Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei
prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
-
https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.
Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT
per il cyber security act e per il NIS. E mi risulta anche oscura
l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).
venerdì 25 novembre 2022
Digital resignation
Segnalo questo interessante articolo dal titolo "Digital resignation: Non
dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a
prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
venerdì 18 novembre 2022
Convegno Accredia sulle certificazioni di cybersecurity
Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:
- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.
Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le
riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango
perplesso sulla spinta a sviluppare schemi nazionali di certificazione).
Guide per lo sviluppo sicuro di NSA
Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo
sviluppo sicuro.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
mercoledì 16 novembre 2022
"Data Breach Investigations Report" di Verizon
Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di
Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
mercoledì 9 novembre 2022
Digital service act (DSA) -- un articolo
Del DSA già ne parlai in altro post
(http://blog.cesaregallotti.it/2022/10/digital-service-act-dsa.html). Segnalo questo articolo che ne approfondisce alcuni aspetti:
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
lunedì 7 novembre 2022
ISO survey 2021
E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
Nuova ISO/IEC 27001: l'articolo definitivo
Con molta umiltà, segnalo l'articolo scritto da me e Fabio Guasconi dal
titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa
cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
giovedì 3 novembre 2022
Pubblicato il rapporto semestrale di NCSC
Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale
per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS
Dal SANS Newsbites apprendo che CISA FBI MS-ISAC hanno pubblicato la guida
"Understanding and Responding to Distributed Denial-of-Service Attacks":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.
Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".
Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.
Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".
Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.
martedì 1 novembre 2022
Presentazione sulla nuova ISO/IEC 27005:2022
Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova
ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".
Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.
Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".
Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.
Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.
lunedì 31 ottobre 2022
I cambiamenti della ISO/IEC 27001:2022
Glauco Rampogna (grazie!) mi ha segnalato questa presentazione dove sono
indicate le differenze tra la ISO/IEC 27001:2013 e la ISO/IEC 27001:2022:
- https://www.linkedin.com/posts/andreyprozorov_new-iso-270012022-activity-6990611587405369344-2ncm.
Il testo precedente e quello nuovo sono messi a confronto e si capiscono bene le differenze.
Sulle conclusioni ho invece molte perplessità: a parte i punti 1 e 2, che sono fuori discussione, gli altri punti richiamano procedure o strumenti non necessari e non le registrazioni, che invece sono necessarie (riesame di direzione, obiettivi, eccetera).
- https://www.linkedin.com/posts/andreyprozorov_new-iso-270012022-activity-6990611587405369344-2ncm.
Il testo precedente e quello nuovo sono messi a confronto e si capiscono bene le differenze.
Sulle conclusioni ho invece molte perplessità: a parte i punti 1 e 2, che sono fuori discussione, gli altri punti richiamano procedure o strumenti non necessari e non le registrazioni, che invece sono necessarie (riesame di direzione, obiettivi, eccetera).
Digital service act (DSA)
Chiara Ponti, Idraulica della privacy, mi ha segnalato la pubblicazione del
Regolamento europeo 2022/2065, noto come Digital service act (DSA):
- http://data.europa.eu/eli/reg/2022/2065/oj.
Esso modifica, tra gli altri, la Direttiva e-commerce (2000/31/CE, recepita in Italia con il D.Lgs. 70 del 2003).
Chiara Ponti mi ha dato i suoi appunti sugli aspetti che lei ritiene più importanti. Spero di non sbagliare e li diffondo:
- nuovi obblighi di trasparenza per la pubblicità mirata basata su profilazione degli utenti;
- introduzione di misure mirate alla tutela di minori e soggetti fragili (il tragico caso inglese Molly Russel - 14enne suicida a seguito di abbuffata di post negativi autolesionisti ecc, ha fatto purtroppo scuola);
- divieto di utilizzare tecniche ingannevoli per manipolare o influenzare le scelte degli utenti (c.d. dark pattern);
- obbligo di rapida rimozione di contenuti illeciti;
- obbligo per gli e-commerce e i marketplace di assicurare agli utenti l'acquisto di prodotti o servizi sicuri, verificando l'identità dei commercianti e l'affidabilità delle informazioni fornite;
- introduzione della figura del "responsabile della conformità" ("compliance officer": era ora!), un soggetto nominato dai fornitori di servizi online che avrà il compito di monitorare l'osservanza del Regolamento.
Grazie Chiara!
PS: entrerà in vigore il 17 febbraio 2024 (grazie a Davide Foresti per quest'ultima informazione).
- http://data.europa.eu/eli/reg/2022/2065/oj.
Esso modifica, tra gli altri, la Direttiva e-commerce (2000/31/CE, recepita in Italia con il D.Lgs. 70 del 2003).
Chiara Ponti mi ha dato i suoi appunti sugli aspetti che lei ritiene più importanti. Spero di non sbagliare e li diffondo:
- nuovi obblighi di trasparenza per la pubblicità mirata basata su profilazione degli utenti;
- introduzione di misure mirate alla tutela di minori e soggetti fragili (il tragico caso inglese Molly Russel - 14enne suicida a seguito di abbuffata di post negativi autolesionisti ecc, ha fatto purtroppo scuola);
- divieto di utilizzare tecniche ingannevoli per manipolare o influenzare le scelte degli utenti (c.d. dark pattern);
- obbligo di rapida rimozione di contenuti illeciti;
- obbligo per gli e-commerce e i marketplace di assicurare agli utenti l'acquisto di prodotti o servizi sicuri, verificando l'identità dei commercianti e l'affidabilità delle informazioni fornite;
- introduzione della figura del "responsabile della conformità" ("compliance officer": era ora!), un soggetto nominato dai fornitori di servizi online che avrà il compito di monitorare l'osservanza del Regolamento.
Grazie Chiara!
PS: entrerà in vigore il 17 febbraio 2024 (grazie a Davide Foresti per quest'ultima informazione).
Data governance act (DGA)
A giugno 2022, in Gazzetta europea è stato pubblicato il Data governance act
(Regolamento UE 2022/868). Segnalo quindi il comunicato stmpa del Consiglio
dell'UE:
- https://www.consilium.europa.eu/it/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/.
La notizia me l'ha data Chiara Ponti, Idraulica della privacy che ringrazio. Chiara ha scritto a sua volta un articolo interessante:
- https://www.zerounoweb.it/cio-innovation/open-innovation/data-governance-act-che-cose-e-quali-novita-introduce/.
In sostanza, il DGA riguarda il trasferimento di dati "che potrebbero essere protetti dalla legislazione in materia di protezione dei dati, dalla proprietà intellettuale oppure contenere segreti commerciali o altre informazioni commerciali sensibili". Si tratta di regole per:
- la condivisione di dati detenuti da enti pubblici (e che devono garantire opportune misure di sicurezza);
- la condivisione di dati tra imprese e singoli (attraverso servizi di intermediazione che a loro volto devono rispettare specifiche regole);
- messa a disposizione di dati per il bene comune (altruismo dei dati per il bene comune; le organizzazioni che li usano devono rispettare specifici codici di condotta).
Sono previsti meccanismi di certificazione per i fornitori di servizi di intermediazione e le organizzazioni per l'altruismo dei dati.
A dirla tutta, non ho capito esattamente i casi d'uso di questo regolamento, ma ho fiducia che, prima o poi, ce la farò.
- https://www.consilium.europa.eu/it/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/.
La notizia me l'ha data Chiara Ponti, Idraulica della privacy che ringrazio. Chiara ha scritto a sua volta un articolo interessante:
- https://www.zerounoweb.it/cio-innovation/open-innovation/data-governance-act-che-cose-e-quali-novita-introduce/.
