IT Service Management News
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
mercoledì 17 agosto 2022
Gli standard per la crittografia post-quantistica del NIST
Cryptography Standards":
-
https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptograp
hy-standards.html.
Interessante perché spiega bene e in poche righe i problemi di sicurezza
(ossia della crittografia) dei computer quantistici e lo stato dei lavori.
La sicurezza del software open source
open-source dal titolo "Open-Source Security: How Digital Infrastructure Is
Built on a House of Cards":
-
https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-
built-house-cards.
In sostanza, viene detto che gli utilizzatori di software open-source sono
principalmente i venditori di software, che riciclano quello open-source e
non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare
misure istituzionali in questo senso. La UE ha adottato una strategia sul
software open-source che richiede di "esplorare opportunità per servizi di
supporto dedicati per le soluzioni open-source ritenute critiche".
L'argomento è importante e quindi, ritengo, va seguito con attenzione.
martedì 9 agosto 2022
BYOD, CYOD, COPE e COBO
"Caratteristiche e differenza tra BYOD, CYOD, COPE e COBO in azienda":
-
https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-c
yod-cope-e-cobo-in-azienda/.
Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione
e tratta (seppure molto velocemente) le questioni relative alla sicurezza.
Lo trovo un utile articolo.
Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO —
What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.
La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la
frase: "Alla fine non sono importanti i termini usati, ma il loro
significato". Io aggiungerei che sono importanti anche le loro implicazioni
sulla sicurezza.
CISA: Come mitigare le minacce relative al malware
pubblicato in agosto l'avviso AA22-216A dal titolo "2021 Top Malware
Strains":
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.
Molto interessante perché segnala le misure da attuare per mitigare le
minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena
leggere tutto il documento (almeno la parte relativa alle mitigazioni,
appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication,
MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop
virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social
engineering e al phishing.
Il DoJ USA usa la carta per i documenti più critici
annunciato che dal gennaio 2021 sta archiviando i documenti critici in
formato cartaceo e non digitale. Il Deputy Assistant Attorney General for
National Security ha dichiarato, "La convenienza è una gran cosa, ma la
sicurezza sui sistemi connessi a Internet è diversa di quella per i
documenti cartacei":
- https://www.cyberscoop.com/top-justice-official-paper-only/.
Penso sia importante considerare l'opzione di evitare il rischio di attacchi
informatici passando alla carta. E' vero che si perde in efficienza, ma il
rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso
ragionamento si può riproporre per i sistemi di automazione industriale, che
non necessariamente devono essere accessibli da Internet.
venerdì 29 luglio 2022
Articolo sulla EN 17799 (certificazioni GDPR)
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.
Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.
giovedì 28 luglio 2022
Privacy: nuovo Registro delle opposizioni
Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.
Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.
Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.
Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.
martedì 26 luglio 2022
Sulle competenze (un articolo)
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.
Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".
E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.
L'articolo è interessante anche in altri punti e ne consiglio la lettura.
sabato 23 luglio 2022
Mio articolo su sicurezza e semplicità
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.
mercoledì 20 luglio 2022
ISO/IEC 27400:2022 sulla sicurezza IoT
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.
