venerdì 27 marzo 2015

Accesso ai pc per antiterrorismo

In questi giorni c'è dibattito in merito al "provvedimento antiterrorismo". E' bene ricordare che si tratta ancora di una bozza di Decreto Legge non ancora approvata.

In poche parole: il decreto consentirebbe "l'intercettazione del flusso di comunicazioni anche attraverso l'impiego di strumenti o programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico. In pratica, anche per ragioni non legate all'antiterrorismo, le Forze dell'ordine sarebbero autorizzate a installare malware sui pc a scopi di intercettazione.

Il problema è quindi che si introdurrebbero misure di indagine, nascondendole dietro l'anti terrorismo.

Per saperne di più, segnalo un articolo del Corriere della Sera e un post del deputato Stefano Quintarelli:
- http://www.corriere.it/cronache/15_marzo_25/decreto-antiterrorismo-polizia-p
otra-accedere-pc-italiani-66eea4e2-d319-11e4-9209-9dd80f8535a2.shtml
;
- http://stefanoquintarelli.tumblr.com/post/114529278225/una-svista-rilevante-
nel-provvedimento
.

Pochi giorni dopo la notizia, il Governo ha fatto marcia indietro:
- http://www.corriere.it/politica/15_marzo_26/renzi-stralcia-antiterrorismo-no
rme-computer-3e07c838-d3a5-11e4-9231-aa2c4d8b5ec3.shtml


Materia certamente da seguire, che permette di riflettere sul livello di libertà che siamo disposti a perdere per essere più sicuri.

Grazie alla mailing list dei "perfezionisti" per la notizia.

ISO/IEC 27041 e 27043

Dalla newsletter del BSI, vi segnalo l'avvenuta pubblicazione della norma ISO/IEC 27043:2015 dal titolo "Incident investigation principles and processes".

Mi sembra molto interessante l'estensione data alla preparazione pre-incidente, che richiede, tra le altre cose, di identificare le potenziali fonti di dati e le modalità di raccolta dei dati perché siano utilizzabili come prova.

Provvedo io a segnalare che, probabilmente, sarà pubblicata a breve la ISO/IEC 27041 dal titolo "Guidance on assuring suitability and adequacy of incident investigative method" e dedicata ai metodi e processi per investigare gli incidenti di sicurezza.

mercoledì 25 marzo 2015

I costi dei fornitori IT

Segnalo questo brevissimo articolo di @ISACA del 25 marzo 2015 dal titolo "The True Cost of Cost Savings When Outsourcing IT":
- http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/@-isaca-volume-6-25
-march-2015.aspx


Traduco liberamente (l'articolo mi sembra troppo coinciso e non so se ho capito bene): secondo il "Global Information Security Survey 2015" di Pricewaterhouse Coopers, le minacce più elevate di sicurezza informatica sono originate, in ordine, da personale interno, ex dipendenti, fornitori di servizi IT, consulenti e collaboratori. Quindi, dare in outsourcing i servizi IT non è molto economico, se si aggiungono, alle tariffe dei fornitori, i costi delle misure di sicurezza da adottare per ridurre i rischi originati dai fornitori stessi.

In base alla mia esperienza non saprei se avallare questa affermazione. Però posso affermare con forza una cosa: la questione della sicurezza nei rapporti con i fornitori è ignorata o sottovalutata. A meno che il servizio non sia "cloud"; in quel caso si accendono tanti (troppi) allarmi. Ma dell'eccessiva attenzione al cloud e della sottovalutazione degli altri fornitori ne parlo da tanto (troppo) tempo.

martedì 24 marzo 2015

Escrow agreement

Si parla spesso di contratti escrow per garantire la disponibilità del codice sorgente di un fornitore o di chiavi crittografiche.

Questo articolo mi sembra spieghi bene questo strumento:
- http://www.altalex.com/index.php?idu=264948&cmd5=021c46ab76df2fd7050bbc8c56e
d7fe1&idnot=70619

lunedì 23 marzo 2015

Rapporto Clusit 2015

A metà marzo è stato pubblicato il "Rapporto Clusit 2015 sulla sicurezza ICT in Italia". Per averlo, bisogna seguire le istruzioni su www.clusit.it

Confesso che l'ho trovato un po' meno interessante degli anni scorsi, ma rimane fondamentale leggere la "Analisi dei principali attacchi a livello internazionale" e la "Analisi degli attacchi italiani".