In sostanza, il DGA riguarda il trasferimento di dati "che potrebbero essere protetti dalla legislazione in materia di protezione dei dati, dalla proprietà intellettuale oppure contenere segreti commerciali o altre informazioni commerciali sensibili". Si tratta di regole per:
- la condivisione di dati detenuti da enti pubblici (e che devono garantire opportune misure di sicurezza);
- la condivisione di dati tra imprese e singoli (attraverso servizi di intermediazione che a loro volto devono rispettare specifiche regole);
- messa a disposizione di dati per il bene comune (altruismo dei dati per il bene comune; le organizzazioni che li usano devono rispettare specifici codici di condotta).
Sono previsti meccanismi di certificazione per i fornitori di servizi di intermediazione e le organizzazioni per l'altruismo dei dati.
A dirla tutta, non ho capito esattamente i casi d'uso di questo regolamento, ma ho fiducia che, prima o poi, ce la farò.
mercoledì 26 ottobre 2022
Servizi online, necessario l'https
Il Garante ha sanzionato un'azienda perché usava il protocollo http e non
https (per cifrare le trasmissioni) per l'accesso all'area riservata, usata
per visualizzare lo storico delle bollette di un fornitore di servizi idrici:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9817058.
Anche il mio sito, con solo pagine statiche, usa https!
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9817058.
Anche il mio sito, con solo pagine statiche, usa https!
Raccomandazioni del CISA per la sicurezza di Microsoft 365
Dal SANS Newsbyte segnalo che il CISA ha pubblicato la bozza delle "M365
Minimum Viable Secure Configuration Baseline":
- https://www.cisa.gov/scuba.
La guida è per Microsoft Defender for Office 365, Microsoft Azure Active Directory, Microsoft Exchange Online, OneDrive for Business, Power BI, Power Platform, SharePoint Online, Teams.
- https://www.cisa.gov/scuba.
La guida è per Microsoft Defender for Office 365, Microsoft Azure Active Directory, Microsoft Exchange Online, OneDrive for Business, Power BI, Power Platform, SharePoint Online, Teams.
martedì 25 ottobre 2022
Pubblicata la ISO/IEC 27005:2022 sulla gestione del rischio
La ISO/IEC 27005:2022 è stata pubblicata:
- https://www.iso.org/standard/80585.html.
Questa norma tratta della gestione del rischio relativo la sicurezza delle informazioni.
Essa è stata cambiata in modo significativo per uscire dall'unico approccio basato su asset e relative minacce e vulnerabilità, oggi difficile da seguire e che non sempre fornisce risultati utili. E' stato affiancato da un approccio basato su "eventi" (in sostanza la stessa cosa, ma viene meno lo stretto collegamento con gli asset, anche se ovviamente gli eventi vanno identificati e valutati considerando quanto "c'è in casa").
Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta di una norma "di transizione". Il suo valore, a mio parere, è soprattutto quello di superare un approccio, peraltro non condiviso da altre discipline (che io raccomando sempre di analizzare con interesse).
- https://www.iso.org/standard/80585.html.
Questa norma tratta della gestione del rischio relativo la sicurezza delle informazioni.
Essa è stata cambiata in modo significativo per uscire dall'unico approccio basato su asset e relative minacce e vulnerabilità, oggi difficile da seguire e che non sempre fornisce risultati utili. E' stato affiancato da un approccio basato su "eventi" (in sostanza la stessa cosa, ma viene meno lo stretto collegamento con gli asset, anche se ovviamente gli eventi vanno identificati e valutati considerando quanto "c'è in casa").
Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta di una norma "di transizione". Il suo valore, a mio parere, è soprattutto quello di superare un approccio, peraltro non condiviso da altre discipline (che io raccomando sempre di analizzare con interesse).
Pubblicata la ISO/IEC 27001:2022
Giovanni Sadun oggi mi ha dato la notizia per primo. La ISO/IEC 27001:2022 è
stata pubblicata:
- https://www.iso.org/standard/82875.html.
Ricordo che il cambiamento è all'Annex A, che adesso fa riferimento ai controlli della ISO/IEC 27002:2022 di cui scrissi tempo fa (ma sbagliai indicando che sarebbe stata pubblicata nel 2021):
https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.
Altri cambiamenti riguardano l'integrazione delle correzioni del 2014 e 2015, il cui significato più importante è che non è necessario redigere la Dichiarazione di applicabilità (Statement of applicability) sulla base dei controlli nell'Appendice A, ma può seguire altri insiemi, purché altrettanto esaustivi dell'Appendice A.
Tempi di transizione: tutti i certificati devono essere convertiti entro il 31 ottobre 2025.
- https://www.iso.org/standard/82875.html.
Ricordo che il cambiamento è all'Annex A, che adesso fa riferimento ai controlli della ISO/IEC 27002:2022 di cui scrissi tempo fa (ma sbagliai indicando che sarebbe stata pubblicata nel 2021):
https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.
Altri cambiamenti riguardano l'integrazione delle correzioni del 2014 e 2015, il cui significato più importante è che non è necessario redigere la Dichiarazione di applicabilità (Statement of applicability) sulla base dei controlli nell'Appendice A, ma può seguire altri insiemi, purché altrettanto esaustivi dell'Appendice A.
Tempi di transizione: tutti i certificati devono essere convertiti entro il 31 ottobre 2025.
giovedì 13 ottobre 2022
Privacy: Approvato il primo schema di certificazione europeo
Cado dalla sedia perché EDPB ha approvato il primo schema di certificazione
(o, meglio, di sigillo europeo):
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en.
Il sito di Europrivacy è questo:
https://europrivacy.com/.
Confermo però la mia idea che uno schema così importante dovrebbe essere gestito da entità "pubbliche" e non da entità private, per quanto competenti e corrette. E così pure le specifiche dovrebbero essere oggetto di standardizzazione almeno europea.
Comunque è importante osservare che l'iniziativa ha avuto fin qui successo e dovrà essere presa come punto di riferimento.
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en.
Il sito di Europrivacy è questo:
https://europrivacy.com/.
Confermo però la mia idea che uno schema così importante dovrebbe essere gestito da entità "pubbliche" e non da entità private, per quanto competenti e corrette. E così pure le specifiche dovrebbero essere oggetto di standardizzazione almeno europea.
Comunque è importante osservare che l'iniziativa ha avuto fin qui successo e dovrà essere presa come punto di riferimento.
mercoledì 12 ottobre 2022
Tool di attacco e difesa (e di controllo delle autorizzazioni su Active Directory)
Dal SANS NewsBites del 11 ottobre, leggo la notizia "US HHS HC3 Presentation
on Risks Posed by Legitimate Security Tools". Essa rimanda alla notizia su
SC Magazine:
- https://www.scmagazine.com/analysis/risk-management/ongoing-abuse-of-legitimate-security-tools-pose-threat-to-healthcare-hc3-warns.
Si tratta di un elenco di strumenti che possono essere usati per aumentare il livello di sicurezza dei sistemi e della rete, ma anche per attaccarli. La lettura è piuttosto tecnica.
Mi sono incuriosito soprattutto ai tool per il controllo delle autorizzazioni su Active Directory (in particolare AccessEnum dei Sysinternals), attività sempre difficile da fare. Per questo ho trovato interessante l'articolo "Top 11 NTFS Permissions Tools for Smarter Administration" (sul sito web di uno dei tool raccomandati):
- https://blog.netwrix.com/2021/01/13/ntfs-permissions-tools/.
- https://www.scmagazine.com/analysis/risk-management/ongoing-abuse-of-legitimate-security-tools-pose-threat-to-healthcare-hc3-warns.
Si tratta di un elenco di strumenti che possono essere usati per aumentare il livello di sicurezza dei sistemi e della rete, ma anche per attaccarli. La lettura è piuttosto tecnica.
