venerdì 19 febbraio 2016

ISO 9000:2015

Tony Coletta mi ha segnalato la nuova versione dello standard ISO 9000:2015 dal titolo "Quality management systems: Fundamentals and vocabulary".

Si tratta di uno standard fondamentale per chiunque si occupa di qualità e non solo.

La pagina web dell'ISO è la seguente (il prezzo è circa 160 Euro, che preferisco non commentare):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=45481.

giovedì 18 febbraio 2016

Un articolo di presentazione del forse futuro GDPR

Da un suggerimento di Franco Ferrari di DNV GL, segnalo questo articolo dal titolo "Sul regolamento europeo per la protezione dei dati":
- http://www.puntosicuro.it/security-C-124/privacy-C-89/sul-regolamento-europeo-per-la-protezione-dei-dati-AR-15630/.

Rispetto ad altre cose che ho letto (spesso elenchi puntati o approfondimenti di singoli punti), questo articolo affronta tutti i punti della bozza di regolamento fornendo degli spunti di lettura.

PS: successivamente a questo articolo, lo stesso autore (Adalberto Biasotti) ne ha pubblicato un altro dedicato alla Direttiva relativa al trattamento dei dati in ambito giudiziario che affiancherà il Regolamento:
- http://www.puntosicuro.it/security-C-124/privacy-C-89/il-trattamento-di-dati-per-finalita-investigative-giudiziarie-AR-15745/.

Continuità e resilienza

Il Business Continuity Institute (BCI) ha pubblicato una dichiarazione per chiarire la differenza tra continuità e resilienza:
- http://www.thebci.org/index.php/news#/news/the-business-continuity-institute-s-position-statement-on-organizational-resilience-150976.

La continuità operativa si occupa del ripristino delle attività a fronte di incidenti che le hanno interrotte e di prevenire le interruzioni.

La resilienza è una materia più ampia. Una definizione di resilienza è "capacità di adattamento di un'organizzazione in un ambiente complesso e mutevole". Non vuole dire molto, per la verità, ma si capisce che la continuità operativa (o business continuity) ne è solo una parte.

Penso che sia utile avere chiare le differenze tra le varie materie (segnalo qui che la ISO 9004 parla di "successo sostenibile" e qualcuno un giorno ci spiegherà la differenza tra questo e la resilienza).

sabato 13 febbraio 2016

VERA 4.2.1

Ho ripubblicato il VERA in italiano per correggere qualche errore.

Lo trovate sempre sul mio sito. Però sono stato pigro e non ho rinominato il file che quindi rimane come 4.2 (ho comunque aggiornato l'elenco degli aggiornamenti!):
- pagina web: http://www.cesaregallotti.it/Pubblicazioni.html;
- file: http://www.cesaregallotti.it/Pdf/Pubblicazioni/2015-VERA-4.2-ITA.xlsx.

Ringrazio Vito Losacco, Carlotta Landi, Luigi Fasani e Luciano Quartarone per avermi segnalato alcune correzioni di italiano, di formula e di usabilità.

Luciano, poi, mi ha proposto di aggiornare il VERA con le minacce proposte da ENISA. Non ho accettato questa proposta perché le minacce di ENISA sono 169 (se ho fatto bene il conto) e già i miei clienti si annoiano con le attuali 41. Spero però che Luciano pubblichi la sua proposta.

Ricordo che VERA è nata come una base, non come prodotto finito e buono per tutti. Mi aspetto, ovviamente, che ciascuno lo personalizzi sulla base del contesto in cui opera e la propria esperienza (io stesso lo faccio per ogni progetto!).

Commenti sul nuovo CAD (in bozza)

Con la pubblicazione del Regolamento europeo eIDAS, il nostro Codice per l'amministrazione digitale (CAD, Dlgs 82 del 2005) deve essere modificato in molte sue parti. Stanno circolando delle bozze.

Io segnalo questo articolo (da tweet di @GAffinito) che segnala alcune lacune e possibili problemi della bozza attualmente disponibile:
- http://www.forumpa.it/pa-digitale/infrastruttura-riforma-del-cad-formati-aperti-e-continuita-operativa-da-rivedere.

