martedì 25 febbraio 2020

Successo e insuccesso

Mia sorella scrive di coaching e non sempre riesco a capire l'ambito del suo
lavoro. Però molte cose di cui scrive mi incuriosiscono. Questa volta
segnalo quindi un articolo di Anna Gallotti e Selika Cerofolini dal titolo
"2020: è tempo per una nuova definizione di successo". Credo che non sia
pubblicato da qualche parte pubblica.

Provo a mandare questi due link:
- prima parte:
http://share-coach.benchurl.com/c/v?e=F8AD48&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
;
- seconda parte:
http://share-coach.benchurl.com/c/v?e=FD7327&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
.

Innanzi tutto bisogna considerare che il successo è un mito moderno. Viviamo
nell'"illusione della meritocrazia", per citare il filosofo Alain de Botton,
dove non solo riteniamo che le possibilità di scalare la vetta siano
infinite, ma anche che, poiché è possibile, dobbiamo farlo, nel modo in cui
ci dicono di farlo.

Però nessuno può avere successo in tutto, e sicuramente non sempre,
indipendentemente da ciò che ci dicono. Il tempo per la famiglia paga spesso
il prezzo di una carriera brillante ad esempio, ed è difficile essere
popolari mantenendo una incrollabile integrità. La buona notizia è che
possiamo scegliere quali sono le nostre priorità.

L'articolo dice altre cose interessanti. Per quanto riguarda gli argomenti
di cui mi occupo, possiamo trarre questa sintetica lezione (se già non
l'avessimo presa da altre parti): non si può avere la sicurezza perfetta, la
qualità perfetta, la privacy perfetta, eccetera. Dobbiamo toglierci queste
illusioni e decidere quali sono le priorità.

Cybersecurity Maturity Model Certification (CMMC)

Avevo già incontrato il CMMC durante la lavorazione del libro sull'IoT che
sarà presentato al prossimo Security summit (o chissà quando, visto il
corona-panico). Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha
poi inoltrato un link interessante.

Ma andiamo con ordine. Il primo link che propongo è quello dal titolo
"Understanding Cybersecurity Maturity Model Certification (CMMC)":
-
https://www.securityorb.com/featured/understanding-cybersecurity-maturity-mo
del-certification-cmmc/
.

Qui capisco quanto segue:
- chi vorrà lavorare con il DoD degli USA dovrà conseguire questa
certificazione;
- la certificazione è basata su 5 livelli;
- a gennaio era prevista la pubblicazione del materiale anche a scopo di
formazione.

Il secondo articolo (grazie a Franco) ha titolo "Cybersecurity Maturity
Model Certification (CMMC) Levels" e presenta più dettagli:
-
https://securityboulevard.com/2020/01/cybersecurity-maturity-model-certifica
tion-cmmc-levels/
.

Il terzo URL (grazie ancora a Franco) è quello delle FAQ ufficiali:
- https://www.acq.osd.mil/cmmc/faq.html.

Quindi gli USA stanno producendo il loro schema proprietario di sicurezza
informatica, promuovendo ulteriormente schemi in contrasto con quelli ISO o
simili. Chi non ha poteri politici, come me, potrà solo guardare come la
situazione si evolverà.

Conservazione dei documenti informatici, cloud e blockchain

Segnalo questo articolo di Andrea Lisi di ANORC dal titolo "La conservazione
dei documenti informatici non si fa in cloud o in blockchain":
-
https://anorc.eu/attivita/la-conservazione-dei-documenti-informatici-non-si-
fa-in-cloud-o-in-blockchain/
.

Il titolo dice già tutto e quindi non commento ulteriormente, ma ne
raccomando la lettura.

lunedì 24 febbraio 2020

Nuova versione della ISO/IEC 27002 sugli audit agli ISMS

Franco Vincenzo Ferrari di DNV GL Business Assuranche mi ha segnalato la
pubblicazione della ISO/IEC 27007:2020 dal titolo "Guidelines for
information security management systems auditing":
- https://www.iso.org/standard/77802.html.

Non grandi cambiamenti rispetto alla precedente versione, a parte
l'allineamento alla ISO 19011:2018, di cui scrissi a suo tempo:
-
http://blog.cesaregallotti.it/2018/07/nuova-iso-190112018-guida-per-laudit.h
tml
.

sabato 22 febbraio 2020

Sistema di gestione e Gdpr: integrare Mop e Mog

Segnalo questo articolo dal titolo "Sistema di gestione e Gdpr: integrare
due modelli (Mop e Mog) per evitare sanzioni":
-
https://www.agendadigitale.eu/sicurezza/privacy/sistema-di-gestione-e-gdpr-i
ntegrare-due-modelli-mop-e-mog-per-evitare-sanzioni/
.

L'hanno scritto due persone che stimo molto e che propongono sempre idee
molto interessanti.

giovedì 20 febbraio 2020

Cifratura dei backup iPhone e Android

Da Crypto-Gram del 15 febbraio, segnalo questi due articoli sulla cifratura
dei backup degli iPhone. Il primo ha titolo "Apple dropped plan for
encrypting backups after FBI complained":
-
https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT.

Il secondo ha titolo "Apple may have ditched encrypted backups, but Google
hasn't":
-
https://www.androidcentral.com/apple-may-have-ditched-encrypted-backups-goog
le-hasnt
.

Mi pare che i titoli dicano già tutto sulla questione della cifratura dei
backup degli smartphone. Io sono sempre stato restio a fare i backup del mio
cellulare (anche per la ridotta quantità di dati), ma a questo punto
riconsidererò la cosa per l'Android.

mercoledì 19 febbraio 2020

Poster dell'NSA sulla sicurezza (anni 50 e 60)

Da Crypto-gram del 15 febbraio, segnalo i "NSA Security Awareness Posters":
https://www.schneier.com/blog/archives/2020/01/nsa_security_aw.html.

Sono 136 poster. Alcuni sono un po' datati, ma altri sono decisamente
interessanti.

Compromissione delle password dei dispositivi IoT

Da Crypto-Gram del 15 febbraio 2020 segnalo questo articolo dal titolo "Half
a Million IoT Device Passwords Published":
-
https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-se
rvers-routers-and-iot-devices/
.

Un hacker ha pubblicato le password di accesso a mezzo milione di
dispositivi accessibili via Telnet e con password o di fabbrica (quindi mai
cambiate dall'utilizzatore) o molto semplici.

Tutto questo dimostra, ancora una volta, come questi dispositivi sono
progettati e sviluppati, visto che fanno uso di protocolli da tempo
considerati insicuri e non prevedono procedure affinché gli utenti li
installino in modo sicuro senza fatica.

lunedì 17 febbraio 2020

01- 18 marzo 2020: mio intervento su IoT al Security summit

Il 18 marzo interverrò al Security summit di Milano (un altro intervento,
del 19, l'ho già segnalato).

