martedì 24 dicembre 2013

Privacy e call center extra-UE (riflessioni - parte 2 con errata corrige)

In merito ai call-center Extra-UE ho scritto un post e una riflessione nei
mesi scorsi:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html
- http://blog.cesaregallotti.it/2013/12/privacy-e-call-center-extra-ue.html

Giuseppe Bava di ASPErience mi ha fatto notare che ho fatto un errore e lo
ringrazio.

In particolare, dicevo che il provvedimento si applica "a tutti i soggetti
che svolgono in qualità di titolare del trattamento un'attività di call
center in maniera prevalente". In realtà ciò non è vero.

Giuseppe mi ha segnalato che, nel Provvedimento, inizialmente il Garante
richiama una circolare del Ministero del lavoro e delle politiche sociali,
dedicata alle "aziende che svolgono in via assolutamente prevalente
un'attività di call center", ma poi dice che le sue disposizioni sono
rivolte a tutte le aziende, INDIPENDENTEMENTE dalla prevalenza o meno
dell'attività di call center.

sabato 21 dicembre 2013

Privacy e call center extra-UE (riflessioni)

A fine ottobre avevo segnalato il Provvedimento del Garante relativo ai
call center siti in Paesi extra-UE:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html

Alessandro Alberici di Econocomm mi ha però fatto notare che questo
Provvedimento pone dei problemi. In particolare, esso si applica "a tutti i
soggetti [...]che svolgono in qualità di titolare del trattamento
[...]un'attività di call center [...] in maniera prevalente". Quindi, se una
società vende pc e l'assistenza telefonica è offerta da personale extra-UE,
questo Provvedimento non si applica?

Io direi di sì, ma vorrei capire se ci sono posizioni diverse.

sabato 14 dicembre 2013

Studi sicurezza apps

Più o meno in contemporanea ho ricevuto notizia di due studi sulla sicurezza
dei sistemi di pagamento delle app per dispositivi mobili.

Il primo è stato segnalato da Enzo Ascione di Intesa Sanpaolo e riguarda la
bozza di raccomandazioni della Banca Centrale Europea dal titolo
"Recommendations for the security of mobile payments". Riguarda i pagamenti
in mobilità in generale, ma le app sono ovviamente il tema più approfondito.

La pagina da dove si può scaricare la bozza sembra nascondere il documento;
si trova a destra piccino piccino e ha il titolo "Draft recommendation":
- http://www.ecb.europa.eu/press/pr/date/2013/html/pr131120.en.html

Il secondo, segnalato dal Clusit Group di LinkedIn, è uno studio del Joint
Research Centre of European Commission (JRC) dal titolo The MobiLeak.
Segnalo la tesi di Pasquale Stirparo, collegata allo studio, dal titolo
"MobiLeak: A System for Detecting and Preventing Security and Privacy
Violations in Mobile Applications":
- http://kth.diva-portal.org/smash/record.jsf?searchId=1&pid=diva2:664617

L'intervista a Pasquale è decisamente interessante:
http://www.agendadigitale.eu/ecommerce/574_quanti-buchi-nelle-app-delle-banc
he-lo-studio-ue.htm

ENISA Threat Landscape 2013

Dal gruppo LinkedIn Italian Security Professional, ricevo notizia della
pubblicazione del "ENISA Threat Landscape 2013 - Overview of current and
emerging cyber-threats":
-
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-envir
onment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-th

reats

La segnalazione è accompagnata dal seguente articolo riassuntivo:
-
http://securityaffairs.co/wordpress/20423/cyber-crime/enisa-threat-landscape
-2013.html


Lettura decisamente interessante, che suggerisco.

sabato 7 dicembre 2013

ISO/IEC 20000 parte 5 e 10

Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione della ISO/IEC
TR 20000-5 dal titolo " Exemplar implementation plan for ISO/IEC 20000-1".

Propone un approccio a fasi per attuare i requisiti della ISO/IEC 20000-1.
Può essere una lettura interessante, anche se ciascuno dovrebbe sviluppare
un approccio secondo le caratteristiche dell'organizzazione in cui si vuole
attuare la ISO/IEC 20000-1.

Per chi dovesse avere già la versione del 2011, l'introduzione della nuova
versione dice che l'aggiornamento ha riguardato solo l'allineamento alla
versione del 2011 della ISO/IEC 20000-1, anche se è stata aggiunta
un'appendice di 12 pagine dal titolo "Templates".

La ISO/IEC 20000-10 dal titolo "Concepts and terminology" è invece alla
prima edizione e riporta le definizioni comuni delle norme della serie
ISO/IEC 20000, alcune considerazioni in merito, una descrizione degli altri
standard della stessa famiglia, oltre a quelli ad essi collegati (tra cui la
27001).

venerdì 6 dicembre 2013

2013 Horizon Scan Report

Un'altra ricerca sulle minacce. Questa è proposta dal The Business
Continuity Institute con il BSI:
- http://www.thebci.org/index.php/download-the-2013-horizon-scan-report

Essa è basata sulle percezioni dei partecipanti ed è possibile parteciparvi
accedendo dalla home page del BCI (http://www.thebci.org/)

sabato 30 novembre 2013

Linee guida 2013 Agid per il Disaster Recovery

L'Agenzia per l'Italia digitale ha pubblicato l'edizione 2013 delle "Linee
guida per il disaster recovery delle pubbliche amministrazioni". Si trovano
a questo indirizzo:
- http://www.digitpa.gov.it/fruibilita-del-dato/continuita-operativa

Il documento è notevole e contiene molte informazioni interessanti.
Certamente è discutibile l'impaginazione e l'ordinamento degli argomenti. In
generale, si trovano molte riflessioni sulle normative in vigore e sono
assenti delle linee guida su come effettuare una Business impact analysis
e/o un Risk assessment. Ci sono però molte altre cose interessanti, anche se
frutto ci copia-incolla o sintesi da altri documenti.

giovedì 28 novembre 2013

Prassi UNI sulle Infrastrutture Critiche

Franco Ferrari del DNV Italia mi ha segnalato questo articolo dell'UNI dal
titolo " Prassi di riferimento sulle Infrastrutture Critiche: al via la
consultazione pubblica":
-
http://www.uni.com/index.php?option=com_content&view=article&id=2528:prassi-
di-riferimento-sulle-infrastrutture-critiche-al-via-la-consultazione-pubblic
a&catid=111:generale&Itemid=546


Riporto, per comodità, questo breve estratto: "Il documento è strutturato
per essere applicato a organizzazioni, siano esse titolari o gestori di
Infrastrutture Critiche che operano nel settore dell'energia e dei suoi
sottosettori (elettricità, petrolio, gas) e nel settore trasporti e nei suoi
sottosettori, così come indicati nella Direttiva 2008/114/CE del Consiglio
Europeo, ma può essere altresì applicato ad altri settori in cui
l'Infrastruttura Critica potrebbe trovarsi a operare".

Visto che l'IT è un'infrastruttura critica, anche se non (ancora)
riconosciuto come tale dal Dlgs 61 del 2011, la lettura di questo documento
potrebbe essere interessante.

La bozza è scaricabile (per ora):
-
http://www.uni.com/index.php?option=com_content&view=article&id=1354:le-pras
si-di-riferimento&catid=149&Itemid=1439&showall=&limitstart=8

ISO 31004 - Guida alla ISO 31000

Franco Ferrari mi ha segnalato l'uscita della ISO/TR 31004 dal titolo "Risk
management — Guidance for the implementation of ISO 31000".

Francamente, mi sembra strano che esista una guida per una linea guida (la
ISO 31000 ha titolo " Risk management — Principles and guidelines") e, in
effetti, la sua lettura non mi sembra illuminante.

Gran parte di essa (10 pagine su 36) è dedicata a riflessioni sugli 11
principi del risk management e un'altra parte rilevante (8 pagine) è
dedicata al monitoraggio e al riesame del rischio.

lunedì 25 novembre 2013

ISO Survey 2012

L'ISO ha pubblicato la survey delle certificazioni 2012. Riguarda 9001,
14001, 27001, 13485, 22000, 50001 e 16949. Non ci sono proprio tutti (avrei
voluto avere dei dati anche sulla ISO/IEC 20000), ma già così è
interessante:
- http://www.iso.org/iso/home/standards/certification/iso-survey.htm

La notizia è arrivata via newsletter del DNV (ma senza il link alla pagina
ufficiale dell'ISO!), di cui potete leggere il commento in italiano:
-
http://www.dnvba.com/it/information-resources/news/Pages/ISO-Survey-2012.asp
x

giovedì 14 novembre 2013

Le condizioni di contratto del cloud computing

Segnalo questo articolo su CINDI dal titolo "Le condizioni di contratto del
cloud computing". Ovviamente molto di più si potrebbe dire sul cloud, ma
trovo inquietanti i risultati dell'analisi proposta... basati solo su 3
elementi contrattuali:
www.cindi.it/le-condizioni-di-contratto-del-cloud-computing

Visto che le linee guida suggeriscono di prevedere più di 3 elementi sul
contratto, non oso immaginare se e come sono gli altri.

mercoledì 13 novembre 2013

Norme ISO: i lavori del ISO/IEC JTC1 SC27 WG3

Stefano Ramacciotti mi ha inviato un aggiornamento sui lavori del WG3 del
Sub Commitee 27 di ISO/IEC JTC1. Esso si occupa dello sviluppo di Security
Evaluation Assurance criteria, ovvero dei criteri di valutazione dei sistemi
informatici (compresi quelli crypto) per mezzo dei quali verificare la
fiducia, in termini di sicurezza, che può essere accordata ai prodotti in
esame.