Il "Focus on 2015", su diversi argomenti come l'Internet of things, Bitcoin, Cloud e sicurezza, Return on security investment, eccetera, propone articoli introduttivi a temi importanti. Il termine "introduttivi" lo uso con dispiacere, perché mi piacerebbe vedere più coraggio negli articoli pubblicati in Italia. Forse sbaglio, ma, se continuiamo a essere superficiali, il livello di sicurezza rimarrà superficiale.

sabato 21 marzo 2015

I 17 principi del COSO Integrated Framework

A maggio 2013, è stato pubblicato il "Internal Control – Integrated Framework" del COSO. Questo è composto da tre libri del costo di 175 dollari.

Non l'ho letto, ma ho letto questa serie di articoli dedicati ai 17 principi del framework (ad oggi sono solo 11):
- http://www.bestgrc.com/leverage-compliance/insights-revised-coso-integrated-
framework-revised-coso-series/


Li ho trovati molto interessanti, anche perché applicabili in diversi contesti, anche se il punto di vista dell'autore è soprattutto quello delle medio-grandi imprese statunitensi.

giovedì 19 marzo 2015

Italiano o inglese

Il 14 marzo avevo annunciato la pubblicazione della nuova versione della norma italiana UNI 10459 sui professionisti della "security":
- http://blog.cesaregallotti.it/2015/03/uni-104592015-professionista-della.html

In quell'occasione mi ero lamentato dell'uso del termine "security" in una norma italiana.

Franco Ruggieri, che ringrazio molto, mi risponde che non concorda e lo cito.

<<
Avendo visto la emetica traduzione in italiano del Regolamento (EU) 910/2014, oltre ad altre iniziative di UNI, tra cui la traduzione dello ISO/IEC 27001, preferisco che si utilizzi l'inglese.

Io faccio da decenni un ragionamento: i medici si sono inventati termini ostici per noi mortali, ma chiarissimi per loro del mestiere. Perché nell'informatica, dove non dobbiamo inventarci nulla in quanto gli americani/inglesi hanno de facto già creato un vocabolario tecnico, dobbiamo disintegrarci il cervello alla ricerca di termini italiani che, poi, risultano essere, nella migliore delle ipotesi, ambigui? E tieni conto che io per 5 anni circa sono stato in una Direzione IBM dove ci si occupava di tradurre i programmi e le dispense IBM, quindi so di che cosa parlo.
>>

Credo che Franco, per gentilezza, abbia evitato di ricordarmi che l'italiano "sicurezza" può tradurre sia "safety" (ossia la sicurezza delle persone) sia "security" (ossia la sicurezza dei beni o del patrimonio) e che usare il titolo "Professionista della sicurezza" sarebbe stato scorretto.

In parte condivido l'approccio di Franco. Certamente quando alcuni termini anglosassoni non hanno un equivalente condiviso in italiano (come "firewall"; sarebbe buffo chiamarlo "muro di fuoco"), oppure ce l'hanno ma poco usato (come "computer", che potrebbe essere tradotto con "elaboratore"). In altri casi, però, io mi ostino a cercare di usare l'italiano; vorrei citare quelli che usano "action plan" al posto di "piano di azioni" (perché fa "competente" usare termini in inglese a casaccio).

In effetti, sul termine "security" sospendo il giudizio.

D'altra parte condivido anche la sua idea (la deduco soltanto) che forse è inutile tradurre certe cose. Mi chiedo spesso come ci si possa occupare di sicurezza delle informazioni senza leggere l'inglese, visto che le pubblicazioni più interessanti (con l'ovvia eccezione del mio libro!) sono tutte in inglese. Purtroppo alcune risposte le ho già, ma mi intristiscono.

martedì 17 marzo 2015

Novità legali: SPID (precisazione)

Una precisazione da Andrea Caccia di Kworks a seguito dell'articolo sullo SPID:
- http://blog.cesaregallotti.it/2015/03/spid-identita-digitale.html

Copio e incollo quanto segnalatomi da Andrea e lo ringrazio.

