giovedì 30 maggio 2013

Vademecum privacy del Garante

Il Garante della privacy ha pubblicato un opuscolo dal titolo "La privacy
dalla parte dell'impresa - Dieci pratiche aziendali per migliorare il
proprio business". Secondo il comunicato stampa esso "ha l'obiettivo di
aiutare le imprese a valorizzare il proprio patrimonio dati, trasformando la
privacy da costo a risorsa, senza per questo ridurre le tutele dei diritti
fondamentali della persona".

In realtà non dice alcunché di nuovo. Alcuni titoli della normativa vigente
sono riscritti in italiano più accessibile. E' un opuscolo utile solo a
coloro che non hanno mai affrontato l'argomento privacy.

In particolare, l'opuscolo non affronta i problemi più spinosi che le
imprese devono affrontare: come nominare i propri fornitori se si è titolari
di un trattamento (un professionista dovrebbe nominare Telecom Italia come
responsabile del trattamento ed esercitare il controllo sul suo operato?),
come nominare i propri fornitori se si è responsabili di un trattamento,
cosa si intende per amministratore di sistema e come devono essere svolte le
verifiche sul suo operato.

Peccato: un'altra occasione persa. Per chi volesse verificare:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2445101

venerdì 24 maggio 2013

Sky e la gestione delle vulnerabilità

Sandro Sanna mi ha segnalato questo articolo di Panorama:
- http://mytech.panorama.it/sicurezza/bug-sito-sky-hacker?utm_source=feedburne
r&utm_medium=feed&utm_campaign=Feed%3A+FeedDiTuttiICanaliDiPanoramait+%28Pan
orama.it+-+Tutti+i+canali%29


In poche parole, tale Fabio Natalucci (in gergo, il "findeer") ha segnalato
una vulnerabilità a Sky. Sky ha poi negato e il Natalucci ne ha scritto
assai sul suo blog:
- http://www.fabionatalucci.it/la-bella-risposta-di-sky/
- http://www.fabionatalucci.it/per-sky-hackingsky/

Non che la notizia sia diversa da tante altre, ma mi ha fatto riflettere sul
fatto che sono in lavorazione i seguenti standard in merito al
"Vulnerability handling":
- ISO/IEC 29147 - Responsible vulnerability disclosure (fornisce linee guida
per la divulgazione delle potenziali vulnerabilità nei prodotti e servizi
online);
- ISO/IEC 30111 - Vulnerability handling processes (descrive i processi per
i vendor della gestione della segnalazioni di potenziali vulnerabilità nei
prodotti e nei servizi online).

Sono tutti e due in stato di DIS e se non ci sono intoppi dovrebbero essere
quindi pubblicati tra un anno circa.

Per quanto riguarda il caso in questione, cose che si dovrebbero fare ma non
sono state fatte:
- ogni fornitore di servizi o prodotti dovrebbe rendere disponibile un
canale sicuro attraverso cui comunicare le vulnerabilità e poi mettersi in
comunicazione con il "finder" se non comprende bene la natura della
segnalazione;
- il "finder" non dovrebbe mai rendere disponibile l'exploit, ma solo un
resoconto (per esempio sul modello dei Microsoft Buletin).

Si dice anche che il "finder" potrebbe comunicare la vulnerabilità ad un
CERT, ma sembra che in Italia continui a non esistere...

Binding corporate rules: un parere

Max Cottafavi di Reply mi segnala questo articolo di sintesi sul parere
positivo dell'Art 29 WP sul ricorso alle Binding Corporate Rules (BCR) da
parte dei responsabili esterni del trattamento (c.d. "BCR for Processors"):
- http://livinginaglassworld.com/2013/05/21/binding-corporate-rules-per-i-resp
onsabili-del-trattamento-i-chiarimenti-dellart-29-working-party/


Il commento di Max Cottafavi è "non credo molto nelle BCR e trovo
estremamente difficile che società di uno stesso gruppo multinazionale,
operante in contesti e nazioni totalmente differenti tra loro, riescano a
metterle in piedi e a rispettarle. I casi virtuosi ci sono ma di essi si
parla proprio perchè rappresentano delle eccezioni".

