/IEC 15408.
Al momento, questa iniziativa non deve essere confusa con quella della SAI
per almeno due motivi. Il primo è che la ISO 26000 esplicitamente esclude il
proprio utilizzo per condurre audit, assessment o certificazioni mentre la
SA 8000 è uno standard certificabile; il secondo è che la ISO 26000 ha
l'ambizione di coprire tutti i temi della responsabilità sociale, mentre la
SA 8000 è focalizzata alle condizioni di lavoro.
La lettura è interessante e si basa sullo stabilire i 7 principi della
responsabilità sociale (accountability, trasparenza, comportamento etico,
rispetto degli interessi degli stakeholder, rispetto del principio di
legalità, rispetto delle norme internazionali di comportamento, rispetto dei
diritti umani) e i 7 temi fondamentali della responsabilità sociale
(governance, diritti umani, rapporti e condizioni di lavoro, ambiente,
corrette prassi gestionali, aspetti specifici relativi ai consumatori,
coinvolgimento e sviluppo della comunità).
Nei temi "rapporti e condizioni di lavoro", "corrette prassi gestionali" (inerenti alla lotta alla corruzione, concorrenza leale, rispetto dei diritti di proprietà) e "consumatori" (che include il corretto trattamento dei dati personali) si trovano molti aspetti di sicurezza delle informazioni e di qualità.
Per come è scritto, il documento si scosta da altre norme ISO perché fornisce un'ampia biografia di documenti extra-ISO e un elenco di iniziative sulla responsabilità sociale (tra cui la già citata SAI e SA 8000). Inoltre, nei capitoli sono presenti diversi box di approfondimento.
Ringrazio Paola Generali di GetSolution per la segnalazione.
responsibility". Dal mese di novembre è anche disponibile la versione
italiana ufficiale della UNI.
Questa linea guida era molto attesa, anche in virtù del successo
dell'iniziativa SA 8000 del SAI. In molti pensavano che la 26000 avrebbe
messo sotto il cappello ISO un'iniziativa che potremmo definire "locale",
esattamente come la BS 7799 poi diventata ISO/IEC 27001, la BS 15000
diventata ISO/IEC 20000 o i Common Criteria diventati ISO/IEC 15408.
Al momento, questa iniziativa non deve essere confusa con quella della SAI
per almeno due motivi. Il primo è che la ISO 26000 esplicitamente esclude il
proprio utilizzo per condurre audit, assessment o certificazioni mentre la
SA 8000 è uno standard certificabile; il secondo è che la ISO 26000 ha
l'ambizione di coprire tutti i temi della responsabilità sociale, mentre la
SA 8000 è focalizzata alle condizioni di lavoro.
La lettura è interessante e si basa sullo stabilire i 7 principi della
responsabilità sociale (accountability, trasparenza, comportamento etico,
rispetto degli interessi degli stakeholder, rispetto del principio di
legalità, rispetto delle norme internazionali di comportamento, rispetto dei
diritti umani) e i 7 temi fondamentali della responsabilità sociale
(governance, diritti umani, rapporti e condizioni di lavoro, ambiente,
corrette prassi gestionali, aspetti specifici relativi ai consumatori,
coinvolgimento e sviluppo della comunità).
Nei temi "rapporti e condizioni di lavoro", "corrette prassi gestionali" (inerenti alla lotta alla corruzione, concorrenza leale, rispetto dei diritti di proprietà) e "consumatori" (che include il corretto trattamento dei dati personali) si trovano molti aspetti di sicurezza delle informazioni e di qualità.
Per come è scritto, il documento si scosta da altre norme ISO perché fornisce un'ampia biografia di documenti extra-ISO e un elenco di iniziative sulla responsabilità sociale (tra cui la già citata SAI e SA 8000). Inoltre, nei capitoli sono presenti diversi box di approfondimento.
Ringrazio Paola Generali di GetSolution per la segnalazione.
lunedì 31 gennaio 2011
Standardizzazione famiglia ISO/IEC 27000
Tra dicembre 2010 e gennaio 2011, sono state inviate agli esperti
dell'Uninfo le bozze delle seguenti norme perché le commentassero:
- ISO/IEC 27000 (2o draft)
- ISO/IEC 27001 (4o draft)
- ISO/IEC 27002 (3o draft)
- TR ISO/IEC 27008 - "Guidelines for auditors on information security
controls" (Draft)
- ISO/IEC 27010 - "Information security management for intersector and
inter-organisational communications" (Committee draft)
- ISO/IEC 27013 - Relazioni tra 27001 e 20000 (3o draft)
- ISO/IEC 27014 - Governance of information security (Committee draft)
- ISO/IEC 27015 (2nd WD) -Guidelines for financial services
- ISO/IEC 27016 - Organizational economics (1o draft)
- ISO/IEC 27033-2 (FCD, revision of ISO/IEC 18028-2:2006) - Guidelines for
the design of network security
- ISO/IEC 27033-3 - Reference networking scenarios -- Threats, design
techniques and control issues (Final Draft)
- ISO/IEC 27033-4 (3rd WD; revision of ISO/IEC 18028-3:2005) -Securing
communications between networks using security gateways
- ISO/IEC 27033-5 (WD) - Securing communications across networks using
Virtual Private Networks (VPNs)
- ISO/IEC 27036-3 (Preliminary draft) - Guidelines for ICT supply chain
security
- ISO/IEC 27038 (1st WD) - Specification for digital redaction
Inoltre, è stata approvata la FDIS della ISO/IEC FDIS 27031 (Guidelines for
information and communication technology readiness for business continuity)
e quindi dovrebbe essere pubblicata la versione definitiva.
Nessuna nuova notizia sulla ISO/IEC 27037 (Guidelines for identification,
collection, acquisition and preservation of digital evidence) che era
arrivata al terzo Working Draft e che desta un certo interesse perché
relativa alla computer forensics.
dell'Uninfo le bozze delle seguenti norme perché le commentassero:
- ISO/IEC 27000 (2o draft)
- ISO/IEC 27001 (4o draft)
- ISO/IEC 27002 (3o draft)
- TR ISO/IEC 27008 - "Guidelines for auditors on information security
controls" (Draft)
- ISO/IEC 27010 - "Information security management for intersector and
inter-organisational communications" (Committee draft)
- ISO/IEC 27013 - Relazioni tra 27001 e 20000 (3o draft)
- ISO/IEC 27014 - Governance of information security (Committee draft)
- ISO/IEC 27015 (2nd WD) -Guidelines for financial services
- ISO/IEC 27016 - Organizational economics (1o draft)
- ISO/IEC 27033-2 (FCD, revision of ISO/IEC 18028-2:2006) - Guidelines for
the design of network security
- ISO/IEC 27033-3 - Reference networking scenarios -- Threats, design
techniques and control issues (Final Draft)
- ISO/IEC 27033-4 (3rd WD; revision of ISO/IEC 18028-3:2005) -Securing
communications between networks using security gateways
- ISO/IEC 27033-5 (WD) - Securing communications across networks using
Virtual Private Networks (VPNs)
- ISO/IEC 27036-3 (Preliminary draft) - Guidelines for ICT supply chain
security
- ISO/IEC 27038 (1st WD) - Specification for digital redaction
Inoltre, è stata approvata la FDIS della ISO/IEC FDIS 27031 (Guidelines for
information and communication technology readiness for business continuity)
e quindi dovrebbe essere pubblicata la versione definitiva.
Nessuna nuova notizia sulla ISO/IEC 27037 (Guidelines for identification,
collection, acquisition and preservation of digital evidence) che era
arrivata al terzo Working Draft e che desta un certo interesse perché
relativa alla computer forensics.
Phishing anche per rivendere quote di CO2
Simone Tomirotti segnala questa notizia: il phishing non colpisce solo gli
utenti dei sistemi di home banking.
Dal Financial Times Deutschland del 3 febbraio 2010: Dopo un primo attacco
alla fine del 2009, alcuni hacker professionisti hanno colpito alcune
imprese in Europa, in Giappone e in Nuova Zelanda. I pirati hanno inviato
false mail chiedendo alle vittime di registrarsi di nuovo sulla piattaforma
di scambio per prevenire un attacco informatico. Con queste nuove password
hanno inviato dei diritti di emissione su dei conti in Danimarca e Gran
Bretagna e poi li hanno rivenduti. Il numero di imprese vittime di questa
truffa è ancora sconosciuto, "ma le verifiche di più di una dozzina di
imprese in Germania ha già rivelato nove truffe". Di conseguenza il registro
delle emissioni di anidride carbonica è stato chiuso in 13 paesi. "Questo
sistema di scambio, che dovrebbe essere lo strumento per proteggere il
clima, rivela la sua fragilità", commenta il quotidiano.
http://www.presseurop.eu/it/content/news-brief-cover/182761-gli-hacker-ruban
o-i-diritti-di-emissione
Da Presseurop del 21 gennaio 2011: "I ladri di quote colpiscono ancora".