"Il Regolamento UE eIDAS non introduce realmente un sistema per la gestione dell'identità di gitale, ma un sistema di mutuo riconoscimento per gli schemi nazionali di gestione dell'identità digitale che diventerà operativo però solo con l'emanazione dei previsti atti esecutivi da parte della Commissione. In Italia il sistema di chiama "Sistema Pubblico per la gestione dell'Identità Digitale - Spid" e nasce con ambizioni europee ed evolverà in modo da poter essere riconosciuto anche dagli altri Stati membri dell'Unione."

Attualmente i decreti attuativi sono dal GarantePrivacy per la necessaria approvazione".

La scatola degli attrezzi per la sicurezza applicativa

Stefano Ramacciotti, sempre molto gentile, sa bene quanto mi interessi la sicurezza applicativa (anche perché devo approfondirla).

Questa volta mi ha segnalato un articolo interessante dal titolo "The Web AppSec How-to: The Defenders' Toolbox":
- https://www.checkmarx.com/white_papers/the-defenders-toolbox/

Se almeno uno di questi strumenti vi risulta sconosciuto, ne raccomando la lettura (l'articolo è molto breve e di tipo introduttivo; ma da qualche parte bisogna pur iniziare):
- Penetration testing;
- Web Application Firewall (WAF);
- Dynamic Application Security Testing (DAST);
- Static Application Security Testing (SAST);
- Interactive Application Security Testing (IAST).

sabato 14 marzo 2015

2 luglio: DFA Open Day

Questo è un annuncio preliminare: il 2 luglio 2015, presso la Statale di Milano, si terrà il DFA Open Day.

Per saperne di più su DFA: http://www.perfezionisti.it/.

Anche quest'anno gli interventi rigaurderanno applicazioni di tecniche forensi, progetti internazionali correlati, novità giuridiche e legali.

Quindi: segnatevi la data! E se qualcuno conosce qualche potenziale sponsor, me lo faccia sapere (l'impegno per lo sponsor sarebbe molto ridotto).

Per gli ansiosi: non terrò alcun intervento; mi occuperò solo dell'organizzazione, di presentare i diversi relatori e di mantenere un po' d'ordine nelle domande.

SPID - Identità digitale

A dicembre avevo parlato del Regolamento UE eIDAS:
- http://blog.cesaregallotti.it/2014/12/regolamento-ue-910-del-2014-e-cad_11.html

Agostino Oliveri di Sicurdata mi ha segnalato che il Regolamento introduce anche un sistema per la gestione dell'identità digitale. In Italiano questo meccanismo vede una prima regolamentazione nel DPCM 24 ottobre 2014 ed è denominato "Sistema Pubblico per la gestione dell'Identità Digitale - Spid" (meglio non commentare certi acronimi).

Agostino mi ha anche inviato un articolo:
- http://www.agendadigitale.eu/identita-digitale/1304_il-regolamento-eidas-vara-il-marchio-di-fiducia-europeo.htm

Qui si parla dello Spid alla fine e si dice che "lo Spid è un sistema aperto attraverso il quale soggetti pubblici e privati, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, potranno offrire servizi di identificazione elettronica a cittadini e imprese"; "in questo modo consentirà ai cittadini di avvalersi della propria identità digitale per accedere ai servizi on line messi a disposizione dalle singole Pubbliche Amministrazioni o anche dai privati che aderiranno a tale sistema".

Per saperne ancora di più, segnalo la pagina di AgID:
- http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid

Si osservi che i regolamenti attuativi, ad oggi, sono ancora in bozza.

UNI 10459:2015 - Professionista della Security

Enzo Ascione di Intesa Sanpaolo Group Services mi ha segnalato la pubblicazione della norma UNI 10459:2015 dal titolo "Attvità professionali non regolamentate: Professionista della Security - Requisiti di conoscenza, abilità e competenza". La norma tratta di sicurezza sia fisica sia delle informazioni (anche se l'accento è sicuramente sulla prima).