Mi sono incuriosito soprattutto ai tool per il controllo delle autorizzazioni su Active Directory (in particolare AccessEnum dei Sysinternals), attività sempre difficile da fare. Per questo ho trovato interessante l'articolo "Top 11 NTFS Permissions Tools for Smarter Administration" (sul sito web di uno dei tool raccomandati):
- https://blog.netwrix.com/2021/01/13/ntfs-permissions-tools/.
martedì 11 ottobre 2022
Come valutare un SOC
Ringrazio Luca Moroni di Via Virtuosa perché mi ha segnalato i webinar, in
italiano, dei Cyber security angels.
Li ho ascoltati (non tutti, ovviamente) e segnalo in particolare quello intitolato "SoC QoS Ovvero elementi valutativi per un Security Operations Center":
- https://www.youtube.com/watch?v=ECB7lX6P49Q.
Mi sembra molto utile per capire come dovrebbe funzionare un SOC e anche perché i KPI, in sicurezza, vanno trattati con molta cautela.
Li ho ascoltati (non tutti, ovviamente) e segnalo in particolare quello intitolato "SoC QoS Ovvero elementi valutativi per un Security Operations Center":
- https://www.youtube.com/watch?v=ECB7lX6P49Q.
Mi sembra molto utile per capire come dovrebbe funzionare un SOC e anche perché i KPI, in sicurezza, vanno trattati con molta cautela.
Stato degli standard ISO/IEC 270xx
Il 4 e 5 ottobre 2022 si è tenuto il meeting semestrale del ISO/IEC JTC 1 SC
27 WG 1, il gruppo che si occupa della standardizzazione relativa ai sistemi
di gestione per la sicurezza delle informazioni (ossia le norme della
famiglia ISO/IEC 27000). Ecco lo stato di alcuni progetti che io ritengo
interessanti:
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle informazioni: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il pregio di superare l'impostazione basata sul censimento degli asset, a mio parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la pubblicazione della nuova edizione per primavera 2023; non ha grandi novità, ma è stata aggiornata per poter mettere ordine anche nelle regole di accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017 (con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il settore dell'energia); sono in fase di aggiornamento per essere allineate alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011 nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.
Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27701: rimane in stato di CD (quindi con pubblicazione non prima di metà del 2024); gran parte della discussione, come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata a breve; non penso sia una norma importante, ma ho imparato molto partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in sostanza, per evitare una revisione completa, ma non ne raccomanderei l'acquisto perché si tratta di cose anche interessanti, ma la verità è che la norma dovrebbe essere completamente aggiornata considerando l'esperienza maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i fornitori di servizi cloud, importante perché richiesti da alcuni bandi di gara italiani: avviato un gruppo per proporre un adeguamento considerando la nuova ISO/IEC 27001.
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle informazioni: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il pregio di superare l'impostazione basata sul censimento degli asset, a mio parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la pubblicazione della nuova edizione per primavera 2023; non ha grandi novità, ma è stata aggiornata per poter mettere ordine anche nelle regole di accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017 (con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il settore dell'energia); sono in fase di aggiornamento per essere allineate alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011 nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.
Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27701: rimane in stato di CD (quindi con pubblicazione non prima di metà del 2024); gran parte della discussione, come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata a breve; non penso sia una norma importante, ma ho imparato molto partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in sostanza, per evitare una revisione completa, ma non ne raccomanderei l'acquisto perché si tratta di cose anche interessanti, ma la verità è che la norma dovrebbe essere completamente aggiornata considerando l'esperienza maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i fornitori di servizi cloud, importante perché richiesti da alcuni bandi di gara italiani: avviato un gruppo per proporre un adeguamento considerando la nuova ISO/IEC 27001.
Transizione alla ISO/IEC 27001:2022
La ISO/IEC 27001:2022 non è ancora pubblicata, ma sono disponibili i
requisiti di IAF per la transizione:
- https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf
Segnalo che è stato recepito l'approccio dell'SC 27 per cui l'Annex A della ISO/IEC 27001 non è di requisiti. Pertanto è detto che "The impact of the changes in ISO/IEC 27001:2022 is limited".
La guida chiede di completare la transizione dei certificati entro 3 anni dall'uscita della ISO/IEC 27001.
- https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf
Segnalo che è stato recepito l'approccio dell'SC 27 per cui l'Annex A della ISO/IEC 27001 non è di requisiti. Pertanto è detto che "The impact of the changes in ISO/IEC 27001:2022 is limited".
La guida chiede di completare la transizione dei certificati entro 3 anni dall'uscita della ISO/IEC 27001.
Sito dell'ISO/IEC JTC 1 SC 27
Segnalo il sito dell'ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa
di scrivere le norme di sicurezza delle informazioni e la privacy, tra cui
ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, i Common criteria:
- https://committee.iso.org/home/jtc1sc27.
Alcune cose non sono recentissime, ma sono comunque interessanti. Segnalo in particolare il SC 27 Journal, il Volume 2, Issue 2 di luglio 2022, dedicato alla ISO/IEC 27002:2022. In esso c'è un interessantissimo articolo sulla storia di questa norma.
- https://committee.iso.org/home/jtc1sc27.
Alcune cose non sono recentissime, ma sono comunque interessanti. Segnalo in particolare il SC 27 Journal, il Volume 2, Issue 2 di luglio 2022, dedicato alla ISO/IEC 27002:2022. In esso c'è un interessantissimo articolo sulla storia di questa norma.
Privacy: Aggiornamento sull'accordo USA-UE per il trasferimento dei dati personali
E' noto che USA e UE si stanno muovendo per arrivare a un nuovo accordo per
il trasferimento dei dati personali. Insomma, un Safe Harbour 3.0 o un
Privacy Shield 2.0.
Non è ancora stato definito completamente, ma si stanno facendo passi avanti.
Per capire meglio, penso che la newsletter di IN Avvocati sia ottimamente sintetica ed esaustiva:
https://www.linkedin.com/comm/pulse/40-arriva-un-nuovo-accordo-usa-ue-sui-dati-parte-speciale-
Non è ancora stato definito completamente, ma si stanno facendo passi avanti.
Per capire meglio, penso che la newsletter di IN Avvocati sia ottimamente sintetica ed esaustiva:
https://www.linkedin.com/comm/pulse/40-arriva-un-nuovo-accordo-usa-ue-sui-dati-parte-speciale-
domenica 9 ottobre 2022
Mio articolo sulle competenze in ambito di sicurezza informatica
Ho scritto un articolo dal titolo "La cybersecurity e la ricerca delle
competenze nel 2022". Si può leggere seguendo il link da questa pagina di
lancio:
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.
Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.
Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).
sabato 8 ottobre 2022
Mia presentazione "Spunti per lo sviluppo sicuro del software"
Il 7 ottobre 2022, alla "AppSec and Cybersecurity Governance 2022"
organizzata da ISACA Venice Chapter, OWASP Italia e Ca' Foscari University a
Mestre, ho avuto l'opportunità di presentare alcune riflessioni su cosa non
funziona nello sviluppo sicuro del software:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/20220-10-07-Slides-ISACA-Venice.pdf.
L'iniziativa è stata molto bella e ringrazio in particolare Alberto Elia Martin di ISACA Venice per avermi invitato (il programma della giornata è disponibile su https://sites.google.com/owasp.org/assg2022/) e i tanti colleghi che ho avuto modo di incontrare nuovamente o di conoscere di persona.
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/20220-10-07-Slides-ISACA-Venice.pdf.
