La notizia viene dal SANS NewsBites, che segnala un articolo dal titolo
"Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth
Apps":
-
https://www.darkreading.com/application-security/cyberattackers-compromise-microsoft-exchange-servers-malicious-oauth-apps.
Ancora una volta, per proteggersi bisogna: attivare il multi-factor
authentication almeno per gli utenti privilegiati, politiche di controllo
accesso condizionale (che la ISO/IEC 27001 chiama "gestione dinamica degli
accessi"). Sono raccomandate altre pratiche come l'autenticazione anche del
dispositivo, la limitazione temporale delle sessioni, l'attivazione di
allarmi in caso di tentativi di accesso falliti.
Sono cose note e stranote a chi si occupa di sicurezza, ma spesso non
applicate.
mercoledì 28 settembre 2022
sabato 24 settembre 2022
Decreto trasparenza e privacy - Cirolare 19 del Ministero del lavoro
Del Decreto trasparenza e privacy scrissi a suo tempo:
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
giovedì 15 settembre 2022
7 ottobre a Mestre: mio intervento per ISACA Venice
Il 7 ottobre mi hanno invitato a tenere un intervento per ISACA Venice. Ne
sono molto onorato:
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
20 settembre 2022 a Faenza: convegno sul business continuity
Non sono solito segnalare eventi, ma questo è organizzato da Stefano
Ramacciotti, del quale ho molta stima (e infatti ha contribuito anche alla
scrittura del mio libro).
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
lunedì 5 settembre 2022
Libro di Paul C. van Oorschot. Computer Security and the Internet
In un'estate per me avara di letture interessanti, ho avuto l'occasione di
leggere il libro di Paul C. van Oorschot dal titolo "Computer Security and
the Internet: Tools and Jewels from Malware to Bitcoin (Second Edition)". Il
libro si trova gratuitamente sul sito dell'autore:
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
mercoledì 24 agosto 2022
Humour da scienziato
Stefano Ramacciotti mi ha segnalato questo articolo dal titolo
"L'esperimento sociale dello scienziato che ha spacciato una fetta di salame
per la stella Proxima Centauri". Non c'entra niente con le materie di cui tratto, però è divertente:
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.
Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.
Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.
martedì 23 agosto 2022
Decreto trasparenza e privacy
E' entrato in vigore il D.Lgs. 104 del 2022 detto "Decreto Trasparenza".
Esso chiede ai datori di lavoro di comunicare a ciascun lavoratore in modo
chiaro e trasparente (appunto!) informazioni relative al rapporto o al
contratto di lavoro e propone alcuni punti importanti relativi alla
sicurezza delle informazioni, la privacy e la qualità.
Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.
Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).
Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".
Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.
Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".
Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.
Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.
Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).
Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".
Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.
Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".
Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.
domenica 21 agosto 2022
Linee guida di design per i siti internet e i servizi digitali della PA
Franco Vincenzo Ferrari mi ha segnalato la pubblicazione delle "Linee guida
di design per i siti internet e i servizi digitali della PA". La notizia è
qui:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.
Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).
Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.
Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.
Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).
Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.
Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.
sabato 20 agosto 2022
La conformità non è un approccio efficace (secondo alcuni)
Il SANS NewsBites del 19 agosto riporta una notizia con il titolo
"Compliance is Not an Effective Approach to Cybersecurity". Questa riprende
un articolo dal titolo "The Defense Department's current "checklist"
approach can't keep its networks safe":
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.
Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.
Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.
E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.
Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.
Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.
Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.
E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.
Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.
mercoledì 17 agosto 2022
Gli standard per la crittografia post-quantistica del NIST
Segnalo questo articolo di Bruce Schneier dal titolo "NIST's Post-Quantum
Cryptography Standards":
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.
Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.
Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.
La sicurezza del software open source
Bruce Schenier ha segnalato un'analisi sulla (scarsa) sicurezza del software
open-source dal titolo "Open-Source Security: How Digital Infrastructure Is
Built on a House of Cards":
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.
In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".
L'argomento è importante e quindi, ritengo, va seguito con attenzione.
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.
In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".
L'argomento è importante e quindi, ritengo, va seguito con attenzione.
martedì 9 agosto 2022
BYOD, CYOD, COPE e COBO
Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo"Caratteristiche e differenza tra BYOD, CYOD, COPE e COBO in azienda":
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.
Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.
Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.
La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.
Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.
Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.
La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.
CISA: Come mitigare le minacce relative al malware
Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha
pubblicato in agosto l'avviso AA22-216A dal titolo "2021 Top Malware
Strains":
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.
Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.
Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.
Il DoJ USA usa la carta per i documenti più critici
Dal SANS NewsBites del 5 agosto 2022: Il US Department of Justice ha
annunciato che dal gennaio 2021 sta archiviando i documenti critici in
formato cartaceo e non digitale. Il Deputy Assistant Attorney General for
National Security ha dichiarato, "La convenienza è una gran cosa, ma la
sicurezza sui sistemi connessi a Internet è diversa di quella per i
documenti cartacei":
- https://www.cyberscoop.com/top-justice-official-paper-only/.
Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibli da Internet.
- https://www.cyberscoop.com/top-justice-official-paper-only/.
Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibli da Internet.
venerdì 29 luglio 2022
Articolo sulla EN 17799 (certificazioni GDPR)
Segnalo questo articolo di Fabio Guasconi dal titolo "Certificazioni GDPR,
entra in gioco l'ente di normazione europeo: ecco perché è una svolta":
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.
Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.
Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.
giovedì 28 luglio 2022
Privacy: nuovo Registro delle opposizioni
Grazie a Silvestro Marascio di DFA ho i riferimenti al DPR che, dal 27
luglio 2022, estende il Registro delle opposizioni a cellulare e posta
cartacea. Prima il Registro serviva solo per il telefono fisso.
Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.
Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.
Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.
Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.
Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.
Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.
Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.
Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.
martedì 26 luglio 2022
Sulle competenze (un articolo)
Avevo scritto in merito alla carenza di esperti di sicurezza
(http://blog.cesaregallotti.it/2022/06/mancanza-di-esperti-di-sicurezza-cyber.html). A questo proposito, Toto Zammataro di AlixPartners mi ha segnalato questo articolo:
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.
Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".
E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.
L'articolo è interessante anche in altri punti e ne consiglio la lettura.
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.
Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".
E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.
L'articolo è interessante anche in altri punti e ne consiglio la lettura.
sabato 23 luglio 2022
Mio articolo su sicurezza e semplicità
E' stato pubblicato su Key4biz un mio brevissimo articolo dal titolo
"Cybersecurity, cos'è il principio 'KISS': sicurezza e principio di
semplicità":
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.
mercoledì 20 luglio 2022
ISO/IEC 27400:2022 sulla sicurezza IoT
Monica Perego mi ha segnalato la pubblicazione della ISO/IEC 27400:2022 dal
titolo "Cybersecurity - IoT security and privacy - Guidelines":
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.
DPCM 92/2022 - Regolamento per l'accreditamento dei laboratori al CVCN
Glauco Rampogna mi ha segnalato l'uscita in Gazzetta del DPCM 92/2022, ossia
del Regolamento per l'accreditamento dei laboratori di prova al CVCN:
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
Iscriviti a:
Post (Atom)