sabato 30 marzo 2013

Atti del Security Summit 2013 a Milano

Segnalo la pubblicazione degli atti del Security Summit 2013 di Milano:
- http://milano2013.securitysummit.it/page/atti

Come al solito, in mezzo a qualche presentazione un po' troppo commerciale, negli atti si trovano parecchi spunti di riflessione.

Data Centres Energy Efficiency - EU Code of Conduct on Data Centres

Non sono un esperto di green IT o di altri argomenti correlati, però questa
iniziativa del JRC segnalatami da un mio lettore mi pare interessante:
- http://iet.jrc.ec.europa.eu/energyefficiency/ict-codes-conduct/data-centres-
energy-efficiency


La trovo interessante perché differenzia bene le attività di ciascuna parte
interessata ad un data center, dal proprietario all'utilizzatore. Inoltre,
mi è sembrato un documento facilmente leggibile, a parte la scelta di usare
dei codici-colore, non immediati (soprattutto per i daltonici).

Spamhaus e la carica degli spammer

La notizia è stata molto diffusa  e riguarda la Spamhaus, una società dedicata a servizi di antispamming, oggetto  di un attacco DDoS dopo aver inserito in blacklist un grande provider olandese.

Non c’è commento da fare, tranne la preoccupazione di vedere Internet potenzialmente oggetto di attacchi di enormi dimensioni:

venerdì 29 marzo 2013

ISO/IEC TR 27015

Franco Ferrari del DNV Italia mi informa della pubblicazione della ISO/IEC TR 27015 dal titolo “Information security management guidelines for financial services”.

Si tratta, in poche parole, di un’estensione dei controlli di sicurezza già descritti nella ISO/IEC 27002, applicabile ai servizi informatici di tipo “finance”, in particolare quelli delle banche, che possono coinvolgere ATM, POS e terminali self service.

Lo standard è relativamente breve (28 pagine) e i punti che più mi hanno interessato sono:
- estensione del controllo 6.2.2 (sicurezza con i clienti), ricordando la necessità di formare i clienti dei servizi su alcune misure di sicurezza informatica;
- estensione del controllo 6.2.3 (sicurezza con i fornitori), ricordando alcune misure di sicurezza da prevedere in occasione della stipula di accordi con i fornitori
-  aggiunta del controllo 10.9.4 con titolo “Internet banking services”, in cui sono illustrate alcune misure di sicurezza da prevedere nella progettazione di tali servizi.

domenica 24 marzo 2013

Siti web e dati societari

La notizia è vecchia e nota ed ero convinto di averla già pubblicata. Non trovandola tra i miei articoli, la scrivo.

Sui siti web (spazi elettronici destinati alla comunicazione collegati ad una rete telematica ad accesso pubblico) delle società soggette all'obbligo dell'iscrizione nel registro delle imprese (s.p.a., s.r.l. e s.a.p.a.), devono essere riportati:
- sede legale;
- ufficio del registro delle imprese presso il quale la società è iscritta;
- il numero d'iscrizione (ossia il codice fiscale, che potrebbe coincidere con la Partita IVA; sono diversi, per esempio, nel caso in cui una società abbia trasferito il proprio domicilio da una provincia ad un'altra);
- capitale della società (somma effettivamente versata);
- se il socio è unico.

Questo in virtù dell'articolo 2250 del Codice Civile, così come modificato dall'articolo 42 della Legge 88 del 2009.

NB: questo post è stato ripubblicato per errata corrige; ringrazio Roberto Bonalumi per la segnalazione e la mia commercialista Sara Gardella per la consulenza sul numero di iscrizione al registro delle imprese.

sabato 23 marzo 2013

DPCM 24 gennaio 2013 sulla protezione cibernetica

E' stato pubblicato il DPCM 24 gennaio 2013 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale". E' facilmente reperibile su www.normattiva.it.

L'ho letto con l'attenzione che merita, e confesso di non aver trovato quello che speravo di trovare, ossia un CERT italiano.

Apparentemente, se ho capito correttamente, questo compito sarà affidato al "Nucleo per la sicurezza cibernetica", ma non mi è chiaro se si occuperà quasi esclusivamente della PA o anche di altri settori.

Il testo specifica che tale nucleo "promuove procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi". In altre parole, mi chiedo se sarà disponibile un sito web utilizzabile da ciascun privato per formazione e informazione.

Gli operatori di telecomunicazioni dovranno anche comunicare al Nucleo le violazioni della sicurezza, oltre che adottare misure di sicurezza cibernetica che dovrebbero essere state pubblicate a cura del Ministero dello sviluppo economico. A me non risultano disponibili, ma se mi dovessi sbagliare, sarò grato a chi mi correggerà.

In definitiva, non credo ci rimanga altro che aspettare pazientemente per vedere come questo DPCM sarà attuato e coglierne tutti gli aspetti positivi.

Ringrazio per la segnalazione Pasquale Stirparo e Daniela Quetti di DFA e Enzo Ascione di Intesa Sanpaolo.

