Traduzioni norme ETSI su sicurezza nella conservazione dei dati

Franco Ruggieri ha segnalato che è stato pubblicato a febbraio il terzo
documento della traduzione delle specifiche ETSI in oggetto.

Il set completo delle pentole in offerta UNINFO è quindi costituito da:
- UNI/TS 11465-1:2012 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Parte 1: Requisiti per la Realizzazione e la Gestione" - traduzione
della ETSI TS 101 533-01
- UNI/TR 11465-2:2012 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Parte 2: Linee Guida per l'Ispettore" - traduzione dello ETSI TR 101
533-02;
- UNI/TS 11465-3:2013 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Complemento italiano a ETSI TS 101 533-1 e ETSI TR 101" -
localizzazione in Italia delle specifiche di cui sopra.

Io ci ho modestamente collaborato e le ho trovate molto interessanti, anche
perché si tratta di specializzazioni delle ISO/IEC 27001 e 27002.

Le potete trovare in inglse sul sito della ETSI (www.etsi.org) o in italiano su quello dell'UNI (www.uni.com)

Se non lo misuri non lo conosci?

Finalmente ho scoperto da dove viene il detto "se non lo misuri, non puoi
gestirlo". Qualcuno penserà che sono arrivato tardi, ma almeno ci sono
arrivato.

Si tratta di Lord Kelvin, che nel lontano 1893 disse "Se puoi misurare ciò
di cui parli e puoi esprimerlo con un numero, allora conosci qualcosa del
tuo soggetto; ma se non puoi misurarlo, allora la tua conoscenza è scarsa e
insoddisfacente".

Lord Kelvin è noto per essere stato un grande fisico (fisico matematico e
ingegnere). A mio modesto parere, le scienze sociali (e la conduzione di
un'azienda è in gran parte collegata alle scienze sociali) non dovrebbero
confondersi con la matematica e la fisica. Misurare qualcosa è più che
importante, ma pensare di ridurre la conoscenza di un'impresa alla
misurazione è follia.

Non devo essere l'unico a pensarlo, visto che la stessa ISO 9001 chiede di
"monitorare e, dove possibile, misurare".

Segregazione delle responsabilità

Segnalo un bell'articolo sull'ISACA Journal del dicembre 2012 dal titolo
"What Every IT Auditor Should Know About Proper Segregation of Incompatible
IT Activities".

Per ovvi motivi di diritto d'autore, non mi addentro nel contenuto, ma
riferisco i titoli, già di per se stessi utili:
- IT vs. utenti (business)
- database administrator vs. resto dell'IT
- sviluppo applicazioni vs. DBA e vs. conduzione dei sistemi (questa però è
nota!)
- sviluppo nuove applicazioni vs. manutenzione delle applicazioni
- sicurezza delle informazioni vs. resto dell'IT (anche questa è nota)

Un commento ha segnalato la necessità di separare la sicurezza delle
informazioni dall'IT, ma questo è un tema molto caldo e non facilmente
risolvibile.

Modifiche ai requisiti di accessabilità nella PA

La Legge 221 del 2012 ha converito, con modificazioni, il DL 179 del 2012,
dal titolo "Ulteriori misure urgenti per la crescita del Paese", che riporta
alcune modifiche alla Legge 4 del 2004 (Legge Stanca sull'accessibilità) e
al Dlgs 82 del 2005 (Codice dell'amministrazione digitale o CAD). Rilevante
è l'estensione di applicabilità della Legge sull'accessibilità anche a
"tutti i soggetti che usufruiscono di contributi pubblici o agevolazioni per
l'erogazione dei propri servizi tramite sistemi informativi o internet".

Altro elemento rilevante è l'inserimento del tema dell'accessibilità nella
formazione che deve essere erogata al personale della Pubblica
Amministrazione.

Maggiori dettagli nella Circolare 61/2013 del 29 marzo 2013 dell'AgID:
- http://www.digitpa.gov.it/fruibilita-del-dato/accessibilita

Sempre notizia di questi giorni è la prevista modifica all'Allegato A del
Decreto Ministeriale 8 luglio 2005 (Ministro per l'Innovazione e le
tecnologie) sui "requisiti tecnici di accessibilità delle applicazioni
basate su tecnologie internet" (l'Allegato si trova alla medesima pagina web
sopra indicata, non a quella indicata sotto che riporta solo la notizia):
-
http://www.digitpa.gov.it/notizie/accessibilita-cambiano-i-requisiti-i-siti-
web-della-pa

E infine, l'ETSI ha appena pubblicato una bozza dello standard europeo EN
301 549 dal titolo "Accessibility requirements for public procurement of ICT
products and services in Europe". Sarebbe bello se venisse adottato oltre la
pubblica amministrazione.

Atti del Security Summit 2013 a Milano

Segnalo la pubblicazione degli atti del Security Summit 2013 di Milano:
- http://milano2013.securitysummit.it/page/atti

Come al solito, in mezzo a qualche presentazione un po' troppo commerciale, negli atti si trovano parecchi spunti di riflessione.

Data Centres Energy Efficiency - EU Code of Conduct on Data Centres

Non sono un esperto di green IT o di altri argomenti correlati, però questa
iniziativa del JRC segnalatami da un mio lettore mi pare interessante:
- http://iet.jrc.ec.europa.eu/energyefficiency/ict-codes-conduct/data-centres-
energy-efficiency

La trovo interessante perché differenzia bene le attività di ciascuna parte
interessata ad un data center, dal proprietario all'utilizzatore. Inoltre,
mi è sembrato un documento facilmente leggibile, a parte la scelta di usare
dei codici-colore, non immediati (soprattutto per i daltonici).

Spamhaus e la carica degli spammer

La notizia è stata molto diffusa  e riguarda la Spamhaus, una società dedicata a servizi di antispamming, oggetto  di un attacco DDoS dopo aver inserito in blacklist un grande provider olandese.

Non c’è commento da fare, tranne la preoccupazione di vedere Internet potenzialmente oggetto di attacchi di enormi dimensioni:

- http://www.corriere.it/tecnologia/13_marzo_27/sicurezza-informatica-in-atto-il-piu-grande-attacco-hacker-della-storia_8d0c0142-96f8-11e2-b7d6-c608a71e3eb8.shtml

- http://www.theregister.co.uk/2013/03/27/spamhaus_ddos_megaflood/

ISO/IEC TR 27015

Franco Ferrari del DNV Italia mi informa della pubblicazione della ISO/IEC TR 27015 dal titolo “Information security management guidelines for financial services”.

Si tratta, in poche parole, di un’estensione dei controlli di sicurezza già descritti nella ISO/IEC 27002, applicabile ai servizi informatici di tipo “finance”, in particolare quelli delle banche, che possono coinvolgere ATM, POS e terminali self service.

Lo standard è relativamente breve (28 pagine) e i punti che più mi hanno interessato sono:

- estensione del controllo 6.2.2 (sicurezza con i clienti), ricordando la necessità di formare i clienti dei servizi su alcune misure di sicurezza informatica;

- estensione del controllo 6.2.3 (sicurezza con i fornitori), ricordando alcune misure di sicurezza da prevedere in occasione della stipula di accordi con i fornitori

-  aggiunta del controllo 10.9.4 con titolo “Internet banking services”, in cui sono illustrate alcune misure di sicurezza da prevedere nella progettazione di tali servizi.

Siti web e dati societari

La notizia è vecchia e nota ed ero convinto di averla già pubblicata. Non trovandola tra i miei articoli, la scrivo.

Sui siti web (spazi elettronici destinati alla comunicazione collegati ad una rete telematica ad accesso pubblico) delle società soggette all'obbligo dell'iscrizione nel registro delle imprese (s.p.a., s.r.l. e s.a.p.a.), devono essere riportati:

- sede legale;

- ufficio del registro delle imprese presso il quale la società è iscritta;

- il numero d'iscrizione (ossia il codice fiscale, che potrebbe coincidere con la Partita IVA; sono diversi, per esempio, nel caso in cui una società abbia trasferito il proprio domicilio da una provincia ad un'altra);

- capitale della società (somma effettivamente versata);

- se il socio è unico.

Questo in virtù dell'articolo 2250 del Codice Civile, così come modificato dall'articolo 42 della Legge 88 del 2009.

NB: questo post è stato ripubblicato per errata corrige; ringrazio Roberto Bonalumi per la segnalazione e la mia commercialista Sara Gardella per la consulenza sul numero di iscrizione al registro delle imprese.

DPCM 24 gennaio 2013 sulla protezione cibernetica

E' stato pubblicato il DPCM 24 gennaio 2013 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale". E' facilmente reperibile su www.normattiva.it.

L'ho letto con l'attenzione che merita, e confesso di non aver trovato quello che speravo di trovare, ossia un CERT italiano.

Apparentemente, se ho capito correttamente, questo compito sarà affidato al "Nucleo per la sicurezza cibernetica", ma non mi è chiaro se si occuperà quasi esclusivamente della PA o anche di altri settori.

Il testo specifica che tale nucleo "promuove procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi". In altre parole, mi chiedo se sarà disponibile un sito web utilizzabile da ciascun privato per formazione e informazione.

Gli operatori di telecomunicazioni dovranno anche comunicare al Nucleo le violazioni della sicurezza, oltre che adottare misure di sicurezza cibernetica che dovrebbero essere state pubblicate a cura del Ministero dello sviluppo economico. A me non risultano disponibili, ma se mi dovessi sbagliare, sarò grato a chi mi correggerà.