Alcuni hacker hanno rubato e poi rivenduto quote di CO2 di diversi paesi
europei, riporta Libération. "Niente porte forzate, niente casseforti fatte
saltare in aria con la nitroglicerina. Soltanto sistemi informatici di
registri nazionali alleggeriti dei diritti di emissione" delle più grandi
imprese austriache, greche, ceche, polacche e estoni, che il 19 gennaio si
sono rese conto della portata dell'attacco. Secondo la Commissione europea i
cyber-ladri hanno prelevato permessi per circa 3 milioni di tonnellate di
CO2 e un valore di 200 milioni di euro. "Il furto rischia di intaccare la
credibilità del giovane mercato europeo delle emissioni", precisa
Libération. Un mercato "creato dal nulla dall'Unione europea nel 2005 per
limitare le emissioni di carbonio delle industrie". Dal 2007 il mercato è
costantemente il bersaglio degli attacchi dei criminali informatici.
http://www.presseurop.eu/it/content/news-brief/471771-i-ladri-di-quote-colpi
scono-ancora
utenti dei sistemi di home banking.
Dal Financial Times Deutschland del 3 febbraio 2010: Dopo un primo attacco
alla fine del 2009, alcuni hacker professionisti hanno colpito alcune
imprese in Europa, in Giappone e in Nuova Zelanda. I pirati hanno inviato
false mail chiedendo alle vittime di registrarsi di nuovo sulla piattaforma
di scambio per prevenire un attacco informatico. Con queste nuove password
hanno inviato dei diritti di emissione su dei conti in Danimarca e Gran
Bretagna e poi li hanno rivenduti. Il numero di imprese vittime di questa
truffa è ancora sconosciuto, "ma le verifiche di più di una dozzina di
imprese in Germania ha già rivelato nove truffe". Di conseguenza il registro
delle emissioni di anidride carbonica è stato chiuso in 13 paesi. "Questo
sistema di scambio, che dovrebbe essere lo strumento per proteggere il
clima, rivela la sua fragilità", commenta il quotidiano.
http://www.presseurop.eu/it/content/news-brief-cover/182761-gli-hacker-ruban
o-i-diritti-di-emissione
Da Presseurop del 21 gennaio 2011: "I ladri di quote colpiscono ancora".
Alcuni hacker hanno rubato e poi rivenduto quote di CO2 di diversi paesi
europei, riporta Libération. "Niente porte forzate, niente casseforti fatte
saltare in aria con la nitroglicerina. Soltanto sistemi informatici di
registri nazionali alleggeriti dei diritti di emissione" delle più grandi
imprese austriache, greche, ceche, polacche e estoni, che il 19 gennaio si
sono rese conto della portata dell'attacco. Secondo la Commissione europea i
cyber-ladri hanno prelevato permessi per circa 3 milioni di tonnellate di
CO2 e un valore di 200 milioni di euro. "Il furto rischia di intaccare la
credibilità del giovane mercato europeo delle emissioni", precisa
Libération. Un mercato "creato dal nulla dall'Unione europea nel 2005 per
limitare le emissioni di carbonio delle industrie". Dal 2007 il mercato è
costantemente il bersaglio degli attacchi dei criminali informatici.
http://www.presseurop.eu/it/content/news-brief/471771-i-ladri-di-quote-colpi
scono-ancora
giovedì 27 gennaio 2011
Qualità dei dati e SLA
Franco Ferrari (DNV Italia) segnala questo interessante articolo sulla
qualità dei dati e gli SLAs. Fa riferimento ad un white paper di DataFlux,
società acquisita da SAS, la cui lettura è sottoposta alla registrazione
presso il loro sito. Quindi, non l'ho scaricato, ma direi che l'articolo è
più che esaustivo
http://www.zerounoweb.it/index.php?option=com_content&task=view&id=4576&Item
id=126
A fronte di ciò, Tony Coletta, ha segnalato che in merito a questo argomento
è stato pubblicata la ISO/IEC 25012:2008, dal titolo "Software engineering
-- Software product Quality Requirements and Evaluation (SQuaRE) -- Data
quality model". Lo standard è interessante e propone 15 dimensioni della
qualità dei dati, a loro volta da considerare come "inerenti" ai dati o
"dipendenti dal sistema". La norma è quindi collegata agli altri standard
sulla qualità del software, in particolare la ISO/IEC 9126-1 "Information
technology - Software product quality - Quality model" che sarà sostituita
dalla ISO/IEC 25010 "System and software quality models"(ora allo stato di
Final Draft).
Aggiungo: questi temi sono importanti sia quando si parla di qualità dei dati da proteggere o da utilizzare per l'erogazione di servizi, sia quando si parla di misurazioni dell'efficacia e efficienza (per esempio di un sistema di gestione per la sicurezza delle informazioni o di gestione dei servizi IT).
qualità dei dati e gli SLAs. Fa riferimento ad un white paper di DataFlux,
società acquisita da SAS, la cui lettura è sottoposta alla registrazione
presso il loro sito. Quindi, non l'ho scaricato, ma direi che l'articolo è
più che esaustivo
http://www.zerounoweb.it/index.php?option=com_content&task=view&id=4576&Item
id=126
A fronte di ciò, Tony Coletta, ha segnalato che in merito a questo argomento
è stato pubblicata la ISO/IEC 25012:2008, dal titolo "Software engineering
-- Software product Quality Requirements and Evaluation (SQuaRE) -- Data
quality model". Lo standard è interessante e propone 15 dimensioni della
qualità dei dati, a loro volta da considerare come "inerenti" ai dati o
"dipendenti dal sistema". La norma è quindi collegata agli altri standard
sulla qualità del software, in particolare la ISO/IEC 9126-1 "Information
technology - Software product quality - Quality model" che sarà sostituita
dalla ISO/IEC 25010 "System and software quality models"(ora allo stato di
Final Draft).
Aggiungo: questi temi sono importanti sia quando si parla di qualità dei dati da proteggere o da utilizzare per l'erogazione di servizi, sia quando si parla di misurazioni dell'efficacia e efficienza (per esempio di un sistema di gestione per la sicurezza delle informazioni o di gestione dei servizi IT).
Rubare files non è reato (parte 2)
A inizio gennaio avevo segnalato la notizia sulla sentenza della Corte di
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.
http://blog.cesaregallotti.it/2011/01/rubare-files-non-e-reato.html
Luca De Grazia propone un'analisi più esaustiva della vicenda:
http://lucadegrazia.postilla.it/2011/01/25/copiare-un-documento-su-un-server
-aziendale-non-e-un-furto-poiche-non-vi-e-spossessamento-o-distruzione/
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.
http://blog.cesaregallotti.it/2011/01/rubare-files-non-e-reato.html
Luca De Grazia propone un'analisi più esaustiva della vicenda:
http://lucadegrazia.postilla.it/2011/01/25/copiare-un-documento-su-un-server
-aziendale-non-e-un-furto-poiche-non-vi-e-spossessamento-o-distruzione/
martedì 25 gennaio 2011
Uso dell'email aziendale per comunicare con l'avvocato
Il mese scorso avevo riportato dei comportamenti attenti sull'uso di
Facebook
http://blog.cesaregallotti.it/2011/01/realta-e-virtualita-qualcuno-capisce-l
e.html
Questa volto riporto la notizia appresa dal SANS NewsBites Vol. 13 Num. 6:
un'impiegata ha usato l'email aziendale per concordare con il proprio
avvocato come condurre una causa ostile all'azienda stessa.
http://www.wired.com/threatlevel/2011/01/email-attorney-client-privilege/
Bisogna avere una bella fantasia!
http://blog.cesaregallotti.it/2011/01/realta-e-virtualita-qualcuno-capisce-l
e.html
Questa volto riporto la notizia appresa dal SANS NewsBites Vol. 13 Num. 6:
un'impiegata ha usato l'email aziendale per concordare con il proprio
avvocato come condurre una causa ostile all'azienda stessa.
http://www.wired.com/threatlevel/2011/01/email-attorney-client-privilege/
Bisogna avere una bella fantasia!
giovedì 20 gennaio 2011
Un cyber-esercito contro i pirati della rete
Simone Tomirotti segnala questa notizia chiedendosi "cosa succederà in
Italia in questo ambito?"