L'intervento, alle 9.30, riguarda il libro "IoT Security e Compliance:
gestire la complessità e i rischi", che sarà pubblicato in quei giorni:
- https://securitysummit.it/agenda-details/520.

venerdì 14 febbraio 2020

19 marzo 2020: mio intervento su ISO/IEC 27701 al Security summit

Il 19 marzo alle 16.10 interverrò al Security summit di Milano su "Certificazione della protezione dei dati personali":
- https://securitysummit.it/agenda-details/532.

Io cercherò di spiegare in pochissimi minuti la ISO/IEC 27701. Sento già la musichetta di Mission impossible...

giovedì 13 febbraio 2020

VERA 5 in inglese

Ho caricato la versione in inglese di VERA 5.

La trovate qui insieme alla versione in italiano aggiornata alla 5.0.1 (ho corretto un piccolo refuso):
- https://www.cesaregallotti.it/Pubblicazioni.html.

sabato 8 febbraio 2020

Primi ammonimenti sulle violazioni di dati personali

Questa notizia l'avevo presa sotto gamba: la Provincia di Trento ha inviato un'email alle famiglie con bambini non in regola con l'obbligo vaccinale con i nominativi in chiaro (ossia non nel campo bcc o ccn):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9261234.

La newlsetter del Garante l'aveva infatti messa sotto il titolo "Salute: Garante, no alla e-mail con più indirizzi in chiaro" e non mi sembrava potesse dire cose nuove o inaspettate. Ma qualcuno mi ha fatto notare che il titolo sarebbe potuto essere "Primi ammonimenti su data breach" e la cosa, credo, si fa molto più interessante perché fornisce un'idea di come il Garante intende approcciare le situazioni.

giovedì 6 febbraio 2020

EN 16234-1: 2019 - Quadro e-Competence (e-CF)

E' stata pubblicata la nuova versione dell'e-CF. La notizia me l'ha data la newsletter I see T di Uninfo:
- https://uninfo.it/index_pages/news/focus/1580812766424.html.

Ricordo che e-CF permette di classificare le competenze in ambito informatico e può servire per la ricerca di determinate competenze, come peraltro promosso da AgID.

Io non sono un grande fan di questa iniziativa perché la trovo un po' troppo elaborata. Ciò non ostante, penso che sia comunque utile conoscerla, visto che è alla base anche di norme italiane relative ai profili professionali in ambito sicurezza (UNI 11621-4) e privacy (UNI 11697).

lunedì 3 febbraio 2020

Le peggiori password del 2019

La pagina "Here are the most popular passwords of 2019":
- https://nordpass.com/blog/top-worst-passwords-2019/.

Mi rendo conto che la pagina è soprattutto utile a NordPass, produttore di uno strumento di password management che non conosco e che non posso né raccomandare né sconsigliare, ma si tratta sempre di una buona risorsa.

In passato l'iniziativa era di TeamsID, altro Password manager (o è lo stesso che ha cambiato nome? non ho proprio verificato), ma quest'anno non l'ha ripetuta.

sabato 1 febbraio 2020

Mean Time to Hardening

Niccolò Castoldi mi ha segnalato questo interessante articolo dal titolo "Mean Time to Hardening: The Next-Gen Security Metric":
- https://threatpost.com/mean-time-hardening-next-gen-security-metric/151402/?mc_cid=9b25b37c64&mc_eid=e2b3a4cb20.

Ho i miei dubbi sull'applicabilità di quanto scritto, ma è indubbiamente interessante il ragionamento sui tempi da rispettare per l'hardening: 24 ore (che lo stesso autore ritiene molto sfidanti).

Antivirus Avast free e la rivendita dei dati

Aldo Colamartino mi ha segnalato questo interessante articolo:
- https://www.ilsoftware.it/articoli.asp?tag=Avast-nell-occhio-del-ciclone-la-versione-free-rastrella-i-dati-degli-utenti_20626.

Non è il primo caso di questo tipo, ma mi pare interessante che proprio attraverso un prodotto di sicurezza siano trattati con tanta disinvoltura i dati degli utilizzatori.

Sempre più prodotti propongono agli utenti di inviare i dati a scopi di "analisi delle prestazioni", ma è ovvio che forse questa non sia l'unica finalità.

ENISA on-line tool for the security of data processing

Giulio Boero e Pierfrancesco Maistrello mi hanno segnalato il "ENISA on-line tool for the security of data processing":
- https://www.enisa.europa.eu/risk-level-tool.

Bisogna poi premere sull'icona "Evaluating the level of risk for a personal data processing operation".

Riporto il commento di Giulio Boero, che condivido:

<<
Questo tool mi pare molto "dritto allo scopo" (come un po' l'approccio dell'ENISA ultimamente, senza troppi fronzoli e molto pragmatico) e anche graficamente gradevole.

E' basato fondamentalmente su due punti:
- un self-assessment calibrato sui controlli ISO/IEC 27001:2013 per "vedere" il posizionamento di un'organizzazione rispetto al trattamento dei dati personali; alla fine si può anche esportare un report abbastanza utile;
- un tool che verifica il rischio sul trattamento dei dati personali a partire dalle classiche domande RID fino ad arrivare a quesiti più verticali riguardanti la relazione tra il dato personale trattato e la criticità rispetto al settore di business dell'organizzazione. Forse la formula finale (la classica threat*impact = risk) poteva essere migliorata, ma come detto l'idea di fondo è che questo tool sia utile e costituisca una buona (ottima?) base di partenza; ed è qualcosa che forse mancava e di cui si sentiva il bisogno.
>>

Riporto anche il commento di Pierfrancesco Maistrello e dico che condivido anche questo:

<<
Il tool non permette di valutare l'abbattimento del rischio in relazione alle misure adottate.

In sintesi, lo strumento dice:
1. ecco qui un processo documentato e dimostrabile di valutazione del rischio;
2. a fronte dei risultati, ti sforno una lista di misure che applicherai.
>>

Io aggiungo due cose a cui bisogna stare attenti:
1- i calcoli sono tutti basati sul massimo e le formule sono molto ma molto più semplici di quanto la presentazione fa immaginare; approvo l'approccio, ma si rischia di rimanere delusi;
2- per la valutazione delle minacce, sono fatte tante domande intermedie, ma alla fine chiede una valutazione complessiva; il meccanismo non è quindi automatico; ancora una volta: nulla di male ma si rischia la delusione.

Non mi resta che ringraziare Giulio e Pierfrancesco per la segnalazione.

Linee guida EDPB su videosorveglianza

L'EDPB ha pubblicato la versione finale delle "Guidelines 3/2019 on processing of personal data through video devices". A luglio aveva pubblicato una prima versione per consultazione pubblica:
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.

Al momento non mi sembra disponibile la versione in italiano.