DPCM 92/2022 - Regolamento per l'accreditamento dei laboratori al CVCN
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
martedì 19 luglio 2022
Rapporti SOC 2 - un piccolo studio
Intanto mi ha aiutato la "SOC 2 User Guide" di ISACA (non la trovo più disponibile online). Da qui ho capito che:
- i rapporti SOC servono per dimostrare alle organizzazioni l'efficacia dei propri controlli operativi;
- fino al 2011, la pubblicazione di riferimento era la SAS 70 della AICPA ed era relativa ai rapporti per le organizzazioni che volevano dimostrare l'efficacia della progettazione e dell'esercizio dei controlli con impatto sui rapporti contabili;
- dal 2011 sono entrati in vigore i 3 tipi di rapporti SOC 1, SOC 2 e SOC 3 (SOC sta per Service organization control);
- i rapporti SOC 1 sono relativi ai controlli interni sui rapporti contabili (ICFR, internal control over financial reporting) e sono descritti dalla SSAE 18 e dalla ISAE 3402; in precedenza erano descritti dalla SSAE 16);
- i rapporti SOC 2 e SOC 3 sono descritti dalla SSAE AT Section 101 e servono alle organizzazioni che forniscono servizi informatici (service provider) a clienti (user entitiy) a descrivere i controlli relativi a sicurezza, disponibilità, integrità delle elaborazioni, riservatezza e privacy (questi sono i 5 principi);
- i rapporti SOC 2 descrivono i sistemi IT oggetto del rapporto, i controlli progettati e i test condotti e riportano un parere degli auditor in merito all'efficacia dei controlli; la loro distribuzione dovrebbe essere ristretta;
- i rapporti SOC 2 di tipo 1 descrivono i controlli progettati in un certo momento specifico;
- i rapporti SOC 2 di tipo 2 descrivono anche l'efficacia dei controlli in esercizio lungo un certo periodo di tempo;
- i rapporti SOC 3 riportano solo la descrizione dei sistemi IT oggetto del rapporto e il parere degli auditor in merito all'efficacia dei controlli.
I rapporti SOC 2 devono riportare le seguenti sezioni:
- Description of the service organization's system, che deve essere abbastanza approfondita per poter identificare i rischi pertinenti e far capire al cliente se i sistemi che lo riguardano sono inclusi;
- A written assertion by management of the service organization;
- Design and operating effectiveness testing results, dove sono descritti con maggiore dettaglio e valutati i controlli;
- The service auditor's expressed opinion.
A questo punto ci si può chiedere come valutare i controlli. Ossia se esiste una sorta di check list. La risposta è no, perché la check list può essere ricavata da altri documenti. ISACA, ovviamente, suggerisce di usare COBIT.
Per i servizi cloud è invece possibile usare la CCM della cloud security alliance. E' stato prodotto un rapporto di esempio:
- https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/soc2_csa_ccm_report.pdf.
E' disponibile online il rapporto SOC 3 di Dropbox, che non sembra seguire uno schema preciso:
- https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/business/trust/soc/dropbox-soc-3.pdf.
Non sono previsti corsi su questi rapporti. E' come se facessero parte della "normale" formazione degli auditor tecnici delle società di revisione contabile. Anche leggendo il rapporto di Dropbox si capisce che (come mi scrive Fabrizio Bulgarelli) "dietro a questo documento ci sta tutto il lavoro in dettaglio che non viene reso pubblico, come nelle certificazioni ISO. Ogni società di revisione, ogni team di revisione, usa un suo metodo di attestazione".
Infine sembra che i rapporti SOC possano essere emessi solo da società di revisione contabile.
Guida per le PMI per la sicurezza e la privacy - in italiano
- https://www.digitalsme.eu/cybersecurity-e-pmi-pubblicata-la-guida-europea-per-le-pmi-sui-controlli-di-sicurezza-delle-informazioni.
Ne avevo scritto quando era uscita la versione in inglese:
- http://blog.cesaregallotti.it/2022/04/guida-per-le-pmi-per-la-sicurezza-e-la.html.
Ripeto quanto scrissi. La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001. Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
martedì 12 luglio 2022
Video spiegazione su VERA 6
- https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.
Intanto ho cercato di non pubblicarlo con YouTube, ma su MyRaspTube, che fa parte del PeerTube, che a sua volta fa parte del fediverso (https://notes.nicfab.it/it/posts/mastodon/). Tutto ciò per me è nuovissimo, ma ho colto questa occasione per sperimentare un pochino. Prego di segnalarmi problemi (e poi, quando avrò un po' di tempo, potrei cercare di spostare il blog da Blogger).
Claudio Sartor mi ha segnalato che alcuni filtri di rete non permettono l'accesso a MyRaspTube. Quindi ho caricato il video sul mio sito:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2022-07-08-Vera06-ITA-Spiegazione.mp4.
giovedì 7 luglio 2022
Accessibilità anche dai privati
- https://www.agendadigitale.eu/cittadinanza-digitale/linee-guida-agid-per-laccessibilita-dei-siti-web-i-nuovi-obblighi-per-le-grandi-aziende/.