Estonia - Un cyber-esercito contro i pirati della rete
Preoccupata dagli attacchi informatici alle sue istituzioni, l'Estonia ha
formato un'unità di cyber-soldati volontari, la Küberkaitseliit (Lega di
cyber-difesa, KKL), con l'obiettivo di proteggere il paese da nuove minacce,
scrive Rzeczpospolita. Primo cyber-esercito volontario del mondo, la KKL fa
parte del gruppo paramilitare estone Lega di difesa totale, e
nell'eventualità dello scoppio di una guerra verrebbe posta sotto l'autorità
militare. Per adesso è formata da 80 specialisti e ingegneri informatici che
si incontrano una volta alla settimana per sventare attacchi informatici
simulati. Leader nella diffusione dell'accesso a internet, l'Estonia è stata
"il primo paese al mondo a permettere il voto via web nelle elezioni
parlamentari. Per questo motivo un altro cyber-attacco potrebbe paralizzare
l'intera nazione", ha dichiarato al quotidiano polacco Vahur Made,
dell'Accademia diplomatica estone.
http://www.presseurop.eu/it/content/news-brief-cover/461991-un-cyber-esercit
o-contro-i-pirati-della-rete
Dal gruppo su LinkedIn del Clusit, Aldo Ceccarelli segnala un'analoga notizia questa volta dagli USA:
http://punto-informatico.it/3067360/PI/News/cybersicurezza-nsa-costruisce-fortezze.aspx?goback=%2Egde_54878_member_40284642
E infine, su theregister (segnalato dalla Forensic Focus newsletter, January 2011), un articolo dal titolo "Cyberwar hype is obscuring real security threats": troppa attenzione alla cyberwar che è improbabile e toglie energie alla prevenzione di minacce più probabili.
http://www.theregister.co.uk/2011/01/17/cyberwar_hype_oecd_study/
Italia in questo ambito?"
Estonia - Un cyber-esercito contro i pirati della rete
Preoccupata dagli attacchi informatici alle sue istituzioni, l'Estonia ha
formato un'unità di cyber-soldati volontari, la Küberkaitseliit (Lega di
cyber-difesa, KKL), con l'obiettivo di proteggere il paese da nuove minacce,
scrive Rzeczpospolita. Primo cyber-esercito volontario del mondo, la KKL fa
parte del gruppo paramilitare estone Lega di difesa totale, e
nell'eventualità dello scoppio di una guerra verrebbe posta sotto l'autorità
militare. Per adesso è formata da 80 specialisti e ingegneri informatici che
si incontrano una volta alla settimana per sventare attacchi informatici
simulati. Leader nella diffusione dell'accesso a internet, l'Estonia è stata
"il primo paese al mondo a permettere il voto via web nelle elezioni
parlamentari. Per questo motivo un altro cyber-attacco potrebbe paralizzare
l'intera nazione", ha dichiarato al quotidiano polacco Vahur Made,
dell'Accademia diplomatica estone.
http://www.presseurop.eu/it/content/news-brief-cover/461991-un-cyber-esercit
o-contro-i-pirati-della-rete
Dal gruppo su LinkedIn del Clusit, Aldo Ceccarelli segnala un'analoga notizia questa volta dagli USA:
http://punto-informatico.it/3067360/PI/News/cybersicurezza-nsa-costruisce-fortezze.aspx?goback=%2Egde_54878_member_40284642
E infine, su theregister (segnalato dalla Forensic Focus newsletter, January 2011), un articolo dal titolo "Cyberwar hype is obscuring real security threats": troppa attenzione alla cyberwar che è improbabile e toglie energie alla prevenzione di minacce più probabili.
http://www.theregister.co.uk/2011/01/17/cyberwar_hype_oecd_study/
Business Continuity per disabili
Dalla newsletter del DRI Italy, ho trovato un riferimento ad un report di un
workshop sulla gestione delle emergenze per persone disabili.
http://publicaa.ansi.org/sites/apdl/Documents/News%20and%20Publications/Links%20Within%20Stories/
Ho trovato interessante la parte sulle "evacuazioni" e i due link alla guida
della NFPA (http://www.nfpa.org/categoryList.asp?categoryID=824) e al sito
dell'ADA (http://www.ada.gov/).
Tutta roba USA, ma sicuramente interessante anche per noi e per questo tema
spesso sottovalutato quando si tratta di Business Continuity.
workshop sulla gestione delle emergenze per persone disabili.
http://publicaa.ansi.org/sites/apdl/Documents/News%20and%20Publications/Links%20Within%20Stories/
Ho trovato interessante la parte sulle "evacuazioni" e i due link alla guida
della NFPA (http://www.nfpa.org/categoryList.asp?categoryID=824) e al sito
dell'ADA (http://www.ada.gov/).
Tutta roba USA, ma sicuramente interessante anche per noi e per questo tema
spesso sottovalutato quando si tratta di Business Continuity.
mercoledì 19 gennaio 2011
Secure coding
Sul Clusit Group su Linkedin viene segnalato questo articolo sull'utilità delle metodologie di programmazione sicura (OWASP soprattutto)
http://blogs.techrepublic.com.com/security/?p=4932&goback=%2Egde_54878_member_39150496
Difficile non essere d'accordo su due considerazioni (tra le altre):
1- ci sono troppi mediocri programmatori e rari bravi programmatori (come in tutte le professioni)
2- i programmatori lavorano male perché costretti a rispettare tempi molto ristretti
http://blogs.techrepublic.com.com/security/?p=4932&goback=%2Egde_54878_member_39150496
Difficile non essere d'accordo su due considerazioni (tra le altre):
1- ci sono troppi mediocri programmatori e rari bravi programmatori (come in tutte le professioni)
2- i programmatori lavorano male perché costretti a rispettare tempi molto ristretti
Diritto d'autore: assoluzione per uso di software pirata
Attilio Rampazzo ci segnala la seguente notizia: La Corte di Appello di Trento ha assolto due architetti della Valsugana che utilizzavano nei loro uffici programmi informatici privi di licenza. Per i giudici non è reato perché si trattava di liberi professionisti e non di imprenditori.
La vicenda riguarda l'applicazione dell'articolo 171-bis della Legge 633 del 1941 che riguarda "scopi commerciali o imprenditoriali". Altro discorso deduco sia stato fatto in merito all'applicazione del 174-ter che non ha restrizioni.
Articoli simili che ho trovato in rete:
- Commento di Costabile: http://www.marcodimartino.it/documenti/pdf/Costabile_Software_senza_licenza_in_azienda.pdf
- http://www.reteingegneri.it/notizie/economia-e-fisco/sentenza-su-software-senza-licenza.html
- Sentenza della Cassazione 1: http://www.studiolegalelaw.net/consulenza-legale/15772
- Sentenza della Cassazione 2: http://www.penale.it/giuris/cass_015.htm
Due miei quasi ironici commenti:
1- come libero professionista, prendo nota
2- non si può più dire che i professionisti ("quelli della partita IVA") sono "imprenditori di se stessi"
A parte ciò, la materia pare decisamente complessa e forse troppo discussa perché ci si possano seguire dei comportamenti completamente corretti.http://www.ilgazzettino.it/articolo.php?id=134678&sez=NORDEST
La vicenda riguarda l'applicazione dell'articolo 171-bis della Legge 633 del 1941 che riguarda "scopi commerciali o imprenditoriali". Altro discorso deduco sia stato fatto in merito all'applicazione del 174-ter che non ha restrizioni.
Articoli simili che ho trovato in rete:
- Commento di Costabile: http://www.marcodimartino.it/documenti/pdf/Costabile_Software_senza_licenza_in_azienda.pdf
- http://www.reteingegneri.it/notizie/economia-e-fisco/sentenza-su-software-senza-licenza.html
- Sentenza della Cassazione 1: http://www.studiolegalelaw.net/consulenza-legale/15772
- Sentenza della Cassazione 2: http://www.penale.it/giuris/cass_015.htm
Due miei quasi ironici commenti:
1- come libero professionista, prendo nota
2- non si può più dire che i professionisti ("quelli della partita IVA") sono "imprenditori di se stessi"
A parte ciò, la materia pare decisamente complessa e forse troppo discussa perché ci si possano seguire dei comportamenti completamente corretti.http://www.ilgazzettino.it/articolo.php?id=134678&sez=NORDEST
lunedì 17 gennaio 2011
Incidente in Vodafone Australia
Dal SANS NewsBites Vol. 13 Num. 4: Vodafone Australia ha licenziato un
numero imprecisato di persone dopo il recente incidente di sicurezza che ha
compromesso la riservatezza dei dati di almeno 4 milioni di clienti.
Sono state fatte accuse di vendita a criminali di accessi al database
clienti.
http://www.zdnet.com.au/vodafone-sacks-staff-over-data-breach-339308574.htm
http://www.itnews.com.au/News/244672,vodafone-sacks-staff-over-alleged-secur
ity-breach.aspx
In Italia non è così facile licenziare il personale. Però, ci sono già stati
diversi casi di cambiamenti di fornitori a seguito di incidenti. Di chi sia
poi la colpa, è sempre difficile da stabilire. Però tutto ciò ci insegna ad
essere prudenti.
numero imprecisato di persone dopo il recente incidente di sicurezza che ha
compromesso la riservatezza dei dati di almeno 4 milioni di clienti.
Sono state fatte accuse di vendita a criminali di accessi al database
clienti.
http://www.zdnet.com.au/vodafone-sacks-staff-over-data-breach-339308574.htm
http://www.itnews.com.au/News/244672,vodafone-sacks-staff-over-alleged-secur
ity-breach.aspx
In Italia non è così facile licenziare il personale. Però, ci sono già stati
diversi casi di cambiamenti di fornitori a seguito di incidenti. Di chi sia
poi la colpa, è sempre difficile da stabilire. Però tutto ciò ci insegna ad
essere prudenti.