Dopo una prima lettura, segnalo alcuni aspetti per me degni di nota:
- non è sempre richiesta la PIA, soprattutto per i casi tipici in cui è usata la videosorveglianza (ossia la sicurezza, con un numero limitato di persone che accedono ai video in tempo reale o registrati); da osservare che neanche il "Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d'impatto" del nostro Garante impone la PIA per ogni tipo di videosorveglianza;
- è lungamente trattata la "eccezione per scopi domestici";
- sono altrettanto lungamente trattate le basi legali per il trattamento, ma è chiaro che in molti casi queste non possono includere il consenso;
- non tratta, purtroppo, il caso di pubblicazione di video di eventi;
- include, e questo è importante, un capitolo sul trattamento di dati biometrici (riconoscimento facciale), che potrebbe essere considerato anche più in generale e non solo per i video;
- sulle informative propone un nuovo modello rispetto a quello del Garante (ma nulla vieta di adattare il precedente) e richiede che sia disponibile un'informativa più dettagliata rispetto a quella minima sul cartello;
- stabilisce che, per la video sorveglianza, 72 ore di conservazione sono normalmente sufficienti e che un tempo più lungo debba essere giustificato (ricordiamoci che il nostro Garante ha stabilito che il tempo "normale" è di 24 ore e il massimo non dovrebbe essere superiore ai 7 giorni);
- sono suggerite misure di sicurezza non molto dissimili da quelle del Provvedimento italiano del 2010, ma comunque, in alcuni casi, più dettagliate.

Comunicato stampa Patch AI

Non faccio pubblicità nel mio blog e nella mia newsletter, ma questa volta c'è il mio nome su un articoletto del Sole 24 Ore:
- https://www.diritto24.ilsole24ore.com/art/avvocatoAffari/newsStudiLegaliEOrdini/2020-01-31/stefanelli-stefanelli-fianco-patchai-la-compliance-materia-gdpr-144610.php.

Quando mai mi ricapiterà?

sabato 25 gennaio 2020

Il DPO deve essere un legale (ma forse anche no) - Puntata AGCM

Sulla questione del DPO avvocato, si è inserita anche l'Autorità garante della concorrenza. Nel bollettino 1/2020 si trova infatti la decisione AS1636:
- https://www.agcm.it/pubblicazioni/bollettino-settimanale/2020/1/Bollettino%201/2020.

In breve: "l'Autorità auspica che le amministrazioni in indirizzo valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all'accesso alle selezioni che possano risultare sproporzionate e ingiustificate". In particolare dice: "con specifico riferimento al requisito dell'iscrizione all'albo professionale degli avvocati, esso appare discriminatorio e non giustificato".

Grazie a Pierfrancesco Maistrello per averlo segnalato agli Idraulici della privacy.

giovedì 23 gennaio 2020

NIST privacy framework

Avevo visto la notizia in giro, ma l'ho guardato grazie all'insistenza di Giancarlo Caroti. Si tratta del NIST privacy framework:
- https://www.nist.gov/privacy-framework.

Ho purtroppo visto confermate le mie ipotesi iniziali.

La prima riguarda la complessità: in tempi in cui molte persone devono capire cosa fare, si trovano misure le "Risk Assessment" e "Risk Management Strategy", le cui differenze sono ovvie, ma, allo stato pratico, non utili. Questo mi intristisce di più, perché dimostra quanto sia cambiato un ente che apprezzavo tantissimo per i suoi documenti pragmatici.

Ma questo è un ulteriore effetto dell'ampliamento della platea dei "professionisti della sicurezza e della privacy": per dimostrare di essere degno di questo titolo è necessario dimostrare sempre maggiore sofisticazione, dimenticando che la semplicità è la più alta espressione di sofisticazione. Ma questo si nota anche nell'uso a sproposito del termine "ecosistema", che è sì evocativo, ma scorretto e non degno di tecnici che, soprattutto in questi casi, dovrebbero usare "sistema".

Altra causa va ricercata nel fatto che il NIST è un organismo di supporto alle organizzazioni degli Stati Uniti, solitamente più grandi di quelle europee (e infatti adesso è ENISA quella che si sta distinguendo per le cose pragmatiche).

Ad ogni modo, a parte le mie elucubrazioni, vale sempre la pena leggere questo documento. Le misure di sicurezza, per quanto complicate, possono essere di aiuto.

domenica 19 gennaio 2020

Ispezioni GDPR della GdF (un resoconto)

Alberto Bonato mi ha reso partecipe di alcune ispezioni relative al GDPR condotte dalla Guardia di finanza..

Intanto è riuscito a prendere appunti sulla check list usata, che riporto:
1) struttura ed organizzazione della società;
2) titolarità dei trattamenti;
3) distribuzione delle funzioni;
4) tipologia e natura dei dati (inclusi videosorveglianza e dati biometrici);
5) modalità di acquisizione dei consensi;
6) numero degli interessati;
7) registro dei trattamenti;
8) responsabili (esterni);
9) DPO;
10) lista dei soggetti autorizzati, istruzioni fornite e loro formazione, con messa a disposizione delle eventuali nomine ad incaricati);
11) periodo di conservazione dei dati personali (oppure i criteri);
12) procedure per i diritti degli interessati;
13) comunicazione di dati a terzi, presupposti di legittimità, categorie dei soggetti destinatari e finalità del trattamento dei destinatari;
14) modalità con cui è fornita l'informativa;
15) misure tecniche e organizzative;
16) eventuali certificazioni.

Sono un po' perplesso sul 10, ma si tratta di una check list, non di un requisito.

Il 15, a sua volta, si suddivide in:
- eventuale pseudo-anonimizzazione e cifratura;
- capacità di assicurare riservatezza, integrità e disponibilità;
- capacità di ripristino in caso di incidente fisico o tecnico;
- procedura per testare, verificare e valutare regolarmente le misure;
- principali applicazioni;
- controllo accessi (userid e password; strong authentication);
- audit interni e presso responsabili;
- eventuali alert sui sistemi;
- eventuale backup.

Si noti come siano importanti backup e controllo accessi.

In merito al punto 12 sui diritti degli interessati, la GdF ha approfondito le procedure per dare modo all’interessato di esercitare i propri diritti, chiedendo anche se fossero stati predisposti moduli automatizzati o cartacei che l'interessato potesse compilare. Ma, come dice Alberto, "si è trattato di un confronto tutto verbalizzato e che poi seguirà risposta dal Garante".

Da osservare che hanno chiesto una relazione sul sistema informatico e hanno anche chiesto di accedere ai database per verificare la corrispondenza con il registro ai trattamenti.


In merito ad aziende con trattamento di dati sanitari, si sono soffermati sulla figura del DPO, chiedendo come il titolare fosse in grado di provare la effettiva attività del DPO. Hanno anche chiesto se esistesse una procedura "per tenere traccia dei problemi inerenti il trattamento di dati personali", ossia sulla gestione del registro delle violazioni.

I controlli hanno avuto durata tra i 3 e 4 giorni, con inizio verso le 9 del mattino e chiusura verbali intorno alle 22/23 di notte.

Ho chiesto ad Alberto come si fossero comportati gli ispettori e mi ha detto che si sono dimostrati gentili, corretti e professionali. Ho pensato che invece alcuni auditor ISO si comportano in modo ben diverso e sono contento di sapere che le nostre forze dell'ordine si siano dimostrate inappuntabili.

venerdì 17 gennaio 2020

Guidelines on ICT and security risk management

Enrico Toso di Deutsche Bank mi ha segnalato la pubblicazione delle EBA Guidelines on ICT and security risk management:
- https://eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-ict-and-security-risk-management.

