martedì 30 giugno 2015

Deep & Dark Web

Dal Security Summit di Roma segnalo la presentazione "Deep & Dark Web" di
Stefano Ramacciotti e Pierluigi Paganini del G.d.L. "Educazione alla
Sicurezza Informatica" del ISC2 chapter Italy:
- https://www.securitysummit.it/static/files/ATTI%20ROMA%202015/10%20GIUGNO/10.06.2015_RAMACCIOTTI-PAGANIN.pdf


Interessante e inquietante.

lunedì 29 giugno 2015

DPO e il nuovo testo del Regolamento Privacy

Francesco Maistrello di Vecomp S.p.A., dopo aver letto il mio post su europrivacy.info, ha aggiunto informazioni in merito al fatto che ora la figura del DPO sembra non sarà più obbligatoria.

Francesco mi dice che il testo con DPO "non obbligatorio" è uno dei 3 testi che dovrebbero essere fusi insieme durante il trilogo, quello più morbido.

Francesco mi fornisce anche due link.

Il primo è di Viviane Reading, molto critica:
- http://www.euractiv.com/sections/infosociety/more-data-protection-better-less-315404.

Il secondo è il commento del WP art.29, di solito finora abbastanza ascoltato in materia; in particolare bisogna leggere a pagina 18:
- http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary.pdf.

Per i completisti, si faccia riferimento ai documenti della press release del WP art. 29 del 19 giugno:
- http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/index_en.htm

Ci tengo a ricordare una cosa: tutte queste questioni riguardano la bozza del regolamento, interessanti per chi, come me e Francesco, si interessa alla materia. Le aziende non dovrebbero fare nulla, visto che le tempistiche sono incerte (come per tutti i percorsi legislativi) e, comunque, per adottare i nuovi requisiti sarà previsto un periodo di transizione. Rimane il mio solito consiglio: non ascoltare chiunque cerca di vendere servizi relativi al futuro Regolamento privacy (uso "non ascoltare" per evitare polemiche; ma vorrei usare termini più duri).


AGGIUNTA. Francesco  mi ha ricordato anche il rovescio della medaglia: quelli che avevano mappato i trattamenti e poi hanno abbandonato il lavoro fatto perché "tanto cambia la normativa". Dovremmo ricordare loro che comunque è da lì che si ripartirà. Inoltre questa mappa è utile con la normativa attuale: è un buon punto di partenza per fare della vera sicurezza delle informazioni (non sono informatica e non solo cyber) e le sanzioni non sono scomparse miracolosamente perché in futuro la normativa cambierà.

Gruppi e fiducia

Segnalo questo post:
- http://share-coach.com/ita/articoli.php?id=52&read=storia

La trovo una bella sintesi sul buon funzionamento di un gruppo. Spesso ci dimentichiamo come sicurezza e qualità si basino prevalentemente sulle persone e che le persone agiscono mosse anche dal gruppo di cui fanno parte.

Sì... l'articolo è di mia sorella. Ma questo non è familismo. È la presa di coscienza che spesso parlo di tecniche, standard e tecnologia, ma è fondamentale non perdere di vista il lato decisamente umano delle materie di cui mi occupo, oltre ai soliti slogan ("la sicurezza e la qualità la fanno le persone"; "le persone sono fondamentali"; "il punto debole della sicurezza sono le persone").

Cisco Security Report 2015

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione del Cisco Security Report 2015:
- http://www.cisco.com/c/en/us/products/security/annual_security_report.html.

Confesso che non ci ho trovato novità per me rilevanti, visto che è molto focalizzato su malware e attacchi dall'esterno.

Ho notato però un dato interessante: il 59% dei CISO (ossia i "dirigenti" della sicurezza) ritengono che i processi di sicurezza della propria azienda siano "ottimizzati". Questa sembra un'esagerazione, soprattutto se "solo" il 46% dei SecOps manager (ossia persone con mansioni più operative) ritiene la stessa cosa. Trovo interessante questa diversa percezione mano a mano che si scende la scala gerarchica. Ad ogni modo mi sembrano comunque troppo ottimisti questi officier e questi manager.

venerdì 26 giugno 2015

Millennials, Generazione Z e sicurezza informatica.

Stefano Ramacciotti di (ISC)2 Italian Chapter (associazione promotrice, tra le altre cose, di interventi di sensibilizzazione, o awareness, sulla sicurezza informatica per studenti delle scuole, che finora ha raggiunto 13.000 persone) risponde al mio post dal titolo "I bambini possono insegnarci la sicurezza delle informazioni":
- http://blog.cesaregallotti.it/2015/05/i-bambini-possono-insegnarci-la.html

Riporto nel seguito le sue parole.