Gestore di sito web è responsabile anche per i commenti

Questa notizia è inquietante, se il riassunto dell'Espresso è completo:
- http://scorza.blogautore.espresso.repubblica.it/2016/02/11/diffamazione-online-responsabile-il-gestore-del-sito-anche-per-i-commenti/

In poche parole, un Onorevole Paniz trova un commento "diffamatore" su un sito web. Lo segnala al suo gestore che era in vacanza e quindi gli risponde che lo cancellerà al suo ritorno, dopo 10 giorni. Cosa che puntualmente ha fatto.

L'Onorevole Paniz, nonostante ciò, lo denuncia e il giudice... gli dà ragione!

Io vado in vacanza senza pc e senza le password del mio blog. Quindi, ve ne prego, continuate a NON commentare i miei blog sul sito; continuate pure a scrivermi via email come avete quasi sempre fatto.

Nota: questa notizia mi è arrivata via Twitter da @meobaldo, "Responsabile stampa del Garante privacy", con il commento "Da leggere". Da buon adulatore l'ho letto e lo sto anche diffondendo :-)

Vulnerabilità dell'IoT

Sono tanti gli articoli che parlano di (in)sicurezza dell'Internet of Things o IoT. Questo in italiano, breve e non molto tecnico mi sembra tra i migliori (da un Tweet di @alexgiovannini):
- http://www.wired.it/gadget/computer/2016/01/29/facile-hackerare-le-videocamere-di-sicurezza/.

GDPR in italiano

Da Twitter inoltro il link della traduzione in italiano del (futuro e quasi sicuro) Regolamento europeo sulla privacy:
- https://t.co/HmYCBTC7Qy

Mi scuso per il link "corto" ma non riesco a trovare quello completo.

Qualcuno ha fatto notare che nella traduzione si parla di "Responsabile" al posto di "Titolare" e di "Incaricato del trattamento" al posto di "Responsabile del trattamento". Il Data protection officer è poi stato tradotto con "responsabile della protezione dei dati", giusto per creare confusione tra i responsabili (grazie a Pierfrancesco Maistrello di Vecomp per avermi sottolineato questo problema).

In inglese, poi, questi termini sono completamente diversi: "Controller", "Processor" e "Data protection officer". Certo che tradurre "Controllore", "Processore" o "Elaboratore" e "Ufficiale per la protezione dei dati" poteva sembrare ridicolo, ma la soluzione attuale non mi convince lo stesso.

Questo può far riflettere su come comunicano i legislatori nazionali con i traduttori europei. Da notare, comunque, che la traduzione del Regolamento è in linea con quella della Direttiva del 1995 e quindi la confusione tra titolari, responsabili e incaricati tra normativa europea e normativa italiana c'è già da anni.

Slide su GDPR di EuroPrivacy

EuroPrivacy ha organizzato un evento lo scorso 29 gennaio per discutere del futuro e quasi sicuro Regolamento europeo sulla privacy (General data protection regulation o GDPR). Le slide delle presentazioni sono (quasi) tutte molto interessanti, preparate da persone che hanno seguito con attenzione e professionalità la materia:
- http://www.slideshare.net/EuroprivacyDataProtection.

Segnalo in particolare:
- "Misure di sicurezza e risk management", in cui si trovano preziose indicazioni per la valutazione del rischio;
- "Profilazione versus anonimizzazione", per chi avesse ancora dei dubbi (come me) su alcuni termini e come applicarli;
- "Data protection officer", per chi fosse confuso dai troppi venditori di certificazioni-fuffa nate in questi anni;
- "Data processor nuove responsabilità per i fornitori", in cui si fa il punto sui mitici "responsabili esterni".

Agenzie web e fornitori vulnerabili

Era da tanto che volevo segnalare questo articolo dal titolo "Le web agency sono il nuovo cavallo di troia?":
- https://codiceinsicuro.it/blog/le-web-agency-sono-il-nuovo-cavallo-di-troia.

L'autore segnala vulnerabilità relative a fornitori particolari, ossia le web agency; le aziende si preoccupano quasi soltanto dei fornitori cloud; forse dovrebbero pensare anche agli altri (questa è una mia battaglia da lungo tempo).

