sabato 22 ottobre 2011

DPS Addio?

Attilio Rampazzo di segnala un articolo su Italia Oggi sulle ulteriori semplificazioni alla normativa privacy.http://www.italiaoggi.it/news/dettaglio_news.asp?id=201110211204007588&chkAgenzie=ITALIAOGGI&sez=newsPP&titolo=Privacy,%20Dps%20addio

Attilio si chiede: "A questo punto, anche se è una nuova proposta per superare la crisi, invece di tutte queste semplificazioni ovvero mutilazioni, non è meglio a questo punto abrogare tutta la legge visto che,se sarà vero, non rimane quasi più nulla di tutela dei dati personali?"

Convengo che la cosa mi inquieta.

Un pochino per quei pochi euro che mi portava "l'aggiornamento del DPS", ma tanto per la mia sensibilità in materia di sicurezza.

Purtroppo, alcune pessime disposizioni dell'Allegato B (ereditate dal 318/1999, e ampliate da amenità quali la "data certa" e altri Provvedimenti del Garante) e un nugolo di cani affamati di soldi (i consulenti), hanno reso l'esercizio del DPS molto oneroso e incomprensibile, ridotto alla produzione di plichi di centinaia di pagine anche in piccole realtà (li ho visti! lo giuro!).

Se a questo aggiungiamo che il Governo attualmente in carica non è molto sensibile alla materia (vedere Registro delle Opposizioni, che inverte il precedente principio di opt-in nel principio di opt-out), il gioco è fatto.

Non ci rimane che guardare cosa succede: una nostra manifestazione sotto il Parlamento richiamerebbe al massimo una decina di persone ;-)

venerdì 21 ottobre 2011

Glossario ITIL 2011

Sul sito ufficiale di ITIL è stato pubblicato il glossario 2011, anche in italiano (può anche far riflettere il fatto che ci sia un glossario spagnolo per la Spagna e uno spagnolo per l'America Latina).

E' noto che non tutte le definizioni di ITIL sono condivisibili (pensate a quella di known error, per cui non basta avere il workaround, ma anche la causa documentata, mentre nella realtà si hanno spesso workaround senza causa documentata e sono comunque denominati known error) e alcuni termini rimangono confinati a ITIL e non usati nella maggioranza dei casi ("operation bridge" su tutti).

E' anche noto che alcune traduzioni in italiano dei termini informatici possono sembrare forzate.

Però, in questo glossario ci sono anche cose interessanti e che meritano di essere capite e utilizzate.

La pagina dei glossari: http://www.itil-officialsite.com/InternationalActivities/ITILGlossaries_2.aspx

giovedì 20 ottobre 2011

Pubblicata la ISO/IEC TR 27008 - Tecniche di audit

Attilio Rampazzo mi informa della pubblicazione, il 6 ottobre 2011, della
ISO/IEC TR 27008:2011 - Information technology -- Security techniques -- Guidelines for auditors on information security controls.

E' una linea guida, quindi non è necessario seguirla. Come tutte le norme di questo tipo, ci sono cose interessante e altre risapute.

lunedì 17 ottobre 2011

Incidente al Blackberry

Il 10 ottobre, i servizi Blackberry hanno subito un crash con conseguente indisponibilità di 3-4 giorni.

Clienti arrabbiati, investitori infastiditi e altre amenità di questo genere:
-
http://www.bbc.co.uk/news/technology-15287072
- http://money.cnn.com/2011/10/13/technology/blackberry_outage/index.htm
La Blackberry ha detto che condurrà una "root cause analysis" su un "problema hardware". Spero che non diventi una "caccia al colpevole per punire un innocente", ma sia una roba seria (mi chiedo quale possa essere stato il guasto che ha colpito un'infrastruttura forse in non-così-alta-affidabilità).

Detto questo, l'incidente ci deve ricordare che l'e-mail (come la posta tradizionale, come gli SMS) è basata su un protocollo "inaffidabile". Se volete essere certi che il destinatario riceva una vostra comunicazione, dovete telefonargli!