Tra i principali standard vi sono i Common Criteria (standard ISO/IEC
15408), con la relativa metodologia (ISO/IEC 18045), gli standard a essi
collegati (come l'ISO/IEC 15292 sulle procedure di registrazione dei
Protection profile e l'ISO/IEC TR 15446, per le linee guida relative alla
costruzione di Protection Profiles (PP) e Security Targets (ST)), più altri
standard come l'ISO/IEC 19790 Security requirements for cryptographic
modules che rappresenta l'edizione internazionale dello standard
americano-canadese FIPS 140-2.

Nel corso della conferenza svoltasi a Incheon (Corea del Sud) dal 21 al 25
ottobre u.s., si è parlato soprattutto di:
- ISO/IEC 15408-1:2009 "Information technology -- Security techniques --
Evaluation criteria for IT security -- Part 1: Introduction and general
model": per il quale ne è stata chiesta la pubblicazione.
- ISO/IEC 17825 "Testing methods for the mitigation of non-invasive attack
classes against cryptographic modules": per il quale è stata chiesta la
votazione per il passaggio a CD.
- ISO/IEC 18045:2008 "Information technology -- Security techniques --
Methodology for IT security evaluation": per il quale ne è stata chiesta la
pubblicazione.
- ISO/IEC TR 19791:2010 "Information technology -- Security techniques --
Security assessment of operational systems": per la quale dovrà essere
preparato il primo Working Draft entro fine anno.
- ISO/IEC TR 20004 "Refining software vulnerability analysis under ISO/IEC
15408 and ISO/IEC 18045": rimodulata in modo da diventare la prima parte
della futura ISO/IEC 20004 e la 30127 "Detailing software penetration
testing under ISO/IEC 15408 and ISO/IEC 18045 vulnerability analysis" ne è
divenuta la seconda parte;
- ISO/IEC 24759:2008 "Information technology -- Security techniques -- Test
requirements for cryptographic modules": per il quale è stata chiesta la
votazione per la CD.
- "Study Period on High-assurance evaluation under ISO/IEC 15408/18045":
prolungato il periodo di studio.
- "Joint ISO/IEC JTC 1/SC 27/WG 3 and ISO/IEC JTC 1/SC 27/WG 5 Study Period
on security evaluation of anti spoofing techniques for biometrics":
prolungato il periodo di studio.
- SC 27 N13022 "Competence requirements for security evaluators, testers,
and validators": stabilito un periodo di studio.
- SC 27 N13026 "Guidance for developing security and privacy functional
requirements based on ISO/IEC 15408": richiesto un New Work Item Proposal.

mercoledì 6 novembre 2013

UNI 11506:2013 - Figure professionali ICT

Franco Ferrari del DNV Italia e Giovanni Ghidoni mi hanno segnalato la
pubblicazione della norma UNI 11506:2013 dal titolo "Attività professionali
non regolamentate - Figure professionali operanti nel settore ICT -
Definizione dei requisiti di conoscenza, abilità e competenze".

E' possibile leggere l'articolo di presentazione di UNI:
-
http://www.uni.com/index.php?option=com_content&view=article&id=2486:la-nuov
a-uni-11506-definisce-la-figura-professionale-dell-informatico


Questa norma UNI si basa sul European e-Competence Framework e sui tre
documenti del European e-Competence Framework 2.0 il cui sito web di
riferimento è:
- http://www.ecompetences.eu/1386,Home.html

Questi 3 documenti corrispondono alle CWA 16234-1, 2 e 3 del CEN, il cui
sito di riferimento è:
-
http://www.cen.eu/cen/Sectors/Sectors/ISSS/CWAdownload/Pages/ICT-Skills.aspx

Confesso che non ho capito cosa offra in più la UNI 11506 e quindi come
dovrebbe essere applicata. Ogni indicazione sarà benvenuta (e pubblicata, se
ne sarò autorizzato).

sabato 2 novembre 2013

Rapporti semestrali Clusit e MELANI

Segnalo la pubblicazione dei due rapporti sulla sicurezza informatica tra i
più interessanti in circolazione.

Per quello Clusit, aggiornato al primo semestre 2013, è necessario
richiederlo a rapporti@clusit.it.

Quello MELANI (svizzero) si trova a questo indirizzo:
-
http://www.melani.admin.ch/dienstleistungen/archiv/01558/index.html?lang=it

Diffamazione sul web

Segnalo questo interessante articolo su CINDI dal titolo "Riforma della
diffamazione via web (e tramite Facebook)"
http://www.cindi.it/diffamazione-via-web-tramite-facebook/

Personalmente, non sono interessato a studiare i disegni di legge, a meno
che non mi chiamino a collaborare (cosa mai successa, per la verità), perché
poi cambiano continuamente (vedere Regolamento UE privacy e, in precedenza,
il DPS o la privacy nella 231).

Però l'articolo descrive bene come interpretare il reato di diffamazione
(diffamazione semplice, tentativo di diffamazione, circostanze attenuanti,
permanenza del reato, eccetera) e le pene previste.

venerdì 1 novembre 2013

Frodi sui dispositivi mobili

Dalla newsletter del Clusit del 31 ottobre segnalo un documento dell'APWG
dal titolo "Mobile Financial Fraud & The Underground Marketplace - Overview
– an APWG White Paper". Si trova a questo link:
- http://apwg.org/resources/mobile

Sono riportate le tante minacce e vulnerabilità relative ai dispositivi
mobili, utili per capire il fenomeno a chi non dovesse averlo ancora capito.

Corrispondenze tra ISO/IEC 27001:2005 e ISO/IEC 27001:2013

Alla seguente pagina è pubblicato il documento ufficiale dell'SC 27 "Mapping
Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002":
- http://www.jtc1sc27.din.de/sbe/wg1sd3

Ovviamente, lo studio di questo documento non potrà escludere uno studio
attento della nuova ISO/IEC 27001:2013. Come ho già ricordato più volte,
molti requisiti presenti in precedenza sono ora impliciti e alcuni
collegamenti sono meno evidenti ma ci sono (per esempio, nel riesame di
direzione non viene più richiesto di determinare il fabbisogno di risorse
per l'ISMS, ma tale fabbisogno deve essere espresso quando si stabiliscono
gli obiettivi).

Inoltre, non condivido la dicitura "deleted" per alcuni controlli della
ISO/IEC 27002: se così fosse, vorrebbe dire che non erano utili per la
sicurezza delle informazioni. In realtà, tutti i controlli "deleted" sono
stati incorporati in alcuni degli attuali 114 controlli (per
esempio, il "input data validation" è ora incorporato nel 14.1.1 Information
security requirements analysis and specification.

Privacy, audit e videosorveglianza

Dalla newsletter del Garante del 31 ottobre 2013 segnalo la notizia "
Sicurezza nei supermercati senza ledere la dignità dei lavoratori - Nel
mirino del Garante le società della grande distribuzione con sistemi di
videosorveglianza non a norma":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2
726619#2


In realtà nulla di nuovo: il Garante ha svolto delle ispezioni e ne fa un
resoconto.

Segnalo però la seguente frase: "Il legale rappresentante di un supermercato
aveva addirittura dichiarato al nucleo ispettivo che l'impianto di
videosorveglianza non era in funzione, salvo poi doversi smentire di fronte
alle evidenze raccolte". Magnifico! Cercano di prendere in giro anche gli
ispettori del Garante, non solo gli auditor ISO. Mi sento in buona
compagnia.

giovedì 31 ottobre 2013

Transizione alla ISO/IEC 27001:2013

L'IAF, International Accreditation Forum, l'organizzazione che si occupa di
dare le regole per gli organismi di accreditamento e quelli di
certificazione, ha approvato la risoluzione 2013-13 che riporta le regole
per la transizione delle certificazioni dalla alla ISO/IEC 27001:2005 alla
ISO/IEC 27013.

La risoluzione è molto succinta e stabilisce che i certificati ISO/IEC
27001:2005 non saranno più validi dal 1 ottobre 2015. Non sono date
ulteriori regole sulla formazione degli auditor o su altri aspetti. Trovo
sia un peccato.

Le organizzazioni certificate dovranno comunque ricevere nei prossimi mesi
una comunicazione del proprio organismo di certificazione con indicate le
regole per la transizione.

Privacy e call center extra-UE

Dalla newsletter del Garante privacy, segnalo il recente Provvedimento
relativo ai call center siti in Paesi extra-UE:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2724806

Apparentemente non dice nulla di nuovo, ma in realtà la newsletter segnala
le seguenti novità:
- i call center dovranno dichiarare la nazione dalla quale chiamano o
rispondono;
- per le chiamate in entrata, dovrà essere data all'utente la possibilità di
scegliere un operatore collocato sul territorio nazionale;
- dovrà essere segnalato preventivamente al Garante l'affidamento delle
attività di call center in Paesi extra-UE.

Non sono un protezionista, ma sono contento che finalmente il Garante si sia
accorto di questo fenomeno e cerchi di controllarlo.