Dissento dalla conclusione dell'articolo (bisogna formare e sensibilizzare gli sviluppatori) perché credo che il problema siano i manager: se decidono di esternalizzare un servizio, gli sviluppatori non possono farci niente. Se il manager o il cliente dice loro di essere veloci e costare poco, non possono miracolosamente assicurare un buon livello di qualità e sicurezza.

Noi dobbiamo parlare di ITIL, ISO e processi ai clienti, affinché non pensino solo alla sicurezza dei sistemi informatici che gestiscono direttamente, ma anche a quelli gestiti dai fornitori.

Quanti mi dicono, facendo spallucce, che "è responsabilità del fornitore"? Però non dicono la stessa cosa di un'automobile: vogliono che il fornitore ne garantisca la sicurezza!

Dobbiamo parlare ai manager di queste cose affinché capiscano che possono spendere un po' meno in consulenti che scrivono procedure perfette e possono spendere un po' di più per controllare i fornitori a avere garanzie sulla qualità del servizio.

Firmare documenti a mano!

In questi giorni un gestore di carte di credito mi ha chiesto di inviare la documentazione relativa a movimenti fraudolenti via fax. Pensavo di aver raggiunto il colmo della comicità. Poi però una pubblica amministrazione mi ha inviato una convocazione via PEC e mi ha chiesto di confermare... via fax!

Non ne capisco il motivo. Come se nel 2016 il fax (che è una scansione e poi una stampa di un documento su due dispositivi diversi) possa ancora essere l'unico mezzo di comunicazione.

Forse perché sperano che firmiamo a mano i documenti prima di inviarli? Hanno ovviamente torto: chi non ha una scansione della propria firma sul pc? chi non può acquisire una scansione di una firma altrui e copiarla su un documento da mandare via email o fax?

Pensavo che però i pdf fossero particolarmente molesti. E invece, ecco qui un articolo che mi dice di no:
- https://www.achab.it/achab.cfm/it/blog/achablog/come-inserire-la-tua-firma-in-un-file-pdf-gratis-e-in-un-minuto.

Quando la pubblica amministrazione e i privati smetteranno di applicare procedure antiquate (e quindi, oggi, stupide)?

mercoledì 10 febbraio 2016

Assicurazioni informatiche

Un amico (anonimizzo) mi ha segnalato il suo interesse per le assicurazioni informatiche. Finalmente ha "scoperto" una polizza, le cui caratteristiche sono presentate qui:
- http://www.padovasud.generali.it/71654/Presentazioen-Polizza-Informatica.pdf.

Non è mia intenzione scrivere un trattato in merito, ma mi piacerebbe tanto che qualcuno lo facesse, riportando esempi pratici e facendo gli opportuni confronti.

Uso dell'utenza di amministrazione aumenta gli incidenti

C'era bisogno di un rapporto di Avecto per sapere che, per ridurre di parecchio gli incidenti, i pc dovrebbero essere usati da "utenti base" e non come "utenti amministratori":
- http://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-admin-rights-says-report/.

Non so chi sia Avecto, ma la notizia è stata diffusa dal SANS NewsBites e tanto basta. Il SANS ricorda che una simile affermazione fu fatta nel 2009, dicendo che se i pc Windows fossero usati come "utenti base", il 92% delle vulnerabilità sarebbe mitigata:
- http://www.zdnet.com/article/report-92-of-critical-microsoft-vulnerabilities-mitigated-by-least-privilege-accounts/.

E ancora sono guardato come un pazzo idealista quando segnalo come estremamente pericolosa la pratica di usare il pc come amministratore. Per la cronaca, io uso da sempre il pc come "utente base" e non ho mai avuto problemi (ho anche imposto ai miei genitori di usare Windows 7 o successivi proprio perché permettono di impostare utenze base; da allora le chiamate di aiuto si sono ridotte quasi a zero).

Continuo a pensarlo: non sono pazzo io, sono pazzi (e incompetenti) quegli altri.

martedì 9 febbraio 2016

I primi 100 giorni del responsabile della sicurezza delle informazioni

Pierfrancesco Maistrello di Vecomp mi ha ricordato la pubblicazione del Clusit dal titolo "I primi 100 giorni del responsabile della sicurezza delle informazioni":
- http://100giorni.clusit.it.

