lunedì 30 gennaio 2012

DPS addio? - Secondo tentativo (quasi riuscito; ci manca poco)

Il primo a darmi la notizia è stato Max Cottafavi di Spike Reply: il Decreto Legge "Semplifica Italia" del Governo Monti elimina il DPS. Bisognerà aspettare l'approvazione in Legge, ma non sono da prevedere ulteriori sorprese.

Se guardo solo nel mio palazzo (un artigiano, uno studio di ingegneria, uno studio di un professionista - io, due medici che però non hanno lo studio privato), posso dire che almeno 4 o 5 DPS inutili non sono più obbligatori.

Se però penso ad alcuni miei clienti (tra le cui attività vi sono: trattamento del personale, gestione donazioni per scopi religiosi, ricerche di mercato, selezione del personale e conservazione cartelle mediche) e ad alcune realtà fortemente sindacalizzate, se penso anche che tanti reclami al Garante vengono da sindacati e consumatori, allora mi viene da pensare che a molti conviene predisporre, in ottica preventiva, nel caso in cui dovessero essere coinvolti in un procedimento giudiziario o da una verifica da parte del Garante, un documento che dimostri in qualche modo l'attuazione delle misure di sicurezza minime e idonee previste (ancora...) dal Codice Privacy.

Non dimentichiamoci che i Titolari devono ancora dimostrare il controllo sulle attività dei Responsabili, che devono fornire loro delle istruzioni, che devono verificare l'operato degli Amministratori di Sistema e che rimangono responsabili penalmente per alcuni inadempimenti. Sicuramente, molte aziende dovranno produrre ancora dei documenti in merito e una sorta di "lista di riscontro", come poteva essere inteso il DPS, sarà sempre utile.

Insomma, io suggerirei a queste imprese di continuare a farlo (e non solo per mie finalità economiche!), anche se ora non bisognerà più pensare alla scadenza del 31 marzo, potrà essere redatto in modo diverso e forse migliore e potrà essere nominato "Manuale Privacy" o "Pippo" e non più "DPS".

Ultima nota: con l'eliminazione del punto 19.6 dell'Allegato B, non c'è più una misura minima la formazione al personale. Ho già discusso altrove come questa misura sia mal scritta e mal posizionata all'interno del Codice. Ora mi chiedo: è veramente furbo non prenderla più in considerazione?

Attilio Rampazzo mi ha suggerito anche il seguente articolo, che condivido quasi completamente:
-
http://www.federprivacy.it/index.php?option=com_content&view=article&id=469&Itemid=8
(per i curiosi: non condivido quanto detto sul ruolo del Responsabile della Sicurezza, né la presunta inutilità di fare riferimento a nomine e informative sul DPS; quest'ultimo punto non l'ho mai preso in carico, ma stavo giusto giusto pensando che ora che il DPS diventa facoltativo, forse potrebbe essere utile).

Altri articoli, sempre consigliati da Attilio Rampazzo, fanno riferimento al prossimo Regolamento UE che "presto sarà applicato in tutti i 27 Paesei della Comunità Europea prevede regole rigide, documenti da predisporre e conservare, oltre a sanzioni da capogiro". Ci penseremo quando sarà emesso:
-
http://www.federprivacy.it/index.php?option=com_content&view=article&id=468:passa-il-decreto-semplificazioni-il-dps-e-stato-abolito&catid=40:flash-news&Itemid=64

Il testo non ufficiale è disponibile qui (in attesa di Normattiva):
- http://www.ictlex.net/?p=1375

martedì 24 gennaio 2012

Telelavoro e sicurezza

Dalla circolare dello Studio Tributario "Borioli & Colombo Associati", riporto che il comma 5 dell'articolo 22 della legge 183/2011(Legge di stabilità 2012) interviene sul tema del telelavoro con la finalità di favorirne l'utilizzo, oggi poco diffuso. Tale tipologia di lavoro subordinato non è rinvenibile in alcuna norma di legge ma, nel settore privato, è contenuta in vari accordi aziendali o di settore, fino a trovare il suo sbocco più generale nell'accordo interconfederale del 9 giugno 2004 che ha recepito l'accordo quadro europeo del 16 luglio 2002.

Ovviamente, non è questo il luogo dove discutere della Legge di Stabilità, ma degli impatti sulla sicurezza. E per questo è interessante leggere l'accordo in questione. Ecco alcuni punti che evidenzio (vale però la pena leggere tutto:
- Articolo 1 - Definizione: Il telelavoro costituisce una forma di organizzazione del lavoro che si avvale delle tecnologie dell' informazione, in cui l'attività lavorativa, che potrebbe anche essere svolta nei locali dell'impresa, viene regolarmente svolta al di fuori dei locali della stessa
- Articolo 2: il datore di lavoro provvede a fornire al telelavoratore le relative informazioni scritte
- Articolo 4 - Protezione dei dati: Il datore di lavoro ha la responsabilità di adottare misure appropriate, in particolare per quel che riguarda il software, atte a garantire la protezione dei dati utilizzati ed elaborati dal telelavoratore per fini professionali.
- Articolo 6 - Strumenti di lavoro: Di regola, il datore di lavoro è responsabile della fornitura, dell'istallazione e della manutenzione degli strumenti necessari ad un telelavoro svolto regolarmente, salvo che il telelavoratore non faccia uso di strumenti propri; In caso di guasto o malfunzionamento degli strumenti di lavoro il telelavoratore dovrà darne immediato avviso alle strutture aziendali competenti

Io ho trovato l'accordo su:
https://www.cliclavoro.gov.it/informarmi/comefarepercit/Conciliarefamigliaelavoro/Documents/accordo_telelavoro2004.pdf

Computer forensics e processo civile

Uno degli argomenti normalmente meno dibattuti in ambito di computer forensics è "la prova nel processo civile".