Ricordo che l'Art 29 WP, come dichiarato sul sito web della Commissione
Europea (http://ec.europa.eu/justice/data-protection/article-29/), ha un
ruolo di consulenza.

Fattura elettronica obbligatoria per la PA: pubblicato il regolamento

Ci sono cose che fanno piacere: la fatttura elettronica è ora obbligatoria
per la Pubblica Amministrazione grazie al DM 55 del Ministero dell'economia
e delle finanze del 3 aprile 2013 con titolo "Regolamento in materia di
emissione, trasmissione e ricevimento della fattura elettronica da
applicarsi alle amministrazioni pubbliche [...]".

Se pensiamo che ci sono aziende private che ancora inviano fatture in
formato cartaceo e si rifiutano anche di riceverle in formato elettronico,
possiamo sperare che anche loro si evolvano.

L'articolo su CINDI, con il link alla normativa:
- http://www.cindi.it/fattura-elettronica/

Quante volte al giorno controlli l'email?

Segnalo questo interessante articolo dal titolo "Quante volte al giorno
controlli l'email?".

In pochissime parole: se controllate le vostre e-mail più di 4 volte al
giorno, siete improduttivi.

Credo di sperimentarlo su me stesso.

Ma il tutto è ben argomentato dall'articolo stesso:
- http://www.achab.it/blog/index.cfm/2013/4/quante-volte-al-giorno-controlli-l
email.htm
.

martedì 21 maggio 2013

Byod, la ricetta non vale per tutti

Enzo Ascione di Intesa Sanpaolo mi scrive:
"ti segnalo un articolo che parla di quanto il BYOD sia in crescita, ma non
per tutte le tipologie di azienda. Da non sottovalutare, inoltre, i rischi
per la sicurezza, visto che molto presto si farà luce anche il Byoa (per non
farci mancare nulla come sigle), Bring your own app, ossia 'usate il vostro
software'".

L'articolo:
- http://www.corrierecomunicazioni.it/tlc/21351_milanesi-byod-la-ricetta-non-v
ale-per-tutti.htm

lunedì 20 maggio 2013

La formazione sulla sicurezza è utile? (risposte)

In aprile avevo scritto che " la formazione degli utenti sulla sicurezza
informatica non è generalmente utile".

Enzo Ascione di Intesa Sanpaolo mi ha risposto con una mail interessante che
riporto:

"Ciò che affermi è giustissimo nella misura in cui continuiamo a pensare che
la società in cui viviamo non sia perfettibile.

Da qualche tempo faccio parte di un'associazione composta da volontari che
insegna ai ragazzi nelle scuole l'utilizzo di Internet in modo consapevole.
Ovvero, oltre l'uso anche le insidie che si nascondono interagendo nel mondo
virtuale. L'associazione si chiama: Icaro ce l'ha fatta
(www.associazioneicaro.org).

Inoltre, stiamo emettendo a livello banca una serie di regole sullo sviluppo
sicuro del software, ma più si va avanti e più ci si accorge che non esiste
un "codice sicuro".

La profilazione dei propri device è comunque qualcosa a cui stanno reagendo
bene gli utenti… forse accoppiandola a regole di comportamento (etico e non)
può rappresentare una buona scappatoia".

Ringrazio Enzo. Mi permetto di dare due risposte:
- utilissima la formazione svolta anche sui ragazzi per l'uso consapevole
delle tecnologie (ringrazio quanti fanno questa attività, spesso volontaria,
che ha anche l'effetto di rendere Internet un posto un po' più sicuro);
- i comportamenti a livello aziendale sono purtroppo condizionati da altre
cose (fretta, efficienza, contenimento dei costi) e queste spesso sono
ritenute più importanti della sicurezza.

martedì 14 maggio 2013

Sony.it e internazionalizzazione

Inizio con un caso personale, che forse interesserà a pochi, per poi fare
qualche riflessione più generale.