Stato delle norme ISO/IEC 270xx

Venerdì 25 ottobre si è concluso a Songdo (Corea del Sud) il 47mo meeting
dell'SC 27 dell'ISO/IEC JTC 1. Hanno partecipato circa 250 delegati, di cui
70 per il WG1 (ossia il gruppo che si occupa delle norme della famiglia
ISO/IEC 27000 e collegate alla ISO/IEC 27001). La delegazione era composta
da 4 persone: io per il WG 1, Stefano Ramacciotti per il WG 3, Dario Forte
per il WG 4 e Andrea Caccia per i WG 1 e 4 e come rappresentante per ETSI.

Di seguito, le decisioni in merito alle norme del WG 1 affrontate in questo
meeting.

ISO/IEC 27000 (Overview and vocabulary)
La norma sarà pubblicata a breve nell'edizione 2013. Si è discusso su come
affrontare la prossima versione. Infatti, ciascun termine è "di proprietà"
di uno standard e può essere ridefinito solo contestualmente
all'elaborazione di quello standard. Purtroppo, il lavoro sui termini e
definizioni è spesso lasciato in secondo piano e ogni tanto i risultati sono
insoddisfacenti (per esempio la definizione di "evento di sicurezza delle
informazioni", non collegata alla definizione di "evento"). Si farà
sicuramente di meglio nel futuro.

ISO/IEC 27001 e 27002
Sarà pubblicato e reso disponibile gratuitamente il documento WG1 SD3
"Mapping Old to New Editions of ISO/IEC 27001 and ISO/IEC 27002". Ne
parleremo quando disponibile.

ISO/IEC 27003 (Guida all'attuazione di un ISMS)
Si è deciso di cambiarla totalmente e cambiarle il titolo (da
"Implementation guidance" a "Guidance"). Ora diventerà una guida alla
ISO/IEC 27001 e sarà suddivisa negli stessi capitoli della ISO/IEC 27001.

ISO/IEC 27004 (Misurazioni)
Tutti i partecipanti hanno concordato per un approccio non teorico. Sarà
proposto un modello al prossimo meeting di aprile: bisognerà vedere come
sarà e se presenterà un insieme minimo di indicatori. Si è anche deciso di
scrivere un testo che non possa essere utilizzato come check list da auditor
e utilizzatori, ma che sia veramente una linea guida. Cambierà titolo da
"Measurements" a "Monitoring, measurement, analysis and evaluation".

ISO/IEC 27005 (Risk management)
Si è deciso di non limitare il testo ai soli risk assessment e risk
treatment, ossia di mantenerla come è ora. Infatti, alcuni volevano ridurne
lo scopo per evitare sovrapposizioni con la 27001 e la 27003. La maggioranza
ha voluto però evitare di pubblicare un testo troppo sintetico e forse
incomprensibile alla maggioranza dei lettori (come invece, a mio parere, si
è fatto per la 27001).

ISO/IEC 27006 (Requisiti per gli organismi di certificazione)
Si è discusso se mantenere la tabella di riferimento per le giornate di
audit basata sulle persone impiegate nell'ISMS, oppure se seguire un'altra
strada. Malgrado né in questo meeting né nel precedente siano state
individuate strade alternative, metà dei delegati ha votato per questa
seconda opzione; vedremo cosa succederà al prossimo meeting. Si è anche
deciso di riportare la versione del SoA sui "documenti di certificazione" e
non sul certificato, contrariamente a quanto previsto dalla versione della
27006 attualmente in vigore.

ISO/IEC 27016 (Organizational economics)
Sarà pubblicata a breve.

Process reference model e Process assessment model
Di questo ne parlai già in precedenza
(http://blog.cesaregallotti.it/2013/09/spice-modelli-di-maturita-e-isoiec-27
001.html
). Le proposte sono state sostanzialmente bocciate. Attualmente
queste due proposte di standard sono di competenza del SC 7, ma sarà averle
come di responsabilità del SC 27.

Si è anche discusso di ISO/IEC 27009 (cambierà titolo il "Sector specific
application of ISO/IEC 27001 – Requirements), 27011 (requisiti per
telecomunicazioni), 27013 (rapporti tra 27001 e 20000-1)
e 27017 (cloud), senza notizie da segnalare.

ISMS professionals
Si sta studiando da tempo una norma sulle certificazioni delle competenze
dei professionisti degli ISMS. Ora si è deciso di creare uno schema a cui
dovranno adeguarsi gli organismi di certificazione del personale.

domenica 27 ottobre 2013

Stato avanzamento Regolamento EU Privacy

Alberto Piamonte mi ha segnalato questo link:
- www.federprivacy.it/informazione/ultime-news-privacy/988-via-libera-al-nuovo
-regolamento-ue-sulla-privacy.html


La notizia è che la Commissione Libertà civili e giustizia (LIBE) del
Parlamento Ue ha dato voto positivo alla proposta di Regolamento Europeo
privacy di cui ho parlato in altri post:
- http://blog.cesaregallotti.it/2013/09/articolo-sullo-stato-del-regolamento-u
e.html


L'articolo di Federprivacy è decisamente entusiasta, ma rimane ancora almeno
un ulteriore passaggio, ossia il negoziato a tre di Consiglio, Commissione e
Parlamento europei.

Max Cottafavi di Reply mi ha invece segnalato questo link, dove si dice che
l'UK sta invece lavorando per posporre il tutto al 2015:
- http://www.euractiv.com/specialreport-digital-single-mar/france-germany-form
-anti-spy-pac-news-531306


Il Garante, nella sua newsletter del 31 ottobre, riassume le principali novità:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2726619#3

Credo rimanga valida la regola di base: finché non sarà approvato definitivamente, eviterei di dedicare troppo tempo a questo possibile Regolamento.

venerdì 18 ottobre 2013

Facebook e i profili segreti

Massimo Cottafavi di Reply mi ha segnalato un po' preoccupato questa
notizia:
-
http://www.lastampa.it/2013/10/14/tecnologia/addio-ai-profili-segreti-su-fac
ebook-HdLcdF3CdeRrKjESHSiD3J/


Facebook, quindi, ci dice che potrà condividere le nostre informazioni con
altri soggetti, a scopi pubblicitari e di marketing. Sono sorpreso: pensavo
lo facesse già da tempo ;-)

giovedì 17 ottobre 2013

Privacy e 231 - Tutto annullato (ed errata corrige)

Con la newsletter del 16 di ottobre avevo segnalato dei contributi sulla
possibilità che parte dei delitti previsti dal Codice Privacy fossero
compresi nel Dlgs 231 del 2001. Ma non avevo controllato e il Decreto Legge
93/2013 è stato convertito in Legge con modificazione (Legge 119/2013) e non
è "passata" la proposta.

Mi spiace con tutti i miei lettori. Posso giustificarmi dicendo che la Legge
è datata 15 ottobre, ma la notizia è "vecchia" di 2 settimane.

La prima ad avvisarmi è stata Paola Generali di GetSolution, seguita da
Fabio Guasconi (mio Presidente all'SC 27), da Massimo Cottafavi di Spike
Reply.

Posso anche aggiungere che tutto questo mi ha permesso di capire che c'è una
differenza tra "reati" e "delitti" e "sanzioni" e "contravvenzioni" grazie
all'errata corrige del mese scorso.

Infine, Stefano Ramacciotti mi ha ricordato che la pena di morte è stata
abolita da anni, mentre io la citavo.

mercoledì 16 ottobre 2013

Deepweb and Cybercrime

Segnalo questa breve ricerca dal titolo "Deepweb and Cybercrime - It's Not
All About TOR" della Trend Micro, segnalata sul gruppo Italian Security
Professional di LinkedIn:
-
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-
papers/wp-deepweb-and-cybercrime.pdf


Francamente, mi aspettavo un po' di più (ho sentito cose più approfondite
durante il corso di Digital forensics della Statale di Milano). Ad ogni
modo, è utile per aggiornarsi un po' sul sottobosco della criminalità
informatica.

venerdì 11 ottobre 2013

Materiale sulla ISO/IEC 27001:2013

Mi hanno segnalato del materiale informativo relativo alla ISO/IEC
27001:2013. Molto è tratto dalla documentazione discussa nel corso della
redazione della ISO/IEC 27001 e può quindi valere la pena leggerlo,
soprattutto per comprendere alcuni impatti introdotti dai cambiamenti.

I titoli delle pubblicazioni sono i seguenti:
- " Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013";
- "Mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC
27001:2013";
- "Checklist of Mandatory Documentation Required by ISO/IEC 27001 (2013
Revision)";
- "Diagram of ISO 27001 2013 Implementation Process".

Non condivido tutto quello che si trova in queste schede: alcune cose le
avrei approfondite di più, altre di meno. Gli ultimi due sono proprio delle
interpretazioni a volte molto libere della norma. Ma si tratta comunque di
analisi valide, che vale la pena studiare.

Ci tengo però a dire che non trovo corretti i riferimenti incrociati tra
nuova e vecchia ISO/IEC 27001 e 27002. Infatti, alcuni requisiti e controlli
del 2005 sono dati per "cancellati", mentre molti sono invece "incorporati"
o "impliciti" in quelli del 2013.

Per concludere: non so se i documenti sono liberamente reperibili, ma se li
trovate con un motore di ricerca vuol dire che, in qualche modo, lo sono...

