martedì 28 giugno 2016

Survey Deloitte su dispositivi medici

Pasquale Tarallo mi ha segnalato questo articolo di Sanità 24 dal titolo "Biomedicali a rischio hacker: Deloitte lancia l'allarme sulla cyber security":
- http://www.sanita24.ilsole24ore.com/art/imprese-e-mercato/2016-06-24/biomedicali-rischio-hacker-deloitte-lancia-l-allarme--cyber-security-162350.php?uuid=AD1elbi.

L'articolo fa riferimento ad una survey di Deloitte dal titolo "Cyber security of networkconnected medical devices in (EMEA) Hospitals 2016" (il link l'ho trovato io con Google):
- http://www2.deloitte.com/nl/nl/pages/over-deloitte/articles/medical-devices-cybersecurity-vulnerable.html.

Non mi interessano i risultati della survey (che trovo sempre poco utili, anche se ormai di moda), ma l'elenco delle misure specifiche, riassunto dall'articolo di Sanità24, mi sembra utile come base di partenza quando si tratta di sicurezza informatica dei dispositivi medici.

ISO/IEC 27009 - Il metastandard

Ho ricevuto notizia che il 6 giugno è stata pubblicata la ISO/IEC 27009 dal titolo "Sector-specific application of ISO/IEC 27001 -- Requirements":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42508.

Si tratta, come dice Fabio Guasconi, un meta-standard, ossia uno standard per scrivere standard relativi ai "controlli per specifici settori" come la ISO/IEC 27011 o la ISO/IEC 27017. In altre parole, uno standard non utile per chi non partecipa alla scrittura degli standard della famiglia ISO/IEC 27000.

venerdì 24 giugno 2016

Videosorveglianza "lunga"

Franco Ferrari di DNV GL mi ha segnalato un articolo del Garante privacy, relativo a due recenti provvedimenti del Garante stesso che autorizzano la conservazione di videoregistrazioni per 30 e 45 giorni:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933227;
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4933452.

Si tratta di concessioni per aziende che si occupano di produzione o trattamento di materiali particolarmente critici (microprocessori per carte di pagamento e materiale classificato per il settore marino).

Nuova versione del COSO ERM Framework

Per chi non lo conoscesse, il COSO ERM Framework è un documento del "Committee of sponsoring organizations of the treadway commission" (COSO) dedicato all'Entreprise risk management. Per vari motivi, esso è diventato un punto di riferimento per quanto riguarda la gestione delle aziende con un approccio basato sul rischio.

Protiviti, attraverso la sua newsletter, mi ha informato che il COSO ha reso pubblica una bozza della nuova versione dell'ERM framework.

La pagina dove trovare la bozza del nuovo COSO ERM Framework:
- http://erm.coso.org/Pages/default.aspx.

La pagina dove trovare il bollettino di Protiviti, che spiega in sintesi le ragioni del cambiamento e le novità:
- http://www.protiviti.com/cosoerm

Sicuramente l'approccio ha dei punti di interesse, ma mi preme sottolinearne una: il fatto che l'applicazione del framework è stata spesso sbagliata perché concentrata sui dettagli e non usata per impostare le strategie.

Come non riflettere, ancora una volta, sul fatto che troppe valutazioni del rischio si perdono nei dettagli e perdono di vista il loro vero obiettivo, seppellite da troppi dettagli?

Mi fermo qui, per non ripetere cose già dette e ripetute in precedenza (incluse le critiche ai software per valutare il rischio).

martedì 7 giugno 2016

ISO/IEC 27000:2016 disponibile gratuitamente

La ISO/IEC 27000:2016, dal titolo "Information security management systems — Overview and vocabulary", è ora disponbile gratuitamente al seguente indirizzo:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/.

Grazie a Luciano Quartarone per l'aggiornamento.