A marzo ho comprato un pc on-line sul sito della Sony.it. Seguo le semplici
istruzioni, inserisco il "indirizzo di fatturazione", inserisco il codice
fiscale, pago e non mi accorgo che non il sito non mi ha mai chiesto la
partita IVA. Mi arriva la fattura con partita IVA italiana e la consegno
pochi giorni fa alla mia commercialista. La quale mi fa notare che, non
essendoci partita IVA, non potrà recuperare l'IVA di quell'acquisto e mi
insulta. Io penso di essermi fidato di un operatore come Sony e di non
essere stato più che attento. Chiamo il servizio clienti e mi rispondono che
sul sito c'è scritto che se volevo la fattura, dovevo telefonare. Ho
verificato e non ho trovato da nessuna parte questa dicitura. La fattura,
inoltre, contrariamente a quanto previsto dalla normativa in vigore dal
primo gennaio 2013, non riporta neanche il mio codice fiscale.

Ovviamente, la Sony ha solo tradotto in italiano il proprio sito di
e-commerce e ha imposto SAP per la contabilità worldwide.

Pensate quello che volete di me, ma mi è venuto da pensare più in generale
ai progetti di internazionalizzazione e di consolidamento dei servizi IT:
molte aziende sviluppano un software, con le specifiche fornite dal
personale della casa madre, e poi lo impongono a tutte le filiali nel mondo,
senza prima fare uno studio serio sulle specificità, anche implicite, di
ciascun Paese (se da qualche parte scrivi "fatturazione" a me risulta
implicito che poi ti venga chiesta la partita IVA).

Questo succede sia ai software utilizzati internamente, che ai servizi
offerti al pubblico: ho alcuni amici che hanno passato mesi a litigare con
la casa madre perché il sistema di contabilità non è adeguato alla normativa
italiana, ho visto molte imprese preoccupate per dei software imposti dalla
casa madre che non rispettano alcuna misura prevista dalla normativa
privacy, e molte case madri non rilasciano alcun documento che possa essere
utilizzato dalle imprese italiane per dimostrare la correttezza degli
adempimenti privacy.

La Sony ha perso un misero ma (ex) affezionato cliente; ma sarebbe bello si
sviluppassero meglio i software e i servizi IT con impatto internazionale e
che i responsabili di tali progetti non si improvvisassero tali.

Discussioni sul monitoraggio

Dopo il mio articolo su "Se non lo misuri non lo conosci?", in cui criticavo
l'impostazione del controllo aziendale basato su misurazioni, promuovendo
quello basato sul monitoraggio, ho ricevuto due commenti.

Il primo di Andra Rui che non è d'accordo con me perché "il monitoraggio è
una forma meno precisa di misurazione (riporta gli andamenti nel tempo)". Io
intendo come "monitoraggio" l'analisi continua dei processi e delle attività
dell'impresa, di modo da arrivarne alla conoscenza profonda. Infatti i
numeri nascondo spesso inefficienze e problemi e i manager passano troppa
parte del proprio tempo a mettere a posto i numeri e non le inefficienze.
Come sempre, non sempre i termini sono interpretati da tutti nello stesso
modo (i tecnici informatici, infatti, intendono il monitoraggio come
andamenti). Io mi scuso per l'ambiguità del mio scritto.

Fabrizio Monteleone, invece, aggiunge ricorda: "il principio di
indeterminazione di Heisenberg implica che ad una particella non è possibile
assegnare, e quindi anche conoscere, nello stesso momento un definito valore
della posizione e della velocità o quantità di moto. .......Tale principio
implica che quanto più è precisa la misura di una grandezza tanto maggiore
sarà l'errore nella misura dell'altra, per cui l'osservatore dovrà scegliere
quale misura privilegiare e tarare gli strumenti di conseguenza
(wikipedia)". E aggiunge "il mio modestissimo parere di studente svogliato e
poco proficuo: ciò implicherebbe che nei sistemi di gestione è inutile
bearsi di moltitudini di indicatori spesso tra loro collegati o
derivati...". Condivido la condivisione dell'approccio di alcuni auditor che
richiedono di misurare sempre più cose.

Da tutto ciò, mi è venuto in mente l'esempio dell'automobile. Per guidarla
abbiamo normalmente bisogno di: 2 o 3 indicatori (velocità, livello di
benzina e numero di giri; possiamo aggiungere la distanza per arrivare a
destinazione e l'ora), dei sistemi di allarme se qualcosa non va bene e
tanta tanta attenzione alla strada, ai cartelli e al traffico (che non
dobbiamo contare o misurare). Lo stesso per guidare un'azienda: pochi
indicatori, dei sistemi di allarme e tanta tanta attenzione a cosa sta
succedendo.

