venerdì 30 maggio 2014

TrueCrypt

La notizia ha fatto subito il giro del mondo: gli sviluppatori di TrueCrypt hanno dichiarato la fine dello sviluppo e della manutenzione dello strumento più noto e affidabile per cifrare hard disk o singoli file e cartelle:
- http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
- http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/

Il sito ufficiale è questo:
- http://truecrypt.sourceforge.net

Alcuni suggeriscono strumenti come BitLocker di Windows e altre cose che mi sembrano molto meno intuitive e facili da utilizzare (con TrueCrypt è facilissimo creare una cartella cifrata da copiare-incollare quando se ne fa il backup).

Alcuni però sostengono che si tratti di un attacco al sito web di TrueCrypt e che la versione 7.2 pubblicata sia un falso. Quindi cosa fare? Io, non l'avessi già sul mio pc, scaricherei da qui la versione 7.1a (quella per Windows ha nome " TrueCrypt Setup 7.1a.exe"):
- https://github.com/DrWhax/truecrypt-archive

venerdì 23 maggio 2014

Accreditamento conservazione digitale (commenti)

In merito agli aggiornamenti relativi ai regolamenti sulla conservazione
digitale
(http://blog.cesaregallotti.it/2014/05/accreditamento-conservazione-digitale
.html
), Franco Ruggieri mi ha inviato alcune considerazioni molto
interessanti che riporto.

E' vero che nel DPCM 3/12/2013 non c'è alcun riferimento allo ISO/IEC 27001,
mentre c'è nella successiva Circolare AgID 65/2014. Insomma: la Circolare
mette una pezza al buco del DPCM.

Faccio notare che è stato pubblicato da AgID un altro documento che ritengo
di estremo interesse per i conservatori che, però ha un titolo chilometrico:
"Accreditamento dei soggetti pubblici e privati che svolgono attività di
conservazione dei documenti
informatici - Requisiti di qualità e sicurezza per l'accreditamento e la
vigilanza"

Ebbene, questo documento esplode nei minimi particolari i requisiti da
rispettare, riportando per ognuno la clause dello OAIS (ISO 14721) e dello
ETSI TS 101 533-01. Insomma: la certificazione ISO/IEC 27001 potrà (o forse
"dovrà") essere fatta avvalendosi del TS 101 533-01 come punto di
riferimento per le misure di sicurezza da attuare. D'altronde ad oggi non
c'è altro documento a cui rifarsi per un conservatore.

Peccato che questo TS sia stato redatto (e tradotto da UNI nella serie
UNI/TS/TR 11465-1-2-3) nel 2012, quando cioè la versione ISO/IEC 27001 del
2013 ancora non era nata.

Aggiungo che, anche se il documento di "Requisiti di qualità e sicurezza per
l'accreditamento" è solo una linea guida, senza la forza né di una Circolare
né di uno strumento giuridico, è sempre un documento emesso da chi fa la
vigilanza. È quindi molto probabile che AgID si baserà su di esso e sui
documenti da esso referenziati.

C'è un altro punto: si fa riferimento al TS 101 533-01 come
"raccomandazione", mentre invece è una "specifica". Inoltre il DPCM si
riferisce all'elenco dove è riportato come "elenco di specifiche". In
definitiva: quanto indicato nella tabellona del documento "Requisiti di
qualità e sicurezza per l'accreditamento e la vigilanza" diventa cogente,
compresa la specifica ETSI TS 101 533-01.

Infine è buffo vedere che viene richiesta una certificazione ISO/IEC 27001,
con scadenza triennale, e poi è richiesto di presentare un certificato di
conformità ai requisiti tecnici (che comprendono il rispetto della ISO/IEC
27001 e della ISO 14721) ogni due anni.

martedì 20 maggio 2014

Delle definizioni di rischio (approfondimento 2)

Dopo gli articoli degli ultimi mesi, Andrea Rui mi ha inviato una
considerazione personale che trovo molto interessante perché distingue tra
una valutazione del rischio "economica", che quindi si basa sulla formula
"rischio = minaccia x conseguenze", e una "umana" che deve basarsi su altre
formule.

Copio e incollo la mail di Andrea e lo ringrazio.