PCI DSS 2.0
Recentemente ho segnalato la pubblicazione del Quaderno Clusit dal titolo
"PCI-DSS: Payment Card Industry - Data Security Standard".
Luca Lazza (di Novit) mi fa notare che avrei anche dovuto segnalare l'uscita
della versione 2.0 del PCI-DSS, operativa dal 1 gennaio di quest'anno.
https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf
Sia Luca che Fabio Guasconi (co-autore del quaderno Clusit) dicono che non
cambia praticamente nulla: sono stati chiariti alcuni punti, introdotti
alcuni requisiti riguardo alle nuove tecnologie (es. cloud computing e
virtualizzazione dei server) e modificato il "ciclo di vita" delle
specifiche PCI da 2 a 3 anni.
"PCI-DSS: Payment Card Industry - Data Security Standard".
Luca Lazza (di Novit) mi fa notare che avrei anche dovuto segnalare l'uscita
della versione 2.0 del PCI-DSS, operativa dal 1 gennaio di quest'anno.
https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf
Sia Luca che Fabio Guasconi (co-autore del quaderno Clusit) dicono che non
cambia praticamente nulla: sono stati chiariti alcuni punti, introdotti
alcuni requisiti riguardo alle nuove tecnologie (es. cloud computing e
virtualizzazione dei server) e modificato il "ciclo di vita" delle
specifiche PCI da 2 a 3 anni.
mercoledì 12 gennaio 2011
Sicurezza smartphones
Segnalo (riprendendolo dalla newsletter del Clusit) la bella guida dell'Enisa sulla sicurezza degli smartphones (compufoni? calcofoni?). Sono elencate e descritte molto accuratamente le minacce, le vulnerabilità e le misure di sicurezza suddivise per privati, impiegati e "alte cariche". La guida ha inoltre in appendice un'interessante bibliografia.
Aggiungo che questa guida mi sembra un ottimo esempio su come dovrebbero essere fatti certi lavori. In altre parole: da studiare non solo da chi si occupa di sicurezza di cellulari, ma da chiunque si occupa di sicurezza.
Il report si scarica da http://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users/at_download/fullReport.
Suggerisco di leggere anche la pagina di presentazione dell'Enisa perché riporta anche i link ad un video e alle FAQ: http://www.enisa.europa.eu/media/press-releases/security-is-there-an-app-for-that-eu2019s-cyber-security-agency-highlights-risks-opportunities-of-smartphones
Aggiungo che questa guida mi sembra un ottimo esempio su come dovrebbero essere fatti certi lavori. In altre parole: da studiare non solo da chi si occupa di sicurezza di cellulari, ma da chiunque si occupa di sicurezza.
Il report si scarica da http://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users/at_download/fullReport.
Suggerisco di leggere anche la pagina di presentazione dell'Enisa perché riporta anche i link ad un video e alle FAQ: http://www.enisa.europa.eu/media/press-releases/security-is-there-an-app-for-that-eu2019s-cyber-security-agency-highlights-risks-opportunities-of-smartphones
PCI - DSS
La newsletter del Clusit segnala la pubblicazione del Quaderno Clusit dal titolo "PCI-DSS: Payment Card Industry - Data Security Standard". Molto interessante per chiunque voglia conoscere questi standard.
http://clusit.it/download/Q08_bis.pdf
http://clusit.it/download/Q08_bis.pdf
martedì 11 gennaio 2011
Storia dell'algoritmo A5/2
Da CRYPTO-GRAM del 15 dicembre 2010, ripropongo il link alla "Breve storia
della dismissione dell'algoritmo A5/2 dai protocolli GSM" (in inglese), dove
viene dimostrata ancora una volta la pochezza di certe istituzioni e il
dilettantismo che ci pervade.
http://laforge.gnumonks.org/weblog/2010/11/12/#20101112-history_of_a52_withdrawal
Non voglio dire che tutti debbano essere dei geni, ma pare che qui gli manchino le basi. E scrivono standard...
della dismissione dell'algoritmo A5/2 dai protocolli GSM" (in inglese), dove
viene dimostrata ancora una volta la pochezza di certe istituzioni e il
dilettantismo che ci pervade.
http://laforge.gnumonks.org/weblog/2010/11/12/#20101112-history_of_a52_withdrawal
Non voglio dire che tutti debbano essere dei geni, ma pare che qui gli manchino le basi. E scrivono standard...
mercoledì 5 gennaio 2011
Nuova versione della ISO/IEC 19770-1
Come membro dell'ISACA, ho ricevuto la richiesta di commentare il draft della nuova versione della ISO/IEC 19770-1 dal titolo "Information technology — Software asset management — Part 1: Processes and tiered assessment of conformance".
Questa sarebbe la nuova versione della ISO/IEC 19770:2006 che aveva titolo "Information technology — Software asset management — Part 1: Processes"
Come si vede dal titolo, ora viene proposto un approccio su più livelli, da 1 a 4. In altre parole, sarebbe possibile dichiarare la propria conformità ad uno dei 4 livelli dello standard, da quello più semplice ("Dati affidabili") a quello completo ("Piena conformità"). Ogni livello comprende il precedente.
Questa scelta, stando agli autori, faciliterebbe l'adozione dello standard e permetterebbe di dare massima priorità alla gestione delle licenze.
Mi sono dichiarato contrario a questa scelta per 2 motivi: il primo è che se si presenta uno standard di requisiti questi dovrebbero costituire un insieme coerente di aspetti e farne uno spezzatino introduce invariabilmente incoerenze; il secondo (riprendendo a modo mio il parere di Tony Coletta) è che qui si sta parlando di UN solo processo e "facilitarne la conformità" sembra un poco ridicolo.
Questa sarebbe la nuova versione della ISO/IEC 19770:2006 che aveva titolo "Information technology — Software asset management — Part 1: Processes"
Come si vede dal titolo, ora viene proposto un approccio su più livelli, da 1 a 4. In altre parole, sarebbe possibile dichiarare la propria conformità ad uno dei 4 livelli dello standard, da quello più semplice ("Dati affidabili") a quello completo ("Piena conformità"). Ogni livello comprende il precedente.
Questa scelta, stando agli autori, faciliterebbe l'adozione dello standard e permetterebbe di dare massima priorità alla gestione delle licenze.
Mi sono dichiarato contrario a questa scelta per 2 motivi: il primo è che se si presenta uno standard di requisiti questi dovrebbero costituire un insieme coerente di aspetti e farne uno spezzatino introduce invariabilmente incoerenze; il secondo (riprendendo a modo mio il parere di Tony Coletta) è che qui si sta parlando di UN solo processo e "facilitarne la conformità" sembra un poco ridicolo.
martedì 4 gennaio 2011
Rubare files non è reato
Su www.ictlex.net è pubblicata la notizia della sentenza della Corte di
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.
Riporto il testo di Andrea Monti, che riassume:
- il reato non sussiste: Sottrazione di soli file contententi informazioni
riservate – reato di furto ex art. 624 C.p. – carenza della qualità di cosa
mobile dei file informatici
- il reato sussite: Sottrazione di dati commerciali da parte del dipendente
e successivo utilizzo in azioni concorrenziali – configurabilità del reato
di rivelazione di segreto professionale ex art. 622 C.p.
Non sussiste il reato di furto, per carenza di tipicità, quando la condotta
riguarda l'appropriazione di file svincolati dal loro supporto.
La copia di file appartenenti al proprio datore di lavoro e il loro
riutilizzo successivo alle dimissioni da parte del dipendente in attività
concorrenziale integra il reato di cui all'art. 622 C.p.
Il testo integrale e' disponibile a questo indirizzohttp://www.ictlex.net/?p=1218
Pare quindi che si possano rubare file, purché successivamente non si
utilizzino. Il Diritto è certamente una materia strana...
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.
Riporto il testo di Andrea Monti, che riassume:
- il reato non sussiste: Sottrazione di soli file contententi informazioni
riservate – reato di furto ex art. 624 C.p. – carenza della qualità di cosa
mobile dei file informatici
- il reato sussite: Sottrazione di dati commerciali da parte del dipendente
e successivo utilizzo in azioni concorrenziali – configurabilità del reato
di rivelazione di segreto professionale ex art. 622 C.p.
Non sussiste il reato di furto, per carenza di tipicità, quando la condotta
riguarda l'appropriazione di file svincolati dal loro supporto.
La copia di file appartenenti al proprio datore di lavoro e il loro
riutilizzo successivo alle dimissioni da parte del dipendente in attività
concorrenziale integra il reato di cui all'art. 622 C.p.
Il testo integrale e' disponibile a questo indirizzohttp://www.ictlex.net/?p=1218
Pare quindi che si possano rubare file, purché successivamente non si
utilizzino. Il Diritto è certamente una materia strana...