In definitiva, non credo ci rimanga altro che aspettare pazientemente per vedere come questo DPCM sarà attuato e coglierne tutti gli aspetti positivi.

Ringrazio per la segnalazione Pasquale Stirparo e Daniela Quetti di DFA e Enzo Ascione di Intesa Sanpaolo.

Rapporto Clusit 2013

Il Clusit ha pubblicato il Rapporto 2013 sulla sicurezza ICT in Italia. Esso può essere richiesto dal sito del Clusit:

- https://www.securitysummit.it/page/rapporto_clusit

Come sempre, riporta notizie interessanti. Segnalo in particolare la prima sezione dal titolo "Panoramica degli eventi di cyber-crime e incidenti informatici più significativi del 2012 e tendenze per il 2013".

I risk assessement della ISO 22301 e della ISO/IEC 27001

Stefano Ramaciotti mi ha segnalato il seguente post dal titolo "Can ISO 27001 risk assessment be used for ISO 22301":

- http://blog.iso27001standard.com/2013/03/11/can-iso-27001-risk-assessment-be-used-for-iso-22301/

L'articolo è un poco confuso. Segnalo le cose decisamente condivisibili:

- è vero che il risk assessment descritto dalla ISO/IEC 27001:2005, dalla ISO/IEC 27005:2005 e dalla 22301 sono allineati con i requisiti della ISO 31000 "Gestione del rischio - Principi e linee guida";

- è vero che il BCM si occupa delle attività e dei processi, mentre un ISMS (SGSI) si occupa della sicurezza delle informazioni e, quindi, i rispettivi risk assessment sono necessariamente diversi;

- il collegamento tra BCM e ISMS è il parametro di disponibilità delle informazioni. 

Tra le cose negative, l'articolo fa riferimento agli asset intesi in modo estensivo (interpretazione non più condivisa, tanto che la futura 27001 parlerà solo di "information asset"), apprezza la descrizione dettagliata del risk assessment della 27001 (che sarà superata dalla futura versione) confondendo la genericità dei requisiti della 22301 con una necessità di avere un risk assessment non approfondito (interpretazione sbagliatissima), apprezza l'allegato A della 27001 dimenticandosi della 22301 che a sua volta fornisce una linea guida per le misure da considerare quando si realizza un BCM.

Detto questo, anche se ad oggi, i certificati attivi BS 25999 o ISO 22301 sono in larga maggioranza relativi ad aziende operanti nel mercato IT, è comunque bene ricordare che le differenze tra i due approcci sono dovute alle loro diverse finalità: nel ISMS, il risk assessment ha la finalità di dare le priorità al trattamento delle vulnerabilità relative alle informazioni; nel BCM, il risk assessment ha la finalità di strumento sul quale basare le strategie di ripristino dei processi e delle attività.

Sebbene i metodi di risk assessment utilizzati per un ISMS o per un BCM sono diversi a causa delle diverse finalità, è comunque bene studiarli entrambi insieme ad altri metodi (per esempio quelli utilizzati per la sicurezza delle persone o nei settori dell'automotive, dei dispositivi medicali o del chimico), per poter poi individuare quello più adeguato alle proprie esigenze. Ho visto aziende che hanno utilizzato un buon mix tra il classico metodo di risk assessment relativo alla sicurezza delle informazioni e la FMECA utilizzato in ambito automotive.

Ultima riflessione: è bene studiare i metodi utilizzati nel campo di pertinenza, ma è anche bene farlo in modo critico. Ho visto molti danni dovuti all'uso del CRAMM o di suoi derivati, prendendoli per ottimi riferimenti per il risk assessment relativo alla sicurezza delle informazioni, senza considerarne la mantenibilità o la pertinenza dei risultati ottenuti.

Raccolta prove digitali: un altro ricorso vinto

Dalla newsletter di DFA, rilancio un link ad un recente (ottobre 2012) provvedimento del Garante Privacy:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2149222

Ancora una volta, un'impresa si è dedicata ad effettuare analisi forensi di un pc di un dipendente, senza aver in precedenza pubblicato un disciplinare che riportasse i suoi poteri di controllo sui pc del personale.

Novità sul CAD e la firma elettronica

La newsletter di DFA segnala questo articolo sulle novità introdotte nel CAD dal Decreto Sviluppo bis (DL 179 del 2012, convertito in Legge con modificazioni dalla L 221 del 2012):
- http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/firma-elettronica-avanzata-rilevanti-novita-nel-d-l-sviluppo-bis/

Le novità segnalate sono due:
- adeguamento delle modalità con cui è possibile disconoscere la firma elettronica avanzata, in modo da considerare anche tecnologie quali la firma grafometrica su tavoletta
- l'estensione della validità della firma elettronica al posto di quella scritta per atti e contratti (con esclusionne dei contratti aventi oggetto beni immobili).

L'articolo si conclude ricordando che l'aggiornamento delle regole tecniche, previsto per metà 2012, non è ancora stato pubblicato.

Ispezioni privacy agli operatori TLC

Agostino Oliveri mi ha segnalato la notizia del Garante dal titolo "Privacy: operazione Data Retention":
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2300180

La notizia presenta un breve resoconto sulle ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico presso gli operatori TLC.

La sintesi è questa: in 9 casi (su 11) sono state accertate e contestate violazioni relativamente alla conservazione dei dati di traffico oltre i termini previsti, alla mancata adozione delle misure minime di sicurezza, e alla mancata adozione di alcune delle ulteriori misure di protezione prescritte dal provvedimento del Garante, quali l'uso di tecnologie di riconoscimento biometrico per selezionare l'accesso ai dati e la cifratura dei dati.

Mi sarebbe piaciuto avere maggiori dettagli sulle misure minime non adottate.

UE: rivendita online di licenze software

Dalla newsletter Ictlex-news, segnalo la seguente sentenza della Corte di Giustizia UE: una volta "venduto" un software via Internet ad un cliente, questi può a sua volta cedere la licenza a qualcun altro (ovviamente senza trattenere una copia del software per se) senza violare la legge sul diritto d'autore né i diritti del produttore.

Per chi vuole approfondire:
- http://www.ictlex.net/?p=1430

Decalogo contro il phishing

L'associazione CINDI ha pubblicato un decalogo per proteggersi dal phishing:
- https://associazionecindi.wordpress.com/2013/01/23/phishing-postepay-regole-condott/

Lo trovo molto utile.

Alcuni elementi possono anche sembrare banali per chi si occupa di queste cose, ma sappiamo bene che non è così per tutti.

Visto che è facile dire cosa manca in un decalogo, lo faccio: avrei aggiunto "non cliccate mai su un link di una mail della vostra banca o carta di credito: scrivetelo ogni volta nella barra degli indirizzi".

Diffamazione su Facebook: condanna

Questo articolo della associazione CINDI mi pare interessante:
- https://associazionecindi.wordpress.com/2013/02/28/diffamazione-facebook-giplivorno/

In realtà, si tratta di un argomento già noto: la diffamazione su un social network aperto al pubblico è vietata. Questa volta l'ha ribadito il GIP di Livorno.

Capisco che in quest'epoca in cui le modalità di comunicazione stanno cambiando, non tutti acquisiscono la corretta sensibilità su come usare certi mezzi. Ma anche prima di Internet, parlar male di qualcuno chiaccherando con qualche amico non aveva le stesse conseguenze dello scrivere male di qualcuno su uno o più manifesti affissi per strada.

Repertorio delle normative sull'amministrazione digitale

Giovanni Francescutti mi segnala il sito di Digit@LEX "Tutte le Leggi sull'Amministrazione Digitale a portata di click":
- http://www.digita-lex.it/

Ho navigato un poco nel sito e bisogna dire che riporta moltissime cose e gli argomenti sono classificati in categorie.

Visto che sono sempre sospettoso dei siti realizzati da privati perché, in alcuni casi, dopo l'entusiasmo iniziale, gli aggiornamenti sono meno puntuali, raccomando di fare controlli incrociati con www.normattiva.it e il sito dell'AgID (www.digitpa.gov.it).

Programmare in... sicurezza

Dal Clust Group di LinkedIn, ho trovato la segnalazione di un articolo dal titolo "Programmare in... sicurezza":
- http://programmazione.it/index.php?entity=eitem&idItem=48588&goback=.gde_54878_member_215687034

L'ho trovato molto interessante e ho trovato ancora più interessante l'articolo in inglese "Safeguard your code: 17 security tips for developers":
- https://www.infoworld.com/d/application-development/safeguard-your-code-17-security-tips-developers-211339?page=0,0

Ecco i titoli, ma vale la pena leggere tutto:
- 1: Test inputs rigorously
- 2: Store what you need, and not one bit more
- 3: Avoid trusting passwords more than necessary
- 4: Negotiate requirements
- 5: Add delays to your code
- 6: Use encryption more often than you think you should
- 7: Build walls
- 8: Tested libraries -- use them
- 9: Use internal APIs
- 10: Bring in outside auditors to critique your code
- 11: Code analyzers are your friend (con segnalato uno strumento)
- 12: Limit privilege
- 13: Model your threat
- 14: Trust goes both ways
- 15: Keep apprised of the latest threats
- 16: Deep research can pay off
- 17: Educate yourself

Come si vede, si tratta di suggerimenti tecnologici ben noti, di trucchi del mestiere e di pratiche organizzative. Quanti programmatori non seguono neanche una mailing list, quanti responsabili di progetto non hanno il coraggio di negoziare i requisiti!