L'iniziativa è stata molto bella e ringrazio in particolare Alberto Elia Martin di ISACA Venice per avermi invitato (il programma della giornata è disponibile su https://sites.google.com/owasp.org/assg2022/) e i tanti colleghi che ho avuto modo di incontrare nuovamente o di conoscere di persona.
giovedì 6 ottobre 2022
Cyber o ciber? e non solo
Pierfrancesco Maistrello mi ha segnalato questo articolo sul sito
dell'Accademia della crusca dal titolo "La cibersicurezza è importante.
L'italiano pure":
- https://accademiadellacrusca.it/it/contenuti/gruppo-incipit-comunicato-n-16-la-cibersicurezza--importante-litaliano-pure/15345.
Richiama alcune mie riflessioni sull'uso incontrollato del termine ciber.
Pierfrancesco mi dice che l'ha trovato citato durante un convegno con il Garante privacy e l'Ispettorato nazionale del lavoro. Lo segnalo per completezza, ma ormai è passato:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9809806.
- https://accademiadellacrusca.it/it/contenuti/gruppo-incipit-comunicato-n-16-la-cibersicurezza--importante-litaliano-pure/15345.
Richiama alcune mie riflessioni sull'uso incontrollato del termine ciber.
Pierfrancesco mi dice che l'ha trovato citato durante un convegno con il Garante privacy e l'Ispettorato nazionale del lavoro. Lo segnalo per completezza, ma ormai è passato:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9809806.
Zero trust architecture
Da un po' si sente parlare di Zero trust architecture o ZTA. Glauco Rampogna
mi scrive "Una nuova buzzword è "Zero Trust"; in 2 soldini "non fidarti del
device solo per il solo fatto di averlo nella tua rete". Per questo mi
segnala la pagina del NCCOE, che sta producendo alcune guide:
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.
Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.
In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.
Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.
Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.
Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.
In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.
Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.
Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.
mercoledì 28 settembre 2022
Compromissione di server con applicazioni OAuth
La notizia viene dal SANS NewsBites, che segnala un articolo dal titolo
"Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth
Apps":
- https://www.darkreading.com/application-security/cyberattackers-compromise-microsoft-exchange-servers-malicious-oauth-apps.
Ancora una volta, per proteggersi bisogna: attivare il multi-factor authentication almeno per gli utenti privilegiati, politiche di controllo accesso condizionale (che la ISO/IEC 27001 chiama "gestione dinamica degli accessi"). Sono raccomandate altre pratiche come l'autenticazione anche del dispositivo, la limitazione temporale delle sessioni, l'attivazione di allarmi in caso di tentativi di accesso falliti.
Sono cose note e stranote a chi si occupa di sicurezza, ma spesso non applicate.
- https://www.darkreading.com/application-security/cyberattackers-compromise-microsoft-exchange-servers-malicious-oauth-apps.
Ancora una volta, per proteggersi bisogna: attivare il multi-factor authentication almeno per gli utenti privilegiati, politiche di controllo accesso condizionale (che la ISO/IEC 27001 chiama "gestione dinamica degli accessi"). Sono raccomandate altre pratiche come l'autenticazione anche del dispositivo, la limitazione temporale delle sessioni, l'attivazione di allarmi in caso di tentativi di accesso falliti.
Sono cose note e stranote a chi si occupa di sicurezza, ma spesso non applicate.
sabato 24 settembre 2022
Decreto trasparenza e privacy - Cirolare 19 del Ministero del lavoro
Del Decreto trasparenza e privacy scrissi a suo tempo:
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
giovedì 15 settembre 2022
7 ottobre a Mestre: mio intervento per ISACA Venice
Il 7 ottobre mi hanno invitato a tenere un intervento per ISACA Venice. Ne
sono molto onorato:
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.
Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.
20 settembre 2022 a Faenza: convegno sul business continuity
Non sono solito segnalare eventi, ma questo è organizzato da Stefano
Ramacciotti, del quale ho molta stima (e infatti ha contribuito anche alla
scrittura del mio libro).
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.
lunedì 5 settembre 2022
Libro di Paul C. van Oorschot. Computer Security and the Internet
In un'estate per me avara di letture interessanti, ho avuto l'occasione di
leggere il libro di Paul C. van Oorschot dal titolo "Computer Security and
the Internet: Tools and Jewels from Malware to Bitcoin (Second Edition)". Il
libro si trova gratuitamente sul sito dell'autore:
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.
Il libro è stato segnalato dalla newsletter Crypto-Gram.
Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.
Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.
mercoledì 24 agosto 2022
Humour da scienziato
Stefano Ramacciotti mi ha segnalato questo articolo dal titolo
"L'esperimento sociale dello scienziato che ha spacciato una fetta di salame
per la stella Proxima Centauri". Non c'entra niente con le materie di cui tratto, però è divertente:
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.
Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.
Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.
martedì 23 agosto 2022
Decreto trasparenza e privacy
E' entrato in vigore il D.Lgs. 104 del 2022 detto "Decreto Trasparenza".
Esso chiede ai datori di lavoro di comunicare a ciascun lavoratore in modo
chiaro e trasparente (appunto!) informazioni relative al rapporto o al
contratto di lavoro e propone alcuni punti importanti relativi alla
sicurezza delle informazioni, la privacy e la qualità.
Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.
Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).
Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".
Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.
Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".
Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.
Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.
Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).
Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".
Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.
Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".
Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.
domenica 21 agosto 2022
Linee guida di design per i siti internet e i servizi digitali della PA
Franco Vincenzo Ferrari mi ha segnalato la pubblicazione delle "Linee guida
di design per i siti internet e i servizi digitali della PA". La notizia è
qui:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.
Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).
Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.
Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.
Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).
Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.
Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.
sabato 20 agosto 2022
La conformità non è un approccio efficace (secondo alcuni)
Il SANS NewsBites del 19 agosto riporta una notizia con il titolo
"Compliance is Not an Effective Approach to Cybersecurity". Questa riprende
un articolo dal titolo "The Defense Department's current "checklist"
approach can't keep its networks safe":
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.
Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.
Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.
E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.
Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.
Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.
Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.
E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.
Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.
mercoledì 17 agosto 2022
Gli standard per la crittografia post-quantistica del NIST
Segnalo questo articolo di Bruce Schneier dal titolo "NIST's Post-Quantum
Cryptography Standards":
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.
Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.
Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.
La sicurezza del software open source
Bruce Schenier ha segnalato un'analisi sulla (scarsa) sicurezza del software
open-source dal titolo "Open-Source Security: How Digital Infrastructure Is
Built on a House of Cards":
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.
In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".
L'argomento è importante e quindi, ritengo, va seguito con attenzione.
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.
In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".
L'argomento è importante e quindi, ritengo, va seguito con attenzione.
martedì 9 agosto 2022
BYOD, CYOD, COPE e COBO
Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo"Caratteristiche e differenza tra BYOD, CYOD, COPE e COBO in azienda":
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.
Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.
Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.
La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.
Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.
Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.
La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.
CISA: Come mitigare le minacce relative al malware
Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha
pubblicato in agosto l'avviso AA22-216A dal titolo "2021 Top Malware
Strains":
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.
Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.
Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.
Il DoJ USA usa la carta per i documenti più critici
Dal SANS NewsBites del 5 agosto 2022: Il US Department of Justice ha
annunciato che dal gennaio 2021 sta archiviando i documenti critici in
formato cartaceo e non digitale. Il Deputy Assistant Attorney General for
National Security ha dichiarato, "La convenienza è una gran cosa, ma la
sicurezza sui sistemi connessi a Internet è diversa di quella per i
documenti cartacei":
- https://www.cyberscoop.com/top-justice-official-paper-only/.
Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibli da Internet.
- https://www.cyberscoop.com/top-justice-official-paper-only/.
Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibli da Internet.
venerdì 29 luglio 2022
Articolo sulla EN 17799 (certificazioni GDPR)
Segnalo questo articolo di Fabio Guasconi dal titolo "Certificazioni GDPR,
entra in gioco l'ente di normazione europeo: ecco perché è una svolta":
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.
Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.
Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.
giovedì 28 luglio 2022
Privacy: nuovo Registro delle opposizioni
Grazie a Silvestro Marascio di DFA ho i riferimenti al DPR che, dal 27
luglio 2022, estende il Registro delle opposizioni a cellulare e posta
cartacea. Prima il Registro serviva solo per il telefono fisso.
Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.
Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.
Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.
Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.
Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.
Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.
Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.
Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.
martedì 26 luglio 2022
Sulle competenze (un articolo)
Avevo scritto in merito alla carenza di esperti di sicurezza
(http://blog.cesaregallotti.it/2022/06/mancanza-di-esperti-di-sicurezza-cyber.html). A questo proposito, Toto Zammataro di AlixPartners mi ha segnalato questo articolo:
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.
Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".
E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.
L'articolo è interessante anche in altri punti e ne consiglio la lettura.
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.
Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".
E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.
L'articolo è interessante anche in altri punti e ne consiglio la lettura.
sabato 23 luglio 2022
Mio articolo su sicurezza e semplicità
E' stato pubblicato su Key4biz un mio brevissimo articolo dal titolo
"Cybersecurity, cos'è il principio 'KISS': sicurezza e principio di
semplicità":
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.
mercoledì 20 luglio 2022
ISO/IEC 27400:2022 sulla sicurezza IoT
Monica Perego mi ha segnalato la pubblicazione della ISO/IEC 27400:2022 dal
titolo "Cybersecurity - IoT security and privacy - Guidelines":
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben fatto.
DPCM 92/2022 - Regolamento per l'accreditamento dei laboratori al CVCN
Glauco Rampogna mi ha segnalato l'uscita in Gazzetta del DPCM 92/2022, ossia
del Regolamento per l'accreditamento dei laboratori di prova al CVCN:
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL 54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi. Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
martedì 19 luglio 2022
Rapporti SOC 2 - un piccolo studio
Periodicamente mi arrivano richieste in merito ai rapporti SOC 2. Ho chiesto
aiuto a Marco Ondoli di Grant Thornton e a Fabrizio Bulgarelli di PKF, che
mi hanno fornito materiale e chiarimenti per capire la questione. Li
ringrazio molto ed è bene precisare che quanto segue è una mia
rielaborazione e gli eventuali errori sono tutti miei e non loro.
Intanto mi ha aiutato la "SOC 2 User Guide" di ISACA (non la trovo più disponibile online). Da qui ho capito che:
- i rapporti SOC servono per dimostrare alle organizzazioni l'efficacia dei propri controlli operativi;
- fino al 2011, la pubblicazione di riferimento era la SAS 70 della AICPA ed era relativa ai rapporti per le organizzazioni che volevano dimostrare l'efficacia della progettazione e dell'esercizio dei controlli con impatto sui rapporti contabili;
- dal 2011 sono entrati in vigore i 3 tipi di rapporti SOC 1, SOC 2 e SOC 3 (SOC sta per Service organization control);
- i rapporti SOC 1 sono relativi ai controlli interni sui rapporti contabili (ICFR, internal control over financial reporting) e sono descritti dalla SSAE 18 e dalla ISAE 3402; in precedenza erano descritti dalla SSAE 16);
- i rapporti SOC 2 e SOC 3 sono descritti dalla SSAE AT Section 101 e servono alle organizzazioni che forniscono servizi informatici (service provider) a clienti (user entitiy) a descrivere i controlli relativi a sicurezza, disponibilità, integrità delle elaborazioni, riservatezza e privacy (questi sono i 5 principi);
- i rapporti SOC 2 descrivono i sistemi IT oggetto del rapporto, i controlli progettati e i test condotti e riportano un parere degli auditor in merito all'efficacia dei controlli; la loro distribuzione dovrebbe essere ristretta;
- i rapporti SOC 2 di tipo 1 descrivono i controlli progettati in un certo momento specifico;
- i rapporti SOC 2 di tipo 2 descrivono anche l'efficacia dei controlli in esercizio lungo un certo periodo di tempo;
- i rapporti SOC 3 riportano solo la descrizione dei sistemi IT oggetto del rapporto e il parere degli auditor in merito all'efficacia dei controlli.
I rapporti SOC 2 devono riportare le seguenti sezioni:
- Description of the service organization's system, che deve essere abbastanza approfondita per poter identificare i rischi pertinenti e far capire al cliente se i sistemi che lo riguardano sono inclusi;
- A written assertion by management of the service organization;
- Design and operating effectiveness testing results, dove sono descritti con maggiore dettaglio e valutati i controlli;
- The service auditor's expressed opinion.
A questo punto ci si può chiedere come valutare i controlli. Ossia se esiste una sorta di check list. La risposta è no, perché la check list può essere ricavata da altri documenti. ISACA, ovviamente, suggerisce di usare COBIT.
Per i servizi cloud è invece possibile usare la CCM della cloud security alliance. E' stato prodotto un rapporto di esempio:
- https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/soc2_csa_ccm_report.pdf.
E' disponibile online il rapporto SOC 3 di Dropbox, che non sembra seguire uno schema preciso:
- https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/business/trust/soc/dropbox-soc-3.pdf.
Non sono previsti corsi su questi rapporti. E' come se facessero parte della "normale" formazione degli auditor tecnici delle società di revisione contabile. Anche leggendo il rapporto di Dropbox si capisce che (come mi scrive Fabrizio Bulgarelli) "dietro a questo documento ci sta tutto il lavoro in dettaglio che non viene reso pubblico, come nelle certificazioni ISO. Ogni società di revisione, ogni team di revisione, usa un suo metodo di attestazione".
Infine sembra che i rapporti SOC possano essere emessi solo da società di revisione contabile.
Intanto mi ha aiutato la "SOC 2 User Guide" di ISACA (non la trovo più disponibile online). Da qui ho capito che:
- i rapporti SOC servono per dimostrare alle organizzazioni l'efficacia dei propri controlli operativi;
- fino al 2011, la pubblicazione di riferimento era la SAS 70 della AICPA ed era relativa ai rapporti per le organizzazioni che volevano dimostrare l'efficacia della progettazione e dell'esercizio dei controlli con impatto sui rapporti contabili;
- dal 2011 sono entrati in vigore i 3 tipi di rapporti SOC 1, SOC 2 e SOC 3 (SOC sta per Service organization control);
- i rapporti SOC 1 sono relativi ai controlli interni sui rapporti contabili (ICFR, internal control over financial reporting) e sono descritti dalla SSAE 18 e dalla ISAE 3402; in precedenza erano descritti dalla SSAE 16);
- i rapporti SOC 2 e SOC 3 sono descritti dalla SSAE AT Section 101 e servono alle organizzazioni che forniscono servizi informatici (service provider) a clienti (user entitiy) a descrivere i controlli relativi a sicurezza, disponibilità, integrità delle elaborazioni, riservatezza e privacy (questi sono i 5 principi);
- i rapporti SOC 2 descrivono i sistemi IT oggetto del rapporto, i controlli progettati e i test condotti e riportano un parere degli auditor in merito all'efficacia dei controlli; la loro distribuzione dovrebbe essere ristretta;
- i rapporti SOC 2 di tipo 1 descrivono i controlli progettati in un certo momento specifico;
- i rapporti SOC 2 di tipo 2 descrivono anche l'efficacia dei controlli in esercizio lungo un certo periodo di tempo;
- i rapporti SOC 3 riportano solo la descrizione dei sistemi IT oggetto del rapporto e il parere degli auditor in merito all'efficacia dei controlli.