Amazon e l'errore del prezzo

La notizia è la seguente: Amazon ha messo in vendita un computer ad un
prezzo sbagliato e molto basso. Ha quindi corretto il prezzo e ha comunicato
agli acquirenti che il loro acquisto era annullato.

Notizia e commento di Andrea Monti:
- http://www.ictlex.net/?p=1473

Lo trovo molto pertinente e mi è piaciuta molto la conclusione: "E' regola
generale nel diritto dei contratti che le parti – tutte e due – devono agire
secondo buona fede". Purtroppo lo fanno in pochi...

Udine: compromesso il sito dell'azienda sanitaria

Sandro Sanna mi ha inviato questa notizia, a cui potremmo dare il titolo "A
Udine violati i computer dell'Ass 4. On line i reclami dei malati" ed è in
tre parti:
-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/07/news/a-udine-violati-i
-computer-dell-ass-4-on-line-i-reclami-dei-malati-1.7881088

-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/10/news/assalto-informati
co-insiel-noi-parte-lesa-1.7898761

-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/11/news/ma-quale-hacker-c
si-ho-scoperto-i-reclami-all-ass-4-1.7903434


In poche parole: un utente dell'azieda sanitaria numero 4 vuole inviare un
reclamo attraverso il loro sito web e si accorge di una piccola falla di
sicurezza e la comunica ad un giornale on-line.

La "piccola falla" è piuttosto banale: l'applicazione non verifica se le
pagine web sono richieste da un utente autenticato e quindi è sufficiente
cambiare il numero di richiesta dall'URL e questa appare, a prescindere da
chi l'ha fatta. Direi che rientriamo nella quarta vulnerabilità più diffusa
secondo OWASP:
-
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_Refere
nces

Mi chiedo se queste pagine sono almeno protette dagli spider di Google. E
però ho trovato meraviglioso il fatto che Insiel, l'azienda che ha
sviluppato il sistema, si è dichiarata parte lesa.

Ma sappiamo bene come vanno le cose: un prodotto sicuro costa di più di uno
insicuro e quindi si opta spesso e volentieri per il secondo. Mi auguro che
un qualche giudice multi l'Ass 4 per non aver fatto i controlli e Insiel per
aver fatto male il proprio lavoro.

giovedì 10 ottobre 2013

Report 2013 di Verizon

Dal gruppo infotechlegale.it di LinkedIn ricevo la notizia della
pubblicazione del "2013 Data breach investigations report" di Verizon:
- www.verizonenterprise.com/DBIR/2013/

Il report è molto interessante. In particolare, analizza, per il 2012, le
compromissioni di dati rilevate (dove gli attacchi da parte di esterni sono
il 92%) e gli incidenti senza compromissioni (dove invece la maggioranza del
69% è stata causata da personale interno). Il report analizza i settori
merceologici delle imprese coinvolte, i tipi di attaccanti, gli asset e i
dati oggetto degli attacchi.

Ho trovato interessante anche le analisi sui tipi di attacchi adottati per
le comprimissioni e quelli per gli incidenti senza compromissioni (qui, gli
agenti di attacco sono soprattutto gli interni e quindi errori e malware
sono i più diffusi).

Sempre procedendo nella lettura del report, è curioso il paragone tra i dati
relativi al malware analizzati da Verizon e da Microsoft: per Verizon, l'84%
del malware è installato con l'aiuto degli utenti mentre per Microsoft solo
il 45%. La differenza, per Microsoft, è dovuta ad errori di configurazione.

C'è però un neo: il report non si basa su alcun dato dall'Italia.

sabato 5 ottobre 2013

Articolo su privacy e 231

Riprendendo il post precedente
http://blog.cesaregallotti.it/2013/09/privacy-e-231.html, segnalo questo
articolo di approfondimento segnalato da CINDI dal titolo "Il trattamento
illecito dei dati e la responsabilità dell'azienda", il cui merito, oltre ad
un riassunto dei reati che potrebbero essere introdotti nella 231 (se il DL
verrà convertito), è di presentare un esempio delle sanzioni.

Mi permetto di fare una considerazione a cui ho pensato recentemente e
collegandomi al testo dell'articolo stesso "fortunatamente, nell'ottica
delle imprese, l'omessa adozione delle misure minime di sicurezza non
rientra tra i reati presupposto del d.lgs. 231/01". Va detto che i
Provvedimenti del Garante rientrano tra i reati presupposto del d.lgs.
231/2001 e molto spesso riepilogano le misure minime... di conseguenza non
vedo molta fortuna per le imprese che ancora non applicano le misure minime.

sabato 28 settembre 2013

Pubblicate le nuove ISO/IEC 27001 e 27002

Fabrizio Cirilli mi ha informato che sul sito ISO (www.iso.org) sono
disponibili dal 25 settembre le nuove versioni delle norme ISO/IEC 27001 e
27002.

Evidentemente, l'ISO aveva molta fretta e non ha aspettato l'applauso finale
del Meeting dell'SC 27 che si terrà a fine ottobre e che sancirà la fine dei
lavori per la ISO/IEC 27001.

l testo che ho visto, ossia il final draft, non riporta alcuna tabella di
confronto tra la versione del 2005 e quella del 2013. Infatti, questa sarà
oggetto di discussione al Meeting. Mi chiedo ora in quali modalità sarà
pubblicata.

venerdì 27 settembre 2013

Sanzioni per mancata iscrizione della PEC

Segnalo questo interessante articolo di CINDI relativo alle sanzioni
economiche per le imprese che non hanno comunicato al registro delle imprese
il proprio indirizzo di posta elettronica certificata:
- www.cindi.it/iscrizione-indirizzo-pec-registro-imprese-sanzioni/

giovedì 26 settembre 2013

PAS 99:2012 sui sistemi di gestione integrati

Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione della PAS
99:2012, che sostituisce la versione del 2006.

Questa versione è in realtà una linea guida all'Annex SL, ossia alla
struttura che dovranno rispettare tutte le nuove edizioni degli standard ISO
di requisiti per i sistemi di gestione. Sull'Annex SL ho già parlato in
precedenza per i suoi impatti sulla futura versione della ISO/IEC 27001.
Avevo anche segnalato una breve guida IRCA in merito:
-
http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-G
uide-83/


A mio parere, la PAS 99 non aggiunge molto a quella guida, tranne una
riflessione sulla gestione generale dei rischi, ora richiesta quando si
pianifica un sistema di gestione.

La guida è del 2012 e quindi non recepisce, per la ISO/IEC 27001, alcune
scelte fatte nell'ultimo anno.

sabato 21 settembre 2013

Articolo sul caso NSA

Il The Economist del 14 settembre 2013 ha pubblicato un ottimo articolo di
analisi sul caso NSA-PRIMS-Snowden e sulle sue conseguenze.

Ho trovato interessante soprattutto il paragrafo "Who cares?", dove sono
spiegati gli impatti della vicenda (in sintesi, si dice che l'impatto più
negativo l'hanno avuto i produttori USA di tecnologia, a causa dell'immagine
negativa).

Ringrazio mio padre, Roberto Gallotti, per la segnalazione:
-
http://www.economist.com/news/international/21586296-be-safe-internet-needs-
reliable-encryption-standards-software-and

Uso di apparati KVM e furti in banca

Guido Uglietti mi ha segnalato il seguente articolo dal titolo "Barclays
Bank computer heist: Eight arrested over £1.3m haul":
-
http://www.independent.co.uk/news/uk/crime/barclays-bank-computer-heist-eigh
t-arrested-over-13m-haul-8828844.html


In breve: 8 persone sono state arrestate per un furto di 1,3 milioni di
sterline attraverso un attacco informatico.

La cosa interessante è come è stato condotto l'attacco: uno di essi si è
presentato come tecnico informatico presso una filiale della banca in
Svizzera; ha quindi collegato ad un PC un apparato "keyboard video mouse"
(KVM) per intercettare le attività su schermo, tastiera e mouse; ha
collegato il KVM ad un modem e poi ha raccolto (da casa?) tutti i dati
necessari per il furto.

Insomma, è stata usata la buona vecchia tattica di presentarsi da qualcuno
confidando che nessuno verifichi l'identità e la ragione della nostra
presenza.

martedì 17 settembre 2013

Dei delitti, delle contravvenzioni e della privacy nella 231 (errata corrige)

Paolo Cupola, che ringrazio molto, mi ha fatto notare il grossolano mio
errore nel post "Privacy e 231":
- http://blog.cesaregallotti.it/2013/09/privacy-e-231.html

L'articolo 9 del DL 93 del 2013 inserisce nel Dlgs 231 del 2001 i
delitti previsti dal Dlgs 196 del 2003 dall'articolo 167 all'articolo 172.

Nel Dlgs 231 del 2001 sono quindi riportati solo i reati di: trattamento
illecito dei dati, falsità nelle dichiarazioni e notificazioni al Garante,
inosservanza dei provvedimenti del Garante.

Nel Dlgs 231 del 2001 NON sono riportati i reati di: omissione di adozione
delle misure minime di sicurezza, svolgimento di indagini sulle opinioni dei
lavoratori, controllo a distanza dei lavoratori con impianti audiovisivi (questi ultimi sui lavoratori sono riportati dalla Legge 300 del 1970 a cui fa riferimento l'articolo 171).