Dilbert sugli standard

Da Crypto-Gram del 15 ottobre 2011, segnalo questa vignetta di Dilbert:http://dilbert.com/fast/2011-08-02/

In inglese. Ma mi ha ricordato cose italiane...

mercoledì 12 ottobre 2011

Dispositivi mobili aziendal-personali

Lo scorso dicembre segnalai il fatto che oggi sempre più smartphones e tablet personali (per non parlare del pc di casa) sono utilizzati per il lavoro, visto che sono spesso migliori della strumentazione fornita dall'azienda.http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html

Ora scopro che questa modalità ha un nome: BYOD, Bring your own device.

Segnalo quindi questo breve articolo pubblicato sul sito web dell'ISACA dal titolo "5 Information Risk Management and Security Tips When Adopting a BYOD Strategy for Mobile Devices":
http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/at-ISACA-Volume-21-12-October-2011.aspx?utm_source=informz&utm_medium=email&utm_campaign=informz#2

Divieto di concorrenza

Da Filodiritto trovo questa sentenza della Cassazione sul divieto di concorrenza: la cessione del "solo" 40% delle quote societarie non implica il divieto di concorrenza previsto dall'articolo 2557 del Codice Civile.

La notizia, di per se, non riguarderebbe i temi di questo blog. Però ho capito il perché, in alcuni contratti, si impone la clausola di riservatezza per "almeno cinque anni" (per me dovrebbe valere per sempre, a meno che le informazioni non diventino pubbliche) dopo il termine del rapporto di lavoro per dipendenti) o del contratto per fornitori.

Infatti, l'articolo 2557 recita "Il patto di astenersi dalla concorrenza in limiti più ampi di quelli previsti dal comma precedente è valido, purché non impedisca ogni attività professionale dell'alienante. Esso non può eccedere la durata di cinque anni dal trasferimento."

L'articolo:
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3368

Posta Elettronica Certificata -- Scadenza e professionisti

Prendendo spunto da una pubblicità che mi è arrivata, ricordo che "La legge n.2 del 2009 impone a tutte le Aziende, entro il 29/11/2011, di comunicare al registro imprese della C.C.I.A.A. il proprio indirizzo di casella PEC - Posta Elettronica Certificata."

Io non sono un'impresa, ma a breve attiverò la PEC.

Ha i suoi limiti (tra gli altri, vi segnalo l'articolo di Andrea Monti su Interlex "Posta certificata: troppe questioni ancora aperte"), ma mi pare sia utile.

L'articolo di Andrea Monti:
http://www.interlex.it/docdigit/amonti92.htm
Inoltre segnalo questo articolo di Filodiritto sulla PEC per i professionisti iscritti agli albi professionali:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2457

Infine, segnalo anche questo sulla condanna alla Regione Basilicata per "mancato uso di PEC":
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2456

Videosorveglianza, standard ISO e Garante Privacy

Il 14 luglio il Garante Privacy ha emesso un provvedimento che permette alla società DNP Photomask Europe S.p.A. di conservare alcune immagini videoregistrate per 90 giorni, contrariamente al Provvedimento Generale del 8 aprile 2010 che impone un limite di 24 ore, a meno di eccezioni che possono portare fino al limite massimo di 7 giorni.

-
http://www.garanteprivacy.it/garante/doc.jsp?ID=1836335

Cos'è successo? In altre occasioni il Garante ha chiesto di limitare il tempo di conservazione, qui addirittura permette di estenderlo fino a 13 volte il limite massimo ed eccezionale.

Un potenziale cliente (Infineon, tedesco) della società DNP ha richiesto alla DNP di adottare delle misure di sicurezza, tra cui la conservazione per 90 giorni delle immagini, in conformità alle loro procedure, "conformi alla ISO/IEC 17799 e alla ISO/IEC 15408".

Per i pignoli: il Provvedimento dice che la Infineon "opera rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", non che sono certificati (anche se un prodotto della Infineon è effettivamente certificato EAL5+)

Quindi, al punto 3 del Provvedimento, il Garante (Relatore: Fortunato) elogia gli standard internazionali dicendo alcune cose corrette e osservando che queste norme fissano "stringenti criteri" da prendere per buoni. Il tutto si conclude con: "si ammette la conservazione delle immagini per 90 giorni".