Riporto quanto mi scrive Enrico e lo ringrazio.

<<
Anche se dal titolo non è esplicito, questa Guideline di EBA (Autorità di Vigilanza Europea) si applica al settore finanziario e in particolare alle istituzioni (istituti di credito e di investimento) oltre che alle relative Autorità Competenti Nazionali, per garantire la sicurezza delle operazioni di pagamento. In quest'ottica sostituirà anche la precedente "Guidelines on security measures for operational and security risks of payment services" (EBA/GL/2017/17) e si propone di regolamentare il settore dei pagamenti anche per quello che riguarda l'accesso delle Fintech e delle cosiddette Terze Parti (o TPP) al mondo dell'Open Banking.

E' frutto di un paio di anni di gestazione e contiene (in fondo) anche gli esiti della consultazione pubblica rispetto a cui esprime delle valutazioni ragionate (per recepirle o rifiutarle).
>>

giovedì 16 gennaio 2020

Attacco "Loss of supplier"

Ad un mio cliente è successo: un fornitore di assistenza specialistica
informatica ha chiuso i battenti da un giorno all'altro. Così il cliente, al
primo incidente, ha impiegato molto più tempo del previsto a risolverlo e
adesso teme che l'incidente si possa ripetere, visto che la correzione non è
stata approvata dal fornitore.

L'errore del software ha mandato in errore altri apparati e anche questo
incidente è stato risolto dopo molto più tempo del previsto perché il
contratto prevedeva assistenza (di un altro specialista rispetto al software
di cui sopra) in orario lavorativo e non 24/7/365.

Lo segnalo per ricordarci che le "cose che non succedono mai" succedono.

Ho ovviamente anonimizzato il più possibile.

giovedì 9 gennaio 2020

Articolo sullo stato delle certificazioni ISO/IEC 27701

Con Andrea Caccia e Fabio Guasconi ho scritto un articolo dal titolo "Stato delle certificazioni ISO/IEC 27701":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.

Ora ha titolo "GDPR e certificazioni, tutto sulla norma ISO/IEC 27701" ma, insomma, l'articolo è quello.

martedì 7 gennaio 2020

Due articoli sul GDPR (violazioni e sistema di gestione)

Daniele Santucci mi ha segnalato due suoi articoli sulla privacy.

Il primo ha titolo "Data breach e modelli preventivi di gestione delle non conformità: strategie di compliance":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-e-modelli-preventivi-di-gestione-delle-non-conformita-strategie-di-compliance/.

Il secondo ha titolo "Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/sistema-di-gestione-privacy-come-modello-per-il-controllo-dei-dati-personali-una-proposta-operativa/.

Si tratta di articoli abbastanza "di base", ma interessanti.

lunedì 23 dicembre 2019

Attacco Idiot wind

Prendo a prestito il titolo di una canzone di Bob Dylan (di un grande album) per nominare il seguente tipo di attacco, successo veramente anche se anonimizzato (ringrazio la persona che me lo ha segnalato).

Una società produce molta documentazione cartacea. Quindi la raccoglie e la digitalizza (scansione). Quindi raccoglie la documentazione cartacea ormai digitalizzata e la distrugge con distruggi-documenti. Però un giorno succede che qualcuno apre la finestra e i documenti in attesa di essere distrutti volano via, in strada.

Salva la disponibilità e l'integrità delle informazioni (visto che i documenti erano già stati acquisiti), ma non la riservatezza.

Qualcuno mi ha detto che avrebbero dovuto distruggere i documenti appena acquisiti, ma bisogna stare attenti a dare soluzioni senza conoscere la realtà (neanche io la conosco). Forse le acquisizioni sono a lotti e questi lotti vanno verificati bene prima di procedere alla distruzione degli originali o forse la procedura solita bilanciava bene le esigenze di qualità ed efficienza o chissà.

Red and blue team (seconda puntata)

Avevo scritto dei red e blue team, concludendo che mi sembravano nuovi nomi per vecchie cose:
- http://blog.cesaregallotti.it/2019/12/red-and-blue-team.html.

Niccolò Castoldi mi ha segnalato un articolo che dettaglia le differenze tra red team e penetration tester e tra blue team e SOC:
- https://danielmiessler.com/study/red-blue-purple-teams/.

In sintesi, l'articolo dice che il red team svolge attività continuative di test, mentre i penetration tester svolgono attività in tempi e ambiti predefinitivi; i blue team svolgono attività costante di ricerca e di miglioramento, mentre i SOC sono solo reattivi.

Come spesso succede nel campo dell'informatica (e non solo), bisogna sapere quali sono i termini in uso, essere consapevoli che non tutti li usano allo stesso modo e che bisogna chiarire con gli interlocutori cosa intendono con certi termini quando li usano (e aspettarsi di essere guardati con la faccia di chi pensa di dirti un'ovvietà e quindi di dovergli rispondere che non lo è).

giovedì 19 dicembre 2019

Partito l'accreditamento per la ISO/IEC 27701 (certificazione privacy)

Accredia ha pubblicato la "Circolare tecnica DC N° 10/2019 – Disposizioni in merito all'accreditamento norma ISO/IEC 27701":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-10-2019-disposizioni-in-merito-allaccreditamento-norma-iso-iec-27701/.

In essa sono fornite le regole che devono seguire gli organismi di certificazione per accreditarsi e quindi fornire servizi di certificazione per la ISO/IEC 27701.

Ricordo che la ISO/IEC 27701 è la norma per certificare il sistema di gestione per la protezione dei dati personali (personal information management system), di cui già parlai in precedenza:
- http://blog.cesaregallotti.it/2019/10/stato-delle-norme-isoiec-270xx-aggiunta.html.

Questa mossa sta facendo muovere un po' di cose. Purtroppo ho letto, anche su testate prestigiose, elucubrazioni in merito alla possibilità di usare questa norma per la "certificazione in base all'articolo 42 del GDPR" (errori in cui io stesso incappai, per la verità) e retroscena mai visti.

Ribadisco: la ISO/IEC 27701 non può essere usata per la "certificazione in base all'articolo 42 del GDPR" e al momento non sono disponibili standard di organismi di normazione riconosciuti che vanno in questo senso. L'unico retroscena è che il gruppo editoriale non aveva pienamente riflettuto sul fatto che uno standard costruito sulla base della ISO/IEC 27001 (come la ISO/IEC 27701) non avrebbe potuto riportare requisiti per la certificazione  di un processo (ossia sulla base della ISO/IEC 17065, come richiesto dal GDPR), ma solo per la certificazione di un sistema di gestione (ossia sulla base della ISO/IEC 17021).

Purtroppo poi alcuni nomi, anche significativi, confondono le acque, fornendo indicazioni e critiche non completamente corrette, per promuovere altri schemi (che però hanno più problemi di quelli denigrati):
- https://dptel.imperialida.com/2019/12/prassi-di-riferimento-e-simili-come-meccanismi-di-certificazione-della-protezione-dei-dati/.