Realtà e virtualità: qualcuno capisce le differenze
Qualche tempo fa, avevo segnalato dei casi di licenziamento di dipendenti
che avevano diffamato, seppur in modi differenziati, la propria azienda sui
social network:
http://www.mirror.co.uk/news/top-stories/2009/01/11/exclusive-marks-spencer-
staff-ridicule-customers-on-facebook-115875-21033664/
Da Cryptogram del 15 dicembre, un articolo dimostra che alcuni pensano a
quello che fanno e adottano alcune strategie per evitare che il virtuale
abbia impatti negativi sul reale:http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategi
es-on-facebook.html
Purtroppo, le protagoniste dell'articolo vivono in ambienti sociali
disagiati e probabilmente questo le ha rese più attente.
che avevano diffamato, seppur in modi differenziati, la propria azienda sui
social network:
http://www.mirror.co.uk/news/top-stories/2009/01/11/exclusive-marks-spencer-
staff-ridicule-customers-on-facebook-115875-21033664/
Da Cryptogram del 15 dicembre, un articolo dimostra che alcuni pensano a
quello che fanno e adottano alcune strategie per evitare che il virtuale
abbia impatti negativi sul reale:http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategi
es-on-facebook.html
Purtroppo, le protagoniste dell'articolo vivono in ambienti sociali
disagiati e probabilmente questo le ha rese più attente.
martedì 21 dicembre 2010
Il blogger non è "direttore responsabile"
Da Interlex (http://www.mcreporter.info/)
Importante sentenza della Corte d'Appello di Torino: il gestore di un blog non può essere equiparato al direttore responsabile di un giornale e quindi non esiste il reato di "omesso controllo". Resta la responsabilità per diffamazione.
http://www.mcreporter.info/giurisprudenza/to100423.pdf
Importante sentenza della Corte d'Appello di Torino: il gestore di un blog non può essere equiparato al direttore responsabile di un giornale e quindi non esiste il reato di "omesso controllo". Resta la responsabilità per diffamazione.
http://www.mcreporter.info/giurisprudenza/to100423.pdf
Libro bianco: Le Prove, i Controlli, le Valutazioni e le Certificazioni per i prodotti, i servizi, le aziende ed i professionisti
Segnalo, da comunicazione ricevuta dal CEPAS, la pubblicazione del Libro bianco: "Le Prove, i Controlli, le Valutazioni e le Certificazioni per i prodotti, i servizi, le aziende ed i professionisti" a cura di Confindustria Servizi Innovativi e Tecnologici.
Il libro è il risultato di un'ampia indagine su diverse tipologie di certificazione, tra cui quella dei dispositivi medici (e del relativo software!), dei Sistemi di Gestione per la Qualità, di Sistemi di Gestione per la Sicurezza delle Informazioni e del personale.
Ho trovato decisamente interessante e brutalmente sincera la parte sulla 9001, mentre ho trovato diverse inesattezze nell'ambito della 27001 (ma ricordo che qualcuno mi aveva coinvolto e avevo riportato delle considerazioni... mi avrà ignorato...) e della certificazione del personale. Ho poi intercettato un riferimento alla vecchia 626 e mi sono accorto che per capire la data di pubblicazione bisogna andare fino all'ultima pagina in cui si legge un generico 2010.
Il lavoro, quindi, presenta disomogeneità tra i vari capitoli e alcune imprecisioni ci impongono di leggerlo con prudenza. Ciò non toglie che può presentare un valido punto di riferimento per capire meglio alcuni ambiti e alcuni campi di applicazione.
Il link: http://www.cepas.it/news.asp
Il libro è il risultato di un'ampia indagine su diverse tipologie di certificazione, tra cui quella dei dispositivi medici (e del relativo software!), dei Sistemi di Gestione per la Qualità, di Sistemi di Gestione per la Sicurezza delle Informazioni e del personale.
Ho trovato decisamente interessante e brutalmente sincera la parte sulla 9001, mentre ho trovato diverse inesattezze nell'ambito della 27001 (ma ricordo che qualcuno mi aveva coinvolto e avevo riportato delle considerazioni... mi avrà ignorato...) e della certificazione del personale. Ho poi intercettato un riferimento alla vecchia 626 e mi sono accorto che per capire la data di pubblicazione bisogna andare fino all'ultima pagina in cui si legge un generico 2010.
Il lavoro, quindi, presenta disomogeneità tra i vari capitoli e alcune imprecisioni ci impongono di leggerlo con prudenza. Ciò non toglie che può presentare un valido punto di riferimento per capire meglio alcuni ambiti e alcuni campi di applicazione.
Il link: http://www.cepas.it/news.asp
Commenti su Decreto Legislativo 198 del 2010 sull'installazione di reti IT
Andrea Rui mi ha riportato un paio di commenti sul Dlgs 198 che condivido.
Avendomi scritto privatamente (a cosa serve il blog?), sono "costretto" a riportare le cose anche un poco filtrate da mie idee.
1- Dopo tanto parlare dell'eliminazione degli albi professionali, ci si inventa il nuovo albo o registro per gli installatori. A cui saranno iscritti i soliti noti alla faccia delle liberalizzazioni.
2- Se l'azienda sarà nell'albo, poi si corre il rischio che gli operatori sul campo non saranno sempre opportunamente preparati, come troppo spesso succede.
3- Perché invece non richiedere certificazioni personali? Anche se il mercato delle certificazioni personali potrebbe deteriorarsi, almeno rimarrebbe valida la responsabilità personale di chi svolge i lavori.
domenica 19 dicembre 2010
ISO/IEC TR 20000-4:2010
E' stata pubblicata la quarta parte (non certificabile!) della 20000 dal titolo "Information technology — Service management — Part 4: Process reference model".
In poche parole, si tratta di una riscrittura della attuale 20000-1 (prima edizione) e del draft della seconda edizione seguendo il modello della ISO/IEC 15504-1.
Che dire? Si tratta di un esercizio di stile, forse interessante ma che non approfondirò. A questo aggiungo che non sono riuscito a capire il perché di questa operazione ora, a poco tempo dalla riemissione della norma. Infine, non sono riuscito a capire a quale draft della seconda edizione faccia riferimento.
In poche parole, si tratta di una riscrittura della attuale 20000-1 (prima edizione) e del draft della seconda edizione seguendo il modello della ISO/IEC 15504-1.
Che dire? Si tratta di un esercizio di stile, forse interessante ma che non approfondirò. A questo aggiungo che non sono riuscito a capire il perché di questa operazione ora, a poco tempo dalla riemissione della norma. Infine, non sono riuscito a capire a quale draft della seconda edizione faccia riferimento.
WD3 ISO/IEC 27002
La 27002 è invece al terzo draft.
Le cose non sono molto cambiate per i capitoli dal 5 al 9. Segnalo che è stato introdotto un controllo sui progetti e uno sull'inserimento di nuovo personale.
C'è invece molta manovra sui capitoli successivi. Quelli attuali presentano infatti molte ridondanze, disomogeneità di tecnicità (si va dai molto generici ai molto specifici) e non sempre sono al posto giusto (perché il mobile computing e il teleworking sono nel capitolo dedicato al "controllo accessi" e non alle "operations"?).
Una lettura del testo mi ha però fatto capire che ogni controllo del capitolo 10 non deve essere visto solo come collegato all'IT, ma anche a tutte le tipologie di "informazioni". Ho quindi chiesto di esplicitarlo meglio.
La situazione è al momento talmente "fluida" che non mi sembra il caso di fare ulteriori commenti.
Le cose non sono molto cambiate per i capitoli dal 5 al 9. Segnalo che è stato introdotto un controllo sui progetti e uno sull'inserimento di nuovo personale.
C'è invece molta manovra sui capitoli successivi. Quelli attuali presentano infatti molte ridondanze, disomogeneità di tecnicità (si va dai molto generici ai molto specifici) e non sempre sono al posto giusto (perché il mobile computing e il teleworking sono nel capitolo dedicato al "controllo accessi" e non alle "operations"?).
Una lettura del testo mi ha però fatto capire che ogni controllo del capitolo 10 non deve essere visto solo come collegato all'IT, ma anche a tutte le tipologie di "informazioni". Ho quindi chiesto di esplicitarlo meglio.
La situazione è al momento talmente "fluida" che non mi sembra il caso di fare ulteriori commenti.
WD4 ISO/IEC 27001
Siamo al quarto draft della 27001.
L'aspetto da notare è che ora è impostata secondo il modello "JTCG 8 Common Structure and Identical Text for management system standards". La 27001 sarà la prima norma ad adottare questo modello e le altre (9001, 14001, 20000) dovrebbero seguire.
La norma, di per se stessa, non cambia molto soprattutto per quanti ne hanno dato delle interpretazioni corrette da un punto di vista formale e sostanziale. Ne riparleremo le prossime volte, quando si sarà più stabilizzata.