I rapporti SOC 2 devono riportare le seguenti sezioni:
- Description of the service organization's system, che deve essere abbastanza approfondita per poter identificare i rischi pertinenti e far capire al cliente se i sistemi che lo riguardano sono inclusi;
- A written assertion by management of the service organization;
- Design and operating effectiveness testing results, dove sono descritti con maggiore dettaglio e valutati i controlli;
- The service auditor's expressed opinion.
A questo punto ci si può chiedere come valutare i controlli. Ossia se esiste una sorta di check list. La risposta è no, perché la check list può essere ricavata da altri documenti. ISACA, ovviamente, suggerisce di usare COBIT.
Per i servizi cloud è invece possibile usare la CCM della cloud security alliance. E' stato prodotto un rapporto di esempio:
- https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/soc2_csa_ccm_report.pdf.
E' disponibile online il rapporto SOC 3 di Dropbox, che non sembra seguire uno schema preciso:
- https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/business/trust/soc/dropbox-soc-3.pdf.
Non sono previsti corsi su questi rapporti. E' come se facessero parte della "normale" formazione degli auditor tecnici delle società di revisione contabile. Anche leggendo il rapporto di Dropbox si capisce che (come mi scrive Fabrizio Bulgarelli) "dietro a questo documento ci sta tutto il lavoro in dettaglio che non viene reso pubblico, come nelle certificazioni ISO. Ogni società di revisione, ogni team di revisione, usa un suo metodo di attestazione".
Infine sembra che i rapporti SOC possano essere emessi solo da società di revisione contabile.
Guida per le PMI per la sicurezza e la privacy - in italiano
E' stata pubblicata la "Guida ai controlli di sicurezza delle informazioni
per le piccole e medie imprese":
- https://www.digitalsme.eu/cybersecurity-e-pmi-pubblicata-la-guida-europea-per-le-pmi-sui-controlli-di-sicurezza-delle-informazioni.
Ne avevo scritto quando era uscita la versione in inglese:
- http://blog.cesaregallotti.it/2022/04/guida-per-le-pmi-per-la-sicurezza-e-la.html.
Ripeto quanto scrissi. La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001. Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
- https://www.digitalsme.eu/cybersecurity-e-pmi-pubblicata-la-guida-europea-per-le-pmi-sui-controlli-di-sicurezza-delle-informazioni.
Ne avevo scritto quando era uscita la versione in inglese:
- http://blog.cesaregallotti.it/2022/04/guida-per-le-pmi-per-la-sicurezza-e-la.html.
Ripeto quanto scrissi. La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001. Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
martedì 12 luglio 2022
Video spiegazione su VERA 6
Agostino Oliveri di Sicurdata mi ha chiesto di registrare un video di
spiegazione sull'uso di VERA 6. Eccolo qui:
- https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.
Intanto ho cercato di non pubblicarlo con YouTube, ma su MyRaspTube, che fa parte del PeerTube, che a sua volta fa parte del fediverso (https://notes.nicfab.it/it/posts/mastodon/). Tutto ciò per me è nuovissimo, ma ho colto questa occasione per sperimentare un pochino. Prego di segnalarmi problemi (e poi, quando avrò un po' di tempo, potrei cercare di spostare il blog da Blogger).
Claudio Sartor mi ha segnalato che alcuni filtri di rete non permettono l'accesso a MyRaspTube. Quindi ho caricato il video sul mio sito:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2022-07-08-Vera06-ITA-Spiegazione.mp4.
- https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.
Intanto ho cercato di non pubblicarlo con YouTube, ma su MyRaspTube, che fa parte del PeerTube, che a sua volta fa parte del fediverso (https://notes.nicfab.it/it/posts/mastodon/). Tutto ciò per me è nuovissimo, ma ho colto questa occasione per sperimentare un pochino. Prego di segnalarmi problemi (e poi, quando avrò un po' di tempo, potrei cercare di spostare il blog da Blogger).
Claudio Sartor mi ha segnalato che alcuni filtri di rete non permettono l'accesso a MyRaspTube. Quindi ho caricato il video sul mio sito:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2022-07-08-Vera06-ITA-Spiegazione.mp4.
giovedì 7 luglio 2022
Accessibilità anche dai privati
Franco Vincenzo Ferrari di DNV mi ha segnalato questo articolo dal titolo "Linee guida AgID per l'accessibilità dei siti web: i nuovi obblighi per le grandi aziende":
- https://www.agendadigitale.eu/cittadinanza-digitale/linee-guida-agid-per-laccessibilita-dei-siti-web-i-nuovi-obblighi-per-le-grandi-aziende/.
Così ho scoperto che, con il DL 76/2020, la Legge 4/2004 (Legge Stanca sull'accessibilità) è stata estesa anche le grandi imprese, e non solo la PA, "a garantire a persone con disabilità l'accessibilità dei propri servizi, erogati tramite siti web o applicazioni".
Alla pagina https://www.agid.gov.it/it/linee-guida è possibile scaricare le "Linee guida sull'accessibilità degli strumenti informatici – Per i soggetti erogatori di cui all'art 3 comma 1-bis della legge n. 4/2004". Purtroppo la pagina le riporta come "Linee guida" e basta e bisogna avere un po' di fantasia per trovarle.
Le linee guida non si applicano al solo web, ma ai documenti che sono incorporati nelle pagine web e che sono utilizzati nella rappresentazione o che sono destinati a essere rappresentati insieme alla pagina web in cui sono incorporati, alle web app, al software incorporato nelle pagine web e utilizzato nella rappresentazione o destinato alla rappresentazione insieme alla pagina web in cui è incorporato.
Mi sembra una bella iniziativa, anche se comporterà investimenti per alcune aziende. Penso che anche le altre aziende dovrebbero seguire queste linee guida, anche adottandole con minor fretta.
- https://www.agendadigitale.eu/cittadinanza-digitale/linee-guida-agid-per-laccessibilita-dei-siti-web-i-nuovi-obblighi-per-le-grandi-aziende/.
Così ho scoperto che, con il DL 76/2020, la Legge 4/2004 (Legge Stanca sull'accessibilità) è stata estesa anche le grandi imprese, e non solo la PA, "a garantire a persone con disabilità l'accessibilità dei propri servizi, erogati tramite siti web o applicazioni".
Alla pagina https://www.agid.gov.it/it/linee-guida è possibile scaricare le "Linee guida sull'accessibilità degli strumenti informatici – Per i soggetti erogatori di cui all'art 3 comma 1-bis della legge n. 4/2004". Purtroppo la pagina le riporta come "Linee guida" e basta e bisogna avere un po' di fantasia per trovarle.
Le linee guida non si applicano al solo web, ma ai documenti che sono incorporati nelle pagine web e che sono utilizzati nella rappresentazione o che sono destinati a essere rappresentati insieme alla pagina web in cui sono incorporati, alle web app, al software incorporato nelle pagine web e utilizzato nella rappresentazione o destinato alla rappresentazione insieme alla pagina web in cui è incorporato.
Mi sembra una bella iniziativa, anche se comporterà investimenti per alcune aziende. Penso che anche le altre aziende dovrebbero seguire queste linee guida, anche adottandole con minor fretta.
Ancora su Google Analytics
La faccenda Google Analytics non è banale e su questa ho ricevuto ulteriori
contributi.
Il primo è di Claudio Sartor che mi ha consigliato i due video di Matteo Flora:
- Analizziamo il problema: https://youtu.be/Dz_lIYXUhFU;
- Quali soluzioni: https://youtu.be/Q981BTuaEoQ.
Non li ho guardati perché non mi trovo a mio agio a seguire i video. Preferisco la lettura (mi permette di saltare dove voglio, tornare facilmente indietro, sottolineare, copincollare per ulteriori ricerche). Però Matteo Flora è molto bravo e quindi questo può essere utile.