Enzo mi ha anche segnalato un articolo in merito:
http://www.snewsonline.com/notizie/attualita/l_evoluzione_del_ruolo_del_security_manager_funzioni_e_profili_del_professionista_della_security_aziendale_
nuova_norma_uni_10459_2015-2939.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato che, sempre in merito agli organismi di vigilanza, è stata recentemente firmata una convenzione tra Accredia e il Dipartimento della Pubblica Sicurezza. Accredia quindi potrà accreditare gli organismi di certificazione affinché certifichino gli istituti di vigilanza in base alle normative UNI 11068:2005 e UNI CEI EN 50518:2014 relative alle centrali operative e di telesorveglianza, UNI 10891:2000 per gli istituti di vigilanza privata e UNI 10459:2015 riguardante i professionisti della security:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1819&areaNews=95&GTemplate=de
fault.jsp
.

Personalmente sono un po' perplesso, visto che si tratta di tantissime competenze per cui un esperto che discetti di sicurezza fisica, informatica e investigazioni, alla fine risulta essere un tuttologo senza reali competenze. Ma non vorrei essere inutilmente pessimista (il titolo di una norma UNI che usa il termine "security" e non "sicurezza" mi ha messo di malumore fin dall'inizio).

venerdì 13 marzo 2015

Chief Humor Officer (CHO)

La Commissione Europea, nell'ambito dell'iniziativa sull'agenda digitale, promuove il Chief Humor Officer (CHO):
- http://ec.europa.eu/information_society/newsroom/cf/dae/itemdetail.cfm?item_
id=21001


Ringrazio itSMF per la notizia.

In poche parole: scherzare aiuta la motivazione, la creatività e la qualità del lavoro.

Non so bene cosa c'entri con l'agenda digitale o la sicurezza delle informazioni o le altre cose che segnalo, ma so che c'entra.

martedì 10 marzo 2015

Indagine sulle funzioni interne di audit e la cybersecurity

Protiviti ha pubblicato un documento dal titolo "From cybersecurity to collaboration: assessing the top priorities for internl audit functions: 2015 internal audit capabilities and needs surveys":
- http://www.protiviti.com/iASurvey

Il documento è abbastanza interessante, se escludiamo il solito abuso del termine "cyber security" per "sicurezza informatica".

Presento alcune cose degne di nota a mio personale giudizio, con, tra parentesi, i miei commenti:
- il 53% valuta il rischio di cybersecurity per elaborare il piano di audit (il 47%, quindi, non lo fa; e mi pare tanto; ma chissà se tutti usano il termine "cybersecurity" con lo stesso significato);
- le competenze più urgenti da migliorare riguardano "GTAG 16 - Data analysis technogies", "NIST cybersecurity framework", "Mobile applications", "Practice advisory 2320-4 - Continuous assurance"; The guide to to assessment of IT risk (GAIT)" (posto che non so di cosa parlano 3 degli elementi, noto che le necessità riguardano, tranne un caso, schemi di audit; deduco che chi non ha competenze sulla tecnologia (e sono in tanti) continua a non volerne sapere; la lista prevede 35 argomenti e di tecnico c'è solo e soltanto "Mobile applications"; interessante osservare che nella lista si trova anche al 21o posto la ISO 14001);
- per quanto riguarda le competenze relative alla conduzione degli audit, al quinto posto si trova "time management" (solitamente uno dei grandi problemi degli auditor).

Altri troveranno ulteriori elementi di interesse: buona lettura!

ISO/IEC 20000-9 e servizi cloud

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della ISO/IEC TR 20000-9 dal titolo "Guidance on the application of ISO/IEC 20000-1 to cloud services".

La prima impressione (ma anche la seconda, per cui ho chiesto aiuto a Tony Coletta, nostro rappresentante italiano al ISO/IEC JTC1 SC 7, che ringrazio) è che sia una norma inutile.

Non l'ho letta, ma speravo potesse essere una lettura della ISO/IEC 20000-1 che potesse essere utile a chi non la conosce bene, ma non è così.

Ovviamente si tratta della solita norma sul cloud, spinta dalla moda ma da poche idee originali. Spiace vedere tante energie sprecate in standard inutili.

sabato 7 marzo 2015

Cyber che?

La newsletter di HSC (Hervé Schauer Consultants) di febbraio 2015 propone un intervento di Béatrice Joucreau e Christophe Renard che riassumo (forse malamente; spero gli autori non me ne vogliano (o non se ne accorgano)).