Non è farina del mio sacco: segnalo già per la seconda volta il libro
"Contro il management" di Francesco Varanini.

lunedì 13 maggio 2013

Conseguenze se non si ha una PEC

Come già detto in precedenza, il DL 5 del 2012 ha introdotto l'obbligo per
le società di avere una PEC.

Ora in Consiglio di Stato ha chiarito quali sono le conseguenze se non si ha
una PEC: banalmente, la società non può essere iscritta al Registro delle
imprese!

Maggiori dettagli su Filodiritto:
- http://www.filodiritto.com/consiglio-di-stato-senza-la-pec-la-societa-non-si
-iscrive-nel-registro-delle-imprese/#.UZCW4spWXj4

domenica 12 maggio 2013

Qualche strumento per la sicurezza informatica

Mercoledì, in occasione dell'interessantissimo DFA Open Day (ero tra gli
organizzatori... perdonate l'aggettivo...), mi sono confrontato con Valerio
Vertua di DFA e ho steso questo piccolo elenco di software free.

Truecrypt (www.truecrypt.org)
Serve per creare dischi, partizioni, cartelle cifrate (ma le possibilità
sono ancora più ampie) e ne esistono versioni portable per pc e mac; se le
persone non rinunciano ad usare una chiavetta USB per farsi i backup e, cosa
ancora peggiore, la usano anche scambiare file con altre persone, allora
che creino un contenitore crittografato sulla chiavetta e lo affianchino
alle versioni portable di Truecrypt in modo da potervi accedere da qualsiasi
computer (ed evitare che le persone con cui scambiano file accedano anche a
quelli non destinati a loro).
AGGIORNAMENTO:  TrueCrypt è ora ritenuta insicuro. In post successivi a questo ho fornito delle alternative.

Eraser (http://eraser.heidi.ie)
Quasi tutte le imprese dicono al proprio personale di cancellare i dati in
modo sicuro, ma non forniscono loro alcun software per farlo. Eraser è free
e fa benissimo il lavoro. Da impostare affinché effettui solo un passaggio
di cancellazione perché è più che sufficiente e non dannoso per l'hardware.
Se poi dovete anche cancellare in modo sicuro un intero disco, fa anche
quello (in Windows, basta cliccarci con il tasto destro per trovare
l'opzione).

Wuala (www.wuala.com)
Mi dicono che, secondo le analisi attuali, è uno dei servizi cloud di
storage per backup e scambio di file più sicuro di tutti. Perché cifra sul
client, perché la chiave crittografica non lascia mai il proprio device (sia
esso il pc, mac, il tablet o lo smartphone) e perché non è possibile
accedere al servizio cloud mediante browser (ma solo attraverso
un'interfaccia java) e per tanti altri motivi. Gratis fino a 5GB.

Tails (https://tails.boum.org/)
Se usate un pc non vostro per lavoro, è meglio usare un "vostro" pc portable
che poi non lasci tracce sul pc ospite. Tails occupa meno di 1GB e può
essere installato su chiavetta USB o DVD. Tra le tante caratteristiche
uniche di questa distribuzione live: tutto il traffico Internet avviene
attraverso la rete TOR, è possibile creare una partizione cifrata per
salvare i propri dati e le proprie impostazioni ed, infine, viene pulita la
RAM, con tecniche wiping, quando viene spento, per qualsiasi motivo, il
"vostro" pc portable. Se, per caso, sul pc ospite sono installati dei
keylogger, Tails vi protegge: basta infatti usare la tastiera virtuale
prevista di default.

PGP e GPG (http://www.gnupg.org/)
Da quando PGP è stato acquistato dalla NAI (ora è proprieta della Symantec)
e non è più free, l'uso di questo strumento è diventato sempre meno popolare
fra i più "diffidenti". Ma GPG è free! E ne esistono anche le versioni con
interfaccia grafica per Windows (Gpg4win) e Mac (GPGTools)! Da usare per le
mail riservate o i file critici da scambiare con altri.

PS: ringrazio ancora Valerio Vertua per aver ricontrollato e molto corretto il mio articolo iniziale.

giovedì 9 maggio 2013

Green IT

Continuo a professare a mia incompetenza nel campo del Green IT o, se
vogliamo chiamarlo in italiano, dell'Uso razionale dell'energia nei centri
di calcolo.