Attacco al sito web del Tribunale di Milano

Sandro Sanna mi ha segnalato il giorno dopo l'accaduto del web defacing del sito del Tribunale di Milano il 15 febbraio:
- http://www.ansa.it/web/notizie/rubriche/cronaca/2013/02/16/Attacco-hacker-sito-tribunale-Milano_8259442.html

Volevo trasmettere la notizia solo perché io sono di Milano. In realtà, casi del genere capitano molto spesso e riguardano i soli siti web delle vittime: il minimo previsto quando si sviluppa un'architettura informatica è separare molto bene il server del sito web da quelli degli altri servizi; apparentemente, anche il Tribunale di Milano ha fatto così, anche se non ho trovato approfondimenti successivi il 17 febbraio.

C'è chi manifesta legalmente in piazza o su Internet e c'è anche chi manifesta illegalmente. Questa volta, facendo danni molto limitati e ottenendo un certo ritorno di immagine.

Google e privacy

Enzo Ascione di Intesa Sanpaolo, mi ha inviato questo articolo dal titolo "Google, Garanti Privacy Ue pronti ad azione repressiva":
- http://www.corrierecomunicazioni.it/it-world/19711_google-garanti-privacy-ue-pronti-ad-azione-repressiva.htm

Io continuo a temere questi fornitori di servizi, come ho già avuto modo di dire:
- http://blog.cesaregallotti.it/2013/01/google-le-password-e-i-token.html
- http://blog.cesaregallotti.it/2013/01/accordi-con-i-servizi-esterni-cloud-e.html

Errori di configurazione del Cisco IOS

Sul Clusit Group di LinkedIn, Aldo Ceccarelli ha segnalato un link ad un articolo dal titolo "Top 10 Cisco IOS Configuration Mistakes":
- http://www.petri.co.il/cisco-ios-configuration-mistakes.htm <http://www.petri.co.il/cisco-ios-configuration-mistakes.htm>

Capisco che la configurazione di un firewall non è materia per principianti, ma mi chiedo come si possa immettere sul mercato (e vendere a caro prezzo) prodotti che hanno meccanismi che non richiedono la conferma della password, Telnet di default al posto di SSH, parametri di sicurezza SNMP minimali.

E dire che poco fa mi lamentavo della poca professionalità di troppi sviluppatori!

Voglio sperare che l'articolo si riferisca a prodotti ormai obsoleti.

Privacy e AdS applicativi - Parte 2

Dopo l'articolo dal titolo "Privacy e AdS applicativi" in cui si riportavano le parole (verbali) di un rappresentante dell'ufficio del Garante in merito alle utenze applicative con poteri di amministrazione, Massimo Cottafavi di Reply mi ha segnalato un problema di interpretazione.

Come sappiamo, il Provvedimento sugli amministratori di sistema era seguito da delle FAQ. La FAQ 22 dà ragione all'interpretazione riportata:
- D: È corretto affermare che l'accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
- R: Si. L'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema

Evidentemente, visto che si tratta di un allegato al provvedimento sugli amministratori di sistema, è lecito esplicitare ulteriormente così: "L'accesso applicativo, *anche di power user*, non è compreso tra le caratteristiche tipiche dell'amministratore di sistema".

Però Max fa notare che questo è smentito dalla FAQ 1: "l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi [...] i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni".

Quando un'applicazione diventa complessa e quindi i suoi AdS sono da considerare AdS? Se un power user pasticcia con le utenze di un sistema Zucchetti per medie imprese non viene registrato, mentre quello del SAP sì?

I dubbi permangono, quindi.

L'articolo precedente:
- http://blog.cesaregallotti.it/2013/02/privacy-e-ads-applicativi.html

Innovazione digitale (un caso pratico)

A pochi interesserà sapere che sono stato nominato Presidente di un seggio per le elezioni del 24 e 25 febbraio (a qualcuno in più interesserà sapere quanto si guadagna; non lo so; so che nel 2011, per 3 consultazioni e un totale di 7,5 giornate di lavoro ho guadagnato 340 Euro).

Fino al 2011, il Presidente di seggo riceveva una copia delle "Istruzioni per le operazioni degli uffici elettorali di sezione" almeno una settimana prima dell'inizio dei lavori, in modo che potesse prepararsi e garantire la speditezza delle operazioni.

Quest'anno non mi è arrivato nulla; ho telefonato all'Ufficio elettorale e mi hanno risposto che ora le istruzioni non sono più distribuite con anticipo (immagino per risparmiare sui lavori dei messi comunali): posso scaricarle dal sito del Ministero degli Interni.

Credo di essere un caso che si trova a metà tra quelli che ci erano arrivati da soli (magari con Google) e quelli che si presenteranno ai seggi senza un minimo di preparazione (i Presidenti che non hanno mai fatto questo mestiere) o senza quel poco ma necessario ripasso (i Presidenti con esperienza) utili a garantire l'auspicata speditezza delle operazioni.

Tutto questo per dire che questa piccola storia mi ha permesso di ripassare una nota, ma spesso dimenticata, lezione: "prima di introdurre innovazioni, è necessario istruire gli utenti per tempo".

Un'altra lezione che ho ripassato: il termine "istruire" non implica presentazioni in Powerpoint o filmati o grossi manuali o chissà che altro; nel caso specifico bastavano due righe sottolineate sulla lettera di nomina ("Il Presidente può consultare le Istruzioni per le operazioni degli uffici elettorali di sezione disponibili sul sito xxx").

Backdoor (sui prodotti Barracuda)

La notizia è ormai vecchia di un mese, ma la riporto brevemente: diversi prodotti della Barracuda Network (firewall, VPN, filtri antispam) hanno una backdoor non documentata che permette l'accesso a degli apparati da remoto.

Questo è l'articolo segnalato da Crypto-Gram (ma ce ne sono molti altri):
- http://arstechnica.com/security/2013/01/secret-backdoors-found-in-firewall-vpn-gear-from-barracuda-networks/

Non sorprendiamoci troppo: basta andare in quasi qualunque reparto IT per vedere come la mentalità dell'artigiano (contrapposto, mi si perdoni, al "professionista") sia prevalente e come l'unica e sola guida sia il fatturato trimestrale.

Furto di dati aziendali

Claudio Nasti di Chantecler mi ha segnalato questo interessante articolo dal titolo "Dati aziendali, sottrarli non è ritenuto sbagliato":
- http://www.lineaedp.it/articolo/0000095971/30/8/Dati_aziendali_sottrarli_non_e_ritenuto_sbagliato.html#.UR1ChvJdCSp

Ecco alcuni dati di un recente studio di Symantec: il 50% dei dipendenti che lasciano un'azienda si copiano i dati dell'azienda stessa e, nel 40% dei casi, prevede di riutilizzarli dal suo nuovo datore di lavoro; solo il 38% dei dipendenti afferma che il loro manager vede la protezione dei dati come una priorità di business.

Brevissimo articolo che vale la pena di leggere (a patto di ricordarsi che, in questo contesto, IP non è l'Internet protocol, ma la intellectual property; cosa che non ho fatto ad una prima lettura).

Confesso che non sono un innocente. Ma mi è anche accaduto (ormai millenni or sono) di trovare qualcuno che mi chiedesse se potevo passargli documenti di un mio precedente datore di lavoro o di un mio ex cliente. Come se ormai fossero documenti pubblici. Ovviamente mi sono rifiutato. Ma la cosa fa pensare.

Per chi volesse approfondire il tema da un punto di vista legale, suggerisco di partire da Legge 633/1941 sul Diritto d'autore, Dlgs 30/2005 sulla proprietà industriale e CCNL.

Quaderno su vulnerability assessment e penetration test

Isaca Venice Chapter ha pubblicato il suo primo quaderno dal titolo "Vulnerability Assessment e Penetration Test - Linee guida per l'utente di verifiche di terze parti sulla sicurezza ICT":
- http://www.isaca.org/chapters5/Venice/NewsandAnnouncements/Pages/Page1.aspx 

Ritengo sia un documento interessante perché ricorda una serie di argomenti che non sempre sono chiari ai responsabili di sicurezza informatica:
- differenza tra VA e PT
- normativa applicabile
- metodologie e tipi di PT
- requisiti per commissionare un PT
- schema di contratto

Una piccola e probabilmente inutile critica: troppa focalizzazione sui PT (i VA, ad un certo punto, sono quasi dimenticati).

Ringrazio Daniela Quetti di DFA per la segnalazione.

Legge 4/2013 sulle "professioni non organizzate"

E' stata pubblicata la Legge 4/2013 dal titolo "Disposizioni in materia di professioni non organizzate".

Essa riguarda "l'attività economica, anche organizzata, volta alla prestazione di servizi o di opere a favore di terzi, esercitata abitualmente e prevalentemente mediante lavoro intellettuale [...]" con l'esclusione delle professioni già regolamentate in ordini e collegi (avvocati, ingegneri, eccetera). Insomma, riguarda l'attività di consulenti, auditor e formatori in molte discipline.

La Legge prevede che "La professione e' esercitata in forma individuale, in forma associata, societaria, cooperativa o nella forma del lavoro dipendente".