In realtà, il nuovo modello introduce almeno tre aspetti che al momento mi lasciano perplesso. Non mi sono ancora imbattutto in disquisizioni in merito sulla rete per capirli fino in fondo, ma lascio qui un piccolo elenco:
1- viene introdotta la necessità di pianificare il sistema di gestione tenendo in conto, seppure in modo sfumato ma esplicito, i rischi di impresa; se questa non è una novità per la 27001, certamente lo è per altre norme; il problema è che li chiama "issues" e questo potrà creare qualche confusione in chi si occuppa di "risks"
2- non ci sono più "procedure documentate" e "registrazioni", ma "documented information"; questo genera dei giri di parole non sempre semplici da assimilare
3- la richiesta di procedure documentate e registrazioni (quindi, di informazioni documentate) obbligatorie si è di molto ridotta, lasciando ulteriore margine all'utilizzatore; questo potrebbe creare qualche difficoltà per gli auditor che potrebbero trovarsi con sempre meno punti di appoggio per "capire" cosa auditare
Ripeto: non ho ancora valutato fino in fondo questi aspetti e mi riserverò di farlo dopo il prossimo draft.
L'aspetto da notare è che ora è impostata secondo il modello "JTCG 8 Common Structure and Identical Text for management system standards". La 27001 sarà la prima norma ad adottare questo modello e le altre (9001, 14001, 20000) dovrebbero seguire.
La norma, di per se stessa, non cambia molto soprattutto per quanti ne hanno dato delle interpretazioni corrette da un punto di vista formale e sostanziale. Ne riparleremo le prossime volte, quando si sarà più stabilizzata.
In realtà, il nuovo modello introduce almeno tre aspetti che al momento mi lasciano perplesso. Non mi sono ancora imbattutto in disquisizioni in merito sulla rete per capirli fino in fondo, ma lascio qui un piccolo elenco:
1- viene introdotta la necessità di pianificare il sistema di gestione tenendo in conto, seppure in modo sfumato ma esplicito, i rischi di impresa; se questa non è una novità per la 27001, certamente lo è per altre norme; il problema è che li chiama "issues" e questo potrà creare qualche confusione in chi si occuppa di "risks"
2- non ci sono più "procedure documentate" e "registrazioni", ma "documented information"; questo genera dei giri di parole non sempre semplici da assimilare
3- la richiesta di procedure documentate e registrazioni (quindi, di informazioni documentate) obbligatorie si è di molto ridotta, lasciando ulteriore margine all'utilizzatore; questo potrebbe creare qualche difficoltà per gli auditor che potrebbero trovarsi con sempre meno punti di appoggio per "capire" cosa auditare
Ripeto: non ho ancora valutato fino in fondo questi aspetti e mi riserverò di farlo dopo il prossimo draft.
sabato 18 dicembre 2010
FDIS ISO/IEC 20000-1
La ISO/IEC 20000-1 è ora allo stadio di FDIS. Questo non vuol dire che sarà approvata, ma a questo punto è molto probabile che nel 2011 sarà emessa la nuova versione della norma.
La nuova versione è molto meglio scritta della precedente, anche se si notano ancora alcune inesattezze e imprecisioni deprecabili quando si tratta di uno standard internazionale. Sembra quasi che troppi standardizzatori improvvisati siano all'opera.
A parte ciò, i requisiti, in definitiva, sono molto simili agli attuali (ho fatto una verifica veloce) e soprattutto la parte di "New or changed services" ha ora un senso. Inoltre, molti requisiti sono simili all'attuale ISO 9001 di modo che anni di sviluppo non sono andati dimenticati ;-)
Mi ha molto interessato il lavoro fatto sul miglioramento continuo, ora esplicitamente non collegato alle sole azioni correttive e preventive.
Rimane infine un dubbio: perché continuare a chiamare "Known errors" gli incidenti di cui è nota la causa, quando nella realtà (e in modo a mio parere più significativo) si usa questo termine per gli incidenti di cui è noto uno o più workarounds?
La nuova versione è molto meglio scritta della precedente, anche se si notano ancora alcune inesattezze e imprecisioni deprecabili quando si tratta di uno standard internazionale. Sembra quasi che troppi standardizzatori improvvisati siano all'opera.
A parte ciò, i requisiti, in definitiva, sono molto simili agli attuali (ho fatto una verifica veloce) e soprattutto la parte di "New or changed services" ha ora un senso. Inoltre, molti requisiti sono simili all'attuale ISO 9001 di modo che anni di sviluppo non sono andati dimenticati ;-)
Mi ha molto interessato il lavoro fatto sul miglioramento continuo, ora esplicitamente non collegato alle sole azioni correttive e preventive.
Rimane infine un dubbio: perché continuare a chiamare "Known errors" gli incidenti di cui è nota la causa, quando nella realtà (e in modo a mio parere più significativo) si usa questo termine per gli incidenti di cui è noto uno o più workarounds?
Utente "sconosciuto" su HP MSA2000 G3
Dal SANS Newsbyte, giro la notizia "sulle macchine HP StorageWorks MSA G3 P2000, è presente un utente non rilevabile attraverso i normali strumenti gestionali e con password standard"
La HP ha già pubblicato le specifiche per risolvere il problema.
http://isc.sans.edu/diary.html?storyid=10090
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
Come Stuxnet, anche questo caso sottolinea come i concetti base della sicurezza IT siano sconosciuti ai più.
La HP ha già pubblicato le specifiche per risolvere il problema.
http://isc.sans.edu/diary.html?storyid=10090
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
Come Stuxnet, anche questo caso sottolinea come i concetti base della sicurezza IT siano sconosciuti ai più.
Wikileaks
Credo che la faccenda Wikileaks sia stata sufficientemente coperta da diversi media e commentatori. Quindi non ritengo di doverne discutere molto.
Si potrebbero anche fare delle riflessioni su "come si diffondono le notizie", vere o false che siano. Ma su questo, credo che Quarto Potere di Orson Welles e l'ultimo libro di Eco siano sufficientemente illuminanti.
Rimane il problema della sicurezza. Visto che nessun uomo è un'isola, è necessario dare un certo livello di fiducia a amici, clienti, collaboratori e fornitori. In altre parole, è necessario dare loro un tot di informazioni.
Sono dei rischi che corriamo, a fronte di innegabili benefici (umani, sociali, economici, professionali).
Possiamo (e dobbiamo!) realizzare tutte le misure tecniche o organizzative che vogliamo (dal SANS Newsbyte, la reazione dei militari USA http://www.wired.com/dangerroom/2010/12/military-bans-disks-threatens-courts-martials-to-stop-new-leaks/), possiamo monitorare il personale (qualcuno, in barba allo Statuto dei Lavoratori ha anche proposto la macchina della verità!), possiamo limitare il più possibile l'accesso di ciascuno alle informazioni, ma avversari, delusi e ricattabili ci saranno sempre.
In conclusione: cogliere il segnale è un bene, ma ricordarsi sempre che la sicurezza al 100% non è raggiungibile e che la parola chiave è "bilanciamento" (tra i rischi, le esigenze efficienza e il budget).
Rimane la massima applicabile a tanti contesti: "se non vuoi che non sia pubblicato, non scriverlo, non dirlo, non fotografarlo".
A fronte di una serie di commenti inutili, ridondanti o addirittura sciocchi, mi permetto di suggerirne uno buono di Andrea Monti, dove viene anche ricordato il caso del dossier Mitrokin: http://www.ictlex.net/?p=1211
PS: qualche tempo fa, mi è capitato di vedere una mail di risposta ad un creditore. Il debitore accampava delle belle scuse per ritardare il pagamento o, addirittura, per non farlo. Peccato che si fosse dimenticato di cancellare dalla mail tutta la propria corrispondenza interna, da cui si capiva chiaramente che le scuse erano costruite ad arte.
Questo per dire: il caso Wikileaks è solo un segnale pubblico di cose che accadono quotidianamente e non diffuse.
PS2: mi è tornato in mente un progetto in cui il cliente, per necessità di riservatezza, non mi voleva dare accesso ad una serie di documenti. Gli ho fatto notare che senza documenti non avrei potuto fare nulla.
Questo per dire: anche la paranoia non porta da nessuna parte
PS3: Hervé Schauer, nella sua newsletter, premette un editoriale molto più corto di questo (e senza Post scriptum...) segnalando solo che la vicenda ci ricorda due vulnerabilità da tenere in conto: 1) le chiavi USB permettono di trasmettere più informazioni della rete IT; 2) le persone nate nell'era dell'informatica distinguono sempre meno tra vita professionale e vita privata.
Si potrebbero anche fare delle riflessioni su "come si diffondono le notizie", vere o false che siano. Ma su questo, credo che Quarto Potere di Orson Welles e l'ultimo libro di Eco siano sufficientemente illuminanti.
Rimane il problema della sicurezza. Visto che nessun uomo è un'isola, è necessario dare un certo livello di fiducia a amici, clienti, collaboratori e fornitori. In altre parole, è necessario dare loro un tot di informazioni.
Sono dei rischi che corriamo, a fronte di innegabili benefici (umani, sociali, economici, professionali).