Rapporto Clusit 2013

Il Clusit ha pubblicato il Rapporto 2013 sulla sicurezza ICT in Italia. Esso può essere richiesto dal sito del Clusit:

Come sempre, riporta notizie interessanti. Segnalo in particolare la prima sezione dal titolo "Panoramica degli eventi di cyber-crime e incidenti informatici più significativi del 2012 e tendenze per il 2013".

mercoledì 20 marzo 2013

I risk assessement della ISO 22301 e della ISO/IEC 27001

Stefano Ramaciotti mi ha segnalato il seguente post dal titolo "Can ISO 27001 risk assessment be used for ISO 22301":

L'articolo è un poco confuso. Segnalo le cose decisamente condivisibili:
- è vero che il risk assessment descritto dalla ISO/IEC 27001:2005, dalla ISO/IEC 27005:2005 e dalla 22301 sono allineati con i requisiti della ISO 31000 "Gestione del rischio - Principi e linee guida";
- è vero che il BCM si occupa delle attività e dei processi, mentre un ISMS (SGSI) si occupa della sicurezza delle informazioni e, quindi, i rispettivi risk assessment sono necessariamente diversi;
- il collegamento tra BCM e ISMS è il parametro di disponibilità delle informazioni. 

Tra le cose negative, l'articolo fa riferimento agli asset intesi in modo estensivo (interpretazione non più condivisa, tanto che la futura 27001 parlerà solo di "information asset"), apprezza la descrizione dettagliata del risk assessment della 27001 (che sarà superata dalla futura versione) confondendo la genericità dei requisiti della 22301 con una necessità di avere un risk assessment non approfondito (interpretazione sbagliatissima), apprezza l'allegato A della 27001 dimenticandosi della 22301 che a sua volta fornisce una linea guida per le misure da considerare quando si realizza un BCM.

Detto questo, anche se ad oggi, i certificati attivi BS 25999 o ISO 22301 sono in larga maggioranza relativi ad aziende operanti nel mercato IT, è comunque bene ricordare che le differenze tra i due approcci sono dovute alle loro diverse finalità: nel ISMS, il risk assessment ha la finalità di dare le priorità al trattamento delle vulnerabilità relative alle informazioni; nel BCM, il risk assessment ha la finalità di strumento sul quale basare le strategie di ripristino dei processi e delle attività.

Sebbene i metodi di risk assessment utilizzati per un ISMS o per un BCM sono diversi a causa delle diverse finalità, è comunque bene studiarli entrambi insieme ad altri metodi (per esempio quelli utilizzati per la sicurezza delle persone o nei settori dell'automotive, dei dispositivi medicali o del chimico), per poter poi individuare quello più adeguato alle proprie esigenze. Ho visto aziende che hanno utilizzato un buon mix tra il classico metodo di risk assessment relativo alla sicurezza delle informazioni e la FMECA utilizzato in ambito automotive.

Ultima riflessione: è bene studiare i metodi utilizzati nel campo di pertinenza, ma è anche bene farlo in modo critico. Ho visto molti danni dovuti all'uso del CRAMM o di suoi derivati, prendendoli per ottimi riferimenti per il risk assessment relativo alla sicurezza delle informazioni, senza considerarne la mantenibilità o la pertinenza dei risultati ottenuti.

venerdì 8 marzo 2013

Raccolta prove digitali: un altro ricorso vinto


Dalla newsletter di DFA, rilancio un link ad un recente (ottobre 2012) provvedimento del Garante Privacy:
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2149222

Ancora una volta, un'impresa si è dedicata ad effettuare analisi forensi di un pc di un dipendente, senza aver in precedenza pubblicato un disciplinare che riportasse i suoi poteri di controllo sui pc del personale.

Novità sul CAD e la firma elettronica


La newsletter di DFA segnala questo articolo sulle novità introdotte nel CAD dal Decreto Sviluppo bis (DL 179 del 2012, convertito in Legge con modificazioni dalla L 221 del 2012):
-
http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/firma-elettronica-avanzata-rilevanti-novita-nel-d-l-sviluppo-bis/

Le novità segnalate sono due:
- adeguamento delle modalità con cui è possibile disconoscere la firma elettronica avanzata, in modo da considerare anche tecnologie quali la firma grafometrica su tavoletta
- l'estensione della validità della firma elettronica al posto di quella scritta per atti e contratti (con esclusionne dei contratti aventi oggetto beni immobili).

L'articolo si conclude ricordando che l'aggiornamento delle regole tecniche, previsto per metà 2012, non è ancora stato pubblicato.

Ispezioni privacy agli operatori TLC


Agostino Oliveri mi ha segnalato la notizia del Garante dal titolo "Privacy: operazione Data Retention":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2300180

La notizia presenta un breve resoconto sulle ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico presso gli operatori TLC.

La sintesi è questa: in 9 casi (su 11) sono state accertate e contestate violazioni relativamente alla conservazione dei dati di traffico oltre i termini previsti, alla mancata adozione delle misure minime di sicurezza, e alla mancata adozione di alcune delle ulteriori misure di protezione prescritte dal provvedimento del Garante, quali l'uso di tecnologie di riconoscimento biometrico per selezionare l'accesso ai dati e la cifratura dei dati.