Ecco cosa c'è di sbagliato:
- il Provvedimento è del 14 luglio 2011; ormai da 6 (sei) anni, la ISO/IEC 17799 si chiama ISO/IEC 27002 (peccato veniale, ma allora sentiamoci autorizzati di citare la Legge 675 del 1996)
- le norme citate sono ISO/IEC non ISO (altro peccato veniale)
- la ISO/IEC 27002 (o 17799) non c'entra nulla con il "protocollo EAL5+"
- nessuna delle due norme citate fissa "stringenti criteri"; l'unico "stringente criterio" è che (semplifico) le misure di sicurezza devono essere commisurate al rischio analizzato dall'impresa; non si parla di "videosorveglianza", "90 giorni", "TVCC" o altre cose del genere (ho trovato solo un "suitable intruder detection systems")
- la ISO/IEC 27002 non fornisce "stringenti criteri" per sua natura (è una linea guida, da adattare caso per caso)

Alla luce di tutto ciò, provo a tradurre quello che è successo: la Infineon ha fatto le sue analisi del rischio (secondo un metodo e con risultati non riportati dal Provvedimento) e ha stabilito che il tempo giusto per conservare le immagini per lei e i suoi fornitori è di 90 giorni, lo richiede alla DNP, la quale DNP lo richiede al Garante, che dice "OK". Sintetizzo ancora: il Garante ha detto "se mi dite che avete fatto un'analisi dei rischi (che non vorrò vedere) che vi dice di conservare le immagini per 90 giorni, io approvo".

Non credo fosse quello il suo intendimento. Purtroppo, avendo accettato di trattare un argomento senza conoscerlo e senza averlo studiato, questo è il risultato.

Ma c'è un ulteriore effetto negativo della storia: si dà alle norme ISO/IEC citate un valore inesatto, esattamente come lo si dà alla ISO 9001. Come la ISO 9001 non garantisce l'alta qualità dei prodotti o servizi offerti, così la 27002 e la 15408 non garantiscono l'alta sicurezza dei prodotti o servizi o dell'azienda in assoluto. Non la faccio lunga, ma ricordo che Windows NT fu certificato EAL3, e oggi molti sistemi operativi Windows sono certificati EAL 4+... questo intuitivamente vi fa capire che non basta sapere "certificato", bisogna andare un poco oltre.

E infatti, da tempo, insieme ad altri colleghi, cerco di far capire che queste affermazioni sono false (il Garante invece ha dimostrato di prenderle per buone, soprattutto l'ultima; sarà forse perché tutte quelle sigle e quei numeri l'hanno confuso?):
- io sono certificato ISO -> sono al sicuro
- il mio fornitore è ISO -> è sicuro anche secondo i miei standard, anche se non glieli ho detti
- ricerco un fornitore ISO -> non ho bisogno di dirgli i miei requisiti di sicurezza perché tanto lui è sicuro -> non ho neanche bisogno di capire cosa c'è scritto sul certificato
- compro un prodotto ISO o da un fornitore ISO -> il prodotto è sicuro
- il mio cliente, fornitore o partner è ISO -> tutto ciò che dice è buono e giusto

Mi limito a concludere dicendo che:
- il Garante ha sbagliato
- se ha sbagliato qui, quante altre volte è stato superficiale nei Provvedimenti?
- come è possibile che il Garante non conosca almeno approssimativamente gli standard internazionali sulla sicurezza delle informazioni?
- allora è vero che emette Provvedimenti con misure di sicurezza da realizzare senza una base condivisa dagli specialisti della materia!

- Il Provvedimento Generale sulla videosorveglianza del 8 aprile 2010:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680#3.4
- il sito ufficiale dei Common Criteria: http://www.commoncriteriaportal.org/

Mi fermo qui. Qualcuno mi dia i riferimenti di un avvocato in caso riceva una querela.