Per questo, raccomando di leggere la risposta di Fabio Guasconi su LinkedIn:
- https://www.linkedin.com/posts/rosarioimperiali_prassi-di-riferimento-e-simili-come-meccanismi-activity-6611178784567762944-xdP-/.

Tornando alla circolare Accredia, apprezzo il fatto che alcune richieste sono poste in modo meno prescrittivo, mentre per altri schemi erano poste in modo molto più preciso. Mi riferisco ad alcune richieste che io ritengo fuori luogo, come la visita presso tutti i data centre o la necessità, per gli auditor, di avere competenze sulla ISO/IEC 20000 o altri standard non pertinenti.

PS: purtroppo ho successivamente visto che la circolare Accredia impone, per i fornitori di servizi cloud, anche la ISO/IEC 27017 e 27018 per chi volesse ottenere la certificazione ISO/IEC 27701. Questo è un errore perché aggiunge impropriamente requisiti alla ISO/IEC 27701 (che, tra l'altro, è stata scritta anche considerando quelle due norme).

sabato 14 dicembre 2019

Privacy: ISDP 10003:2018 di Inveo disponibile gratuitamente

Inveo ha reso disponibile gratuitamente la ISDP 10003:2018, ossia il documento con i requisiti per ottenere una certificazione privacy e con accreditamento ISO/IEC 17065 (ossia come richiesto dal GDPR):
- https://www.in-veo.com/it/newsletter-privacy-tools.

Io ebbi l'opportunità di leggere le bozze (questa non la scarico perché richiede la registrazione), ma avevo sollevato delle obiezioni. Non ricordo bene quali, per la verità. In generale, però, non ho colto finezze particolari per la certificazione di processo anziché di sistema di gestione.

L'obiettivo è evidentemente quello di promuovere e diffondere ulteriormente lo schema e si aggiunge ad altre iniziative di Inveo in questo senso (la pubblicità, la partecipazione a studi, la richiesta, purtroppo accolta, ad Accredia di promuovere i corsi su questa norma).

Io continuo a pensare che queste certificazioni dovrebbero basarsi su norme discusse e pubblicate da enti di normazione riconosciuti, non da singoli enti (per quanto meritori possano essere).

Ringrazio Andrea Caccia per la segnalazione (e anche per il supporto).

lunedì 9 dicembre 2019

Red and blue team

Vito Losacco mi ha segnalato questo articolo dal titolo "Cybersecurity Red Team Versus Blue Team — Main Differences Explained":
- https://securitytrails.com/blog/cybersecurity-red-blue-team.

Mi pare dia nomi nuovi a gente che prima chiamavamo "Ethical hacker" e "SOC". Però è sempre bene conoscerli.

Trovo interessante la lista delle cose che deve fare la squadra blu (blue team, aka SOC):
- Security audits, such as a DNS audit;
- Log and memory analysis;
- pcap;
- Risk intelligence data analysis;
- Digital footprint analysis;
- Reverse engineering;
- DDoS testing;
- Developing risk scenarios.

ISO/IEC 330xx - Process assessment (e ISO/IEC 15504 - SPICE)

Sono noti alcuni schemi di valutazione della maturità (o della capacità) dei processi. A me non convincono perché troppo basati sulla quantità di documenti e di registrazioni e perché sono convinto che la realtà non sia facilmente modellabile e l'illusione di farlo, oltre che costare tanto, è pericolosa. Però è bene conoscere questi standard.

Lo schema dell'ISO/IEC era noto come ISO/IEC 15504 e con il nome, piuttosto divertente, di SPICE (Software process improvement and capability determination), dal nome del progetto da cui è partito lo sviluppo dello standard.

Per motivi a me ignoti, la serie ISO/IEC 15504 è in fase di sostituzione da parte degli standard della serie ISO/IEC 330xx.

Ecco quindi lo stato attuale degli standard:
- ISO/IEC 33001: 2015 (concetti e terminologia), che sostituisce la parte 1 della ISO/IEC 15504;
- ISO/IEC 33002:2015 (requisiti per valutare i processi), ISO/IEC 33003:2015 (requisiti per misurare i processi) e ISO/IEC 33004:2015 (requisiti per i modelli di processo) che sostituiscono le parti 2 e 7 della ISO/IEC 15504;
- ISO/IEC 33015:2019 (determinazione dei rischi di processo) al posto delle ISO/IEC 15504-4 e ISO/IEC 15504-9;
- ISO/IEC 33020: 2015 (misurazioni per la valutazione della capacità) che sostituisce parte della 15504-2;
- ISO/IEC 33030:2017 (esempio di valutazione) che sostituisce parte della 15504-3;
- ISO/IEC 33053:2019 (Process Reference Model (PRM) for quality management).

Rimangono ancora "vive" le seguenti:
- ISO/IEC 15504-5 (An exemplar software life cycle process assessment model);
- ISO/IEC 15504-6 (An exemplar system life cycle process assessment model);
- ISO/IEC 15504-8 (An exemplar process assessment model for IT service management);
- ISO/IEC 15504-10 (Safety extension).

Ulteriori documenti sono in fase di lavorazione nella serie ISO/IEC 330xx.

Statistiche sui dipendenti pubblici

Riporto un tweet di Paride Leporace, da un tweet di Ernesto Belisario: "L'Italia è un paese di impiegati di mezza età : Dipendenti pubblici sotto i trent'anni d'età: 2,9% . Età media del dipendente pubblico ministeriale: 54,9 anni".

Ho ritrovato questi dati (ricercando qualche fonte) in questo articolo del Corriere della Sera:
- https://www.corriere.it/economia/finanza/19_ottobre_22/porte-aperte-statali-ma-chi-sceglie-giovani-df58d144-f4b3-11e9-bd4f-0986d8452d56.shtml.

Il commento di Ernesto Belisario: "L'età media dei dipendenti pubblici è un fattore che deve essere tenuto in considerazione in tutte le iniziative di trasformazione digitale. Ma - a mio avviso - non rappresenta, in assoluto, un ostacolo all'innovazione del settore pubblico".

Direi che ce n'è abbastanza per ragionare.

Però aggiungerei anche altri dati. Il primo è che il 73% degli italiani usa Internet (uno su quattro NON lo usa!). Il secondo è che solo una parte di questi italiani usa i social network:
- https://wearesocial.com/it/blog/2018/01/global-digital-report-2018.

Io quindi emenderei così il commento: la capacità (e l'età) del personale di un'organizzazione e dei cittadini di usare Internet e gli strumenti informatici, oltre alle esigenze di sicurezza informatica, deve essere tenuta in considerazione quando si avviano iniziative di trasformazione digitale.

sabato 7 dicembre 2019

Controlli sui lavoratori e certificati penali (sentenze cassazione)

Luca De Grazia mi ha segnalato un articolo di Donato Apollonio su Pluris (a cui non ho accesso).

Sui precedenti penali, mi sono segnato quanto segue.