Questo perché sono riportati nel 231 i "delitti" previsti dal Codice Privacy e
non le "contravvenzioni". I "delitti" sono quelli che prevedono le sanzioni
di morte, ergastolo, reclusione e multa, mentre le "contravvenzioni" sono
quelle che prevedono le sanzioni di arresto e ammenda. Solo gli articoli 167
(trattamento illecito), 168 (falsità di dichiarazioni) e 170 (inosservanza
dei Provvedimenti) parlano di "reclusione" (non prevedono "multe") e quindi
sono "delitti". Gli articoli 169 (misure minime) e 171 (sui lavoratori,
rimandando alla Legge 300 del 1970) parlano di "arresto" e "ammenda" e
quindi sono "contravvenzioni" e pertanto non rientrano nel Dlgs 231.

Il riferimento è l'articolo 17 del Codice Penale.

Mi scuso con tutti per l'errore. Meno male che il DL non è ancora stato
convertito in Legge e quindi forse non ho fatto troppi danni...

lunedì 16 settembre 2013

Violati i social network di Alpitour

Le pagine Facebook del gruppo Alpitour sono state prese in possesso da
malintenzionati (probabilmente dopo un attacco di phishing) che hanno
postato dei link a siti malevoli:
-
http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-fa
cebook-hackerate


A questo proposito, è necessario riflettere sulla gestione dei social media
da parte delle imprese.

Una prima riflessione è di Piero Tagliapietra, autore anche del post
precedente, che elenca le modalità di attacco e alcune contromisure (la
consapevolezza sembra essere quasi l'unica):
- http://www.pierotaglia.net/social-media-ransomware-concept/

Una seconda riflessione è di Andrea Zapparoli Manzoni, che ha segnalato la
notizia su Alpitour sul Gruppo Clusit di LinkedIn. Anche in questo caso,
dopo una descrizione dello stato della sicurezza dei social media, sono
elencate delle contromisure, le cui più importanti sono quelle organizzative
e di consapevolezza:
-
http://www.slideshare.net/idialoghi/i-dialoghi-social-business-security-soci
al-media-week-2011

venerdì 13 settembre 2013

SPICE (modelli di maturità) e ISO/IEC 27001

L'SC 7 del JTC 1 dell'ISO/IEC sta lavorando su una nuova edizione dello
standard ISO/IC 15504 noto anche come SPICE. Per essere molto sintetici, lo
SPICE è quello standard che tratta della capacità e della maturità dei
processi e delle modalità per dimostrarle e valutarle. La nuova edizione
prevede anche una riorganizzazione e rinumerazione degli standard da 33001
(in particolare, la ISO/IEC 33001 presenterà un'introduzione e la
terminologia, la 33002 i requisiti per effettuare un assessement dei
processi, eccetera).

Di particolare importanza sono i "process reference model (PRM)" e i
"process assessment model (PAM)", documenti che descrivono i processi in
modo da poterli analizzare e valutare secondo quanto previsto dallo
standard.

Due delle norme della serie ISO/IEC 330xx, attualmente in bozza, hanno
l'ambizione di presentare rispettivamente un esempio di PRM e un esempio di
PAM per la gestione della sicurezza delle informazioni in relazione con la
ISO/IEC 27001.

L'iniziativa raccoglierà certamente il favore di quanti vorrebbero
introdurre i modelli di capacità anche nella sicurezza delle informazioni.
Io devo confessare che l'iniziativa mi lascia perplesso soprattutto perché
si è appena finito di scrivere la futura ISO/IEC 27001 dopo molte
discussioni e immediatamente ne viene presentata una sorta di
interpretazione che, potenzialmente, potrà introdurre delle confusioni (per
fare un esempio banale, nei requisiti del risk assessment della ISO/IEC
27001 non si parlerà più di "asset" per evitare di imporre un modello di
risk assessment basato sugli asset; per motivi di ordinamento alfabetico,
però, il processo di "asset management" è proprio il primo presentato nella
bozza di PAM ridando, seppure involontariamente, un'impropria importanza
agli asset stessi).

Da un altro punto di vista, l'iniziativa presenta elementi interessanti. Uno
dei primi riguarda l'Annex A della ISO/IEC 27001 da sempre oggetto di
critiche e discussioni. Infatti, mentre la ISO 9001 e la ISO 14001, per
esempio, riportano i requisiti dei processi di gestione della qualità e
dell'ambiente nel corpo del testo dello standard, la ISO/IEC 27001 riporta
processi importantissimi come la gestione degli incidenti in un allegato,
conferendogli così un diverso livello di interpretazione. Le proposte di PRM
e PAM, per contro, evidenziano questi processi allo stesso livello degli
altri e comportano un'altra visione dei requisiti.

Tutto questo richiederebbe una riflessione, anche sul futuro della ISO/IEC
27001, sicuramente interessante. Ritengo però, come ricordato inizialmente,
sia necessario aspettare qualche tempo, quando la nuova versione della
ISO/IEC 27001 sarà stata adottata e oggetto di ampia discussione.

giovedì 12 settembre 2013

DL 93: frode e sostituzione dell'identità digitale

Il DL 93 del 2013, come già detto in altro post, ha inserito nel Dlgs 231
del 2001 alcuni reati in materia di privacy.

Oltre a ciò, il DL 93 tratta di stalking, frode informatica e sostituzione
dell'identità digitale. Il problema, per quest'ultimo punto, è che non vi è
una definizione certa di "identità digitale". Per alcuni si tratta di un
concetto molto esteso e comprende l'insieme di informazioni relative a un
soggetto presenti on line, per altri si può ridurre alle credenziali di
accesso ad un sistema informatico.

Di tutto questo tratta un interessante articolo su CINDI:
-
http://www.cindi.it/la-frode-informatica-aggravata-dalla-sostituzione-dellid
entita-digitale/


Ricordo però che il DL 93 è, appunto, un Decreto Legge. Pertanto, è
opportuno attendere la sua conversione in Legge (con modifiche) per vedere
quale sarà il testo finale.

martedì 10 settembre 2013

Privacy e 231

Questo post è un aggiornamento di quello del 4 settembre, ora eliminato ed è stato riscritto dopo l'errata corrige del 17 settembre (http://blog.cesaregallotti.it/2013/09/dei-delitti-delle-contravvenzioni-e.html).

Max Cottafavi di Spike Reply mi ha segnalato questo articolo dal titolo
"Privacy, responsabilità da 231":
-
www.ilsole24ore.com/art/norme-e-tributi/2013-08-27/privacy-responsabilita-06
4214.shtml


In sintesi, l'articolo 9 del DL 93 del 2013 inserisce nel Dlgs 231 del 2001
i reati di trattamento illecito di dati personali, falsità nelle
dichiarazioni e notificazioni al Garante e inosservanza di provvedimenti del Garante.

Questi reati sono penali, ossia imputabili ad una persona fisica. Ora, anche
le imprese nel loro complesso possono essere oggetto di sanzionamento per
quegli illeciti se sono commessi nel suo interesse o vantaggio e se non era
previsto un "modello organizzativo" finalizzato a contrastarli.

Ad ogni modo, questo provvedimento è un DL. Sarà opportuno aspettare a
quando sarà convertito in Legge entro il 14 novembre. Per intanto mi chiedo:
si hanno notizie di sentenze in merito ai delitti richiamati e stabiliti dal Codice
Privacy? Potrebbero essere un ottimo punto di partenza per capire meglio gli
impatti di questo DL.

La Cassazione, come enunciato dall'articolo sopra riferito, ha emesso una
relazione in merito al DL 93/2013, dedicando poche righe alla questione
privacy. Andrebbero lette considerando che era agosto e la privacy non era
il punto più importante del provvedimento (il DL riporta altre misure molto
importanti come quelle sul femminicidio): per questo forse fa un richiamo alle "società commerciali e associazioni private", quando il Dlgs 231 ha impatto per tutti gli enti.

venerdì 6 settembre 2013

Firewall: configurarli con Drop o Reject?

Questo articolo sulla configurazione dei firewall è interessante:
-
http://www.achab.it/blog/index.cfm/2013/9/drop-vs-reject-qual--la-differenza
.htm


Mi rendo conto che si tratta di un articolo base, ma smonta il principio
secondo cui un firewall debba essere configurato in modo da non fornire
risposte al mittente di un pacchetto quando questo è bloccato. In altre
parole, l'articolo consiglia di impostare il firewall con regole di "Reject"
(per fornire risposte) e non con regole di "Drop".

Mi ha fatto anche piacere leggere un articolo tecnico in italiano che non
dice sempre le stesse cose.

mercoledì 4 settembre 2013

Articolo sullo stato del Regolamento UE sulla privacy

Da Stefano Tagliabue di Telecom Italia: "segnalo un articolo che descrive in
modo chiaro lo stato di avanzamento dei lavori per l'emissione del
Regolamento UE sulla privacy. Tra i possibili scenari prospettati, c'è anche
l'emissione entro aprile 2014 di una "light version" del Regolamento, che
tratti solo dei principi essenziali della privacy, lasciando spazio ad
ulteriori interventi legislativi dopo le elezioni europee".

Il link:
- http://www.wsgr.com/publications/PDFSearch/burton-090213.pdf

giovedì 29 agosto 2013

Decreto del fare convertito: wi-fi, fascicolo sanitario, fax

Il DL 69 del 2013 noto come "Decreto del fare" e con titolo "Disposizioni
urgenti per il rilancio dell'economia", è stato convertito in Legge con
modificazioni dalla L. 98 del 2013.