Ma trovo che capirne un po' aiuti a capire meglio le aziende IT con cui
parlo di gestione dei servizi IT e ISO/IEC 20000-1 o ISO 9001. Stranamente,
anche quando parlo di ISO/IEC 27001 mi sono trovato impelagato in dibattiti
sul free cooling e amenità del genere.

Ancora una volta, mi è venuto in aiuto Franco Ferrari che mi ha segnalato
delle interessanti pubblicazioni che mi hanno permesso di capire meglio
alcuni termini e alcuni argomenti.

La prima è dell'ENEA e della FIRE e ha il titolo che ho appena copiato e
incollato: "Uso razionale dell'energia nei centri di calcolo" e il link si
trova nella pagina che segue:
- http://www.fire-italia.it/caricapagine.asp?target=studi.asp

Il secondo è dell'ENEA e ha titolo "Definizione di algoritmi e indicatori
per l'efficientamento dei centri di elaborazione dati (CED)" (il report è
del 2011, ma è sotto la dicitura "2008"):
-
http://www.enea.it/it/Ricerca_sviluppo/ricerca-di-sistema-elettrico/Risparmi
o-energia-elettrica/tecnologie-per-lefficienza-energetica-nei-servizi/report


Il terzo è di CISCO, Panduit, APC e riporta alcuni elementi sul cablaggio.
E' del 2007 e l'ho trovato solo al link che segue:
-
www.cisco.com/web/IT/products/dc/pdf/facility_consideration_for_datacenter_i
ta.pdf

mercoledì 8 maggio 2013

Sui corsi Privacy Officer

Negli ultimi giorni mi sono arrivate delle richieste per dei corsi da
Privacy Officer, figura richiesta dal Regolamento Europeo sulla privacy.
Tali corsi sono già offerti da alcune aziende. In casi ancora più
particolari, tali corsi sono dichiarati "conformi alla ISO/IEC 17024 sulla
certificazione del personale".

Mi sono sempre rifiutato di soddisfare queste richieste, così come
formulate. Ovviamente, sono il primo a promuovere la formazione del
personale, ma non in questi termini.

Spiego il perché:
- il Regolamento Europeo è stato appena approvato dalle Commissioni del
Parlamento Europeo e quindi dovrà effettuare altri passaggi di revisione:
quindi qualsiasi cosa è presente oggi nel testo potrà essere modificata o
eliminata nella versione definitiva;
- l'uscita è prevista a inizio 2014 e prevederà un periodo di transizione
tale da permettere alle organizzazioni di adeguarsi ai nuovi adempimenti
rispetto alle normative nazionali attualmente seguite (in Italia, il Codice
Privacy);
- il Regolamento potrà essere approvato in forma definitiva anche prima e
potrebbe anche non essere mai approvato (ricordo che il Parlamento
Europeo sarà sciolto nei primi mesi del 2014, secondo la sua normale
scadenza).

Conseguenza di quanto detto sopra: il Privacy Officer potrebbe non essere
più previsto nel testo definitivo o potrebbe avere compiti diversi da quelli
attualmente previsti. Quindi: non trovo corretto sottindendere la necessità
del corso o la sua adeguatezza rispetto ad una norma di cui non si conosce
la forma finale.

Per quanto riguarda la conformità alla ISO/IEC 17024, preferisco limitarmi a
copiare una dicitura vista sul web: "il corso è stato impostato in accordo
allo standard UNI CEI EN ISO/IEC 17024:2004" e far notare che non si dice
che il corso "è stato certificato rispetto alla ISO/IEC 17024", ma si usa
una formula che da una parte non lo afferma, ma dall'altra parte lascia quel
minimo di ambiguità utile ad ingannare le persone meno attente o meno
preparate su questo singolo punto.

MELANI: Rapporto semestrale 2012/II

La Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI
della Svizzera pubblica semestralmente un rapporto sulla situazione in
Svizzera e a livello internazionale. Esso è sempre molto interessante.