<<
Nel mondo della sicurezza si sentono sempre di più i termini di cybersicurezza, cybercriminalità, cyberguerra, eccetera. Tutti questi termini nascono forse per distinguere la sicurezza delle informazioni (solitamente con finalità di protezione di un ente) dalla difesa da criminali che usano Internet come arma. Oggi si sono estesi per sostituire, in modo più breve e suggestivo, "sicurezza informatica", "sicurezza delle informazioni" o "gestione della sicurezza delle informazioni".

In realtà, i termini cyberx non sono molto moderni né appropriati: hanno origine (tranne "cibernetica") negli anni Ottanta nella letteratura di fantascienza (!) e sono costruiti usando una parola ("cyber", ossia "timone" in greco) che non è un prefisso (infatti "cybernetica", che vuol dire "studio dei sistemi di regolamento", non usa "cyber" come vero e proprio prefisso).

A parte queste considerazioni, c'è qualche differenza tra cybersecurity e sicurezza dei sistemi informatici? I testi definiscono solitamente come cybersecurity "lo stato per cui un sistema informatico resiste ad eventi provenienti dal cyberspazio" (ossia da Internet, intesa come rete mondiale); la cybersecurity, quindi, utilizza tecniche di sicurezza informatica per combattere il cybercrime e attuare la cyberdefence.

Questa definizione, quindi, escluderebbe un certo numero di minacce, ossia quelle non legate ad Internet (come per esempio l'ingegneria sociale, l'osservazione dello schermo del pc da parte di un malintenzionato, il furto di un pc), quelle originate da agenti interni, quelle di origine accidentale (errori) o non umana (eventi naturali). Ovviamente sono anche escluse le minacce non informatiche, come quelle legate ai documenti cartacei e all'intercettazione di conversazioni.

Questa distinzione è fatta raramente nella pratica, forse perché ritenuta non interessante.
>>

A questo punto aggiungo una nota personale: noto molto interesse nei confronti di convegni che si richiamano alla cybersecurity e questo mi preoccupa. Infatti rischiamo di tornare indietro di 25 anni, quando la sicurezza informatica era vista come distinta dalla "sicurezza delle altre informazioni"; rischiamo di concentrarci troppo sulle minacce informatiche (pure importantissime) e perdere di vista quelle altre.

Mi scuso per l'interruzione e vado avanti a tradurre (malamente).

<<
Perché, quindi, "cybersecurity"? Con questo termine bisogna vedere un tentativo di "vendere" la sicurezza delle informazioni. I più cinici non vedranno che movimenti opportunistici da parte dei commerciali. Ma, visto che la nostra dipendenza dai sistemi informatici è ormai irreversibile e totale, anche se la loro sicurezza è rimasta in gran parte misera, un richiamo (con qualche suggestione di panico) potrebbe fare uscire il tema della sicurezza delle informazioni dalla comunità di pochi professionisti.

Usare un termine che sembra anglofono (siber-secuiriti) forse potrà promuovere meglio la sicurezza delle informazioni presso un pubblico incapace di concentrarsi su termini di più di 6 sillabe. Adottare questa terminologia vuol dire ammettere che la sicurezza delle informazioni ha bisogno di cambiare costume per uscire dal suo ghetto.

Malgrado sia ridicolo, usare il termine "cyber" vuol dire fare comunicazione. I media dimostrano che il termine è ormai conosciuto. La "cybersecurity" riuscirà a far convergere professionalità e tecniche, istituzioni pubbliche e private, agenzie governative e associazioni industriali di peso, mentre la "sicurezza delle informazioni" è rimasta un affare per specialisti? Bisogna sperarlo (a quando un'Agenzia per la cybersecurity?).

PS: alcuni verificheranno che il termine "cyberspazio" è stato inventato da William Gibson, che lo definiva "un'allucinazione vissuta consensualmente ogni giorno da miliardi di operatori legali, in ogni nazione, da bambini a cui vengono insegnati i concetti matematici... Una rappresentazione grafica di dati ricavati dai banchi di ogni computer del sistema umano. Impensabile complessità. Linee di luce allineate nel non-spazio della mente, ammassi e costellazioni di dati. Come le luci di una città, che si allontanano".
>>

Personalmente, cercherò di continuare a usare l'espressione "sicurezza delle informazioni". Tra qualche anno sarà giudicata un'altra mia mania linguistica (come il non usare "implementare" e "rilasciare" per il software o "invocare" per i piani di continuità).