E' possibile leggere la versione consolidata ricercando il DL 69 del 2013 su
www.normattiva.it.

L'articolo 10 sulla liberalizzazione delle wi-fi è stato modificato e ora si
può veramente dire che le wi-fi sono libere: per gli esercizi per cui
l'offerta di accesso non costituisce l'attività commerciale prevalente
(bar, ristoranti, hotel, scuole e altro) non sono più necessarie
registrazioni e le reti non devono più essere effettuati da imprese
abilitate.

Attenzione però che le reti di telecomunicazioni devono comunque rispondere
ai requisiti di sicurezza degli impianti stabiliti dalla Legge 46 del 1990.

Per quanto riguarda il fascicolo sanitario elettronico, il Garante aveva
espresso delle perplessità sul testo originario dell'articolo 17. Ora questo
articolo è stato completamente riscritto.

L'articolo 14 presenta inoltre un'interessante novità. Esso modifica
l'articolo 47 del Codice dell'Amministrazione digitale che già indicava che
"le comunicazioni di documenti tra le pubbliche amministrazioni avvengono
di norma mediante l'utilizzo della posta elettronica". Ora è stato aggiunto
che "E' in ogni caso esclusa la trasmissione di documenti a mezzo fax".
Pare un primo passo verso l'eliminazione del fax e spero che i successivi
siano fatti quanto prima.

mercoledì 28 agosto 2013

Pubblicata la ISO/IEC TR 27019 per l'energy utility industry

Franco Ferrari del DNV Italia mi ha segnalato che il 15 luglio è stata
pubblicata la ISO/IEC TR 27019 dal titolo " Information security management
guidelines based on ISO/IEC 27002 for process control systems specific to
the energy utility industry".

Si tratta di una estensione della 27002 con controlli specifici per chi
offre servizi di energia. Come specificato dalla 27019 stessa, essa è il
recepimento della norma tedesca DIN SPEC 27009:2012-04.

lunedì 26 agosto 2013

ENISA Annual Incident Reports 2012

Dal gruppo LinkedIn "Italian Security Professional" ricevo la notizia della
pubblicazione, il 20 agosto, del "Annual Incident Reports 2012" dell'ENISA:
-
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporti
ng/annual-reports/annual-incident-reports-2012


Per me, la parte più interessante riguarda l'analisi delle cause degli
incidenti: il 76% degli incidenti sono causati da "errori dei sistemi"; in
questa categoria, se ho capito correttamente anche le tabelle successive,
sono inclusi anche gli errori software, il sovraccarico delle risorse,
eccetera. Io sommerei questo 76% agli "errori umani" (5%), per avere questo
risultato: il 81% degli incidenti è stato determinato da errori umani (si
dovrebbe anche cercare di ragionare sul 13% degli incidenti determinati da
"errori di terze parti", ma i dati non sono sufficienti).

Le conclusioni sono facili da tirare: quando si parla di sicurezza è
necessario riflettere attentamente sulle persone, sulla loro formazione e
competenza (di cui ho già parlato in precedenza), sugli strumenti loro messi
a disposizione e sui processi che devono seguire.

TOR, Lavabit e Silent Circle

Questa estate l'FBI ha arrestato un tizio che diffondeva materiale
pedopornografico attraverso la rete TOR:
-
http://www.tomshw.it/cont/news/tor-non-e-piu-blindata-l-fbi-si-infiltra-e-ar
resta-un-pedofilo/48227/1.html


TOR, come è noto, è un sistema per la navigazione web e l'uso di servizi
Internet in modo anonimo. Come riassunto dall'articolo sopra citato, può
essere usato per scopi legittimi, ma anche per scopi illegittimi.

La cosa interessante, come mi hanno spiegato e come riporta l'articolo, è
che l'FBI ha sfruttato un bug del browser non aggiornato. Insomma: il solito
patch non fatto.

Altra notizia (dal Clusit Group di LinkedIn) riguarda i servizi di e-mail
"sicura" Lavabit e Silent Circle:
-
http://www.technologyreview.com/news/518056/why-e-mail-cant-be-completely-pr
ivate/


Onestamente, non conosco per nulla questi servizi e mi sfugge quale livello
di sicurezza garantiscono (forse riescono a mantenere anonimi anche i
mittenti e destinatari). Però credo che il titolo dica tutto: l'e-mail non
può essere completamente riservata. Detto in parole più popolari: l'unico
modo di mantenere un segreto è non dirlo a nessuno.

NSA vuole tagliare il 90% degli AdS

Dopo il caso Snowden, l'NSA ha deciso di tagliare il 90% dei propri
amministratori di sistema (AdS). Gli attuali AdS, pare, sono in gran parte
fornitori (Snowden incluso) e non interni.

A questo punto mi faccio delle domande, per le quali non ho risposte
definitive:
- dei sistemi automatizzati sono realmente più sicuri rispetto a quelli
manuali? Certamente sono più efficienti e probabilmente più efficaci, ma non
è detto che siano anche più sicuri.
- è una buona iniziativa dire al 90% del proprio personale che sarà
licenziato il prima possibile?
- il personale interno è veramente più affidabile di quello esterno?

Due articoli segnalati da SANS Newsbyte:
-
http://www.nbcnews.com/technology/nsa-cut-system-administrators-90-percent-l
imit-data-access-6C10884390

-
http://www.theregister.co.uk/2013/08/09/snowden_nsa_to_sack_90_per_cent_sysa
dmins_keith_alexander/

Automobili e sicurezza informatica

Oggi le automobili si basano sempre più su dispositivi informatici per il
loro funzionamento. Ovviamente, alcuni hacker si sono dedicati alla ricerca
di vulnerabilità e ne hanno trovate.

L'articolo in inglese (segnalato dal Gruppo LinkedIn del Clusit):
-
http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-ne
w-car-attacks-with-me-behind-the-wheel-video/
.

Una traduzione in italiano (segnalato dal Gruppo LinkedIn del Clusit):
- http://punto-informatico.it/3860499/PI/News/hacker-dell-automotive.aspx.

Ulteriori vulnerabilità sono state individuate nei meccanismi di sicurezza
del sistema di avviamento e un giudice ha imposto una censura alla
pubblicazione della ricerca (dalla newsletter SANS NewsByte):
-
http://arstechnica.com/tech-policy/2013/07/high-court-bans-publication-of-ca
r-hacking-paper/
.

In tutti questi casi mi faccio due domande.
- la prima: voglio avere il diritto di conoscere i dettagli delle
vulnerabilità (con la conseguenza che siano note anche a malintenzionati)
oppure di non vederle pubblicate, ma corrette?
- la seconda: queste ricerche di vulnerabilità sono classificabili come
"ricerche scientifiche", così come i loro autori le classificano?

sabato 27 luglio 2013

Privacy e spamming

Il Garante ha emesso delle "Linee guida in materia di attività promozionale
e contrasto allo spam":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2
542348

Non riportano nulla di nuovo rispetto a quanto già previsto dal Codice
Privacy e da altri precedenti provvedimenti, credo con l'eccezione del
social spam e del marketing "virale".

Per una sintesi del Provvedimento, segnalo l'articolo di CINDI:
- http://www.cindi.it/le-linee-guida-del-garante-privacy-contro-lo-spam

giovedì 18 luglio 2013

Vigilanza Banche: Istruzioni BdI su rischi, controlli, esternalizzazioni, IT e BCM

Vincenzo Cassati di MPS mi ha informato della pubblicazione delle "Nuove
disposizioni di vigilanza prudenziale per le banche - Circolare n. 263 del
27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013".

Lo si trova a questa pagina (poi bisogna scaricare l'aggiornamento 15):
- http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud

Copio e incollo il commento di Vincenzo, che ringrazio per la segnalazione
(ho trovato interessante la lettura del documento; anche se criticabile in
alcuni punti, si trovano spunti utili).

<<
E' un documento relativamente faticoso da inquadrare perché ne aggiorna un
altro precedente (il 263) sommandogli 3 capitoli nuovi ed eliminando altre
normative esterne e, inoltre, parte di queste notizie, insieme alle date di
efficacia delle varie disposizioni, sono contenute in un ulteriore
"bollettino" esterno.

Per quanto riguarda il BCM in senso stretto ci sono poche differenze
rispetto a prima. Fra queste:
- processo sistemico obbligatorio la gestione del contante
- norme definite sull'outsourcing

Io faccio due considerazioni:
- se si interpreta la normativa sul BCM sine grano salis, ne possono
derivare piani di continuità prolissi e ingestibili: la BIA per processi è
collegata con le soluzioni di continuità, quindi 1 soluzione/ processo/
scenario/ contingency/ continuity. La numerosità e la ripetitività crescono
in modo esponenziale al crescere dei processi e soprattutto degli scenari.
Ve bene per la BIA, ma le soluzioni andrebbero ingegnerizzate e rese
riutilizzabili al variare di processo/ unità org/ scenario.Tanto più che se
la tassonomia dei processi è vera e non tarocca (cioè non è una falsa
tassonomia dove 1 ufficio=1 processo) ogni ufficio, spesso con le stesse
persone, esegue più di un processo critico.