<<
Il D.Lgs. 81/2008 ha un approccio al rischio totalmente diverso da quello
delle altre norme. La centralità del rischio non è sull'azienda, ma sul
lavoratore.

Una gestione del rischio per i lavoratori dal punto di vista economico
dovrebbe includere svariati aspetti, tra cui: costo derivante dall'assenza,
eventuali sanzioni penali, eventuali sanzioni civili, perdita di know how,
danno di immagine, aumento dei costi assicurativi, eventuale perdita di
appalti o di partecipazione a gare, criticità derivanti dall'assenza del
lavoratore, eccetera.

Al contrario, il rischio per il D.Lgs. 81/2008 è uno solo: che il lavoratore
si faccia male.

In sintesi, mentre per la ISO/IEC 27001 il rischio che un lavoratore si
possa fare male può essere accettabile (ed in particolari contesti
potenzialmente anche conveniente) dal punto di vista del business, non lo è
dal punto di vista della Legge.

Infatti le aziende tendono a delocalizzare dove la nostra legge non si
applica, e dove il costo per i danni alle persone sono inferiori ai costi da
sostenere per impedire che si verifichino gli incidenti e per minimizzarne
l'impatto.
>>

NIST SP 800-160 "Systems Security Engineering"

Il NIST ha reso pubblico il final draft della SP 800-160, dal titolo
"Systems Security Engineering: An Integrated Approach to Building
Trustworthy Resilient Systems":
- http://csrc.nist.gov/publications/PubsDrafts.html#800-160

Sono indeciso se leggerlo ora o aspettare la pubblicazione della versione
finale. Ad ogni modo, credo sia una lettura da fare.

Legale: uso di pc e mail aziendali per scopi personali

Enzo Ascione di Intesa Sanpaolo Group Services mi segnala una sentenza della
Corte di Cassazione (sez. lav. - sent. 18.3.2014 n. 6222) la cui sintesi è:
"L'uso di pc e mail aziendali per scopi personali non giustifica il
licenziamento".

In poche parole, il datore di lavoro ha esagerato, visto che "il contratto
collettivo applicato prevede per tali inadempimenti/infrazioni delle
sanzioni di tipo conservativo, quali la multa o la sospensione dal lavoro".

Copio ulteriormente da un commento alla sentenza: "In particolare, i giudici
della Suprema Corte di Cassazione hanno precisato che in tema di
licenziamento disciplinare, l'uso, anche quotidiano, della mail aziendale
per ragioni private, come anche l'installazione sul computer di programmi
che non sono inerenti all'attività lavorativa, non rappresentano violazioni
(inadempimenti) che di per sé sono sufficienti alla irrogazione del
licenziamento del dipendente".

Segnalo infine l'articolo su Filodiritto:
- http://www.filodiritto.com/cassazione-lavoro-luso-privato-del-computer-e-dellemail-aziendali-non-legittima-il-licenziamento

venerdì 16 maggio 2014

Stato delle norme ISO/IEC 270xx

Venerdì 11 aprile si è concluso a Hong Kong il 48mo meeting dell'SC 27
dell'ISO/IEC JTC 1. Come nel precedente meeting di ottobre 2013 hanno
partecipato circa 250 delegati, di cui 100 per il WG1 (ossia il gruppo che
si occupa delle norme della famiglia ISO/IEC 27000 e collegate alla ISO/IEC
27001). La delegazione italiana era composta da 4 persone: Fabio Guasconi
(Presidente SC 27 italiano), io per seguir i lavori del WG 1 insieme a
Fabio, Dario Forte per il WG 4 e Andrea Caccia per i WG 1 e 4 e come
rappresentante per ETSI.

In questo meeting del WG sono proseguiti i lavori sulle nuove ISO/IEC 27003,
27004, 27005, 27006, 27009, 27010, 27011, 27013 e 27017. Si è anche lavorato
sulle future edizioni della ISO/IEC 27000. Sono stati avviati i lavori
preliminari per le nuove edizioni delle ISO/IEC 27007, 27008, 27019 e per la
nuova ISO/IEC 27021 sulle competenze dei professionisti di sistemi di
gestione per la sicurezza delle informazioni.