All'articolo 2 sono regolamentate le associazioni professionali (codici deontologici, promozione della formazione permanente, sportello per fornire informazioni ai cittadini e utenti, eccetera). L'elenco delle associazioni che si auto-certificano come conformi alla Legge 4/2013 sarà disponibile sul sito del Ministero dello sviluppo economico.

Agli articoli 4 e 5 sono forniti ulteriori requisiti per le associazioni professionali, il primo delle quali riguarda la pubblicazione delle norme e regolamenti, inclusi, se pertinenti, quelli relativi al riconoscimento delle competenze dei propri associati, che le governano. E' anche consigliata, ma non obbligatoria, la certificazione ISO 9001 per le associazioni.

Ritengo che l'articolo 6 sia importante: "promuove l'autoregolamentazione volontaria" basata su norme tecniche "UNI ISO, UNI EN ISO, UNI EN e UNI". Sarà a questo punto importante (vedere anche l'articolo 9) quali saranno queste "norme tecniche UNI definite per ciascuna professione" per le quali un organismo di certificazione potrà rilasciare una certificazione: spero non si tratti della ISO 9001, visto che nei casi di singoli professionisti la sua applicazione sarebbe quanto meno discutibile.

Anche gli articoli 7 e 8 sono importanti perché specificano come un'associazione può rilasciare attestazioni relative alle competenze dei propri partecipanti.

Concludo dicendo che questa norma è importante. Forse qualche punto mi è ancora oscuro, ma sarà certamente chiarito con la sua applicazione.

Ho avuto notizia di questa Legge (ma senza il suo riferimento numerico!) dal CEPAS:
- http://www.cepas.it/legge_professioni.asp

Segnalo anche il link dal sito di Accredia:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1133&areaNews=95>emplate=default.jsp

La norma non è ancora disponibile su www.normattiva.it, ma è reperibile sulla Gazzetta Ufficiale 22 del 26 gennaio 2013 (http://www.gazzettaufficiale.it)

Privacy e AdS applicativi

Con il mio lettore Matteo Bonfanti di Lutech ho scambiato qualche opinione sul come considerare gli utenti di un'applicazione con privilegi speciali, principalmente quelli di gestione delle utenze.

Nel dubbio, Matteo Bonfanti ha contattato l'Ufficio del Garante dal quale ha ricevuto la risposta: "il Provvedimento del 27 novembre 2008 non riguarda gli utenti applicativi anche se questi hanno privilegi speciali, a meno che non possano agire direttamente sullo schema del database".

Prendo atto e lo ringrazio molto
Occupandomi anche di sicurezza delle informazioni oltre alla privacy, rimango sempre nel dubbio che:
- elencare tali AdS non dovrebbe essere un problema,
- garantire la loro esperienza, capacità e affidabilità non dovrebbe essere un problema,
- l'applicazione dovrebbe registrare le azioni di tali AdS (anche se ci sono applicazioni che ahimé non lo fanno)
- i log non dovrebbero essere accessibili in scrittura agli AdS applicativi, ma solo a quelli sistemistici

Purtroppo ci sono applicazioni che non generano log e, ogni volta che le vedo, continuo a stupirmi.

Google, le password e i token

La notizia sta circolando: Google sta studiando un metodo per sostituire il meccanismo di identificazione e autenticazione degli utenti basato sulla sola coppia userid e password.

Sandro Sanna mi ha segnalato un articolo che ho trovato chiaro e completo:
- http://bits.blogs.nytimes.com/2013/01/17/critical-infrastructure-systems-seen-as-vulnerable-to-attack/?src=rechp

Segnalo anche due articoli ripresi dalla newsletter SANS NewsBytes:
- https://www.computerworld.com/s/article/9235971/Google_sees_one_password_ring_to_rule_them_all?taxonomyId=17
- http://www.wired.com/wiredenterprise/2013/01/google-password/?cid=5394044

Da una parte, Google sta intraprendendo una bella iniziativa che potrà educare tutti gli utenti all'uso di meccanismi un po' più complessi ma più sicuri (da buon cittadino, trovo interessanti i film americani in cui gli abitanti di alcuni paesi non chiudono la porta a chiave, gesto per me consueto e banale).

Dall'altra parte, non posso fare a meno di notare che il meccanismo si baserebbe inizialmente su chiavi USB e Chrome, ricordandomi la guerra tra Google e Apple e il sospetto che ambedue vogliano tutti i nostri dati personali e che l'invio di un token a casa renderebbe ancora più sicura l'identificazione dell'utente e dell'autenticità dei suoi dati.
Ho il dubbio di star diventando paranoico...

Sistemi delle infrastrutture critiche

Le notizie sui sistemi IT delle infrastrutture critiche e non informatiche (soprattutto distributori d'acqua, elettricità, combustibile, energia) stanno aumentando. In parte perché questi mercati sono un obiettivo ancora non completamente presidiato da chi si occupa di sicurezza ("cherchez l'argent", mi viene da parafrasare), in parte perché le notizie di attacchi a questi sistemi (il più famoso è Stuxnet) hanno evidenziato le carenze presenti in questi sistemi.

Uno degli ultimi articoli l'ho trovato segnalato dalla newsletter SANS NewsBites e ha titolo "Critical Infrastructure Systems Seen as Vulnerable to Attack".

La notizia sconcertante è che il 91% degli attacchi inizia con una e-mail con allegato codice nocivo. Un esperimento condotto da una società di consulenza ha dimostrato che il 26% dei destinatari ha aperto l'allegato (su un campione di 70 persone, come viene onestamente dichiarato). Altro dato interessante: molti attacchi sono condotti dopo una breve ricerca su LinkedIn per creare e-mail fasulle il cui (falso) mittente è un contatto del destinatario.

Ho avuto modo di vedere aziende in cui i sistemi di controllo sono su una rete indipendente da quella utilizzata per lo scambio di e-mail e la navigazione sul web; ho visto aziende in cui i computer del personale sono bloccati rispetto a qualsiasi installazione di nuovo software; ho visto aziende in cui quasi tutti gli allegati alle e-mail sono sono bloccati così come le porte USB; ho visto aziende in cui il personale può ricevere e-mail solo su computer specifici. Ho visto cose che certi umani non possono immaginare, eppure dimostrano che non è tecnologicamente difficile fare sicurezza nei settori critici. Molti sono però frenati dal fatto che il personale potrebbe risentirsene. Forse, una maggiore consapevolezza del fatto che si lavora in settori critici potrebbe aiutare.

L'articolo:
- http://bits.blogs.nytimes.com/2013/01/17/critical-infrastructure-systems-seen-as-vulnerable-to-attack/?src=rechp

Governo e sicurezza informatica

Sandro Sanna mi ha segnalato questa comunicazione del Governo italiano: è stato firmato il decreto per dotarsi della prima definizione di un'architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche. Si parla di "un'architettura istituzionale che assicuri coerenza d'azione per ridurre le vulnerabilità dello spazio cibernetico, accrescere le capacità d'individuazione della minaccia e di prevenzione dei rischi e aumentare quelle di risposta coordinata in situazioni di crisi":
- http://www.governo.it/Presidenza/Comunicati/dettaglio.asp?d=70337

Il Decreto sarà pubblicato prossimamente in Gazzetta Ufficiale.

Confesso che non ho capito se si tratta del CERT nazionale previsto dall'Agenda digitale europea e di cui avevo scritto a dicembre:
- http://blog.cesaregallotti.it/2012/12/cert-italia.html

Non rimane altro che osservare.

Alla sicurezza non sfugge (quasi) niente

Enzo Ascione di Intesa Sanpaolo mi ha segnalato questa interessante notizia:
- http://www.corriere.it/tecnologia/13_gennaio_17/softwerista-assenteista-lavoro-marchetti_5ff3373e-60b1-11e2-bd7d-debf946ea0b6.shtml

In poche parole: un programmatore, dipendente di un'azienda e con contratto di telelavoro, aveva in realtà subappaltato la propria attività ad un'azienda cinese. Nel tempo libero si dedicava al proprio hobby.

Enzo, ironicamente, dice "Beh però almeno il lavoro veniva fatto, no?".

L'articolo non fornisce indicazioni utili per capire a quali dati il programmatore aveva dato accesso a dei fornitori non autorizzati.

Accordi con i servizi esterni (cloud e social network)

Nella newsletter Crypto-Gram di Bruce Schneier del 15 gennaio 2013 c'è un interessante articolo sugli accordi (terms of service) stipulati con servizi cloud e social network:
- https://www.schneier.com/blog/archives/2012/12/terms_of_servic.html

Per capire meglio, vi segnalo questo articolo in italiano:
- http://www.repubblica.it/tecnologia/2012/12/18/news/instagram_le_foto_diventano_pubblicit_la_mano_di_facebook_sulla_nuova_privacy-49014541/

Cosa è successo: Facebook ha acquistato a metà 2012 la società Instagram che fornisce dei servizi di archiviazione foto. A dicembre 2012 è stato emesso un nuovo accordo con gli utenti che, in definitiva, lascia alla società molti più diritti su quanto archiviato dagli utenti rispetto all'accordo inizialmente sottoscritto. Questo ha scatenato molte proteste.

Bruce Schneier ha esteso la sua analisi anche al servizio cloud Prezi.

Ovviamente, le riflessioni sono 2:
- qualcuno ha letto con attenzione l'accordo sottoscritto con il fornitore del servizio?
- questo accordo può essere tale per cui in futuro esso possa essere modificato unilateralmente e senza preavviso?