Mi sarebbe piaciuto avere maggiori dettagli sulle misure minime non adottate.

UE: rivendita online di licenze software


Dalla newsletter Ictlex-news, segnalo la seguente sentenza della Corte di Giustizia UE: una volta "venduto" un software via Internet ad un cliente, questi può a sua volta cedere la licenza a qualcun altro (ovviamente senza trattenere una copia del software per se) senza violare la legge sul diritto d'autore né i diritti del produttore.

Per chi vuole approfondire:
-
http://www.ictlex.net/?p=1430

sabato 2 marzo 2013

Decalogo contro il phishing


L'associazione CINDI ha pubblicato un decalogo per proteggersi dal phishing:
-
https://associazionecindi.wordpress.com/2013/01/23/phishing-postepay-regole-condott/

Lo trovo molto utile.

Alcuni elementi possono anche sembrare banali per chi si occupa di queste cose, ma sappiamo bene che non è così per tutti.

Visto che è facile dire cosa manca in un decalogo, lo faccio: avrei aggiunto "non cliccate mai su un link di una mail della vostra banca o carta di credito: scrivetelo ogni volta nella barra degli indirizzi".

Diffamazione su Facebook: condanna


Questo articolo della associazione CINDI mi pare interessante:
-
https://associazionecindi.wordpress.com/2013/02/28/diffamazione-facebook-giplivorno/

In realtà, si tratta di un argomento già noto: la diffamazione su un social network aperto al pubblico è vietata. Questa volta l'ha ribadito il GIP di Livorno.

Capisco che in quest'epoca in cui le modalità di comunicazione stanno cambiando, non tutti acquisiscono la corretta sensibilità su come usare certi mezzi. Ma anche prima di Internet, parlar male di qualcuno chiaccherando con qualche amico non aveva le stesse conseguenze dello scrivere male di qualcuno su uno o più manifesti affissi per strada.

venerdì 1 marzo 2013

Repertorio delle normative sull'amministrazione digitale


Giovanni Francescutti mi segnala il sito di Digit@LEX "Tutte le Leggi sull'Amministrazione Digitale a portata di click":
-
http://www.digita-lex.it/

Ho navigato un poco nel sito e bisogna dire che riporta moltissime cose e gli argomenti sono classificati in categorie.

Visto che sono sempre sospettoso dei siti realizzati da privati perché, in alcuni casi, dopo l'entusiasmo iniziale, gli aggiornamenti sono meno puntuali, raccomando di fare controlli incrociati con www.normattiva.it e il sito dell'AgID (www.digitpa.gov.it).

Programmare in... sicurezza


Dal Clust Group di LinkedIn, ho trovato la segnalazione di un articolo dal titolo "Programmare in... sicurezza":
-
http://programmazione.it/index.php?entity=eitem&idItem=48588&goback=.gde_54878_member_215687034

L'ho trovato molto interessante e ho trovato ancora più interessante l'articolo in inglese "Safeguard your code: 17 security tips for developers":
-
https://www.infoworld.com/d/application-development/safeguard-your-code-17-security-tips-developers-211339?page=0,0

Ecco i titoli, ma vale la pena leggere tutto:
- 1: Test inputs rigorously
- 2: Store what you need, and not one bit more
- 3: Avoid trusting passwords more than necessary
- 4: Negotiate requirements
- 5: Add delays to your code
- 6: Use encryption more often than you think you should
- 7: Build walls
- 8: Tested libraries -- use them
- 9: Use internal APIs
- 10: Bring in outside auditors to critique your code
- 11: Code analyzers are your friend (con segnalato uno strumento)
- 12: Limit privilege
- 13: Model your threat
- 14: Trust goes both ways
- 15: Keep apprised of the latest threats
- 16: Deep research can pay off
- 17: Educate yourself

Come si vede, si tratta di suggerimenti tecnologici ben noti, di trucchi del mestiere e di pratiche organizzative. Quanti programmatori non seguono neanche una mailing list, quanti responsabili di progetto non hanno il coraggio di negoziare i requisiti!

Attacco al sito web del Tribunale di Milano


Sandro Sanna mi ha segnalato il giorno dopo l'accaduto del web defacing del sito del Tribunale di Milano il 15 febbraio:
-
http://www.ansa.it/web/notizie/rubriche/cronaca/2013/02/16/Attacco-hacker-sito-tribunale-Milano_8259442.html

Volevo trasmettere la notizia solo perché io sono di Milano. In realtà, casi del genere capitano molto spesso e riguardano i soli siti web delle vittime: il minimo previsto quando si sviluppa un'architettura informatica è separare molto bene il server del sito web da quelli degli altri servizi; apparentemente, anche il Tribunale di Milano ha fatto così, anche se non ho trovato approfondimenti successivi il 17 febbraio.

C'è chi manifesta legalmente in piazza o su Internet e c'è anche chi manifesta illegalmente. Questa volta, facendo danni molto limitati e ottenendo un certo ritorno di immagine.