Provo qui a raccogliere gli elementi in merito:
- nell'ordinamento italiano, i mezzi di prova sono "tipici", ossia devono essere quelli stabiliti dalla Legge (prova documentale, prova testimoniale, presunzioni, confessione, giuramento)
- le prove possono essere legali (il giudice è vincolato a prenderne atto) o liberamente apprezzabili (la Legge non attribuisce loro alcuna predeterminata valenza probatoria)
- le prove possono essere piene (dimostrano con certezza la veridicità dei fatti cui si riferiscono), di verosomiglianza (ritenute sufficienti dalla Legge) oppure possono essere "argomenti di prova" (offrono alcuni elementi di valutazione)

Per quanto riguarda la prova informatica:
- le riproduzioni informatiche hanno la medesima valenza probatoria delle riproduzioni meccaniche disciplinate dall'articolo 2712 del Codice Civile: la prova è piena se colui contro il quale sono prodotte non le disconosce; in altre parole oppure, se contestate, argomenti di prova
- il Codice dell'Amministrazione Digitale (CAD, Dlgs 82 del 2005, più volte modificato), nella versione attuale, definisce il valore giuridico del documento informatico come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti"; ricordiamo comunque che il CAD stabilisce anche che tale mezzo di prova è liberamente valutabile in giudizio (a meno che non sia firmato digitalmente, ma solo elettronicamente)

Per l'acquisizione e presentazione delle prove, non vi sono regole esplicite (con l'eccezione della proprietà intellettuale, per cui la prova è acquisita da un Ufficiale Giudiziario con l'assistenza di un perito).

Ecco quindi che le prove informatiche da usare in ambito civile, anche per motivi prudenziali, andrebbero raccolte con le stesse procedure tecniche (acquisizione bit a bit, eccetera) e non tecniche  (tra cui: documentazione delle modalità di acquisizione e catena di custodia) del penale.

Ovviamente, poi, i casi reali possono essere piuttosto variegati. Segnalo quindi questa presentazione trovata sul web:
-
http://www.slideshare.net/gbellazzi/la-gestione-legale-delle-prove-digitali

Ulteriori segnalazioni in materia sono gradite.

domenica 22 gennaio 2012

I 20 controlli per un'efficace difesa informatica


Sulla newsletter Sans NewsByte del 13 gennaio si trova la notizia che il Governo UK ha rilasciato un documento dal titolo "20 critical controls for effective cyber defence".
-
http://www.cpni.gov.uk/advice/infosec/Critical-controls/

Questo sono a loro volta un riassunto dei "20 Critical Security Controls - Version 3.1" dello stesso SANS. Meglio leggere questi, con riportate molte linee guida in più (come la mancanza del controllo può essere sfruttata per un attacco, come realizzare il controllo, come misurarne l'efficacia, procedure e strumenti per realizzare il controllo, quali test condurre).
-
https://www.sans.org/critical-security-controls/

Per gli appassionati di metriche, anche perché spinti dal requisito della ISO/IEC 27001, segnalo che la bozza ora in circolazione richiede, in modo più generico dell'attuale versione del 2005, di "misurare l'efficacia del Piano di Trattamento del rischio". Chissà cosa ci riserverà la versione finale?

lunedì 16 gennaio 2012

Sostenibilità e responsabilità sociale

Un tema interessante è quello della sostenibilità. La sua accezione più ampia parte dal presupposto che "un'economia sostenibile a livello globale dovrebbe combinare la profittabilità a lungo termine con la giustizia sociale e la cura dell'ambiente".

Le organizzazioni possono quindi misurare e diffondere le proprie prestazioni in merito alla sostenibilità (a livello globale).

Per elaborare questi report, sono disponibili diverse linee guida o manuali.

Ho trovato interessante il link segnalatomi da Antonio Astone del DNV Italia:
http://www.globalreporting.org/

Qui, nella sessione "Get started" è possibile trovare le "Sustainability Reporting Guidelines", utili per chi volesse iniziare a produrre il proprio report.

Elenco degli standard di sicurezza ICT

Da Uninfo, che ha girato il verbale del primo incontro del "CEN-CENELEC-ETSI Cyber Security Coordination Group (CSCG)", ricevo un interessante link a "una lista di tutti gli standard relativi alla sicurezza ICT", curata dall'ITU.http://www.itu.int/ITU-T/studygroups/com17/ict/index.html

La pagina è decisamente interessante e, a sua volta, indirizza ad altre 6 pagine. I riferimenti sono tanti e dovrebbero soddisfare quasi ogni esigenza.

sabato 7 gennaio 2012

Prevenzione incendi - DPR 151 del 2011

Con il DPR 151 del 2011 sulla prevenzione incendi (scaricabile da www.normattiva.it) sono cambiate alcune cose in materia.

Per farla breve, vi segnalo la pagina pertinente dei Vigili del Fuoco, dove sono disponibili FAQ e moduli:
http://www.vigilfuoco.it/aspx/Page.aspx?IdPage=4075

Ho trovato molto interessante l'opuscolohttp://www.vigilfuoco.it/aspx/page.aspx?IdPage=5694

venerdì 6 gennaio 2012

24 gennaio 2012: "Usare il Cloud in sicurezza: spunti tecnici"

Il 24 gennaio, a Milano, parlerò di "Usare il Cloud in sicurezza: spunti tecnici" nell'ambito del Cloud Seminar organizzato da Assintel in collaborazione con CSA Italia e UC-Link.

Il convegno è gratuito e spero partecipiate anche per attivare una bella discussione:
http://www.assintel.it/eventi/815.jsp