E poi mi si chiede perché non voglio sincronizzare il mio cellulare con i contatti e l'agenda Google...

Ottobre rosso

Credo che il prossimo attacco di cui si parlerà tanto tanto sarà "Ottobre rosso".

Dall'articolo non ho capito come è stato possibile infettare le macchine; si capisce come l'attaccante sia riuscito a propagare l'attacco, ma non come sia riuscito a trovare la prima vittima. Eppure, sarebbe molto interessante.

L'analisi del Kaspersky Lab:
- https://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

Attacchi DDOS come "libera espressione"?

Sul gruppo "Clusit" su LinkedIn è stato pubblicato un post di Aldo Ceccarelli che segnala un articolo di Information Security News dal titolo "Anonymous chiede al governo Usa di riconoscere gli attacchi come libera espressione":
- http://www.informationsecuritynews.it/news/anonymous-chiede-al-governo-usa-di-riconoscere-gli-attacchi-come-libera-espressione

In sostanza, Anonymous dice che un attacco DDOS che blocca l'accesso a dei sistemi IT è equiparabile ad una manifestazione di piazza che blocca l'accesso agli edifici. Ma non è un reato anche quello?

VERA 3.1

Gianluca Stretti mi ha segnalato un errore nelle istruzioni del VERA 3.0 italiano. In particolare, nelle istruzioni si diceva di dare valore 3 ad un controllo debole e valore 1 ad un controllo robusto. Il calcolo, però, prevedeva l'inversione di tali valori.

Bizzarro: nessuno l'aveva mai segnalato, eppure so per certo che qualcuno lo usa. Evidentemente, lo strumento è più intuitivo di quanto pensassi.

Ringrazio comunque Gianluca (che non conosco) per la segnalazione.

ISO 22313:2012 - Business continuity management systems - Guidance

Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione, al 15 dicembre 2012, della ISO 22313 "Societal security — Business continuity management systems — Guidance". Si tratta della linea guida che accompagna la ISO 22301 (non capisco perché non l'abbiano numerata come ISO 22302, ma forse non è importante).

Si tratta di un documento di 58 pagine e costa 154 CHF (circa 125 Euro). L'ho sfogliato molto rapidamente e mi sembra ci siano diversi spunti interessanti, in particolare nel capitolo in cui si tratta dei requisiti per le risorse (persone, informazioni e dati, sedi e infrastrutture associate, apparecchiature e strumentazione, sistemi ICT, trasporti, liquidità economica, fornitori) e per le procedure (gestione operativa e strategica degli incidenti, comunicazione, sicurezza delle persone, continuità, ripristino dei sistemi ICT, ripristino delle attività).

Continuo però a pensare che sia preferibile lo studio della NIST SP800-34: 149 pagine gratuite, pubblicate da un prestigioso ente statunitense e con l'efficace stile che contraddistingue i manuali pubblicati negli USA.

Commenti sulla revisione della ISO/IEC 27001

Fabrizio Monteleone del DNV Italia, oltre ad essere mio amico, ha una grande esperienza di audit ISO/IEC 27001. A fronte delle mie segnalazioni sulla futura ISO/IEC 27001 ha fatto qualche commento che riporto di seguito.

1- Riguardo la 27001 suggerirei, anche se ciò non è possibile, di promuovere la revisione dell'Annex A con i controlli a livello annuale o biennale al massimo: stiamo parlando di IT cioè di un mondo che evolve talmente in fretta, che i controlli da mettere in campo dovrebbero essere riesaminati per capire se in grado di accogliere quanto succede. Inoltre, anche la lista minacce e vulnerabilità dovrebbe essere sempre aggiornata dalle imprese; ma quanti la aggiornano? Se non spinti da uno standard, non lo farebbero mai.

2- Sull'analisi dei rischi, nel tempo ho visto si sono fatti strada alcuni metodi più o meno accettabilmente applicati (per lo meno, per il primo audit...). Dopo 7 anni siamo arrivati a che ci sia un livello di competenze accettabile. Ora, con il cambiamento delle carte, abbiamo dei rischi di confusione e di nuovi "esperti" che esperti non sono.

3- Per quanto riguarda l'impegno della direzione, purtroppo è vero che la Direzione è spesso latitante e non partecipa all'analisi e valutazione dei rischi.

4- Sul fatto che le linee guida siano linee e basta mi trovi in accordo. Dovrebbero essere in numero inferiore (quindi meno soldi) e solo tecniche (gli esempi sulle misure sono indecenti).

5- Per il resto, giustamente, se l'auditor fa l'auditor, i problemi sono dell'azienda o vogliamo che tra il valore aggiunto chiesto all'auditor ci sia quello di fare il consulente? La realtà è che le aziende se lo aspettano, visto che pagano...

CERT Italia?

Dal blog di Over Security trovo un riferimento all'articolo "Cybersecurity, Italia pecora nera in Europa" del Corriere delle Comunicazioni.

L'articolo dice che "l'Italia farebbe figura di unico Paese Ue a non essersi dotato di un CERT nazionale", anche se "l'Agenda digitale europea esorta tutti i paesi membri a istituire i propri CERT".

Un CERT nazionale ha il ruolo di gruppo di risposta agli incidenti informatici a livello nazionale e dovrebbe anche identificare minacce e vulnerabilità e informarne gli addetti. Un CERT nazionale potrebbe anche diffondere statistiche su minacce e vulnerabilità (mi chiedo ancora chi possa pensare ad analisi quantitative dei rischi se non ha queste informazioni) e buone pratiche di configurazione e sviluppo dei sistemi e dei software.

La notizia si commenta da sola.

L'articolo del Corriere delle comunicazioni:
- http://www.corrierecomunicazioni.it/it-world/18802_cybersecurity-italia-pecora-nera-in-europa.htm

Protezione smartphones

L'U.S. Federal Communications Commission, come ho appreso dalla newsletter SANS Newsbyte, ha pubblicato delle linee guida per la protezione degli smartphones:
- https://www.computerworld.com/s/article/9234928/FCC_offers_security_advice_to_smartphone_users?taxonomyId=17

Potete trovare le check list (con il solito stile basato su decaloghi) su:
- https://www.fcc.gov/smartphone-security

Queste linee guida mi sono piaciute perché in molti casi riportano link a tool per applicare alcune misure.

La sicurezza di questi oggetti è un problema per gli utenti e le imprese. In molti asseriscono che solo l'iPhone garantisce un buon livello di sicurezza, ma non ne sono convinto (sarà perché ho comprato il 3G, non più aggiornato dal 2010...).

Requisiti per le compagnie di sicurezza private

Max Cottafavi di Spike Reply mi ha segnalato la pubblicazione dello standard ANSI/ASIS PSC.1 per i "private security contractors".

Stiamo parlando di sicurezza fisica e più specificatamente delle forze armate private: tema estraneo a questo blog, ma non troppo.

Si tratta di uno standard di requisiti per un sistema di gestione, impostato secondo i nuovi e futuri standard ISO per i sistemi di gestione (vedere i commenti sulla futura ISO/IEC 27001). E' quindi richiesta una pianificazione basata sulla valutazione dei rischi, l'erogazione dei servizi in conformità con i risultati di questa valutazione, un monitoraggio e un approccio basato sul miglioramento continuo.

Cosa interessante: il ministero competente inglese (Foreign & Commonwealth Office) ha formalmente approvato ed avallato questo standard ASIS PSC.1.

Lo standard può essere reperito (costo di 165 USD) presso il sito dell'ANSI:
- http://webstore.ansi.org/RecordDetail.aspx?sku=ANSI%2fASIS+PSC.1-2012#.UNhWEaywWSo

Firma elettronica e digitale - Sentenza

Dalla newsletter di Filodiritto, segnalo la "Tribunale di Catanzaro - Sezione Prima Civile, Ordinanza 30 aprile 2012, n. 68/2011".

Tale sentenza stabilisce che non posso essere sottoscritte con "un semplice clic", corrispondente alla firma elettronica, le clausole vessatorie di un contratto. Queste dovrebbero essere sottoscritte con firma digitale o autografa.

Per gli interessati, segnalo l'articolo di Gianni Penzo Doria:
- http://filodiritto.com/index.php?azione=visualizza&iddoc=2980

Ho trovato più comprensibile questo articolo:
- http://www.laleggepertutti.it/12644_contratti-sul-web-inefficaci-tutte-le-clausole-vessatorie

Dagli articoli trovati, comunque, non ho capito quale fosse la materia del contendere. Sembra che il potere di eBay di escludere dei sottoscrittori a seguito di loro condotte inadempienti sia una clausola vessatoria. Mi sembra quindi che la sentenza abbia effetti ambivalenti sulla tutela dei consumatori (da una parte li garantisce, dall'altra riduce i poteri di controllo del fornitore del servizio).

Invito chiunque abbia maggiori dettagli a condividerli.

Commenti sulla futura ISO/IEC 27001

Dopo i miei commenti del mese scorso sui cambiamenti previsti per la futura ISO/IEC 27001 ho ricevuto solo un commento scritto da parte di Andrea Veneziani di Data Management. Ho ricevuto anche alcuni commenti orali da altri, ma il risultato è sempre lo stesso.