L'ultimo numero, reso disponibile a inizio maggio, raccoglie notizie sugli
eventi censiti nel periodo di riferimento e li commenta. In particolare
segnalo i seguenti:
- attacchi agli impianti industriali (SCADA)
- il ritorno del phone phreaking
- aggiornamenti sui conflitti informatici in Medio Oriente, in particolare
sui malware Flame, Gauss e Shamoon;
- attacchi alle porte elettroniche degli alberghi (la notizia dell'attacco
ai sistemi aerei è del 2013, quindi in questo numero non se ne accenna);
- analisi degli app stores.

Gli articoli sono molti e molto ben fatti: sono mirabili per interesse e
sintesi, visto che sono concentrati in 40 pagine.

Pubblicata la ISO/IEC 27014 "Governance of information security"

Franco Ferrari del DNV Italia mi ha segnalato che è stata pubblicata con
data 15 maggio la ISO/IEC 27014 dal titolo "Governance of information
security".

Mi chiederò sempre perché lui sappia queste cose con questo anticipo, visto
che la segnalazione è del 7 maggio.

Detto ciò, posso dire quanto segue:
- la norma che non dice, a mio parere, nulla di nuovo;
- rigira il modello PDCA in "Evaluate-Direct-Monitor-Communicate-Assure", a
sua volta ripreso da quello proposto dalla ISO 38500 (che però si limitava
alle sole prime 3 aree);
- utilizza alcuni concetti (risk appetite, information security status) non
sono rintracciabili nelle altre norme della serie ISO/IEC 27000 in vigore e
che potrebbero generare confusione.

Vedremo comunque come questa norma sarà accolta dal mercato e se io l'ho
letta troppo distrattamente e non ne ho colto tutti gli aspetti.

Pubblicata la ISO/IEC TS 17021-3 sulle competenze degli auditor qualità

La ISO ha comunicato la pubblicazione della "ISO/IEC TS 17021 Conformity
assessment – Requirements for bodies providing audit and certification of
management systems, Part 3: Competence requirements for auditing and
certification of quality management systems".

La parte 2, pubblicata ad agosto 2012, riguardava le competenze degli
auditor dei sistemi di gestione ambientale (ISO 14001). Ricordo inoltre che
queste sono norme applicabili ai soli organismi di certificazione e non alle
"normali" imprese.

E' comunque interessante osservare come stia aumentando l'attenzione sulle
competenze degli auditor, anche con norme dedicate. In effetti, le norme di
requisiti (ossia quelle certificabili) come la ISO 9001 o la futura ISO/IEC
27001 sono sempre meno dettagliate, per garantire la loro applicabilità a
tutte le tipologie di organizzazioni, e richiedono sempre più una
valutazione dell'adeguatezza del sistema di gestione e delle misure
adottate.

Ovviamente, per valutare l'adeguatezza di un sistema di gestione bisogna
essere competenti sulla materia.

Tutto ciò, però, pone dei problemi alle organizzazioni oggetto degli audit e
agli auditor: se un auditor non ritiene adeguata una misura, risulta
difficile sostenere la propria tesi se quanto visto è in effetti
strettamente conforme al requisito della norma; dall'altra parte, se un
auditor pretende misure eccessive rispetto alle reali esigenze
dell'organizzazione, diventa difficile per quest'ultima contestarle visto
che la valutazione è basata su parametri spesso non scritti nella norma di
riferimento (può però inoltrare reclamo e ricusare l'auditor per le
successive verifiche).

Solo un auditor competente, tranne casi estremi, può avviare un reale
confronto con l'organizzazione oggetto dell'audit per valutare l'adeguatezza
di quanto attuato e non essere successivamente contestato quando i propri
rilievi sono pertinenti.

Trovate il rapporto in questa pagina:
-
http://www.melani.admin.ch/dienstleistungen/archiv/01536/index.html?lang=it

lunedì 6 maggio 2013

Aggiornamenti sulle norme ISO/IEC 270xx

La settimana del 22 aprile si è tenuto a Sophia Antipolis (vicino ad
Antibes, Francia) il 46 Plenary Meeting del WG1 del SC27 del JTC1 della
ISO/IEC; in poche parole, si è tenuto l'incontro semestrale del gruppo di
esperti dedicato alla scrittura delle norme della famiglia ISO/IEC 270xx. Di
seguito i risultati.