<<
Dalla mia esperienza personale, i nati dopo il 1980 sono messi veramente male a competenze di sicurezza. Sono infatti bravissimi ad usare i computer, ma sulla sicurezza sono, in genere, messi peggio delle persone più anziane.

Sono nati connessi, o quasi, e non sopportano le regole, a meno che non siano insegnate loro alle elementari (è per quello che preferisco fare lezione a quelli fino a 10 anni).

E' vero anche che le statistiche non sono "pesate" in base alla fascia d'età, ma è lecito supporre che le nuove generazioni, per la loro naturale necessità di essere sempre connessi, commettano grossolani errori a scuola e nelle aziende in cui sono stati da poco assunti.

Aggiungo che il termine Millennials è un termine che riguarda le persone nate tra il 1980 e il 2000, non quelle nate dopo il 2000, spesso indicate come parte della "Generazione Z".

Segnalo qualche articolo nel seguito.

Sui benefici di assumere le nuove generazioni
http://securityintelligence.com/security-management-embracing-millennials-in-your-security-program/#.VYGKlEbtPcB;

Why Millennials Are an Information-Security Threat
http://blogs.wsj.com/experts/2015/04/20/why-milliennials-are-an-information-security-threat/;

Do Millennials Believe in Data Security?
https://hbr.org/2014/02/do-millennials-believe-in-data-security/;

Millennials becoming known as Generation Leaky
http://www.csoonline.com/article/2884638/security-awareness/millennials-becoming-known-as-generation-leaky.html

Building the security bridge to the Millennials
http://www.csoonline.com/article/2134359/strategic-planning-erm/building-the-security-bridge-to-the-millennials.html

How security smart is Generation Y?
http://www.csoonline.com/article/2133845/strategic-planning-erm/how-security-smart-is-generation-y-.html

WiIl Millennials Be The Death Of Data Security?
http://www.darkreading.com/operations/wiil-millennials-be-the-death-of-data-security-/a/d-id/1318806

Are Millennials a greater security threat than other staff?
http://www.itworldcanada.com/post/are-millennials-a-greater-security-threat-than-other-staff

Are Millennials the Latest Security Threat?
http://www.softwareadvice.com/security/industryview/millennial-threat-report-2015/

Millennials And Smartphone Apps: Your Security Nightmare
http://www.informationweek.com/mobile/mobile-applications/millennials-and-smartphone-apps-your-security-nightmare/d/d-id/1320841
>>

Io chiudo ringraziando Stafano per il suo contributo.

giovedì 25 giugno 2015

europrivacy.info

Alessandro Vallega di Oracle mi ha segnalato il sito http://europrivacy.info.

Si tratta di un osservatorio sul nuovo Regolamento EU sulla protezione dei dati personali promosso da AUSED, Clusit e la Oracle Community for Security.

Lo raccomando perché mi sembra un'iniziativa seria (conosco Alessandro personalmente e non posso pensare a qualcosa di meno) perché si tratta di un sito di aggiornamento e non di vendita di servizi basati sul nulla.

Gli stessi articoli sono seri. Per esempio, quanti di voi hanno letto che il DPO (Data protection officer), nell'ultima versione (bozza!) del Regolamento, non è più obbligatorio? Io l'ho scoperto proprio da questo sito:
- http://europrivacy.info/2015/06/20/data-protection-officer-no-more-mandatory

Un solo appunto: spero attivino al più presto l'RSS Feed del blog, in modo da poter essere aggiornato tempestivamente dei nuovi articoli.

NIST SP 800-171 sulla protezione delle informazioni non classificate

Il NIST ha pubblicato la SP 800-171 dal titolo "Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations":
- http://csrc.nist.gov/publications/PubsSPs.html#800-171

Si tratta di 76 pagine, ma quasi tutte inutili. Le pagine interessanti sono quelle del capitolo 3 (6  pagine) perché riportano un insieme di misure minime di sicurezza da adottare.

DevOps e Microsoft

Stefano Ramacciotti mi ha segnalato il test dal titolo: "DevOps Self-Assessment: Moving you to the second decade of agile":
- https://profile.microsoft.com/RegSysProfileCenter/wizardnp.aspx?wizid=ba58aa87-54dc-4ffe-8066-05de46edb8a2

Il commento di Stefano è "anche se è targato MS mi sembra una cosa interessante".