Molti temono che la riduzione dei requisiti sull'analisi dei rischi possa comportare dei problemi e, in definitiva, lo schema attuale sarebbe preferibile. Tutti riconoscono comunque un aspetto: alcuni auditor e consulenti insistono a proporre schemi formali specifici che poi un'azienda non fa altro che lasciarli su carta.

Io penso che si dovrebbe fare una riflessione sulle linee guida della famiglia ISO/IEC 27000: ad oggi alcune sono troppo teoriche, mentre altre sono troppo direttive, non lasciando spazio ad alternative. Se le linee guida della famiglia ISO/IEC 27001 fossero più pratiche, i dubbi sui requisiti della ISO/IEC 27001 forse scomparirebbero.

Non sono originale: è la stessa proposta che ha fatto UNI per la futura ISO 9001.

Foto del principe William con password

Questa mi è piaciuta molto: il principe William è stato fotografato in una base della RAF e, per un po' di marketing, le foto sono state pubblicate sul web.

Problema: sullo sfondo si trova un foglio con scritte user-id e password di un qualche sistema chiamato MilFlip.

A essere pedanti, si trovano un'infinità di problemi di sicurezza. L'articolo di questo post (segnalato dalla newsletter di DFA) assicura che la password è anche banale:
- http://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/

Attacco Eurograbber

Questo lo ritengo interessante (da SANS Newsbyte): alcune banche usano il sistema di autenticazione forte basato su normale user-id e password e su un codice casuale inviato via SMS quando l'utente si connette o effettua qualche disposizione.

Si sono inventati un attacco facile facile da capire, ma difficile da realizzare: la vittima riceve una mail di phising e installa il malware Zitmo Trojan sul suo pc; questo rimane silenzioso e si attiva quando la vittima si connette al sito della sua banca (sono colpite anche banche italiane) e gli segnala di aggiornare anche il software sul cellulare, ovviamente con altro software dannoso.

Il primo software, quindi, intercetta le credenziali per accedere al sito di web banking, il secondo software sul cellulare intercetta il codice temporaneo. Con questi elementi, il malintenzionato può fare bonifici dal conto della vittima ad un suo proprio conto.

Sembra troppo complesso, ma Check Point dice che le vittime, finora, sono state 30.000 e hanno perso 47 milioni di dollari.

Un articolo:  https://www.informationweek.com/security/attacks/zeus-botnet-eurograbber-steals-47-millio/240143837
Il report di Check Point: http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

ISO/IEC 27032

Il 15 luglio è stata pubblicata la ISO/IEC 27032 dal titolo "Guidelines for cybersecurity".

Innanzitutto, ho trovato interessante la distinzione tra "Internet" e "Cyberspace", dove Internet è usato per indicare la parte fisica della rete, mentre il Cyberspace comprende anche i servizi disponibili. Insomma, normalmente il termine Internet è usato per le due accezioni, ma effettivamente bisognerebbe distinguere.

Lo standard è indirizzato agli utenti di servizi Internet (ops... servizi del ciberspazio) e ai loro fornitori.

Per i fornitori, sappiamo bene quante misure di sicurezza sono già presenti sulla 27001. Oltre a quelle, ne sono specificate alcune di relazione con i clienti, dedicate soprattutto alla loro sensibilizzazione sulla sicurezza. Un breve elenco di cose che mi sono segnato: fornire un canale di comunicazione per segnalare eventi e incidenti, fornire il software validato da certificati digitali, fornire manuali agli utenti, inviare agli utenti periodici messaggi di educazione sulla sicurezza, fornire ai clienti una guida per la configurazione del proprio pc, specificare i requisiti legali applicabili, mantenere un protocollo per garantire una mutua autenticazione del cliente e del fornitore, stabilire i contatti autorizzati per le comunicazioni. Infine, viene suggerito di ricordare ai clienti che non verranno mai chieste informazioni personali e credenziali di ogni tipo, né verranno inviati link via mail e che per collegarsi al servizio bisognerà farlo solo dal browser.

Utile, nell'Allegato B, un elenco di siti web dedicati alla sensibilizzazione degli utenti dei servizi del ciberspazio.

Lo standard è di 50 pagine, troppe sono dedicate a riflessioni teoriche, di modo che le indicazioni pratiche occupano in realtà poche pagine. Se consideriamo che il prezzo dello standard è proporzionale al numero di pagine, qualche riflessione critica viene spontanea.

Così vuoi fare l'auditor?

Simone Tomirotti mi ha segnalato questo articolo dal titolo "So You Want to Be an IT Auditor?":
- http://www.theiia.org/intAuditor/itaudit/2012-articles/so-you-want-to-be-an-it-auditor

E segnala la conclusione: la buona notizia per chi fa lo sforzo di studiare da auditor IT è che la richiesta di tali professionisti sta crescendo rapidamente. Secondo CNN Money, la contabilità e l'audit IT sono tra le professioni che stanno crescendo più rapidamente, con una crescita dal 2008 al 2012 stimata tra il 22% e il 30%. Le organizzazioni stanno cercando auditor IT professionisti per valutare e raccomandare metodi per mitigare gli impatti dei rischi tecnologici. Dimostrare il proprio desiderio di imparare e allargare le proprie capacità è la strada migliore per coloro che intendono intraprendere una carriere da IT auditor.

Da parte mia, condivido il fatto che "il desiderio di imparare e allargare le proprie capacità è la strada migliore". Questo vale per tutte le professioni.

Ma ho una domanda: perché devono essere gli auditor IT a trovare i rischi e indicare le strade per ridurli? perché devono essere gli auditor IT a individuare le vulnerabilità o cattive pratiche? non dovrebbero essere i project manager e gli analisti o, in alternativa, un dipartimento di sicurezza che offre i propri servizi di consulenza?

Vorrei dire che è uno strano mondo quello in cui si chiede ai verificatori di dare indicazioni (come chiedere ai giudici di fare le leggi... ma non vorrei che la mia newsletter e il mio blog si occupino di politica).

L'audit non aggiunge valore

Finalmente qualcuno che scrive che l'audit ISO 9001 non fornisce valore aggiunto. Io sono un vile e mi limito a dirlo a pochi intimi:
- http://www.irca.org/en-gb/resources/INform/archive/Issue37/opinion/?utm_source=Email&utm_medium=Inform&utm_campaign=Nov_12

Cosa dice, in sostanza, l'autore David Hutchins:
- l'audit è condotto verificando che processi e attività siano condotti secondo quanto prescritto; trovare errori in questo senso non vuol dire "aggiungere valore"
- il significato attribuito a "valore aggiunto" dall'auditor può non coincidere con lo stesso significato attribuito dagli altri stakeholder
- è ridicolo pensare che, nei ridotti tempi di audit e con competenze spesso inadeguate, l'auditor abbia la pretesa di dare valore aggiunto.

Ormai, perso ogni freno inibitore, lo dico: sono d'accordo!

Privacy e comunicazioni elettroniche: imprese ancora tutelate

Daniela Quetti mi ha segnalato il Provvedimento 262 del 20 settembre 2012 del Garante Privacy che afferma che, nonostante il Codice Privacy sia ora applicabile alle sole persone fisiche, il capo 1 del titolo X del Codice rimane applicabile anche alle persone giuridiche.

I requisiti del Capo 1 del Titolo X del Codice riguardano gli operatori di TLC e i loro abbonati (meglio: contraenti). In particolare, sono normati: la riservatezza dei dati dell'utente e gli apparati utilizzati, l'uso dei dati di traffico; la fatturazione di dettaglio; la visibilità o invisibilità del numero chiamante; - i dati relativi all'ubicazione; il contrasto alle chiamate di disturbo; gli elenchi di abbonati.

Un ultimo aspetto è regolato da quel Capo: il registro delle opposizioni. Quindi, tale registro è valido anche per le imprese.

Per leggere il comunicato del Garante e il Provvedimento:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2094796
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2094932

Verso la ISO 9001:2015. La posizione italiana

<!-- Converted from text/plain format
Franco Ferrari mi ha girato questo articolo sulla posizione italiana sulla futura ISO 9001, per la quale i lavori sono partiti a giugno 2012:
- http://www.uni.com/index.php?option=com_content&view=article&id=1686:verso-la-iso-90012015-la-posizione-italiana&catid=111:generale&Itemid=546

La posizione dell'UNI è, in sintesi, la seguente:
- il SGQ dovrebbe considerare l'intero sistema di esigenze ed aspettative, includendo temi relativi all'ambiente, alla sicurezza, alla responsabilità sociale, alla gestione dell'energia, alla privacy, eccetera; per questo dovrebbe essere più flessibile
- introdurre elementi di gestione del rischio;
- introdurre un approccio socialmente responsabile: aggiungere, oltre alla soddisfazione dei clienti, anche quella di altri stakeholder (la comunità, i dipendenti dell'impresa…).

Per una migliore applicabilità della norma, l'UNI propone le seguenti linee guida:
- riferimento nella politica per la qualità al contesto di riferimento e all'approccio generale alla qualità come parte degli orientamenti adottati nei confronti delle aspettative espresse dalle specifiche parti interessate;
- migliorare la semplicità e chiarezza
- introdurre un'appendice informativa che spieghi il significato e i motivi di ogni requisito

Ho riassunto parecchio e forse ho lasciato qualche spunto interessante. Ho comunque idea che molti degli argomenti ci siano già, tranne la considerazione di altri stakeholder e dei rischi. Questi temi dovrebbero essere introdotti grazie all'uso dell'Annex SL delle Direttive ISO per i sistemi di gestione.