Questo arido elenco di norme non rende giustizia di quanto successo: si è
discusso molto in un clima decisamente costruttivo e in modo che le esigenze
dei rappresentanti dei diversi Paesi e delle diverse parti interessate alle
norme (auditor, consulenti e organizzazioni) fossero ben espresse.

mercoledì 14 maggio 2014

DFA Open Day 2014 - 5 giugno 2014 - Milano

Il 5 giugno si terrà l'Open Day dell'associazione DFA, di cui sono
consigliere.

Sono molto orgoglioso del programma, che sarà pubblicato in forma completa
su:
- http://www.perfezionisti.it/proposte-formative/dfa-open-day-2014/.

Gli argomenti saranno soprattutto relativi a "OSINT e Investigazioni
Digitali" e "Security e Incident Response aziendale".

La partecipazione è gratuita. Programma in sintesi e modulo di
registrazione:
- http://dfaopenday2014.eventbrite.it/

Guida rapida Scrum

Stefano Ramacciotti mi ha segnalato l'interessante pubblicazione "Scrum
Primer 2.0" e la sua traduzione in italiano:
-
http://www.greengegneria.it/index.php?option=com_content&view=article&id=135

Copio e incollo dalla breve presentazione: "Scrum è il modello di Sviluppo
Software Agile più diffuso al mondo. The Scrum Primer 2.0 è una delle guide
rapide su Scrum più note a chi si è avvicinato a questo modello di Sviluppo
Agile".

venerdì 9 maggio 2014

Accreditamento conservazione digitale

Sandro Sanna e Vincenzo Mondelli mi hanno segnalato la pubblicazione della
Circolare 65 del 10 aprile 2014 dell'Agenzia per l'Italia digitale (AgID)
che riporta le modalità per l'accreditamento dei conservatori dei documenti
informatici.

Avevo accennato a suo tempo alla pubblicazione delle regole tecniche:
- http://blog.cesaregallotti.it/2014/04/regole-tecniche-protocollo-e.html

Mi era sfuggito però che tra le richieste fatte ai conservatori vi fosse la
certificazione ISO/IEC 27001. In realtà è divertente vedere come nelle
regole tecniche stabilite dal DPCM del 3 dicembre 2013 la richiesta è
esposta come possibilità ("il responsabile della conservazione può chiedere
di certificare la conformità..."), mentre nella documentazione richiesta
dall'AgID vi è il certificato ISO/IEC 27001 senza prevederne l'assenza.

Ho notato inoltre che la richiesta è fatta molto bene: richiedono la
certificazione rispetto all'edizione 2013 della norma, con riferimento anche
all'edizione precedente, specificano che deve includere la conservazione e
che il certificato deve essere rilasciato da un organismo di certificazione
accreditato (poco prima delle mail di Sandro e Vincenzo avevo ricevuto
un'altra e-mail che mi riferiva che un'Autorità europea aveva, ahimè,
chiesto le certificazioni ISO/IEC 27002 e 27005, come se esistessero...).

Attacco a Orange

Fabrizio Monteleone di DNV GL mi ha segnalato questa notizia:
- http://www.bbc.com/news/technology-27322946

Dei malintenzionati hanno ottenuto accesso a dei database dell'operatore
francese di TLC Orange e ai dati anagrafici dei clienti. Apparentemente, non
sono stati compromessi dati critici come i numeri di carte di credito o le
password di accesso ai servizi. Ciò non ostante il danno può essere
consistente.

Non posso fare a meno di rilevare che Orange ha preferito aspettare del
tempo prima di rendere pubblico l'incidente, causando molto malcontento tra
i propri clienti. Inoltre, ho trovato molto inquietante che abbiano
dichiarato di non sapere se i dati fossero cifrati o meno.

lunedì 5 maggio 2014

Presentazione ISO/IEC JTC 1/SC 27

Il ISO/IEC JTC 1/SC 27 è il comitato che si occupa, tra le altre cose, della
scrittura della ISO/IEC 27001.