Il primo è di Claudio Sartor che mi ha consigliato i due video di Matteo Flora:
- Analizziamo il problema: https://youtu.be/Dz_lIYXUhFU;
- Quali soluzioni: https://youtu.be/Q981BTuaEoQ.
Non li ho guardati perché non mi trovo a mio agio a seguire i video. Preferisco la lettura (mi permette di saltare dove voglio, tornare facilmente indietro, sottolineare, copincollare per ulteriori ricerche). Però Matteo Flora è molto bravo e quindi questo può essere utile.
lunedì 4 luglio 2022
2022 CWE Top 25 Most Dangerous Software Weaknesses
E' stata pubblicata la lista "2022 CWE Top 25 Most Dangerous Software
Weaknesses":
- https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html.
La lettura è resa complicata perché, per leggere le raccomandazioni, è necessario accedere alla pagina di ogni vulnerabilità e poi consultare la sezione "Potential Mitigations". Per come ragiono io, avrei preferito leggere le raccomandazioni per poi approfondire, eventualmente, quali minacce contrastano. Questa iniziativa è comunque notevole.
- https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html.
La lettura è resa complicata perché, per leggere le raccomandazioni, è necessario accedere alla pagina di ogni vulnerabilità e poi consultare la sezione "Potential Mitigations". Per come ragiono io, avrei preferito leggere le raccomandazioni per poi approfondire, eventualmente, quali minacce contrastano. Questa iniziativa è comunque notevole.
sabato 2 luglio 2022
Vietare Google Analytics
Il Garante privacy, in pochissime parole, ha vietato l'uso di Google
Analytics in quanto opera un trasferimento eccessivo di dati negli USA.
Gentilmente, il Garante lascia tempo di adeguarsi fino a inizio settembre.
Il Provvedimento:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in modo chiaro e sintetico:
- https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il-garante-privacy-e-ora/
Segnalo anche il contributo di Pietro Calorio (un Idraulico della privacy) su LinkedIn, anch'esso chiaro e sintetico:
- https://www.linkedin.com/posts/pietrocalorio_google-analytics-e-privacy-studio-legale-ugcPost-6947462798889127938-pDJz
Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni italiane);
- https://matomo.org/ (può essere installato su propri server).
Questo articolo, dal titolo "Google Analytics vietato in Italia: ecco 5 alternative (gratis e non)", ne segnala altre:
- https://www.wired.it/article/alternative-google-analytics/.
C'è chi intanto parla di Google Analytics 4, attivi da qualche tempo e che non registrano gli indirizzi IP. Anzi, se non ho capito male, non usa proprio i cookie. Non so, a questo punto, se dal punto di vista della privacy, sia un bene, anche perché forse la soluzione prevede il trasferimento comunque di dati personali, anche se non grazie ai cookie.
Andrebbe quindi letto con prudenza questo articolo dal titolo "Google Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/.
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in modo chiaro e sintetico:
- https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il-garante-privacy-e-ora/
Segnalo anche il contributo di Pietro Calorio (un Idraulico della privacy) su LinkedIn, anch'esso chiaro e sintetico:
- https://www.linkedin.com/posts/pietrocalorio_google-analytics-e-privacy-studio-legale-ugcPost-6947462798889127938-pDJz
Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni italiane);
- https://matomo.org/ (può essere installato su propri server).
Questo articolo, dal titolo "Google Analytics vietato in Italia: ecco 5 alternative (gratis e non)", ne segnala altre:
- https://www.wired.it/article/alternative-google-analytics/.
C'è chi intanto parla di Google Analytics 4, attivi da qualche tempo e che non registrano gli indirizzi IP. Anzi, se non ho capito male, non usa proprio i cookie. Non so, a questo punto, se dal punto di vista della privacy, sia un bene, anche perché forse la soluzione prevede il trasferimento comunque di dati personali, anche se non grazie ai cookie.
Andrebbe quindi letto con prudenza questo articolo dal titolo "Google Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/.
NIST su digital forensics e OT
Glauco Rampogna mi ha segnalato la pubblicazione del NIST "NISTIR 8428 -
Digital Forensics and Incident Response (DFIR) Framework for Operational
Technology (OT)":
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.
E' molto interessante, fosse anche solo per capire alcune peculiarità di sicurezza degli ambienti OT.
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.
E' molto interessante, fosse anche solo per capire alcune peculiarità di sicurezza degli ambienti OT.
mercoledì 29 giugno 2022
VERA 7 per la valutazione del rischio
Ho pubblicato la versione 7 del VERA il mio foglio di calcolo per la
valutazione del rischio:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).
Questa è una versione "sperimentale", dove sono stati uniti il foglio per la valutazione delle minacce e quello per il calcolo del rischio, in modo da renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo, forse, è più semplice aggiungere e togliere minacce e controlli di sicurezza.
Al momento non prevedo di farne una versione in inglese, in attesa di essere sicuro del suo funzionamento.
I controlli del 2022 in italiano non sono nella traduzione ufficiale perché non ancora disponibile.
Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà di utilizzo.
- https://www.cesaregallotti.it/Pubblicazioni.html.
Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).
Questa è una versione "sperimentale", dove sono stati uniti il foglio per la valutazione delle minacce e quello per il calcolo del rischio, in modo da renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo, forse, è più semplice aggiungere e togliere minacce e controlli di sicurezza.
Al momento non prevedo di farne una versione in inglese, in attesa di essere sicuro del suo funzionamento.
I controlli del 2022 in italiano non sono nella traduzione ufficiale perché non ancora disponibile.
Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà di utilizzo.
martedì 28 giugno 2022
PEC e REM
Franco Vincenzo Ferrari di DNV mi ha segnalato la pubblicazione dello
standard ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito
qualificato (REM). La notizia è stata diffusa da AgID:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
lunedì 27 giugno 2022
Mancanza di esperti di sicurezza (cyber)
Segnalo questo articolo dal titolo "Cybersicurezza in Italia: perché non si
trovano candidati?":
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.
Minacce e attacchi: operazione "Finestra sul cortile"
La storia è recente ed è diventata subito molto nota: alcuni malfattori
hanno ottenuto accesso a numerose telecamere di sorveglianza e vendevano le
immagini raccolte:
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.
sabato 25 giugno 2022
Rete indisponibile per Clouflare
Cloudflare è un fornitore di servizi web e il 21 giugno 2022 ha avuto un
blocco della rete di 75 minuti. La causa? Un cambiamento non riuscito:
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
martedì 21 giugno 2022
Security Risk Assessment Tool del US HHS
Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of
Health and Human Services (HHS) Office for Civil Rights (OCR) and National
Coordinator for Health Information Technology (ONC) degli USA:
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
mercoledì 15 giugno 2022
Fornire segreti militari in discussioni sui giochi
Questa notizia, da Crypto-Gram di giugno 2022, ha titolo "War Thunder fan
leaks classified military documents to win an argument about tanks-again":
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.
In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.
In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.
martedì 7 giugno 2022
Poste italiane ferme per un errore di aggiornamento ai sistemi
Il 30 maggio, le Poste italiane sono rimaste ferme. Segnalo questo articolo
dal titolo "Poste down: Non c'entrano gli hacker russi ma è un problema
tecnico":
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.
Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.
Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.
lunedì 30 maggio 2022
Chiusa la società Insteon per lo smart home
Segnalo questa notizia dal titolo "Shameful: Insteon looks dead—just like
its users' smart homes":
- https://arstechnica.com/gadgets/2022/04/shameful-insteon-looks-dead-just-like-its-users-smart-homes/.
La segnalo perché questo non è l'unico caso a cui mi è capitato di assistere: una società di informatica chiude improvvisamente e i clienti rimangono senza servizi.
