Accredia ha pubblicato le nuove regole per la certificazione dei conservatori:
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=113&IDCTX=5418&id_context=5418.
Rispetto alle precedenti regole, le giornate si sono ridotte arrivando, in prima certificazione, a circa 8 (prima erano 13 o 11).
Preferisco non commentare.
Non sono invece state fornite le scadenze entro le quali vanno effettuate le verifiche secondo il nuovo schema. Tali informazioni dovranno essere comunicate da Agid.
Grazie a Simona Montinari di DNV GL per la segnalazione.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
lunedì 27 febbraio 2017
giovedì 23 febbraio 2017
BCI Horizon Scan 2017
Inizio anno, tempo di rapporti sulla sicurezza, con tutti i loro punti positivi e negativi. L'Horizon Scan è quello del BCI:
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.
Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.
Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.
Norma italiana per DPO
Mi informa Fabio Guasconi che è in fase di inchiesta pubblica la bozza di norma tecnica UNI/UNINFO che definisce i profili e le competenze dei professionisti che lavorano nella privacy, inclusi quindi DPO:
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.
Scadenza: 25 marzo.
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.
Scadenza: 25 marzo.
lunedì 20 febbraio 2017
Provvedimento su trattamenti dati sul posto di lavoro
Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.
Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.
Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.
Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.
Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.
Le 7 tecniche di attacco più pericolose
Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata a RSA 2017, di lista:
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.
Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.
E quindi cosa fare? Non lo dicono.
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.
Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.
E quindi cosa fare? Non lo dicono.
giovedì 16 febbraio 2017
ENISA Threat Landscape 2016
Quest'anno è Fabio Teoldi, che ringrazio, a segnalarmi la nuova versione dell'ENISA Threat Landscape:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016.
Questo rapporto è accompagnato da altri due rapporti più specialistici, uno
sull'hardware e uno sulle comunicazioni M2M:
https://www.enisa.europa.eu/publications/hardware-threat-landscape;
https://www.enisa.europa.eu/publications/m2m-communications-threat-landscape.
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016.
Questo rapporto è accompagnato da altri due rapporti più specialistici, uno
sull'hardware e uno sulle comunicazioni M2M:
https://www.enisa.europa.eu/publications/hardware-threat-landscape;
https://www.enisa.europa.eu/publications/m2m-communications-threat-landscape.
sabato 11 febbraio 2017
Prodotti di sicurezza insicuri
Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.
Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".
Grazie Marco.
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.
Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".
Grazie Marco.
Garante e raccolta dei log di AdS
A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.
Colpevolmente, non l'avevo mai notato e invece è interessantissimo.
Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).
Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.
Colpevolmente, non l'avevo mai notato e invece è interessantissimo.
Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).
Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.
lunedì 6 febbraio 2017
Linee guida DPO in Italiano
Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.
- http://www.garanteprivacy.it/rpd.
Ingiunzione a responsabile del trattamento
Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.
Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?
Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.
Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?
Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.
venerdì 3 febbraio 2017
Metodi Agile, qualità e sicurezza
Ho caricato una presentazione sui metodi Agile e come correlarli ai requisiti delle norme ISO 9001 e ISO/IEC 27001.
La pagina da cui scaricarla:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Il link diretto:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2017-Agile-ISO9001-ISOIEC27001.pdf.
La pagina da cui scaricarla:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Il link diretto:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2017-Agile-ISO9001-ISOIEC27001.pdf.
Aggiornamento legislativo
Ho caricato una presentazione sulla normativa legale applicabile alle certificazioni ISO 9001 e ISO/IEC 27001 (pdf, 331KB).
La pagina da cui scaricarla:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Il link diretto:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2017-Aggiornamento%20legislativo%20al%2020170130.pdf.
La pagina da cui scaricarla:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Il link diretto:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2017-Aggiornamento%20legislativo%20al%2020170130.pdf.