venerdì 26 agosto 2011

I 20 controlli di sicurezza critici

Il SANS ha pubblicato la terza versione del suo elenco dei 20 controlli di sicurezza più importanti.
https://www.sans.org/critical-security-controls/

Il documento in pdf è di 76 pagine. Mi sembra interessante come sono descritte le modalità di implementazione, perché sono distinti i quick wins, attività di monitoraggio, attività di riduzione delle vulnerabilità e controlli avanzati. Il tutto è preceduto da un rationale.

Transizione delle certificazioni ISO/IEC 20000-1:2005 a ISO/IEC 20000-1:2011

Dal webinar di APMG "ISO/IEC 20000 - Part 1 Update Explained" del 3 agosto 2011, fornisco risposte a domande che mi sono state poste in questi mesi.

E' bene far notare che le risposte riguardano lo schema di APMG, dovremo vedere se saranno valide anche per le certificazioni gestite da altri organismi (Accredia, UKAS, etc):
- non sono previsti corsi di aggiornamento per Auditor e Lead Auditor (che dovranno comunque studiarsi autonomamanete la nuova norma)
- i nuovi certificati dovranno essere basati sulla nuova norma se emessi dopo il 1 giugno 2012
- gli audit di mantenimento, potranno essere condotti sulla ISO/IEC 20000-1:2005 fino al 1 giugno 2013

- l'aggiornamento della ISO/IEC 20000-2 dovrebbe essere pubblicato a inizio 2012

La presentazione del webinar la trovate al link
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4891&sID=4752

APMG Ente di Accreditamento per la ISO/IEC 20000-1 (seconda puntata)

Il 27 maggio avevo pubblicato la notizia "APMG Ente di Accreditamento per la ISO/IEC 20000-1":
http://blog.cesaregallotti.it/2011/05/apmg-ente-di-accreditamento-per-la.html

Con il seguente commento: "Sarà interessante capire come saranno gestite le relazioni tra certificati aziendali accreditati APMG e quelli accreditati da altri organismi di certificazione quali Accredia (ex Sincert)".

Tony Coletta, al webinar di APMG "ISO/IEC 20000 - Part 1 Update Explained" del 3 agosto 2011 ha posto questa domanda, soprattutto facendo riferimento alla EC Regulation 765/08 che impone a ciascun stato della UE di avere un unico ente di accreditamento riconosciuto dagli altri stati membri attraverso gli accordi EA MLA (e, pertanto, non ci dovrebbe essere spazio per un ente quale APMG).

APMG ha risposto così (riassumo): "Un ente di accreditamento come UKAS in UK non è coinvolto nelle attività di itSMF e operano il proprio schema di certificazione ISO/IEC 20000 con 3 organismi accreditati, mentre APMG ne ha 50. Altro punto da considerare è che ci sono diversi schemi di certificazione accreditati (con la "a" minuscola) anche al di fuori degli accordi EA MLA, ma comunque riconosciuti dal mercato. E' intenzione di APMG lavorare a stretto contatto con gli organismi di Accreditamento nazionali per garantire l'efficacia dello schema".

Forse ho riassunto male e forse ho tradotto male, ma mi sembra che al momento la situazione sia ancora lacunosa.

Ad ogni modo, potete leggere la presentazione del webinar:
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4891&sID=4752
e le risposte alle domande (tra cui quella di Tony Coletta):
http://www.apmg-international.com/nmsruntime/saveasdialog.asp?lID=4892&sID=4752

Alcuni punti sullo schema di certificazione su cui ho ricevuto domande nei mesi scorsi, nel post successivo.