Possiamo (e dobbiamo!) realizzare tutte le misure tecniche o organizzative che vogliamo (dal SANS Newsbyte, la reazione dei militari USA http://www.wired.com/dangerroom/2010/12/military-bans-disks-threatens-courts-martials-to-stop-new-leaks/), possiamo monitorare il personale (qualcuno, in barba allo Statuto dei Lavoratori ha anche proposto la macchina della verità!), possiamo limitare il più possibile l'accesso di ciascuno alle informazioni, ma avversari, delusi e ricattabili ci saranno sempre.
In conclusione: cogliere il segnale è un bene, ma ricordarsi sempre che la sicurezza al 100% non è raggiungibile e che la parola chiave è "bilanciamento" (tra i rischi, le esigenze efficienza e il budget).
Rimane la massima applicabile a tanti contesti: "se non vuoi che non sia pubblicato, non scriverlo, non dirlo, non fotografarlo".
A fronte di una serie di commenti inutili, ridondanti o addirittura sciocchi, mi permetto di suggerirne uno buono di Andrea Monti, dove viene anche ricordato il caso del dossier Mitrokin: http://www.ictlex.net/?p=1211
PS: qualche tempo fa, mi è capitato di vedere una mail di risposta ad un creditore. Il debitore accampava delle belle scuse per ritardare il pagamento o, addirittura, per non farlo. Peccato che si fosse dimenticato di cancellare dalla mail tutta la propria corrispondenza interna, da cui si capiva chiaramente che le scuse erano costruite ad arte.
Questo per dire: il caso Wikileaks è solo un segnale pubblico di cose che accadono quotidianamente e non diffuse.
PS2: mi è tornato in mente un progetto in cui il cliente, per necessità di riservatezza, non mi voleva dare accesso ad una serie di documenti. Gli ho fatto notare che senza documenti non avrei potuto fare nulla.
Questo per dire: anche la paranoia non porta da nessuna parte
PS3: Hervé Schauer, nella sua newsletter, premette un editoriale molto più corto di questo (e senza Post scriptum...) segnalando solo che la vicenda ci ricorda due vulnerabilità da tenere in conto: 1) le chiavi USB permettono di trasmettere più informazioni della rete IT; 2) le persone nate nell'era dell'informatica distinguono sempre meno tra vita professionale e vita privata.
Velocità di trasmissione
Andrea Rui (Tecnoindex S.p.A.) mi ha segnalato questa divertente notizia:
per inviare un messaggio nella zona di Durban (Sudafrica) è più veloce il
piccione dell'Adsl.
http://www.tgcom.mediaset.it/mondo/articoli/articolo459872.shtml
per inviare un messaggio nella zona di Durban (Sudafrica) è più veloce il
piccione dell'Adsl.
http://www.tgcom.mediaset.it/mondo/articoli/articolo459872.shtml
giovedì 16 dicembre 2010
Club di Cyberspazio e Diritto
E' stato attivato il forum di discussione "Club di Ciberspazio e Diritto", come mi è stato segnalato da Giovanni Ziccardi.
Al momento ci sono 5 segnalazioni molto interessanti per chi vuole capire di più la materia.https://groups.google.com/group/ciberspazioediritto/topics?hl=it
Ho trovato particolarmente interessante il riferimento ad un articolo in cui sono stati analizzati (e criticati) più di 400 casi nei quali sentenze statunitensi hanno citato Wikipedia.
http://www.yjolt.org/files/peoples-12-YJOLT-1.pdf
Al momento ci sono 5 segnalazioni molto interessanti per chi vuole capire di più la materia.https://groups.google.com/group/ciberspazioediritto/topics?hl=it
Ho trovato particolarmente interessante il riferimento ad un articolo in cui sono stati analizzati (e criticati) più di 400 casi nei quali sentenze statunitensi hanno citato Wikipedia.
http://www.yjolt.org/files/peoples-12-YJOLT-1.pdf
martedì 14 dicembre 2010
Privacy: modificato il Codice per i funzionari pubblici
Dalla newsletter della DFA (www.perfezionisti.it) giro la notizia della modifica al Dlgs 196/2003 relativa agli "addetti ad una funzione pubblica".
In particolare sono stati modificati l'articolo 1 e 19.
La versione consolidata del Dlgs si trova suhttp://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
In particolare sono stati modificati l'articolo 1 e 19.
La versione consolidata del Dlgs si trova suhttp://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Abolizione Decreto Pisanu sulle wi-fi libere
Dalla newsletter della DFA (perfezionisti.it) riprendo la notizia dell'approvazione del Pacchetto Sicurezza da parte del Consiglio dei Ministri, che prevede il non rinnovo del Decreto Pisanu.
Il Decreto Pisanu, lo ricordo, imponeva diverse limitazioni alle connessioni su Internet, imponendo la rintracciabilità dell'utente. In modo molto semplicistico, si può quindi dire che ora i bar potranno offrire la connessione wi-fi gratuita.
L'articolo di riferimento: http://www.zeusnews.com/index.php3?ar=stampa&cod=13408
Luca De Grazia, nel suo blog, esprime un parere non allineato con quello più diffuso (tanto per intenderci: quasi tutti vogliono "la wi-fi libera") e per questo vale la pena di analizzarlo: http://lucadegrazia.postilla.it/2010/11/18/sprint-finale-per-il-wi-fi-libero-in-italia/
Io continuo a pensare che stiamo dibattendo senza dati: è servito a qualcosa il Decreto Pisanu o no? Finora, ancora nessuno mi ha risposto e quindi non mi pronuncio. Egoisticamente, lo ammetto, accetterò la comodità di potermi connettere alle wi-fi libere con gioia.
Aggiornamento del marzo 2011: http://blog.cesaregallotti.it/2011/03/abolizione-decreto-pisanu-sulle-wi-fi.html
Il Decreto Pisanu, lo ricordo, imponeva diverse limitazioni alle connessioni su Internet, imponendo la rintracciabilità dell'utente. In modo molto semplicistico, si può quindi dire che ora i bar potranno offrire la connessione wi-fi gratuita.
L'articolo di riferimento: http://www.zeusnews.com/index.php3?ar=stampa&cod=13408
Luca De Grazia, nel suo blog, esprime un parere non allineato con quello più diffuso (tanto per intenderci: quasi tutti vogliono "la wi-fi libera") e per questo vale la pena di analizzarlo: http://lucadegrazia.postilla.it/2010/11/18/sprint-finale-per-il-wi-fi-libero-in-italia/
Io continuo a pensare che stiamo dibattendo senza dati: è servito a qualcosa il Decreto Pisanu o no? Finora, ancora nessuno mi ha risposto e quindi non mi pronuncio. Egoisticamente, lo ammetto, accetterò la comodità di potermi connettere alle wi-fi libere con gioia.
Aggiornamento del marzo 2011: http://blog.cesaregallotti.it/2011/03/abolizione-decreto-pisanu-sulle-wi-fi.html
sabato 11 dicembre 2010
Fascicolo Sanitario Elettronico
Segnalo l'interessante pagina sul Fascicolo Sanitario Elettronico (http://fse.clusit.it), da cui è possibile scaricare una breve analisi della normativa vigente e delle best practices applicabili. Sono inoltre disponibili le modalità per richiedere ulteriore materiale al gruppo di lavoro.
Decreto Legislativo 198 del 2010 sull'installazione di reti IT
Dal blog di Luca De Grazia (http://lucadegrazia.postilla.it/2010/11/29/installare-da-soli-un-router-o-una-chiavetta-umts-sara-illegale/) ho trovato la notizia che il 15 dicembre entrerà in vigore il Dlgs 198 del 2010 che manderà in pensione tra un anno la Legge 109 del 1990 e il DM 314 del 1992.
Il Dlgs: http://www.normattiva.it/dispatcher?service=213&fromurn=yes&datagu=2010-11-30&annoatto=2010&numeroatto=198&task=ricercaatti&elementiperpagina=50&redaz=010G0219&newsearch=1&classeprv=1&paginadamostrare=1&tmstp=1292571461591
La lettura del dispositivo non chiarisce le idee, così come non le chiarivano i precedenti. Ad una lettura "intransigente", sembrerebbe che tutte le reti (anche interne di una casa, ufficio o azienda)debbano essere installate, collaudate e manutenute solo ed esclusivamente da aziende inserite in un apposito registro.
Rimane il punto f) del comma 2 dell'articolo 2 che prevede che vengano stabilite delle semplificazioni (chissà...).
Un'interpretazione più condivisa, però, prevede che il Dlgs si rivolga ai soli installatori e agli operatori di TLC, regolandone l'accesso al mercato. A questo va però aggiunto il fatto che il rappresentante legale di un'azienda potrebbe incorrere in qualche sanzione relativa alla sicurezza dei lavoratori (Articolo 80 del Dlgs 81 del 2008) perché, se non dovesse chiamare un installatore qualificato, non potrebbe dimostrare che "le installazioni e gli impianti elettrici ed elettronici sono stati progettati, realizzati e costruiti a regola d'arte". Questo anche se si tratta di tirare un solo cavo di TLC sotto il pavimento flottante.
Concordo con Luca De Grazia dicendo che il Dlgs è scritto male e può essere fonte di confusione.
Ogni contributo in merito sarà gradito.