Confesso che l'avevo bellamente sottovalutato quando, come socio Clusit, ne ricevetti notizia qualche mese fa. Però Pierfrancesco mi ha detto che lo consiglia soprattutto a responsabili IT di piccole e medi imprese che iniziano ad occuparsi di sicurezza e privacy e riceve sempre ringraziamenti.

Ecco quindi un'occasione per proporlo anche qui, seppure con ritardo.

BCI Horizon Scan Report 2016

Segnalo la pubblicazione del "Horizon Scan Report 2016" del Business Continuity Institute:
- http://www.thebci.org/index.php/about/news-room#/pressreleases/cyber-attack-top-business-threat-for-second-year-running-1310591.

Secondo me è stato compilato soprattutto da "informatici", vista l'attenzione elevatissima verso le minacce informatiche (ovviamente, si tratta anche di "mode", visto che il termine usato è "cybersecurity").

A parte questo, rimane una valida lettura.

sabato 6 febbraio 2016

EU-US Privacy Shield

L'UE e gli USA si sono accordati sul nuovo Safe Harbour, rinominato Privacy Shield (notizia e link dal SANS NewsBites):
- http://www.scmagazine.com/privacy-shield-is-here-now-orgs-lawmakers-must-take-action/article/471452/;
- https://www.washingtonpost.com/news/the-switch/wp/2016/02/02/the-massive-new-privacy-deal-between-u-s-and-europe-explained/;
- http://www.darkreading.com/cloud/eu-us-agree-on-new-data-transfer-pact-but-will-it-hold/d/d-id/1324150.

Deve essere ancora approvato dagli Stati membri e quindi non si sa ancora come andrà a finire.

Io continuo a pensare che si dovrebbe puntare a contratti o regole di gruppo suggerite dalla UE e che ho illustrato in altro post (http://blog.cesaregallotti.it/2015/11/guida-della-commissione-europea-per-il.html). È anche vero che i contratti stipulati dai grandi fornitori IT degli USA sono spesso carenti e quindi i loro clienti dovrebbero prestarci più attenzione, a prescindere dall'entrata in vigore del nuovo accordo.

mercoledì 3 febbraio 2016

Tecnologie digitali, tecnostress e pausa digitale

Franco Ferrari di DNV GL mi ha segnalato questo articolo di Gianni Alioti dal titolo "Tecnostress: il punto di vista del sindacato":
- http://www.rs-ergonomia.com/app/download/12132082896/Gianni Alioti.pdf

Il documento è interessante perché tratta brevemente del problema della capacità di concentrazione e della produttività individuale.

Ovviamente è necessario leggerlo senza pensare che rappresenti "il punto di vista del sindacato", ma uno studio facilmente estendibile ad altri punti di vista.

martedì 2 febbraio 2016

Legale: legittimità del controllo dell'email aziendale

Notizia da Altalex: il datore di lavoro che controlla l'email aziendale del dipendente non viola la privacy, entro certi limiti:
- http://www.altalex.com/documents/news/2016/01/28/datore-che-controlla-email-aziendale-del-dipendente-viola-la-privacy.

A inizio articolo sono riportate gli accorgimenti seguiti dal datore di lavoro che hanno portato la Corte europea dei diritti umani a decidere della liceità del controllo. Riporto i più importanti:
  • informativa;
  • monitoraggio delle mail limitato nel tempo e nell'oggetto;
  • monitoraggio strettamente proporzionato allo scopo di provare l'inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  • non accesso ad altri documenti archiviati sul computer del lavoratore.

Questa sentenza mi sembra da correlare ad un'altra della Cassazione italiana, che aveva reputato eccessivo il licenziamento per gli stessi motivi:
- http://blog.cesaregallotti.it/2014/05/legale-uso-di-pc-e-mail-aziendali-per.html.

Qui forse bisogna distinguere tra legittimità del controllo (che non mi pare sia messo in dubbio neanche dalla sentenza della Cassazione italiana) e delle sanzioni successive, ossia il licenziamento (ritenuto esagerato nel secondo caso e neanche considerato nel primo).