Così ho scoperto che, con il DL 76/2020, la Legge 4/2004 (Legge Stanca sull'accessibilità) è stata estesa anche le grandi imprese, e non solo la PA, "a garantire a persone con disabilità l'accessibilità dei propri servizi, erogati tramite siti web o applicazioni".
Alla pagina https://www.agid.gov.it/it/linee-guida è possibile scaricare le "Linee guida sull'accessibilità degli strumenti informatici – Per i soggetti erogatori di cui all'art 3 comma 1-bis della legge n. 4/2004". Purtroppo la pagina le riporta come "Linee guida" e basta e bisogna avere un po' di fantasia per trovarle.
Le linee guida non si applicano al solo web, ma ai documenti che sono incorporati nelle pagine web e che sono utilizzati nella rappresentazione o che sono destinati a essere rappresentati insieme alla pagina web in cui sono incorporati, alle web app, al software incorporato nelle pagine web e utilizzato nella rappresentazione o destinato alla rappresentazione insieme alla pagina web in cui è incorporato.
Mi sembra una bella iniziativa, anche se comporterà investimenti per alcune aziende. Penso che anche le altre aziende dovrebbero seguire queste linee guida, anche adottandole con minor fretta.
Ancora su Google Analytics
Il primo è di Claudio Sartor che mi ha consigliato i due video di Matteo Flora:
- Analizziamo il problema: https://youtu.be/Dz_lIYXUhFU;
- Quali soluzioni: https://youtu.be/Q981BTuaEoQ.
Non li ho guardati perché non mi trovo a mio agio a seguire i video. Preferisco la lettura (mi permette di saltare dove voglio, tornare facilmente indietro, sottolineare, copincollare per ulteriori ricerche). Però Matteo Flora è molto bravo e quindi questo può essere utile.
lunedì 4 luglio 2022
2022 CWE Top 25 Most Dangerous Software Weaknesses
- https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html.
La lettura è resa complicata perché, per leggere le raccomandazioni, è necessario accedere alla pagina di ogni vulnerabilità e poi consultare la sezione "Potential Mitigations". Per come ragiono io, avrei preferito leggere le raccomandazioni per poi approfondire, eventualmente, quali minacce contrastano. Questa iniziativa è comunque notevole.
sabato 2 luglio 2022
Vietare Google Analytics
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in modo chiaro e sintetico:
- https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il-garante-privacy-e-ora/
Segnalo anche il contributo di Pietro Calorio (un Idraulico della privacy) su LinkedIn, anch'esso chiaro e sintetico:
- https://www.linkedin.com/posts/pietrocalorio_google-analytics-e-privacy-studio-legale-ugcPost-6947462798889127938-pDJz
Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni italiane);
- https://matomo.org/ (può essere installato su propri server).
Questo articolo, dal titolo "Google Analytics vietato in Italia: ecco 5 alternative (gratis e non)", ne segnala altre:
- https://www.wired.it/article/alternative-google-analytics/.
C'è chi intanto parla di Google Analytics 4, attivi da qualche tempo e che non registrano gli indirizzi IP. Anzi, se non ho capito male, non usa proprio i cookie. Non so, a questo punto, se dal punto di vista della privacy, sia un bene, anche perché forse la soluzione prevede il trasferimento comunque di dati personali, anche se non grazie ai cookie.
Andrebbe quindi letto con prudenza questo articolo dal titolo "Google Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/.
NIST su digital forensics e OT
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.
E' molto interessante, fosse anche solo per capire alcune peculiarità di sicurezza degli ambienti OT.
mercoledì 29 giugno 2022
VERA 7 per la valutazione del rischio
- https://www.cesaregallotti.it/Pubblicazioni.html.
Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).
Questa è una versione "sperimentale", dove sono stati uniti il foglio per la valutazione delle minacce e quello per il calcolo del rischio, in modo da renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo, forse, è più semplice aggiungere e togliere minacce e controlli di sicurezza.