Trovo che le riflessioni dell'UNI siano comunque interessanti. Purtroppo, come dice lo stesso documento dell'UNI in modo meno diretto, l'uso dello standard a mero scopo certificativo ha spinto le imprese ad adottarlo in modo rigido con esiti, in alcuni casi, dannosi. La colpa? Di tutti (imprese, consulenti, auditor), ovviamaente.
-->

NIST SP 800-30 rev1 "Guide for conducting risk assessments"

Il NIST ha annunciato a fine settembre la pubblicazione della revisione 1 della NIST SP 800-30 dal titolo "Guide for conducting risk assessments".

La guida è molto interessante soprattutto perché stabilisce i diversi livelli a cui si possono condurre i risk assessment: strategico, tattico e operativo. Purtroppo l'ho letta dopo il meeting di Roma sulla ISO/IEC 27001, forse avrei avuto idee più chiare sul dibattito "Risk assessment nel planning o nelle operations?". Credo infatti che si confonda il ciclo PDCA con il modello di un'azienda a 3 livelli.

La guida, inoltre, promuove l'analisi dei rischi basata su minacce e vulnerabilità, mentre si prevede che la ISO/IEC 27001 ne farà a meno. Forse questa guida segnala che quest'ultima non sta prendendo la direzione giusta.

Mi piace molto anche il fatto che si consiglia di valutare la verosimiglianza delle minacce a partire dai loro agenti e dalle loro caratteristiche di interesse, capacità e obiettivi.

Ho segnato anche il punto sul riconoscimento dell'incertezza dell'analisi, da considerare e valutare opportunamente. Viene anche segnalato come la soggettività è sempre presente in questo campo e il fatto che la ripetibilità delle analisi qualitative può essere garantita dalla esplicitazione e documentazione delle ragioni per cui sono stati attribuiti certi valori (concetto che ho espresso in più occasioni io stesso; credo di averlo inconsciamente mutuato dagli stessi documenti a cui si è ispirato il NIST).

Al paragrafo 2.3.3, la guida descrive 3 possibili approcci: basati sulle minacce, sugli asset e gli impatti, sulle vulnerabilità. E' interessante, soprattutto perché le metodologie che vedo solitamente utilizzate sono del primo tipo.

DL 179/2012 per la crescita

Il 18 ottobre è stato approvato il DL 179/2012 "Ulteriori misure urgenti per la crescita del Paese" e si può scaricare da www.normattiva.it. Come tutti i Decreti Legge dovrà essere esaminato dalle Camere per la sua adozione definitiva e ciò potrà introdurre dei cambiamenti al testo attuale.

Tra gli aspetti più interessanti, a mio avviso, sono delle modifiche al Dlgs 82/2005 (il CAD o Codice dell'Amministrazione Digitale):
- il domicilio digitale del cittadino: "è facoltà di ogni cittadino indicare alla pubblica amministrazione un proprio indirizzo di posta elettronica certificata, quale suo domicilio digitale."
- l'obbligo per le pubbliche amministrazioni di accettare pagamenti via comunicazioni telematiche

Ci sono poi tanti altri temi, tra cui "Attuazione dell'Agenda digitale italiana", "Trasmissione telematica delle certificazioni di malattia nel settore pubblico", promozione per il trasporto pubblico dei sistemi di bigliettazione elettronica interoperabili a livello nazionale, "Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario", "Giustizia digitale".

Sulla futura ISO/IEC 27002

Durante il meeting di Roma del WG1 dell'SC27, sono continuati i lavori sulla nuova ISO/IEC 27001, che dovrebbe uscire a ottobre 2013. La bozza attuale è meno criticata della bozza della 27001, ma i miei commenti non devono intendersi come definitivi, visto che neanche la norma lo è.

Premetto che non ho seguito i lavori perché impegnato sulla 27001. Le riflessioni che seguono riguardano solo lo stato di alcuni controlli:
- alcuni molto tecnici sono stati elminati (per esempio, quello sulla limitazione della connessione, visto che incorporato in altri sulla sicurezza della rete)
- molti controlli sono stati spostati di capitolo (per esempio, quello sul riesame indipendente di terze parti è stato accorpato con gli altri controlli sugli audit attualmente al A.15.2; il controllo sul ritiro degli asset è stato spostato nel capitolo sulla strumentazione e tolto dalla gestione delle risorse umane); non tutte le scelte mi sembrano convincenti (per esempio, il capitolo sulle comunicazioni è incastrato tra capitoli relativi a controlli informatici, quando le comunicazioni non sono necessariamente IT), ma in definitiva mi sembra che alcune cose siano migliorate (la separazione dei compiti è ora nell'organizzazione)
- si sono migliorate alcune dizioni (per esempio, non si parla più di mobile computing, ma di Mobile device policy)
- nuovi controlli con impatto sostanziale sono: Information security in project management, Restrictions on software installation, Secure development policy, System security testing (che sostituisce un controllo precedentemente meno orientato alla sicurezza), ICT Supply chain, Redundancies
- i capitoli sono dal 5 al 18 (la versione attuale va dal 5 al 12), ma solo in virtù di una diversa collocazione dei controlli
- non ho fatto il conto dei controlli previsti, rispetto ai 133 della versione del 2005.



Fabio Guasconi, Presidente SC27 di Uninfo, che ha seguito un po' i lavori, anche compatibilmente con il suo ruolo di ospite, visto che l'incontro si è svolto a Roma, ha fatto i seguenti commenti:
- tantissimi commenti sono stati scartati (e nonostante ciò ci sono voluti 2 meeting per indirizzarli tutti);
- ci sono molti controlli nuovi e tanti con contenuti rivisti e aggiornati.
 
In definitiva, mi pare che verrà richiesto un certo sforzo nel rinumerare e rinominare i controlli degli attuali SOA, ma poco altro. Chi finora ha fatto un lavoro "furbo" (e spero l'abbia fatto, visto che l'esperienza di transizione dalla versione del 2000 a quella del 2005 dovrebbe essere servita) non dovrà dedicarci troppo tempo.

Sulla futura ISO/IEC 27001

Durante il meeting di Roma del WG1 dell'SC27, sono continuati i lavori sulla nuova ISO/IEC 27001, che dovrebbe uscire a ottobre 2013. Si osservi però che la versione attualmente in bozza è oggetta di parecchie critiche (personalmente, ne condivido solo una parte) e non è detto che la nuova norma verrà pubblicata.

La Polonia si è lamentata, tra le altre cose, che nella discussione nessuno ha fatto riferimento al proprio mercato di riferimento e alle sue richieste. Ciò mi ha fatto riflettere e ho pensato a quale possano essere le richieste del mercato italiano (accetto contributi):
- semplificazione dei requisiti del metodo di risk assessment perché la sua elaborazione, secondo lo schema del 2005, richiede troppe risorse togliendole ad altri progetti e non fornisce risultati sempre utili perché troppo di dettaglio
- irrobustimento delle garanzie per i clienti delle aziende che si certificano ISO/IEC 27001
- migliore leggibilità per garantire corrette relazioni tra organizzazioni certificate e auditor

Procedo quindi nel dare notizia delle novità più rilevanti.

Scopo dell'ISMS    Rimane il requisito generale di descrivere lo scopo dell'ISMS (da non confondere con la frasetta sul certificato), senza ulteriori specificazioni (ad esempio, "includendo le caratteristiche del business, dell'organizzazione, della localizzazione, dei beni e delle tecnologie") perché ritenute implicite; rimane il requisito di descrivere i confini dell'ISMS e le sue relazioni con entità esterne.    Il Giappone (e anche l'Italia) sono stati molto contrariati da questa scelta; personalmente, mi chiedo perché non voler esplicitare qualcosa di implicito, se questo può migliorare la leggibilità dello standard e ridurre incomprensioni tra imprese e auditor.    Anche in altre situazioni, l'Italia ha promosso l'aggiunta di testo esplicativo per migliorare la leggibilità dello standard e ridurre incomprensioni tra imprese e auditor. Purtroppo è prevalsa la linea della "eleganza": dove il requisito è implicito, non si aggiunge testo.

Direzione    Molto dibattere si è fatto sulle responsabilità della Direzione. In particolare, l'Australia ha voluto ridurle. Questo aspetto mi è risultato incomprensibile perché, a mio avviso, la norma attuale prevede (sintetizzo) che la Direzione garantisca la realizzazione dell'ISMS e comunichi l'importanza della sicurezza delle informazioni. Non mi sembrano compiti gravosi. 
    E' vero che molte Direzioni si disinteressano della sicurezza delle informazioni tranne quando c'è l'audit (e neanche questo caso si verifica sempre), ma fornire loro una giustificazione per farlo mi sembra scorretto. Tra l'altro, è ben noto che, se la Direzione si disinteressa della sicurezza delle informazioni, il resto dell'impresa farà altrettanto, con ovvi risultati. 
    Un'ultima riflessione: ogni articolo o conferenza ribadisce il concetto dell'importanza della Direzione: mi piacerebbe vedere ben sviluppati gli argomenti di chi è contrario, sempre che ciò sia possibile.

Processi e attività di business    Il testo "comune" alla future norme sui sistemi di gestione prevedeva frasi come "attività di business" o "processi di business". Su proposta dell'Italia è stata tolta la dizione "di business", in parte perché bisognerebbe capire quali sono le attività "non di business" e in parte perché, quali esse siano, la sicurezza delle informazioni si applicherebbe anche a loro.