La sentenza Cass. Sez. Lav. 17 luglio 2018, n. 19012 dice: la richiesta del certificato penale integra un limite rispetto alla previsione di cui all'articolo 8 dello Statuto dei Lavoratori ("è fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi (...) su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore") che si giustifica con la rilevanza ai fini della valutazione dell'attitudine professionale del lavoratore della conoscenza di date informazioni relative all'esistenza di condanne penali passate in giudicato".

Quindi sembra che sia legittimo richiedere il certificato penale in molti casi.

Più curiosa è la questione relativa all'aspirante lavoratore che si è impegnato a produrre il certificato dei carichi pendenti mediante la sottoscrizione di un format di dichiarazione individuale. In questo caso, risultano irrilevanti le lamentate violazioni di legge in ordine all'art. 8 dello Statuto dei lavoratori e all'art. 27 della Costituzione ed è legittimo il rifiuto del datore di procedere all'assunzione per carenza dei requisiti previsti (Cass. Sez. Lav. 12 settembre 2018, n. 22173; in senso conforme è anche Cass. Sez. Lav. 16 maggio 2017, n. 12086).

Io sono sempre dell'idea che sia scorretto valutare la professionalità di una persona in base ai suoi precedenti (sia perché il debito nei confronti della società dovrebbe essere estinto, sia perché l'impossibilità di lavorare potrebbe riportare la persona a delinquere), però mi pare giusto segnalare questi orientamenti.

Aggiungo però (anche perché ripreso da Pierfrancesco Maistrello!) che non mi pare che queste sentenze citino il GDPR. E infatti il GDPR prevede che i dati giudiziari possano essere trattati solo se questo è autorizzato da una norma di legge e non mi pare che la normativa citata dalle sentenze autorizzi esplicitamente al trattamento dei dati giudiziari nell'ambito lavorativo in questione.

giovedì 5 dicembre 2019

Ricerca DNV GL su Privacy & Information Security

DNV GL Business Assurance ha pubblicato la sua ricerca su privacy e sicurezza:
- https://www.dnvgl.com/assurance/viewpoint/viewpoint-surveys/2019Q4/highlights.html.

La segnalo anche perché ho partecipato alla sua progettazione e ho collaborato per alcune sue parti.

Non mi piacciono molto le ricerche, come ho già avuto modo di dire. Però segnalo alcune cose interessanti (a mio parere) emerse da questa:
- consapevolezza del fatto che le competenze sono più necessarie degli strumenti (tool); sembra banale per chi si occupa di sistemi di gestione, ma molti, in realtà, pensano siano più importanti gli strumenti;
- la maggior parte degli intervistati è incerta sugli impatti, in termini di privacy e sicurezza, positivi o negativi delle nuove tecnologie; questa risposta è in controtendenza rispetto a quello che è promosso;
- poche persone si qualificano come esperte in sicurezza e privacy; a vedere lo sbandieramento di certificati e articoli, avrei scommesso su un minor livello di umiltà.

Altre cose si possono ricavare dal rapporto; io ho indicato quelle che a me hanno colpito maggiormente.

mercoledì 4 dicembre 2019

Multa del CNIL per chiamate di marketing indesiderate (e uso del campo note)

Pierfrancesco Maistrello mi ha segnalato la multa di 500mila Euro fatta dal CNIL alla società Futura Internationale per violazione del GDPR:
- https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal.

In sostanza, questa società ha chiesto a diversi contact centre esteri di fare chiamate di marketing ai potenziali clienti, senza però attivare processi per l'esercizio del diritto di opposizione. Trovo bello poi che il CNIL abbia multato anche la carenza di informazioni fornite al personale interno. Altri due punti sono: mancata collaborazione con l'autorità e carenza di garanzie nel trasferimento dei dati.

Ultimo punto significativo del provvedimento è l'uso scorretto dei campi note nei software usati per tracciare le chiamate e le relazioni con i clienti e potenziali clienti. Su questo argomento non avevo mai riflettuto. Invece il CNIL ha scritto una nota:
- https://www.cnil.fr/fr/zones-bloc-note-et-commentaires-les-bons-reflexes-pour-ne-pas-deraper.

Ecco i consigli:
- informare gli interessati della raccolta delle note;
- pensare che gli interessati potrebbero esercitare il diritto di accesso;
- scrivere note oggettive, mai eccessive o insultanti (su questo vanno formati gli operatori);
- attenzione ai dati personali appartenenti a categorie particolari;
- usare strumenti tecnologicamente appropriati (p.e. evitare i campi note in favore di menu a tendina, avere funzionalità per verificare periodicamente come sono usati i campi note).

lunedì 25 novembre 2019

Fine supporto Windows 7

Sta finendo il supporto a Windows 7. Questo articolo di Agenda Digitale indica alcune possibili soluzioni (oltre ad aggiornare i sistemi):
- https://www.agendadigitale.eu/sicurezza/fine-aggiornamenti-windows-7-e-2008-a-rischio-i-pc-della-pa-ecco-i-consigli.

Prego osservare come, in alcuni ambiti, l'esperienza acquisita con la fine del supporto di Windows XP NON sia servita e alcuni si trovano in difficoltà anche in questo caso.

Attenzione: non voglio dire che sia facile dismettere un sistema operativo da un'organizzazione, solo che, in alcuni ambiti, non si è riusciti ad evitare il ripresentarsi dei problemi poco tempo prima della scadenza.

Conversione del DL Perimetro sicurezza nazionale cibernetica

Fabrizio Monteleone di DNV GL mi ha segnalato la conversione del DL 105 del 2019 "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica ((e di disciplina dei poteri speciali nei settori di rilevanza strategica))". La conversione è avvenuta con la Legge 133 del 2019. Su Normattiva si consulta il DL 105 modificato:
- https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=.

Alcuni spunti sulle novità sono in questo articolo su Agenda Digitale:
- https://www.agendadigitale.eu/sicurezza/sicurezza-cibernetica-italiana-cosi-le-misure-si-rafforzano-in-parlamento/.

mercoledì 20 novembre 2019

ENISA good practices for security of IoT

Alessandro Cosenza di BTicino mi ha segnalato che ENISA ha recentemente pubblicato (19 novembre 2019) di "Good practices for security of IoT: Secure Software Development Lifecycle":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot-1.

Mi sembra molto completo. Tratta di governo, processi, gestione del personale e soluzioni tecnologiche. Mentre i primi punti sono "i soliti", più originali sono le soluzioni tecnologiche. Per chi volesse approfondire, poi, sono segnalati diversi riferimenti (anche se molti riferimenti "tecnici" sono in realtà generici).

martedì 12 novembre 2019

Stato delle assicurazioni GDPR in Europa

Pierfrancesco Maistrello mi ha segnalato questo schema che indica la possibilità di assicurarsi rispetto alle multe del GDPR:
- https://www.dlapiper.com/de/austria/insights/publications/2019/07/updated-guide-on-the-insurability-of-gdpr-fines-across-europe/.