Il Dlgs: http://www.normattiva.it/dispatcher?service=213&fromurn=yes&datagu=2010-11-30&annoatto=2010&numeroatto=198&task=ricercaatti&elementiperpagina=50&redaz=010G0219&newsearch=1&classeprv=1&paginadamostrare=1&tmstp=1292571461591
La lettura del dispositivo non chiarisce le idee, così come non le chiarivano i precedenti. Ad una lettura "intransigente", sembrerebbe che tutte le reti (anche interne di una casa, ufficio o azienda)debbano essere installate, collaudate e manutenute solo ed esclusivamente da aziende inserite in un apposito registro.
Rimane il punto f) del comma 2 dell'articolo 2 che prevede che vengano stabilite delle semplificazioni (chissà...).
Un'interpretazione più condivisa, però, prevede che il Dlgs si rivolga ai soli installatori e agli operatori di TLC, regolandone l'accesso al mercato. A questo va però aggiunto il fatto che il rappresentante legale di un'azienda potrebbe incorrere in qualche sanzione relativa alla sicurezza dei lavoratori (Articolo 80 del Dlgs 81 del 2008) perché, se non dovesse chiamare un installatore qualificato, non potrebbe dimostrare che "le installazioni e gli impianti elettrici ed elettronici sono stati progettati, realizzati e costruiti a regola d'arte". Questo anche se si tratta di tirare un solo cavo di TLC sotto il pavimento flottante.
Concordo con Luca De Grazia dicendo che il Dlgs è scritto male e può essere fonte di confusione.
Ogni contributo in merito sarà gradito.
venerdì 10 dicembre 2010
BS 8878:2010 "Web accessibility. Code of practice"
Il BSI annuncia la pubblicazione della BS 8878 "Web accessibility. Code of practice".
Questo ci fa ricordare della necessità di pensare ad un tema apparentemente marginale: un sito "accessibile" non è solo necessario a chi è portatore di handicap, ma è anche più facilmente fruibile dai cosiddetti normodotati (alla fine degli anni '90, una delle richieste di accessibilità riguardava gli scivoli strada-marciapiede che ora si rilevano utili per tutti).
La pubblicazione dello standard inglese ricorda sì questi aspetti, ma costa 100 sterline (120 Euro) per 90 pagine. Per chi volesse approfondire la materia gratuitamente, un punto di accesso è la pagina della DigitPA (http://www.digitpa.gov.it/content/accessibilit%C3%A0) da cui accedere anche ad interessanti risorse on line.
Il CNIPA gestiva il sito http://www.pubbliaccesso.gov.it con una buona Biblioteca (link ad altre risorse), ha pubblicato nel lontano 2005 il quaderno 4 sull'accessibilità (http://www.cnipa.gov.it/site/it-IT/La_Documentazione/Pubblicazioni/Quaderni_dell'accessibilit%c3%a0/).
Un altro importante riferimento sono le "Linee guida per l'accessibilità ai contenuti del Web" del W3C, ora alla versione 2.0:http://www.w3.org/Translations/WCAG20-it/
Questo ci fa ricordare della necessità di pensare ad un tema apparentemente marginale: un sito "accessibile" non è solo necessario a chi è portatore di handicap, ma è anche più facilmente fruibile dai cosiddetti normodotati (alla fine degli anni '90, una delle richieste di accessibilità riguardava gli scivoli strada-marciapiede che ora si rilevano utili per tutti).
La pubblicazione dello standard inglese ricorda sì questi aspetti, ma costa 100 sterline (120 Euro) per 90 pagine. Per chi volesse approfondire la materia gratuitamente, un punto di accesso è la pagina della DigitPA (http://www.digitpa.gov.it/content/accessibilit%C3%A0) da cui accedere anche ad interessanti risorse on line.
Il CNIPA gestiva il sito http://www.pubbliaccesso.gov.it con una buona Biblioteca (link ad altre risorse), ha pubblicato nel lontano 2005 il quaderno 4 sull'accessibilità (http://www.cnipa.gov.it/site/it-IT/La_Documentazione/Pubblicazioni/Quaderni_dell'accessibilit%c3%a0/).
Un altro importante riferimento sono le "Linee guida per l'accessibilità ai contenuti del Web" del W3C, ora alla versione 2.0:http://www.w3.org/Translations/WCAG20-it/
Lasciatemi il mio PC!
Sulla newsetter della società Ready Informatica (temo si tratti di spam...), si trova un articolo dal titolo "Lasciatemi il mio PC!". In poche parole, l'articolo si pone la domanda "Come far fronte alla marea di dispositivi personali e non tradizionali sul lavoro?" e risponde proponendo la soluzione di Citrix.
Al di là dell'aspetto commerciale che non intendo approfondire anche perché non l'ho studiato né nello specifico, né in rapporto ad eventuali concorrenti, è opportuno riflettere sulla pertinenza della domanda: oggi si vedono innumerevoli dipendenti che usano smartphones e tablet personali (per non parlare del pc di casa) anche per accedere alla rete aziendale. Per non parlare poi dei fornitori che si collegano alla stessa rete con dei pc incontrollati.
Le risposte "semplici" sono facili: non permettere questo genere di comportamenti, non permettere l'accesso alla rete aziendale dall'esterno, dare l'accesso ai fornitori solo attraverso computer aziendali. Ma è vero che il mondo è ormai cambiato e sta cambiando sempre più e noi dobbiamo prenderne atto e cambiare le scelte di trattamento di questi rischi.
L'articolo:http://www.ready.it/lasciatemi_il_mio_pc.html
Al di là dell'aspetto commerciale che non intendo approfondire anche perché non l'ho studiato né nello specifico, né in rapporto ad eventuali concorrenti, è opportuno riflettere sulla pertinenza della domanda: oggi si vedono innumerevoli dipendenti che usano smartphones e tablet personali (per non parlare del pc di casa) anche per accedere alla rete aziendale. Per non parlare poi dei fornitori che si collegano alla stessa rete con dei pc incontrollati.
Le risposte "semplici" sono facili: non permettere questo genere di comportamenti, non permettere l'accesso alla rete aziendale dall'esterno, dare l'accesso ai fornitori solo attraverso computer aziendali. Ma è vero che il mondo è ormai cambiato e sta cambiando sempre più e noi dobbiamo prenderne atto e cambiare le scelte di trattamento di questi rischi.
L'articolo:http://www.ready.it/lasciatemi_il_mio_pc.html
"At your service", magazine di itSMF
Su ITSM News di novembre si trova la notizia sulla prima uscita del magazine dell'itSMF "At your Service", dedicato all'IT Service Management e a ITIL.
Particolarmente significativo è l'articolo di IT Skeptic, utile per capire come è evoluto ITIL nel passato e come probabilmente evolverà.
Purtroppo, il sito ufficiale dell'itSMF non dà grande risalto al magazine, né dà informazioni sulle prossime uscite (quando saranno e come esserne aggiornati).
http://www.itsmfi.org/content/new-itsmf-international-magazine-your-service-launched
Particolarmente significativo è l'articolo di IT Skeptic, utile per capire come è evoluto ITIL nel passato e come probabilmente evolverà.
Purtroppo, il sito ufficiale dell'itSMF non dà grande risalto al magazine, né dà informazioni sulle prossime uscite (quando saranno e come esserne aggiornati).
http://www.itsmfi.org/content/new-itsmf-international-magazine-your-service-launched
mercoledì 1 dicembre 2010
Val IT 2.0 in italiano
L'AIEA ha pubblicato la traduzione in italiano di Val IT 2.0 ed è scaricabile dall'area download di www.aiea.it.
Il framework estende i concetti di quello che in ITIL è il processo di Service Portfolio. E' un'ottima lettura.
Per i più pigri, spaventati dalle 128 pagine, suggerisco di leggere almeno fino a pagina 19, dove si trovano due perle:
1- "I programmi sono selezionati sulla base non solo della desiderabilità ma anche sulla capacità dell'organizzazione di portarli a termine".
2- "La presenza di metodologie in azienda è meno importante del loro effettivo utilizzo da parte dei business managers".
A pagina 20 si trova la figura 9, con illustrati i domini del Val IT e i corrispondenti processi. Il primo processo "Istituire una leadership informata e responsabilizzata" potrebbe dare materia di riflessione.
Il framework estende i concetti di quello che in ITIL è il processo di Service Portfolio. E' un'ottima lettura.
Per i più pigri, spaventati dalle 128 pagine, suggerisco di leggere almeno fino a pagina 19, dove si trovano due perle:
1- "I programmi sono selezionati sulla base non solo della desiderabilità ma anche sulla capacità dell'organizzazione di portarli a termine".
2- "La presenza di metodologie in azienda è meno importante del loro effettivo utilizzo da parte dei business managers".
A pagina 20 si trova la figura 9, con illustrati i domini del Val IT e i corrispondenti processi. Il primo processo "Istituire una leadership informata e responsabilizzata" potrebbe dare materia di riflessione.
Iscriviti a:
Post (Atom)