In effetti, Microsoft è criticabile da molti punti di vista, ma il loro lavoro è sicuramente notevole se pensiamo alle complessità che devono affrontare.

Ho provato a fare il test, ma è certamente per persone (manager) che si occupano di sviluppo.

Per chi non volesse fare il test (anche perché non si fida a dare la propria e-mail a Microsoft, come se non ce l'avesse già...), può leggersi la loro pubblicazione di 21 pagine dal titolo "From Agile to DevOps at Microsoft Developer Division" (io però non l'ho ancora letto):
- https://www.microsoft.com/en-us/download/details.aspx?id=46920

mercoledì 24 giugno 2015

Black out informatico in Sicilia

Sandro Sanna mi ha segnalato la seguente notizia:
http://palermo.repubblica.it/cronaca/2015/06/15/news/stop_informatico_alla_regione_caos_nelle_asp_e_negli_uffici-116894666/

In sintesi: apparentemente, a seguito di debiti contestati, la società che ha in gestione i sistemi informatici della Regione Sicilia ha staccato la spina.

Il commento di Sandro: Sarei curioso di sapere come la Regione ha gestito il piano di business continuity...

mercoledì 17 giugno 2015

BSI PAS 555 sul Cyber security risk

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione da parte del BSI della PAS 555, risalente in realtà al 2013. Questo standard nazionale ha titolo "Cyber security risk – Governance and management – Specification".

Ho trovato molte cose negative e una cosa positiva in questo standard.

Comincio da quella positiva: l'importanza data agli strumenti di raccolta di informazioni relative a minacce e al monitoraggio preventivo.

Le cose negative sono diverse:
- il fatto che questa norma, più limitata rispetto alla ISO/IEC 27001 (come ho già avuto modo di scrivere in precedenza: blog.cesaregallotti.it/2015/03/cyber-che.html), ma non più semplice, si
metta in concorrenza con essa senza alcuna ragione se non quella di portare più entrate al BSI;
- la confusione che questa norma può generare in merito ai sistemi di gestione perché non è basata sul HLS;
- il fatto che i rappresentanti inglesi (quindi del BSI), in fase di redazione della ISO/IEC 27001:2013, siano stati tra i più pugnaci a voler togliere dalla stessa ISO/IEC 27001 ogni riferimento a asset, minacce e vulnerabilità, per poi, attraverso questa PAS 555, richiedere di valutare il rischio basandosi proprio su asset, minacce e vulnerabilità e per poi ancora presentare in appendice una "risk impact matrix" basata su minacce, conseguenze e verosimiglianza.

ISO/IEC 38500 su IT governance

Franco Ferrari di DNV GL mi ha segnalato la recente pubblicazione della nuova edizione del 2015 della ISO/IEC 38500 dal titolo "Governance of IT for the organization".

Ad una prima e veloce lettura, non mi sembra né tanto diversa né tanto più utile della precedente ISO/IEC 38500:2008 (però non mi offenderei se qualcuno mi contraddicesse).

Segnalo però che la nuova norma fa riferimento ad una ISO/IEC 38501:2015 dal titolo "Governance of IT -- Implementation guide"; forse questa è più interessante, ma non ho avuto alcuna possibilità di leggerla.

Ransomware as-a-service

Dal gruppo Italian Security Professional di Linkedin segnalo questo articolo di McAfee:
- https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us

Dalla rete TOR si accede ad un sito web attraverso il quale creare del ransomware, stabilire la quota del riscatto, gestire i proventi dell'attività, eccetera. Inquietante.

La cosa interessante: per contrastare questo tipo di malware, i normali antivirus non sono sufficienti; è invece necessario prevedere dei sistemi di intrusion prevention, whitelisting e sandboxing. Ci sono ancora molti che usano il proprio pc con privilegi di amministratore...

lunedì 15 giugno 2015

Guida NIST sui sistemi industriali

Massimo Cottafavi di SNAM mi ha segnalato la nuova edizione della Special Publication 800-82 del NIST dal titolo "Guide to Industrial Control Systems (ICS) Security". La precedente risale al 2006. Si trova a questo link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-82

Non l'ho ancora letta con attenzione. Spero di trovarci considerazioni sulle caratteristiche dei sistemi industriali e non le "solite cose" facilmente mutuabili dai normali sistemi informatici (password, autorizzazioni, difesa perimetrale, eccetera).