- è richiesta la dichiarazione formale dello stato di crisi, a partire
dalla quale partono i tempi, con la raccomandazione di arrivare alla
situazione di crisi il prima possibile. In uno SLA questo criterio non lo
userei.
>>

Axelos: la Joint venture di ITIL

Il mese scorso avevo segnalato la nascita della joint venture tra the
Cabinet Office (UK) e Capita plc per gestire il Best Management Practice
portfolio, di cui fa parte ITIL:
-
http://blog.cesaregallotti.it/2013/06/itil-venduto-ad-una-joint-venture.html

Con comunicato stampa del 1 luglio 2013, è stato comunicato che questa joint
venture si chiama Axelos.

Per saperne (poco) di più, segnalo il link al ITSM Portal:
-
http://www.itsmportal.com/news/and-its-name-axelos-joint-venture-cabinet-off
ice-and-capita

domenica 14 luglio 2013

Flawless Consulting

Piccola recensione del libro "Flawless consulting - 2ed." di Peter Block
(Pfeiffer, USA, 2000).

Quando me lo sono trovato tra le mani, ho pensato che fosse un libro inutile
e pretenzioso. Infatti ci ho messo 5 anni per decidere di dargli una
possibilità e ho scoperto che mi sbagliavo.

L'autore è un americano e alcune cose fanno riflettere sulle differenze di
culture. La più evidente è quando dice che i consulenti si vestono casual
mentre gli interni in giacca e cravatta. In Italia non sembra...

Detto ciò, ci sono cose molto interessanti: il consulente non ha il compito
di scegliere (è del management), il lavoro deve essere fatto al 50-50% tra
cliente e consulente, perché si ha sempre una resistenza al cambiamento, un
consulente deve sempre rinunciare ai lavori che non può seguire come vuole
lui, se si segnalano altri consulenti bisogna farlo gratis, è meglio non
credere a chi ti chiede sconti perché poi ci saranno "grandi opportunità",
eccetera.

Certo: parla di consulenti, non dei prestatori di manodopera, così come
purtroppo troppo spesso siamo visti.

Sito sulle future ISO/IEC 27001 e 27002

Dopo aver letto e ascoltato di tutto e di più sulle future ISO/IEC 27001 e
27002, ho avuto notizia di questo link, che ritengo essere molto
interessante per tutti coloro che ne vogliono sapere di più:
- http://www.gammassl.co.uk/27001/revision.php

sabato 29 giugno 2013

Wi-fi libere? Boh!

Nel DL 69 del 2013 (il famoso Decreto del "fare") è presente l'articolo 10
con le pubblicizzate disposizioni per il wi-fi libero.

Se ho capito giusto: chiunque offra l'accesso Internet, quando questa non è
la sua attività prevalente (immagino quindi hotel, bar e le aziende che
dispongono di connessioni per gli ospiti), non hanno più l'obbligo di
registrare i dati dell'utente. Però devono "garantire la tracciabilita' del
collegamento (MAC address)".

Ecco... arrivato a questo punto mi sono chiesto se questo non sia peggio
della precedente disposizione (DL 144 del 2005, poi convertito dalla Legge
155 del 2005). Anche perché quelli che si erano già adeguati, se vogliono
continuare ad essere conformi alla normativa, dovranno fare altri
investimenti.

Comunque: aspettiamo fino a quando il DL sarà convertito in Legge e speriamo
negli emendamenti.

Per chi volesse approfondire, segnalo questo post sul blog de l'Espresso
segnalato sul gruppo infotechlegale.it di LinkedIn:
-
http://scorza.blogautore.espresso.repubblica.it/2013/06/22/wifi-decretodelfa
re-c%E2%80%99etantodarifare/


Per chi non apprezza il pdf segnalato dal post, il DL 69 è anche presente su
www.normattiva.it.

venerdì 28 giugno 2013

NIST SP 800-124 sui mobile devices

Il NIST ha annunciato la pubblicazione della Special Publication 800-124
Revision 1, "Guidelines for Managing the Security of Mobile Devices in the
Enterprise". La trovate al link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-124

E' una guida breve, con le "solite" indicazioni per la sicurezza dei
dispositivi mobili (password per accedere, cifratura dei dati, wiping dei
dati, whitelisting delle apps, eccetera). Alla fine, proprio in fondo, si
trovano 3 simpatici link ai "Mobile Device Security-Related Checklist
Sites".

Un solo dubbio: sono indicati dei sistemi per il controllo centralizzato dei
dispositivi mobili, anche BYOD (mobile device management solutions); mi
chiedo perché non pubblichino una sorta di lista di comparazione degli
stessi. Credo sia utile.

PGP 2013 sulla business continuity

Segnalo che sono state pubblicate le " Good Practice Guidelines 2013 -
Global Edition - A Guide to Global Good Practice in Business Continuity".

Sono l'evoluzione dell'edizione del 2010, con un maggiore allineamento alla
ISO 22301. Personalmente, non mi sembra abbiano apportato straordinari
cambiamenti rispetto alla precedente edizione, a parte qualche termine
modificato e una grafica più accattivante.

Io apprezzo molto le GPG del BCI, anche se costano ben 25 sterline!

Il link:
- http://www.thebci.org/index.php/resources/the-good-practice-guidelines

Per chi invece volesse dedicarsi solo al materiale gratuito, segnalo la
ottima SP 800-34 del NIST:
-
http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-
Nov11-2010.pdf

oppure un giro nella Knowledge Bank del The BCI:
- http://www.thebci.org/index.php/resources/knowledgebank

giovedì 27 giugno 2013

Nuova ISO 9001: prevista per il 2015

Dalla newsletter del DNV Italia, segnalo questo articolo sulla futura ISO
9001:
-
http://www.dnvba.com/it/information-resources/news/Pages/Nuova-ISO-9001.aspx

In poche parole: ne è prevista la nuova edizione nel 2015.

Non ho avuto la possibilità di leggerne le bozze, ma sono molto curioso di
vedere come hanno adottato il Testo comune per i sistemi di gestione (il
cosiddetto Annex SL).

giovedì 20 giugno 2013

Aggiornamento sul Regolamento Europeo Privacy

Ricevo da Stefano Tagliabue di Telecom Italia "un aggiornamento sui (lenti)
avanzamenti del processo di approvazione del General Data Protection
Regulation":

E' stato confermato che la votazione in Commissione LIBE (Libertà Civili,
Giustizia e Affari Interni) della bozza di relazione sulla proposta della
Commissione di Regolamento sulla protezione dei dati è stata rimandata
ulteriormente al prossimo ottobre.

LIBE negli scorsi mesi ha ricevuto i pareri delle altre commissioni
coinvolte (IMCO, JURI, INTRE, EMPL ) e, a causa dell'ingente numero di
emendamenti presentati –più di 3000-, la votazione, inizialmente programmata
per il 24 aprile, è successivamente slittata a fine maggio, luglio ed ora ad
ottobre. Non è ancora stata pubblicata la data precisa.

La transizione dovrebbe avvenire dopo due anni dalla pubblicazione del
Regolamento nella Gazzetta Ufficiale della Comunità Europea, almeno stando
alla bozza attuale.

mercoledì 19 giugno 2013

Raccomandazioni della DFA per i dispositivi medici

Dalla newsletter SANS Newsbytes trovo la notizia per cui l'agenzia USA Food
and Drug Administration (FDA) ha pubblicato delle raccomandazioni sulla
sicurezza dei dispositivi medici:
-
http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocume
nts/ucm356186.htm

- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm

Trovo interessante ed inquietante che i dispositivi medici siano così
vulnerabili alle minacce informatiche. Inoltre, sembra che le loro
configurazioni di default siano molto insicure.

Personalmente sono contento della strada presa da Microsoft e altri nel
rendere più sicura la configurazione di default dei loro sistemi, ma ancora
non capisco perché ciò non succeda anche per gli altri software, soprattutto
se critici come quelli collegati a dispositivi medici (mi assumo comunque
delle colpe da auditor).

La formazione sulla sicurezza è utile? (risposte - parte 3)

Ad aprile avevo pubblicato un post dal titolo "La formazione sulla sicurezza
è utile?":
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html


Mauro Cicognini di WID Consulting mi ha dato il suo punto di vista. Dico che
mi pare molto condivisibile e sfuma meglio quanto da me scritto (infatti, io
stesso erogo corsi di formazione e sensibilizzazione sulla sicurezza; non
posso reputarli sempre inutili!).

Quindi, copio e incollo la risposta di Mauro, ma prima ricordo le altre
risposte ricevute:
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html

-http://blog.cesaregallotti.it/2013/06/la-formazione-sulla-sicurezza-e-utile.
html


<<
Leggendo bene il post di Schneier
(https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html) -
come al solito, effettivamente molto ben scritto - e le varie reazioni che
ha ricevuto, mi trovo in realtà molto più vicino all'opinione di David
Kennedy (linkata dallo stesso Bruce sul suo post).

Trovo il post di Bruce molto parziale, puntato com'è esclusivamente su
contromisure tecnologiche che, per quanto importanti, come sappiamo non sono
sufficienti a portare a casa il risultato: a me viene in mente quello che mi
raccontano i miei amici che di mestiere fanno i Penetration Tester, che
ottengono il risultato nel 100% dei casi, e nella maggior parte di essi
usano non la tecnologia ma una qualche combinazione di tecniche di social
engineering. Difficile dire quindi che la formazione delle persone non
conti.