Schema di regolamento su Diritto d'Autore su Internet

Giovanni Francescutti (DNV Italia) segnala l'iniziativa dell'Autorità per le
Garanzie nelle Telecomunicazioni sul Diritto d'Autore. In particolare,
l'AGCOM ha presentato uno "schema di regolamento in materia di tutela del
diritto d'autore sulle reti di comunicazione elettronica".
Riguarda soprattutto il ruolo e le responsabilità degli ISP nel pubblicare
contenuti non rispettosi del Diritto d'Autore e le modalità che dovranno
seguire.
E' possibile leggere il Comunicato Stampa del 6 luglio 2011:
http://www.agcom.it/Default.aspx?message=visualizzadocument&DocID=6663
Lo schema di regolamento in consultazione pubblica per 60 giorni:
http://www.agcom.it/Default.aspx?DocID=6694
<http://www.agcom.it/Default.aspx?DocID=6694>
La delibera 398 del 2011 dell'AGCOM con indicati i diversi contributi
ricevuti per la redazione dello schema di regolamento:
http://www.agcom.it/Default.aspx?DocID=5413
<http://www.agcom.it/Default.aspx?DocID=5413>
Nota: quello che qui è chiamato "schema", altri chiamerebbero "bozza".
Sarà ovviamente interessante vedere come andrà avanti l'iniziativa e i
successivi commenti.
Intanto segnalo già i primi due commenti di Simone Tomirotti che gentilmente
me l'ha segnalato:
-
http://italianjam.blogspot.com/2011/07/lagcom-e-il-diritto-dautore-la-mia.ht
ml

- http://italianjam.blogspot.com/2011/08/la-proposta-dellagcom-e-blanda.html

Minacce e attacchi

In molti mi chiedono dove trovare una lista di attacchi per iniziare a fare un'analisi del rischio.

Da Crypto-Gram del 15 agosto, segnalo questo documento della Canergy Mellon University che può essere un ottimo inizio:
http://www.cert.org/archive/pdf/10tn028.pdf

Per chi volesse andare più in profondità, dai commenti a Crypto-Gram, segnalo il VERIS Framework: https://verisframework.wiki.zoho.com/

Qui l'elenco è molto più dettagliato e forse di difficile utilizzo per un risk assessment generale. La web application messa a disposizione può essere di ulteriore aiuto: https://www2.icsalabs.com/veris/. Per chi volesse leggere un documento vero e proprio, segnalo il "Verizon Data Breach Investigations Report" con riportate anche le statistiche pertinenti (sempre da prendere con cautela).

giovedì 25 agosto 2011

ROSI v2

Il 16 maggio del 2010 avevo segnalato lo studio sul ROSI condotto da AIEA,
CLUSIT, Deloitte, Ernst & Young, KPMG, Oracle, PricewaterhouseCoopers.
Ora ne è uscita la versione 2, liberamente scaricabile da
http://rosi.clusit.it.
Ci sono alcuni spunti interessanti e la lettura è consigliata. Tra l'altro,
avevo già segnalato che lo studio prende correttamente atto
dell'impossibilità di calcolare il ritorno degli investimenti di sicurezza
(dico io: se sono impossibili le analisi del rischio quantitative, sarà
ovviamente impossibile valutare in modo esatto la bontà degli investimenti
di sicurezza) e propone un approccio degno di attenzione.

ITIL2011

Il 29 luglio è stata pubblicata la versione 2011 di ITIL. Come già detto,
non si tratta di una versione 4, ma di una versione 3.1.
Faccio un breve riassunto delle novità, affidandomi alla newsletter del 3
agosto di itSMF Italia (i commenti sono miei, ovviamente):
- le nuove pubblicazioni sono acquistabili da itSMF Italia (www.itsmf.it) o
da www.best-management-practice.com; il costo è di non poche 360 sterline
inglesi (410 Euro);
- se già le pubblicazioni del 2007 vi sembravano corpose (un totale di 1.344
pagine), sappiate che le cose non sono migliorate: ora il numero totale di
pagine è di 1.888:
- buona notizia: non sono previsti aggiornamenti (o "bridge") delle
certificazioni ottenute negli anni scorsi su ITILv3; in altre parole, se
avete già un certificato ITILv3 Foundation o Intermediate o Expert, è ancora
valido;
- non è stato ridotto il numero di processi: ora la Service Strategy ne
prevede 5 e al Service Design è stato aggiunto il processo di Design
Coordination (che in effetti mancava... come era facilmente intuibile); gli
altri rimangono dove sono: i redattori di ITIL2011 hanno dimostrato di non
voler buttare via nulla e hanno lasciato dei "processi" che sono
evidentemente delle "attività".
Ad ogni modo, i nuovi esami sono disponibili dal 8 agosto.
Per chi se la sente: buona lettura!

Sesso, bugie e ricerche sul cybercrime

Da sempre diffido delle ricerche e dei dati sugli attacchi informatici. E,
conseguentemente, da sempre penso che le analisi di rischio quantitative
siano impossibili da fare.
C'è chi ha raccolto le prove (come segnalato da Cryptogram di luglio):
http://research.microsoft.com/pubs/149886/SexLiesandCybercrimeSurveys.pdf