Qualcosa l'avevo trovata nel Quaderno Clusit numero 7 dal titolo "Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)" (si trova al link
http://www.clusit.it/download/index.htm).

mercoledì 10 giugno 2015

Privacy level agreement

Pierfrancesco Maistrello di Vecomp mi ha segnalato questo interessante documento del Cloud security alliance (CSA) dal titolo "Privacy Level Agreement [V2]: A Compliance Tool for Providing Cloud Services in the European Union":
- https://downloads.cloudsecurityalliance.org/assets/research/pla/downloads/2015_05_28_PrivacyLevelAgreementV2_FINAL_JRS5.pdf

Il documento riporta le clausole contrattuali da prevedere tra cliente e fornitore cloud, che sia esso titolare autonomo (controller) o responsabile del trattamento (processor). Mi sembra completo e interessante.

Una sola critica, che è poi quella che faccio sempre: purtroppo il titolo riguarda solo i servizi cloud, quando invece mi sembra applicabile a tutti i fornitori di servizi informatici; ecco quindi che mi preoccupa questa estrema attenzione ai fornitori di servizi cloud perché non ne vedo una simile per le altre tipologie di fornitori, in alcuni casi più numerosi e critici di quelli cloud.

domenica 7 giugno 2015

ISO/IEC 2382

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della ISO/IEC 2382 dal titolo "Information technology -- Vocabulary".

È gratuita e quindi si può scaricare direttamente da www.iso.org.

In realtà pdf consta di 4 pagine, perché il documento vero e proprio è visualizzabile direttamente dal web. Ho provato a copiare e incollare il contenuto e ho visto che occupa poco meno di mille pagine. Segnalo poi che ho avuto qualche difficoltà con alcuni browser.

Sicuramente, però, si tratta di un documento importante:
- https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:ed-1:v1:en.

Provvedimento cookie: altri chiarimenti del Garante

Da Twitter (@uniprivacy): il Garante pubblica un documento dal titolo "Chiarimenti in merito all'attuazione della normativa in materia di cookie".

L'articolo segnalato:
- http://www.wired.it/attualita/2015/06/05/documento-garante-privacy-chiarisce
-tutti-gli-aspetti-sui-cookie


Il documento del Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878

Noto una cosa: alla domanda "Uso di piattaforme che installano cookie" mi sembra manchi qualcosa. Io ho un blog gestito da Blogger (Google). Io (insieme alla mia amica Anita) non ho fatto altro che scegliere un'impostazione del blog, cambiare colori e aggiungere qualche opzione come quella per inserire il logo Creative Commons. Cosa dovrei fare? Ogni chiarimento del Garante non lo dice, anche se l'articolo di Wired fa notare che molti si sono fatti questa domanda.

Io ho deciso di non fare nulla anche perché non posso fare nulla, se non scrivere poche righe in merito.

ISO/IEC 33000 e ISO/IEC 15504 (SPICE)

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione di alcune norme della serie ISO/IEC 33000. Esse sostituiscono le norme della serie ISO/IEC 15504, note come SPICE e dedicate alla valutazione dei processi.

Nel dettaglio:
-        la ISO/IEC 33001 (Concepts and terminology) sostituisce la ISO/IEC 15504-1;
-        la ISO/IEC 33002 (Requirements for performing process assessment) sostituisce la ISO/IEC 15504-2 e la ISO/IEC 15504-7;
-        la ISO/IEC 33003 (Requirements for process measurement frameworks) riprende delle parti delle ISO/IEC 15504-2 e ISO/IEC 15504-7;
-        la ISO/IEC 33004 (Requirements for process reference, process assessment and maturity models) riprende delle parti delle ISO/IEC 15504-2 e ISO/IEC 15504-7;
-        ISO/IEC 33014 (Guide for process improvement) riprende delle parti delle ISO/IEC 15504-4 e 7;
-        ISO/IEC 33020 (Process measurement framework for assessment of process capability) riprende delle parti delle ISO/IEC 15504-2.

La ISO/IEC 33001 segnala la futura pubblicazione di molte altre norme della famiglia.

Come noto, promuovo con prudenza le misurazioni dei processi e, quindi, sono ancora meno entusiasta di quanto riguarda capacità dei processi e modelli di maturità. Però sono argomenti che è bene conoscere almeno in modo generale (segnalo, per un riassunto, il Cobit 5).

Di queste pubblicazioni ho potuto solo vedere dei pdf iper-protetti che non permettono neanche la stampa. Vedo che l'ISO sta cercando di proteggere sempre più efficacemente la sua proprietà intellettuale (per quanto riceva soldi anche dalle stesse persone che scrivono gli standard...).