Lo studio completo è disponibile dietro registrazione e mi sembra curioso, visto che si parla di privacy. Comunque ho deciso di non registrarmi e quindi di non leggere il rapporto completo. Infatti l'Italia appare come Paese in cui non sono disponibili assicurazioni per multe da GDPR, ma mi sembra che qualche cosa sia invece stato sviluppato. Forse il rapporto completo riporta qualche indicazione in più.

giovedì 7 novembre 2019

Nuova versione della ISO 22301

E' uscita la nuova versione della ISO 22301, lo standard con i requisiti per (e per certificare) un sistema di gestione per la continuità operativa. Il titolo corretto è: "ISO 22301:2019 - Security and resilience — Business continuity management systems — Requirements":
- https://www.iso.org/standard/75106.html.

Ringrazio Claudio Sartor che mi ha segnalato questo articolo dal titolo "Come cambia lo standard internazionale di business continuity (ISO 22301)":
- https://www.ictsecuritymagazine.com/articoli/come-cambia-lo-standard-internazionale-di-business-continuity-iso-22301/.

martedì 5 novembre 2019

TISAX

TISAX è uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive.

Lo schema riprende quanto già previsto dalla ISO/IEC 27001. Però è interessante leggere l'Excel di autovalutazione, visto che approfondisce alcuni temi:
- https://www.vda.de/en/services/Publications/information-security-assessment.html.

Rapporto MELANI 2019/01

Melani è la "Centrale d'annuncio e d'analisi per la sicurezza dell'informazione" della Confederazione Svizzera. Forse sbaglio, ma dovrebbe essere il CERT nazionale o un suo equivalente. Ogni 6 mesi pubblica un rapporto sullo stato della sicurezza. L'ultimo è quello relativo al primo semestre 2019:
- https://www.melani.admin.ch/melani/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2019-1.html.

Io penso che sia il rapporto meglio scritto e meglio organizzato di tutti quelli che ho visto. Conosco pochissimi equivalenti e li ritengo meno interessanti (e mi dispiace che non non ci siano più emulatori; il nostro www.certnazionale.it è inguardabile, da questo punto di vista).

MELANI ha anche creato liste di controllo per attacchi DDOS, sistemi industriali, CMS e siti web (oltre ad altri documenti):
- https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide.html.

lunedì 28 ottobre 2019

Telecamere sul posto di lavoro e nel processo penale

Sull'uso delle telecamere, recentemente sono arrivate due notizie.

La prima la fornisco in modo molto sintetico perché non ho molto di più. Però dal titolo si capisce molto: "La violazione della disciplina privacy non è motivo di inutilizzabilità delle videoriprese nel processo penale".
- https://www.forensicsgroup.eu/2019/10/la-violazione-della-disciplina-a-tutela-della-privacy-non-puo-costituire-uno-sbarramento-rispetto-alle-preminenti-esigenze-del-processo-penale/.

La seconda è invece un intervento del nostro Garante su una sentenza della Corte di Strasburgo. Il comunicato "Telecamere sul luogo di lavoro: dichiarazione di Antonello Soro, Presidente del Garante per la privacy, su sentenza Corte di Strasburgo":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9164334.

Mi pare che si possa sempre ritrovare il rispetto del principio di proporzionalità (ossia installazione sulla base di sospetti circostanziati, tempo e area limitati, mancanza di alternative per dimostrare l'evento). Copio e incollo: La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità spazio-temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Una riflessione sulle certificazioni ISO/IEC 27701

Pierfrancesco Maistrello mi ha scritto una riflessione interessante sulle certificazioni privacy, la ISO/IEC 27701 e la necessità o meno di avere certificazioni con accreditamento ISO/IEC 17021 o 17065 (ricordo che il GDPR richiede il secondo).

Scrive Pierfrancesco:
<<
Non credo che le organizzazioni siano pronte a certificarsi GDPR art.42-43: è un passo troppo lungo e complesso per molti. Senza contare che il vantaggio di queste certificazioni è tutto da dimostrare. Ricordo sempre il ragionamento di Bolognini, che diceva che una certificazione ex art.42 non pienamente gestita o "bucata" potrebbe trasformarsi in un aggravio delle inadempienze del titolare, in caso di valutazione della sanzione amministrativa.

Ma certo molta gente ha bisogno di indicazioni per strutturare il sistema di gestione delle proprie misure e quindi una norma autorevole, anche se non coerente a GDPR art. 42-43, è utile.

Ulteriore riflessione. Guardando il recente sweep del garante fatto con Netcomm, si vede che hanno chiesto ad aziende che hanno attività e-commerce se le loro data breach policies contengono specifiche indicazioni sulla gestione delle eventuali azioni correttive. Io trovo questa attitudine al miglioramento delle misure di sicurezza la principale lacuna dei clienti con cui lavoro in questi mesi. Questo mi riporta a pensare che una norma come la ISO/IEC 27701, anche se non GDPR art. 42-43, sarà utile in questo senso.
>>

Il DPO deve essere un legale (ma forse anche no)

Ricordo che a settembre avevo citato una sentenza del TAR del Friuli Venezia Giulia per cui il DPO deve essere un legale:
- blog.cesaregallotti.it/2018/09/il-dpo-deve-essere-un-legale-cosi-dice.html.

Pierfrancesco Maistrello mi ha segnalato un commento dalla newsletter di IAPP. Non credo che il contenuto sia liberamente distribuibile, perciò traduco molto liberamente come segue.

"Non c'è niente di male nell'usare un legale come DPO, ma si rischia di pagare tanto per persone (gli avvocati) che, per attitudini, sono estremamente avversi ad ogni rischio. Ma l'applicazione di normative come il GDPR si basa su un approccio "basato sul rischio" e questo può essere garantito anche, e forse meglio, da persone non legali, ma con approccio pragmatico. I legali possono essere utilissimi per interpretazioni e chiarimenti".

sabato 19 ottobre 2019

Stato delle norme ISO/IEC 270xx (aggiunta sulla certificazione ISO/IEC 27701)

In merito alla certificazione ISO/IEC 27701, avevo già scritto che speravo di lavorare per uno schema di certificazione basato sulla ISO/IEC 17065, così come richiesto dall'art. 42 del GDPR.

In realtà mi hanno spiegato che se ISO farà uno schema di certificazione della ISO/IEC 27701 basato sulla ISO/IEC 17021, non si potrà farne un altro basato sulla ISO/IEC 17065 perché le regole EA lo proibiscono.

Sarebbe possibile fare un nuovo standard, anche uguale alla ISO/IEC 27701, ma con altra numerazione, in modo da pensare ad uno schema basato sulla ISO/IEC 17065.

Io penso che se partirà la certificazione ISO/IEC 27701 (e credo anche che partirà presto), questa avrà abbastanza successo da rendere inutile ogni altra certificazione, anche se basata sull'art. 42 del GDPR. Ci saranno certamente quelli che ribadiranno continuamente che la certificazione ISO/IEC 27701 non è coerente a quanto richiesto dall'articolo 42 del GDPR, ma nella pratica nessuno ci farà caso (esattamente come nessuno fa caso a me quando dico che cyberspazio non si traduce con "spazio cibernetico", che la "cyber-sicurezza" è in realtà la "sicurezza informatica", che certi inventari degli asset sono inutili, eccetera).