Al momento non prevedo di farne una versione in inglese, in attesa di essere sicuro del suo funzionamento.
I controlli del 2022 in italiano non sono nella traduzione ufficiale perché non ancora disponibile.
Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà di utilizzo.
martedì 28 giugno 2022
PEC e REM
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
lunedì 27 giugno 2022
Mancanza di esperti di sicurezza (cyber)
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.
Minacce e attacchi: operazione "Finestra sul cortile"
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.
sabato 25 giugno 2022
Rete indisponibile per Clouflare
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
martedì 21 giugno 2022
Security Risk Assessment Tool del US HHS
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
mercoledì 15 giugno 2022
Fornire segreti militari in discussioni sui giochi
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.
In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.
martedì 7 giugno 2022
Poste italiane ferme per un errore di aggiornamento ai sistemi
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.
Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.
lunedì 30 maggio 2022
Chiusa la società Insteon per lo smart home
- https://arstechnica.com/gadgets/2022/04/shameful-insteon-looks-dead-just-like-its-users-smart-homes/.
La segnalo perché questo non è l'unico caso a cui mi è capitato di assistere: una società di informatica chiude improvvisamente e i clienti rimangono senza servizi.
Quando si parla di sicurezza della "supply chain" si parla spesso di eventi di tipo digitale (DOS e dDOS, malware e ransomware, furto di informazioni), ma è necessario anche ricordare che un fornitore può sparire e lasciarci in difficoltà.
Da considerare anche nella continuità operativa.
Strategia nazionale di cybersicurezza
Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.
Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").
venerdì 20 maggio 2022
Analisi delle vulnerabilità 2021 del CISA
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").
Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.
Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.
PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.
NIST SP 800-53 sui controlli di sicurezza e privacy
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.
Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.
A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.
Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).
L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e
martedì 10 maggio 2022
Valutazione con il Framework nazionale per la cybersecurity e la data protection
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
sabato 7 maggio 2022
Le password più comuni del 2021
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli USA come spesso accade.
venerdì 6 maggio 2022
Newsletter di NCSC di metà 2022
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra affrontata al solito livello a cui mi avevano abituato.
Aggiornamento su NIST SP 800-161 sulla supply chain
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia comunque troppo prolisso.
martedì 26 aprile 2022
CNIL dichiara illegali i Google Analytics
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.
Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai servizi di intelligence degli USA.
Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa notizia.
Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics (anche se io non saprei come fare dal mio blog). Temo però che la stessa decisione possa applicarsi alle altre soluzioni Google (penso all'email e al file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più difficile cambiare. Spero di leggere interpretazioni e casi di studio interessanti.
venerdì 15 aprile 2022
Stato degli standard ISO/IEC 270xx
Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.
Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.
lunedì 11 aprile 2022
Guida per le PMI per la sicurezza e la privacy
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.
La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.
Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
venerdì 8 aprile 2022
Certificazioni GDPR: il punto della situazione
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.
Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.
mercoledì 6 aprile 2022
Analisi dei nuovi controlli della ISO/IEC 27002
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.
Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.
Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.
Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.
Pubblicazione Enisa sugli standard di valutazione del rischio
- https://www.enisa.europa.eu/publications/risk-management-standards.
Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.
Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.
Guida CERT EU sulla sicurezza
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.
Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.
PCI DSS 4.0
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).
Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.
martedì 5 aprile 2022
Rapporto Clusit 2022
https://clusit.it/rapporto-clusit/.
Sempre pieno di dati interessanti.
Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.
lunedì 4 aprile 2022
Incidente: mezzi meccanici che non funzionano senza l'IT
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.
In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.
Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".
Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).
BCI Horizon Scan Report 2022
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.
Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.
La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.
domenica 20 marzo 2022
Guida ENISA sul Data protection engineering
- https://www.enisa.europa.eu/publications/data-protection-engineering.
E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.
E' comunque una lettura utile e consigliata.
venerdì 18 marzo 2022
Libro "Rischio digitale Innovazione e Resilienza" del Clusit
- https://risk.clusit.it.