Metodo di risk assessment    L'attuale ISO/IEC 27001 sviluppa una metodologia di risk assessment: individuare gli asset, le minacce e le vulnerabilità; valutare la verosimiglianza delle minacce e i loro potenziali impatti sugli asset. Tutto questo è stato eliminato: non si fa più riferimento agli asset, alle minacce o alle vulnerabilità. Si fa riferimento ai rischi che riguardano le informazioni.    Non mi pare sia un male: seppure implicitamente, si richiede di individuare le informazioni e i rischi che incombono su di esse, senza imporre metodologie che nella pratica sono troppo onerose e non utili. Sarà poi agli "esperti" sviluppare un metodo che garantisca di aver individuato (al giusto livello di granularità) tutti i rischi. Agli auditor, esattamente come oggi, viene solo richiesto di verificare la coerenza (o la "validità", come si è deciso) del metodo di risk assessment e dei suoi risultati.    Il Giappone si è dichiarato contrario a questa impostazione.    Personalmente, mi pare una buona soluzione, ma devo ancora rifletterci: probabilmente qualche indicazione in più potrebbe essere utile (per la cronaca: Fabio Guasconi, Presidente dell'SC 27 di Uninfo è solidale con il Giappone).

Misurazione dei controlli    Con mia grande gioia (anche perché la proposta era mia), è stato eliminato il concetto di misurazione dei controlli. Rimane il fatto che l'organizzazione deve valutare l'efficacia del proprio ISMS grazie ad attività di monitoraggio o misurazione, secondo quanto necessario. 
    Questo includerà sicuramente la misurazione dell'efficacia di alcuni controlli, ma se qualcuno vorrà misurare cose inutili, almeno non avrà la scusa dello standard.

Riesame della Direzione    Su proposta dell'Italia, è passato senza quasi discussione il fatto che la Direzione, nel riesame periodico, deve anche riesaminare i risultati del risk assessment e lo stato del piano di trattamento del rischio. Interessante che ciò sia successo dopo che si era detto che la stessa Direzione non poteva svolgere troppi compiti.

Statement of Applicability e Annex A    E' stato confermato il requisito che richiede l'elaborazione di un SOA collegato all'Annex A della norma. Come Italia siamo lievemente a favore della sua eliminazione. Personalmente, credo che sia un bene che rimanga il SOA collegato all'Annex A, perché impone al mercato l'adozione di una terminologia e di uno schema unico (insomma, impone l'adozione di uno standard!).

Risk assessment: nella pianificazione o nelle operation?
    Ho lasciato per ultimo l'argomento più difficile.  
    Si è molto dibattuto su: i requisiti sul risk assessment vanno nel capitolo "planning" o nel capitolo "operation"? 
    L'Italia (con la maggioranza) ha votato per la prima ipotesi perché il risk assessment fornisce i risultati necessari alla scelta dei controlli di sicurezza e alla loro pianificazione.
    Altri dicono che il capitolo planning riguarda il solo sistema di gestione che ha altri rischi rispetto alla sicurezza delle informazioni.
    Personalmente, vedo come molto pericolosa questa seconda impostazione perché prevede che il "sistema di gestione" sia una cosa e la sicurezza delle informazioni sia un'altra cosa, buttando all'aria tanta letteratura e pratica sul fatto che la sicurezza delle informazioni debba essere vista come un insieme integrato di tecnologia e processi. La norma, comunque, riguarda il "sistema di gestione per la sicurezza delle informazioni" (e non un generico "sistema di gestione") di cui i controlli di sicurezza sono parte integrante. Pertanto, pianificare il sistema di gestione per la sicurezza delle informazioni implica necessariamente la scelta dei controlli di sicurezza, da fare con il risk assessment.    Altra mia obiezione è: quale rischio al "sistema di gestione" vedete che non è applicabile al "sistema di gestione per la sicurezza delle informazioni"? La risposta è sempre stata una sola: "indisponibilità della Direzione" e mi pare un po' pochino.    Il problema è che il common text presenta alcuni requisiti che creano confusione: nella pianificazione si richiede di considerare rischi e "issues" (in italiano, "questioni"), e qui c'è chi distingue tra rischi strategici e operativi (ma questo ragionamento non toglie nulla alla necessità di avere il risk assessment dell'ISMS nel planning); nelle operation si fa comunque riferimento alla pianificazione delle attività, ma qui si dovrebbe fare riferimento ai piani di dettaglio o ai piani di produzione (per esempio, il piano di verifica dei backup, secondo le politiche stabilite in fase di scelta del controllo di sicurezza).

Mi piacerebbe ricevere pareri in merito (anche a favore!), sul blog o via email.

Stato delle norme ISO/IEC 270xx -- ottobre 2012

Dal 22 al 26 ottobre, si è tenuto a Roma il plenary meeting del WG1 dell'SC27, ossia del gruppo responsabile delle norme ISO/IEC 270xx. Io vi ho partecipato come delegato per l'Italia.

Questi i risultati:
- ISO/IEC 27000: sarà pubblicata a breve la nuova versione; si è comunque stabilito di riaprire i lavori per una nuova versione (early revision) anche a seguito di quanto uscirà dai lavori sulla ISO/IEC 27001 e 27002
- ISO/IEC 27001: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; ulteriori dettagli in un altro post
- ISO/IEC 27002: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; gli editor dovrebbero preparare un documento con indicate le modifiche principali; ulteriori dettagli in un altro post
- ISO/IEC 27003 sull'implementazione di un ISMS: si è stabilito di riesaminare la norma anche in funzione delle future versioni di ISO/IEC 27001 e 27002
- ISO/IEC 27004 sulle misurazioni: si è stabilito di avviare dei lavori preliminari alla sua revisione; in particolare, si è stabilito di effettuare delle indagini preliminari sulle misurazioni necessarie per la valutazione di efficacia dei controlli e/o dell'ISMS
- ISO/IEC 27006: sono proseguiti i lavori; gli elementi di maggior interesse, per lo meno dal mio punto di vista, hanno riguardato la pubblicazione sul certificato della versione del SOA (l'Italia è stata contraria a questa opzione, e se ne discuterà ancora) e una nuova tabella per le giornate di audit necessarie per la certificazione, ricertificazione e sorveglianza di un sistema di gestione per la sicurezza delle informazioni
- ISO/IEC 27015 sui financial services dovrebbe essere pubblicata a breve
- ISO/IEC 27016 su "Organizational economics" è stata proposta per il passaggio a PDTR (equivalente allo stato di DIS)
- ISO/IEC 27017 e 27018 sul cloud computing: sono proseguiti i lavori
- ISO/IEC 27019 "Information Security within Smart Grid Environments": dovrebbe essere approvato a breve sulla base di una norma tedesca e verrà poi sottoposto ad early revision - sono partiti i lavori per un nuovo standard dal titolo "Use of ISO/IEC 27001 for Sector-Service Specific Third Party Accredited Certifications"
- sono state discusse norme e iniziative sui modelli di maturità di un ISMS, sui sistemi di gestione per la privacy e PIMS, sulla certificazione delle persone sulla sicurezza delle informazioni

PS: Ringrazio Fabio Guasconi, Presidente SC27 dell'Uninfo per la segnalazione di alcune integrazioni.

COIT, BYOD, strumenti mobili: rapporti di ENISA e FBI

Dalla newsletter del Clusit, leggo la notizia che ENISA ha pubblicato il report "Consumerization of IT: Top Risks and Opportunities".

Da questo ho imparato che la "Consumerization of IT (COIT)" o "IT aziendale guidato dal consumatore" riguarda l'uso per attività aziendali di strumenti hardware e software personali e che il BYOD (bring your own device) ne è una parte, perché riguarda solo l'uso di hardware personale. Dal BYOD sono esclusi, per esempio, gli account personali Facebook, LinkedIn o Dropbox utilizzati per raccolta o trasmissione di informazioni aziendali o per conto dell'azienda.

ENISA ha quindi elencato i rischi maggiori del COIT (riassumo):
- danneggiamento dell'immagine aziendale per uso non controllato di servizi IT
- aumento dei costi di manutenzione degli strumenti IT a causa della loro disomogeneità
- perdita degli strumenti
- potenziali cause con il personale a causa della non chiara distinzione tra dati aziendali e dati dell'utente
- perdita di riservatezza delle informazioni a causa di errori degli utenti nell'uso di applicazioni di sharing
- perdita di riservatezza delle informazioni a causa di accesso non autorizzato di malintenzionati

Per chi volesse approfondire:
- https://www.enisa.europa.eu/media/press-releases/workplace-it-enisa-sees-opportunities-and-risks-in-201cbring-your-own-device201d-trend

Su Nòva 24Ore è anche apparsa la notizia che l'FBI ha emesso delle linee guida per la protezione dei dispositivi mobili.

Trovate l'articolo del 24 Ore e un riassunto delle linee guida dell'FBI a questo indirizzo:
- http://www.ilsole24ore.com/art/tecnologie/2012-10-27/quei-virus-compagni-viaggio-172025.shtml?uuid=AbHpjSxG

La pagina web dell'FBI con la notizia dovrebbe essere questa:
- https://www.fbi.gov/sandiego/press-releases/2012/smartphone-users-should-be-aware-of-malware-targeting-mobile-devices-and-the-safety-measures-to-help-avoid-compromise