Per la cronaca, per la delegazione italiana eravamo in 5 (io, il Presidente
Fabio Guasconi, Andrea Caccia, Dario Forte e Stefano Ramacciotti).

ISO/IEC 27000: si è avanzati nell'aggiornamento della norma dedicata ai
termini e definizioni, soprattutto per includere le novità della futura
27001; difficile oggetto di discussione è stata la definizione di Statement
of Applicability.

ISO/IEC 27001: la norma è passata in stato di final draft con un solo voto
negativo; dovrebbe essere quindi pubblicata a ottobre-novembre 2013, dopo
l'incontro previsto a Songdo in Corea del Sud la settimana del 21 ottobre;
gli aggiornamenti sono stati minimali perché, dopo anni a discutere di Annex
A, posizionamento del risk assessment (nel plan o nel do), obbligatorietà o
meno dello statement of applicability, eccetera, è prevalsa l'idea che si è
raggiunto comunque un buon compromesso e l'unico metro di giudizio potrà
essere solo l'applicazione sul campo della nuova norma; per chi volesse
ripassare gli argomenti di discussione, rimando ai miei post precedenti;
aggiungo il fatto che i Paesi Bassi, pur approvando il passaggio della norma
in final draft, si sono formalmente lamentati delle ambiguità presenti nel
testo, che potranno essere negative per il mercato (personalmente, sono
d'accordo con loro).

ISO/IEC 27002: anche questa è passata in stato di final draft con 2 voti
negativi (uno perché le 1.000 proposte di modifica (!) non sono state tutte
correttamente prese in carico e potrebbero avere introdotto delle incoerenze
nel testo; l'altro perché la norma esplicita la possibilità di avere policy
a diversi livelli); anch'essa dovrebbe quindi essere approvata a ottobre a
Songdo.

ISO/IEC 27003: sono iniziati i lavori sulla revisione della "Implementation
guidance" che dovrebbe, nella migliore delle ipotesi, essere pubblicata tra
un paio di anni; questa norma è ora reputata molto importante perché fornirà
una guida all'interpretazione dei requisiti della 27001 che alcuni, me
incluso, reputano in molti casi troppo sintetici. Vedremo come avanzeranno i
lavori.

ISO/IEC 27004: anche per questa norma (sulla misurazione dell'efficacia di
un ISMS) sono proseguiti i lavori e si applicano le stesse considerazioni
fatte per la 27003; con soddisfazione di molti (inclusi gli italiani), è
passata l'idea che la seconda edizione deve essere più pratica e meno
teorica, a differenza dell'attuale edizione del 2009.

ISO/IEC 27006: questa volta, l'incontro sulla 27006 è stato molto più
affollato delle volte precedenti; con mia grande soddisfazione, il requisito
di avere la versione del SOA sul certificato è stato eliminato e si cercherà
di dare maggiori possibilità di riduzione dei tempi di audit (si manterrà
l'impostazione attuale, ma dando più possibilità agli Organismi di
certificazione di ridurre le giornate di audit; si studierà un meccanismo
per evitare che alcuni organismi facciano audit non adeguati). Ricordo però
che lo stato della 27006 è ancora di Working draft e quindi molte cose
potranno ancora accadere.

ISO/IEC 27009: questa norma riguarda l'uso delle norme settoriali (27011,
27017, 27018, 27019 e altre) per le certificazioni ISO/IEC 27001; c'è stata
molta discussione anche sul titolo (l'Italia si è anche opposta, con la
maggioranza, alla modifica del titolo in "Application of ISO/IEC 27001 -
Requirements") e sul suo campo di applicabilità.

ISO/IEC 27011 (telecomunicazioni) e 27013 (uso congiunto di 27001 e 20000):
è stato approvato l'inizio del lavori di revisione.

ISO/IEC 27016 ("Organizational economics") e ISO/IEC 27017 (sul cloud
computing): sono proseguiti i lavori

E' stato approvato l'inizio dei lavori per un nuovo standard sulla
certificazione dei professionisti dediti all'information security
management.

Infine, si è parlato della norma ISO 34001 "Security Management System",
proposta dal ISO/TC 247 "Fraud countermeasures and controls", perché sembra
voler essere in competizione con la ISO/IEC 27001.