Il "dettaglio" di cosa intendiamo per formazione, ovviamente, fa la
differenza, e - come autorevolmente commentato anche da chi ha risposto a
Bruce - non è lecito inferire dal fatto che la maggior parte dei programmi
di formazione sulla sicurezza fanno schifo (indubitabile) il fatto che
allora la formazione sulla sicurezza non serve. Il sillogismo non regge.

Ciò detto, le due cose positive che scrive, sono in realtà assolutamente
vere, giuste, commendabili, e da divulgare il più possibile:
1. spendere di più per educare i programmatori sulla sicurezza. Bisogna
davvero spendere molto di più per formare i programmatori; anzi mi verrebbe
voglia di prendere per le orecchie quanti ancora oggi si dimenticano di
inserire alcune cose assolutamente basilari come la validazione dei dati in
ingresso.
2. almeno una parte della consapevolezza che gli utenti hanno della
sicurezza deve essere "respirata nell'aria", percepita in modo informale,
ecc., come peraltro scrivi anche tu riferendoti alle pratiche e alla cultura
aziendale (ma non basta, la sicurezza non può fermarsi alla cancellata
dell'azienda).
>>

Il link all'articolo di David Kennedy:
- https://www.trustedsec.com/march-2013/the-debate-on-security-education-and-a
wareness/

Quaderno Clusit: "Certificazioni Professionali in Sicurezza Informatica 2.0"

Con molto piacere, segnalo la pubblicazione del Quaderno Clusit:
"Certificazioni Professionali in Sicurezza Informatica 2.0".

Gli autori siamo io e Fabio Guasconi.

Sono molto contento del risultato ottenuto, sia per la raccolta e
schematizzazione dei dati sia perché nell'introduzione siamo riusciti a
esporre i pregi delle certificazioni professionali insieme alle dovute
cautele da prendere.

Il Quaderno è disponibile su http://www.clusit.it/download/Q09_web.pdf.

venerdì 14 giugno 2013

OWASP Top 10 - 2013

OWASP ha pubblicato il 12 giugno l'aggiornamento delle "OWASP Top 10", ossia
delle 10 vulnerabilità più critiche delle applicazioni web. L'edizione
precedente è del 2010.

La notizia l'ho avuta dal gruppo Clusit su LinkedIn, che l'accompagna dal
seguente commento: "sono le stesse del 2010; questo vuol dire che
bisognerebbe iniziare a fare i compiti". Credo si riferisca al fatto che se
le vulnerabilità più critiche sono sempre le stesse, vuol dire che in 3 anni
nulla è stato fatto per ridurle.

In realtà l'elenco è leggermente diverso da quello del 2010, ma si tratta di
un rimescolamento delle stesse cose. Viene data maggiore evidenza ai
software riutilizzati, spesso non ben gestiti e aggiornati.

Trovo la lettura delle Top 10 un po' ostica, probabilmente a causa degli
accorpamenti fatti e della sintesi con cui i vari problemi sono trattati.
Sto quindi aspettando la nuova edizione della OWASP Guida, prevista per il
2013.

Potete scaricare la Top 10 dal seguente link:
- https://www.owasp.org/index.php/Top10

giovedì 13 giugno 2013

ITIL "venduto" ad una joint venture

La notizia è in giro da qualche tempo: il Governo UK ha "venduto" ITIL e
Prince2 ad una nuova società a cui lo stesso Governo UK partecipa con il
49%. Il 51% è di una società denominata Capita.

Alcuni sono molto critici perché temono un'eccessiva futura
commercializzazione di ITIL:
- http://www.itsmportal.com/news/itil-goes-commercial

Altri sono invece soddisfatti perché ora la nuova joint venture si occuperà
di svolgere funzioni di arbitro e controllore imparziale dei fornitori di
formazione e certificazioni ITIL, mentre in precedenza APMG svolgeva il suo
incarico di arbitro e controllore in regime di conflitto di interessi, in
quanto fornitore di certificazioni essa stessa.

In realtà, nel Gruppo Capita, una piccola società è fornitrice di formazione
ITIL, ma è stato dichiarato che i suoi servizi sono svolti principalmente
all'interno del Gruppo e che non vi sono piani di un suo sviluppo come
concorrente degli altri fornitori di formazione (ATO, accredited training
organization). Mi chiedo se però poi a Capita non verrà un po' di appetito.

Le dichiarazioni in merito al futuro del "sistema ITIL", seppure ancora
molto possibiliste, le trovate sul sito ufficiale:
- http://www.best-management-practice.com/?di=637187

sabato 8 giugno 2013

Il mercato delle vulnerabilità - Parte 2

Un anno fa avevo scritto un breve articolo sul mercato delle vulnerabilità:
- http://blog.cesaregallotti.it/2012/06/il-mercato-delle-vulnerabilita.html

Nel numero del 30 maggio 2013, l'Economist tratta l'argomento più
diffusamente, anche se senza fare alcun commento:
- http://www.economist.com/news/business/21574478-market-software-helps-hacker
s-penetrate-computer-systems-digital-arms-trade


Faccio il mio: trovo allarmante che esistano così tante imprese legalmente
riconosciute il cui obiettivo è vendere vulnerabilità. Certamente io sono
uno sciocco, visto che i prezzi variano tra i 20.000 e 250.000 dollari!

Regole tecniche sulle firme elettroniche (AgID e Garante privacy)

Il 2 febbraio è stato approvato il Decreto del Presidente del Consiglio dei
Ministri dal titolo "Regole tecniche in materia di generazione, apposizione
e verifica delle firme elettroniche avanzate, qualificate e digitali [...],
che sostituisce quello del 30 marzo 2009.

Il DPCM si trova nella pagina del sito dell'AgID:
- http://www.digitpa.gov.it/firme-elettroniche-certificatori

Ringrazio Daniela Quetti che ha postato l'informazione sulla newsletter di
DFA.

Sul Sole 24 Ore si trova anche un interessante articolo che segnala come la
maggiore novità sia l'estensione delle regole alla firma elettronica
avanzata, non solo digitale; questo ha come conseguenza il riconoscimento
della piena validità giuridica dei documenti informatici, tranne che per
alcuni casi specifici:
- http://www.ilsole24ore.com/art/norme-e-tributi/2013-05-22/firma-elettronica-
funzioni-064353.shtml?uuid=AbrUL1xH

- http://www.ilsole24ore.com/art/norme-e-tributi/2013-05-22/vecchia-grafia-div
enta-spendibile-064416.shtml?uuid=AbUaL1xH


Ad aprile il Garante aveva già dato il permesso ad un paio di banche ad
introdurre la possibilità per i clienti di firmare su lettori digitali
anziché su carta; sebbene richiesto dalla normativa, il commento mi è
sembrato inutile e forse dannoso (ora dovrò stare attento a tutti i
documenti firmati che ho in casa perché rappresentano dati personali
biometrici con il rischio di palesare lo stato di salute del firmatario...):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2
381240#1

Contrassegno elettronico e Linee guida

L'Agenzia per l'Italia Digitale ha emanato la Circolare n. 62/2013 relativa
alle Linee guida per il contrassegno generato elettronicamente.

Copiando dalla Circolare: " La copia analogica del documento amministrativo
informatico su cui è apposto il contrassegno elettronico sostituisce a tutti
gli effetti di legge la copia analogica sottoscritta con firma autografa e
pertanto non può essere richiesta all'amministrazione la produzione di altro
tipo di copia analogica".

Inoltre: "Il contrassegno non assicura di per sé la "corrispondenza" della
copia analogica al documento amministrativo informatico originale contenuto
nel contrassegno stesso o conservato dall'amministrazione che lo ha
prodotto, ma costituisce uno strumento mediante il quale è possibile
effettuare la verifica della suddetta corrispondenza secondo modalità
oggetto delle presenti linee guida".

I contrassegni elettronici più diffusi sono quelli visibili come quelle
specie di codici a barre a punti (PDF417, 2D-Plus, WR Code) o di quadrati a
punti (Maxicode, DataMatrix, Dataglyph, QR Code).

La circolare si trova sul sito dell'AgID:
- http://www.digitpa.gov.it/notizie/contrassegno-elettronico-online-circolare-
sulle-linee-guida

La formazione sulla sicurezza è utile? (risposte - parte 2)

In aprile avevo scritto che " la formazione degli utenti sulla sicurezza
informatica non è generalmente utile":
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html


Ho già pubblicato alcune risposte:
- http://blog.cesaregallotti.it/2013/05/la-formazione-sulla-sicurezza-e-utile.
html


Ne ho ricevuta un'alta da parte di Stefano Brambilla di Intesa Sanpaolo che
ringrazio perché la trovo molto interessante.



<< La mia esperienza vissuta in quest'ultimo periodo con la ISO/IEC 27001 mi porta a pensare che la formazione è utile. Infatti per le persone che lavorano sui sistemi in ambito di certificazione ho tenuto un corso di formazione di un'ora per dal titolo "Dal Cobit alla ISO/IEC 27001: implicazioni pratiche per gli operatori tecnici".

Non ho (per ora) una "misurazione di efficacia" quantitativa che lo possa dimostrare, ma vedo nel comportamento delle 35 persone a cui ho fatto il corso che ne tengono conto, anche se non tutti, non del tutto, e con attenzione decrescente nel tempo.... Però se non avessi fatto formazione avrei avuto comportamenti mediamente peggiori. Quindi la mia risposta secca alla domanda "La  formazione sulla sicurezza è utile?" è "Sì, è utile".>>