Questo lo scrivo e mi divertirà vedere se sarò smentito dalla realtà o la mia previsione sarà confermata.

Stato delle norme ISO/IEC 270xx

Venerdì 18 ottobre 2019 si è concluso a Parigi il meeting semestrale del ISO/IEC JTC 1 SC 27, ossia del gruppo che, tra gli altri, si occupa delle norme ISO/IEC 27001 e 27701.

Le persone iscritte erano più di 300 (è difficile fare i conti corretti, visto che molti si sono iscritti a più gruppi di lavoro e non riesco a calcolare correttamente il numero totale).

La delegazione italiana era composta da 4 persone (tra cui Fabio Guasconi, Andrea Caccia e io; ringrazio tutti i delegati per avermi segnalato refusi ed errori nella prima versione di questa nota).

Segue lo stato di alcune norme che ritengo essere le più interessanti in lavorazione.

Per quanto riguarda le norme relative ai sistemi di gestione, ossia quelle trattate dal WG 1:
- ISO/IEC 27001: si è avviata una revisione minore solo per allineare l'Annex A alla nuova ISO/IEC 27002 (non è previsto si modifichino altre parti della norma); si pensa quindi di avere le nuove versioni delle due norme nel 2022;
- ISO/IEC 27002 sui controlli di sicurezza: passa in CD e si prevede che la sua nuova versione sarà pubblicata nel 2022;
- ISO/IEC 27004 sulle misurazioni della sicurezza: è stata approvata la pubblicazione di una correzione (non significativa, se non per quelli particolarmente rigorosi);
- ISO/IEC 27005 sulla gestione del rischio: sono ripartiti i lavori e si spera di concluderli all'inizio del 2022;
- ISO/IEC 27011 sui controlli per gli operatori di TLC: è in fase di revisione e si spera di concluderla per fine 2022;
- ISO/IEC 27013 sui rapporti tra ISO/IEC 27001 e ISO/IEC 20000-1; è in fase di revisione per recepire la nuova versione della ISO/IEC 20000-1 (oltre che le esperienze maturate in questi anni).

E' stata avanzata la proposta di una nuova norma ISO/IEC 27104 dal titolo "Guidelines for cyber insurance". Dovrò cercare di capire perché questa norma oltre alla ISO/IEC 27102.

Credo sia significativo segnalare che:
- si prevede l'elaborazione di una qualche norma, simile alla ISO/IEC 27006, per le certificazioni ISO/IEC 27701; curiosamente molti europei si sono dichiarati contrari a usare la ISO/IEC 17065 come base per questa nuova norma, nonostante la ISO/EC 17065 sia richiamata dal GDPR; su questo dico che ci sono ancora ampi margini di manovra in fase di redazione; inoltre penso che la contrarietà sia dovuta ad una certa impostazione di rigore tecnico (visto che la ISO/IEC 27701 è uno standard per sistemi di gestione e non per processi) e non a giochetti volti a favorire qualche attore di mercato;
- sono state discusse le possibili azioni da intraprendere, in termini di chiarimenti e di suggerimenti, in merito alle certificazioni ISO/IEC 27001 che usano i controlli aggiuntivi di norme come le ISO/IEC 27001, 27017, 27018 e 27019.

Per quanto riguarda le norme relative alla privacy, ossia il WG 5, credo che la cosa più interessante sia la norma relativa alla cancellazione dei dati personali, ma solo perché la sta seguendo una rappresentante della delegazione italiana.

Per quanto riguarda le certificazioni rispetto alla ISO/IEC 27701, ho già scritto nel punto precedente.

Avrei voluto seguire alcune norme più tecniche (quelle relative all'IoT e gestite dal WG 4), ma la bizzarra organizzazione ha fatto sì che fossero trattate a più di mezzora di distanza da quelle del WG 1 e WG 5 e la logistica non mi ha permesso di spostarmi in tempo.

martedì 15 ottobre 2019

Lo spamming non è (sempre) reato

Luca De Grazia mi ha segnalato questa notizia dal titolo "Lo spamming non è reato. Anche dopo Gdpr":
- https://www.italiaoggi.it/news/lo-spamming-non-e-reato-anche-dopo-gdpr-2393718.

Luca De Grazia mi dice che il concetto del cosiddetto nocumento era da considerare anche in precedenza.

Io dico che, da un punto di vista generale, questa sentenza mi lascia perplesso perché io continuo a pensare che lo spam crei nocumento.

Sicuramente, al di là del mio pensiero, credo sia importante considerare questa sentenza. Credo anche che sia importante ricordare che l'articolo 130 (comma 3-bis) del Codice Privacy (D. Lgs. 196 del 2003) ammetto il cosiddetto soft spam.

venerdì 11 ottobre 2019

VERA 5.0

Ho pubblicato il VERA 5.0:
- http://www.cesaregallotti.it/Pubblicazioni.html.

La novità maggiore è che ho messo nello stesso file le cose per ISO/IEC 27001 e per privacy (ISO/IEC 27701).

Qualche altra modifica dalle persone che mi hanno scritto e suggerito (negli ultimi mesi: Gianluca Dalla Riva, Alessandro Gaspari, Pierfrancesco Maistrello, Arturo Messina, Nicola Nuti, Simona Persi, Chiara Ponti, Stefano Posti, Pierluigi Stefli).

Invito tutti a criticare e a farmi avere critiche e suggerimenti.

giovedì 10 ottobre 2019

IEC 62443-4-2 sulla sicurezza dei componenti OT (sicurezza industriale)

Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida". Ho qualche riserva sull'articolo, in particolare sulla disinvoltura con cui confonde security e safety e sulla sua concentrazione sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però alcune cose sono decisamente interessanti e ne raccomando la lettura:
- https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber-security-industriale-le-linee-guida/.

Questa norma riporta i requisiti da considerare per i componenti dei sistemi informatici industriali. I componenti possono essere:
- applicazioni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC e sensori);
- pc o server generici;
- componenti di rete.

I requisiti possono poi essere usati per 4 livelli di sicurezza.

La lettura non è semplice e richiede anche di essere accompagnata dalla IEC 62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443 rappresentino la lettura allo stato dell'arte in materia di sicurezza informatica industriale (o "OT cyber security", dove però il termine "OT" non è mai usato dalle 62443).

La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.

Sentenza: Sì al licenziamento per pc aziendale usato per fini personali

Segnalo questo articolo di Altalex dal titolo "Pc aziendale usato per fini personali? Sì al licenziamento in tronco":
- https://www.altalex.com/documents/news/2019/10/02/pc-aziendale-usato-per-fini-personali-si-al-licenziamento-in-tronco.

La Corte di appello di Roma ha confermato il licenziamento di una lavoratrice per aver navigato su Internet troppo frequentemente e per lungo tempo e aver anche importato un ransomware.

La sentenza è interessante (dovremo anche vedere se ci sarà un intervento della Corte di Cassazione, ma dovremo aspettare anni) perché fornisce indicazioni in merito alle indagini ex post anche in mancanza di informative privacy o simili.

martedì 8 ottobre 2019

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.