E' liberamente scaricabile.
Ho contribuito anche io e ne sono molto contento.
Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.
Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).
Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".
NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.
Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).
Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.
mercoledì 16 marzo 2022
Corso (gratuito) sulla ISO/IEC 27701
- https://www.youtube.com/watch?v=lxVLCz0o1HE.
Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la Fundación Sochisi, però mi sembra che ci sia materiale decisamente interessante.
Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po' invidioso per la chiarezza con cui i vari argomenti sono presentati.
lunedì 14 marzo 2022
VERA 7 - In lavorazione
Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio volentieri.
Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di gestione.
sabato 12 marzo 2022
NSA Network Infrastructure Security Guidance
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.
Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio avviso, usato validamente come riferimento per la configurazione della rete.
Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo altrettanto completo e rigoroso, ma orientato allo studio (come era "Building Internet Firewalls", del 2000). Però sono sicuro che un sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà, a parte il tempo da dedicarci, ovviamente.
Giovedì 17 marzo: mio breve intervento sulla ISO/IEC 27005 al Security Summit
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.
Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione "Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per eventi", alternativo a quello "per asset".
Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC 27001.
martedì 8 marzo 2022
Mio corso di introduzione alle ISO/IEC 27001 e 27002 per Digital&Law Academy
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.
E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002, la ISO/IEC 27701.
E' a pagamento (350 Euro).
sabato 5 marzo 2022
Tempi per forzare le password
- https://www.hivesystems.io/password-table.
In sostanza, è meglio avere password di almeno 11 caratteri.
Mia intervista su IusLaw Web Radio sulla ISO/IEC 27002
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.
Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.
mercoledì 2 marzo 2022
Vulnerabilità in Zabbix
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.
Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA). Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza di un prodotto (anche) di sicurezza.
Le patch sono disponibili da dicembre.
Lo segnalo per ricordare di prestare attenzione anche a queste cose.
Toyota ferma a causa di un incidente IT presso un fornitore
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.
In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma rientra sicuramente nei casi di "supply chain attack" e non nell'ambito strettamente informatico.
Sarà interessante sapere di più dell'incidente.
giovedì 24 febbraio 2022
Lista CISA di strumenti di sicurezza gratuiti
- https://www.cisa.gov/free-cybersecurity-services-and-tools.
Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più preparati di me non avranno problemi.
Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.
Ringrazio della segnalazione Flora Tozzi di DFA.
mercoledì 16 febbraio 2022
Pubblicata la ISO/IEC 27002:2022
- https://www.iso.org/standard/75652.html.
Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata, eccetera. Però penso che questa edizione sia notevolmente interessante e degna di essere letta.
lunedì 14 febbraio 2022
Pubblicato "Sicurezza delle informazioni - Edizione 2022" in italiano e in inglese
Finalmente sono riuscito a publicare la nuova edizione di "Sicurezza delle
informazioni", aggiornata con i controlli della ISO/IEC 27002:2022 e non
solo (anzi... spero di non essere smentito in futuro sulle date di pubblicazione delle ISO/IEC 27001 e 27002, perché se no dovrò correggere!).
Ho colto l'occasione per inserire ulteriori aggiornamenti sulle tecnologie
(citando IoT, OT, intelligenza artificiale, eccetera), sulle minacce e gli
accreditamenti. Inoltre, Stefano Ramacciotti ha aggiornato l'appendice sui
Common Criteria e sulle FIPS 140.
Per questa edizione ho avuto un revisore d'eccezione: Monica Perego. Ma non sempre ho seguito i suoi suggerimenti e quindi eventuali errori sono miei.
La pagina di presentazione dell'edizione in italiano (consigliata, perché è
l'originale, mentre l'inglese è una traduzione):
- http://blog.cesaregallotti.it/p/blog-page.html.
La pagina di presentazione dell'edizione in inglese:
- https://blog.cesaregallotti.it/p/blog-page_20.html.
Attenzione che la copertina è quella con i Giganti della Sila (alberi). Non comprate, quindi, l'edizione con il Perito Moreno (ghiacciaio).