E' stata predisposta una presentazione per illustrarne l'organizzazione, i
partecipanti, i progetti in corso e altro ancora. Il link è il seguente:
-
http://www.jtc1sc27.din.de/cmd?level=tpl-bereich&languageid=en&cmsareaid=sc2
7slides

AdS che chiedono la password agli utenti

Segnalo questo articolo sul blog di Achab:
-
http://www.achab.it/blog/index.cfm/2014/4/chiedere-la-password-in-modo-sicur
o.htm


In poche parole, Achab ha condotto un sondaggio da cui emerge che solo il
24% degli amministratori di sistema non chiede mai la password agli utenti
dei sistemi che amministrano.

Provo a fare una lista del perché il restante 76% fa male:
- perché se gli utenti comunicano la propria password agli amministratori di
sistema, allora si sentono autorizzati a comunicarla ai colleghi, agli
amici, ai parenti...;
- perché se gli utenti sono abituati a comunicare la propria password agli
amministratori di sistema, allora non sembrerà loro strano inviargliela se
gliela richiedono via mail (e poi ci si chiede perché gli utenti abboccano
alle e-mail di phishing);
- perché se la password non è più segreta, si riduce il livello di certezza
con cui si riconosce chi ha fatto cosa sui sistemi informatici;
- perché spesso le password sono usate per accedere a dati personali e la
normativa vigente in materia di privacy richiede di mantenerla segreta;
- perché se la password non è più segreta, allora forse accedono persone non
autorizzate ai sistemi informatici aziendali.

Nell'ultimo punto ho scritto "forse", ma solo perché sono un ottimista.

Evito di commentare per iscritto, ma confermo che ho fatto qualche
riflessione sulle competenze di certi amministratori di sistema e sulle
configurazioni di certe reti aziendali.

L'articolo, tra le altre cose, ricorda una misura compensativa nel caso
vengano comunicate le password dagli AdS: tenere traccia dell'evento e
modificarle appena il lavoro è stato finito.

Ancora su HLS, Annex SL e Annex SC

A gennaio avevo scritto un breve articolo (ora modificato) sulla nuova
edizione delle Direttive ISO/IEC:
- http://blog.cesaregallotti.it/2014/01/annex-sl-o-annex-jc-o-mss-hls.html

L'articolo segnalava che l'HLS (ossia il testo base da utilizzare per tutte
le norme relative ai sistemi di gestione, su cui è basata la ISO/IEC
27001:2013 e su cui si baserà la futura versione della ISO 9001) si trovava
nell'Annex SC, mentre sulla ISO/IEC 27001 si fa riferimento a questo testo
come "Annex SL". Io ora penso sia meglio chiamarlo MSS HLS (management
system standards high level structure) per evitare confusioni.

In realtà ho fatto un errore: la ISO/IEC pubblica Direttive specifiche per
l'ISO e Direttive specifiche per il JTC 1 (il comitato dedicato alle
attività congiunte ISO e IEC, tra le quali vi è la scrittura della ISO/IEC
27001) e probabilmente altre Direttive specifiche per altri organismi.
Bene... nelle Direttive specifiche per l'ISO, di cui è stato pubblicato
recentemente l'aggiornamento, continua a riportare il MSS HLS in Annex SL,
mentre le Direttive specifiche per il JTC 1 lo riporta in Annex SC.

A complicare ulteriormente le cose, i due testi sono ora disallineati. In
particolare, nelle nuove direttive specifiche per l'ISO è stata eliminata la
definizione di "correzione" perché, in effetti, non presente nel resto del
testo (anche se è molto utile distinguere tra "correzione" e "azione
correttiva" e ricordare che la ISO 9001, come la ISO/IEC 27001, non richiede
assolutamente di attuare azioni correttive per ogni non conformità rilevata,
né confonde tra correzione e azione correttiva).

Le Direttive ISO/IEC sono disponibili a questo link:
-
http://www.iso.org/iso/home/standards_development/resources-for-technical-wo
rk/iso_iec_directives_and_iso_supplement.htm


Sono previste delle linee guida per l'uso del MSS HLS al seguente link, ma
al momento non ve ne sono (altra cosa che trovo ironica):
-
http://isotc.iso.org/livelink/livelink?func=ll&objId=16347818&objAction=brow
se&viewType=1