Quando si parla di sicurezza della "supply chain" si parla spesso di eventi di tipo digitale (DOS e dDOS, malware e ransomware, furto di informazioni), ma è necessario anche ricordare che un fornitore può sparire e lasciarci in difficoltà.
Da considerare anche nella continuità operativa.
- https://arstechnica.com/gadgets/2022/04/shameful-insteon-looks-dead-just-like-its-users-smart-homes/.
La segnalo perché questo non è l'unico caso a cui mi è capitato di assistere: una società di informatica chiude improvvisamente e i clienti rimangono senza servizi.
Quando si parla di sicurezza della "supply chain" si parla spesso di eventi di tipo digitale (DOS e dDOS, malware e ransomware, furto di informazioni), ma è necessario anche ricordare che un fornitore può sparire e lasciarci in difficoltà.
Da considerare anche nella continuità operativa.
Strategia nazionale di cybersicurezza
Ho visto passare in questi giorni diversi messaggi relativi alla Strategia
Nazionale di Cybersicurezza. Ho capito che dovevo guardarla quando anche
Glauco Rampogna me l'ha segnalata.
Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.
Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").
Innanzi tutto i documenti di riferimento (la strategia, ossia il documento più discorsivo, e gli obiettivi, più schematici e approfonditi) sono reperibili dalla pagina dell'ACN:
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza.
Alcuni punti, posto che voglio rimanere nel mio ed evitare di discutere dei grandi sistemi:
- l'approccio europeo e italiano dimostra chiaramente che molte azioni devono essere promosse e guidate dal pubblico; non lo dico criticamente, ma perché è necessario capire le differenze con gli USA; pertanto sono benvenute le iniziative di creazione di CERT e ISAC settoriali (misure 30-37) e di sviluppo di tecnologie (misure 48-52) e le partnership pubblico-privato;
- nell'ambito dei CERT e ISAC mi sembra che manchi l'obiettivo di informazione delle organizzazioni, in linea, per esempio, con quello che fa il NCSC svizzero;
- ottimo l'impulso al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, soprattutto dopo le difficoltà emerse nel corso dell'emergenza COVID e dell'invasione dell'Ucraina; mi sembra un obiettivo forse troppo ambizioso, ma necessario (misura 53);
- mi lascia perplesso l'obiettivo di sviluppare un sistema nazionale di certificazione delle competenze (obiettivo 61), mentre sarebbe opportuno promuovere schemi internazionali (non dico che non dovremmo promuovere nulla, ma l'ambito dovrebbe essere quello internazionale, se no rischiamo di chiuderci in noi stessi e di non approfittare di quanto succede all'estero);
- molto utili gli obiettivi (dal 59) di potenziamento delle competenze anche di base; solo così, come ho già detto in passato, è possibile avere dirigenti consapevoli dei tempi e dei limiti che oggi sono necessari allo sviluppo tecnologico a causa delle esigenze di qualità e sicurezza;
- tornando a quanto ho scritto sopra, mi sembra che si tratti del potenziamento delle competenze dei singoli senza però considerare anche quelle delle organizzazioni;
- mi spiace che, nell'ambito della cooperazione (dalla misura 74), non si parli delle iniziative di standardizzazione, cosa che invece è promossa da altri Paesi;
- ovviamente non posso che censurare l'uso di "cibernetica" e "ecosistema" in questo contesto (mi sembra, in particolare, che l'uso di "cibernetica" è disomogeneo e si alterna a termini come "cyber").
venerdì 20 maggio 2022
Analisi delle vulnerabilità 2021 del CISA
Il CISA è la Cybersecurity & Infrastructure Security Agency degli USA e ha
pubblicato il documento "CISA Analysis: FY2021 Risk and Vulnerability
Assessments":
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").
Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.
Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.
PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione "Attachment media").
Qui si trovano le vulnerabilità più significative evidenziate nel 2021 durante le attività di vulnerability assessment presso alcune strutture USA. La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune azioni di mitigazione.
Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo di tipo applicativo.
PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo tecniche, ma ogni tanto segnalano perle come questa.
NIST SP 800-53 sui controlli di sicurezza e privacy
Franco Vincenzo Ferrari di DNV mi ha segnalato un articolo in merito al
recente aggiornamento della NIST SP 800-53A "Assessing Security and Privacy
Controls in Information Systems and Organizations". Questa linea guida si
trova qui:
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.
Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.
A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.
Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).
L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.
Essa riporta le modalità per verificare le misure di sicurezza riportate dalla NIST SP 800-53.
A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine, la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della sicurezza alla decifrazione e compilazione di lunghe liste.
Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da selezionare a seconda del livello di sicurezza che si vuole raggiungere (solo privacy, basso, medio, alto, indefinito).
L'articolo di cui sopra è reperibile a questo indirizzo:
- https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e
martedì 10 maggio 2022
Valutazione con il Framework nazionale per la cybersecurity e la data protection
Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione
della "Metodologia per il cybersecurity assessment con il Framework
Nazionale per la Cybersecurity e la Data Protection" del settembre 2021:
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
sabato 7 maggio 2022
Le password più comuni del 2021
Stefano Ramacciotti mi ha segnalato questo sito con le password più comuni
del 2021:
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli USA come spesso accade.
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli USA come spesso accade.
venerdì 6 maggio 2022
Newsletter di NCSC di metà 2022
Segnalo, come sempre, la newsletter del Centro nazionale per la
cibersicurezza NCSC della Confederazione svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra affrontata al solito livello a cui mi avevano abituato.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra affrontata al solito livello a cui mi avevano abituato.
Aggiornamento su NIST SP 800-161 sulla supply chain
Il NIST ha pubblicato la SP 800-161r1 (aggiornamento della SP 800-161) con
titolo " Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia comunque troppo prolisso.
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia comunque troppo prolisso.
martedì 26 aprile 2022
CNIL dichiara illegali i Google Analytics
Il CNIL, su reclamo dell'associazione noyb, ha in sostanza dichiarato
illegale l'uso dei Google Analytics:
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.
Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai servizi di intelligence degli USA.
Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa notizia.
Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics (anche se io non saprei come fare dal mio blog). Temo però che la stessa decisione possa applicarsi alle altre soluzioni Google (penso all'email e al file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più difficile cambiare. Spero di leggere interpretazioni e casi di studio interessanti.
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.
Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai servizi di intelligence degli USA.
Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa notizia.
Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics (anche se io non saprei come fare dal mio blog). Temo però che la stessa decisione possa applicarsi alle altre soluzioni Google (penso all'email e al file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più difficile cambiare. Spero di leggere interpretazioni e casi di studio interessanti.
venerdì 15 aprile 2022
Stato degli standard ISO/IEC 270xx
Agli inizi di aprile 2022 si sono tenuti i meeting del ISO/IEC JTC 1 SC 27,
ossia del gruppo che segue gli standard della famiglia ISO/IEC 27001,
sicurezza e privacy.
Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.
Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.
Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.
Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.
lunedì 11 aprile 2022
Guida per le PMI per la sicurezza e la privacy
Franco Vincenzo Ferrari di DNV mi ha segnalato la "SME Guide on Information
Security Controls" della SBS:
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.
La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.
Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.
La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.
Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.
venerdì 8 aprile 2022
Certificazioni GDPR: il punto della situazione
Elia Barbujani mi ha intervistato per IusLaw Web Radio su "Certificazioni
GDPR: il punto della situazione":
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.
Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.
Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.
mercoledì 6 aprile 2022
Analisi dei nuovi controlli della ISO/IEC 27002
Giulia Zanchettin mi ha segnalato questa pagina web dal titolo "Detailed
explanation of 11 new security controls in ISO 27001:2022":
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.
Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.
Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.
Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.
Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.
Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.
Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.
Iscriviti a:
Post (Atom)