giovedì 30 marzo 2017

Servizi aziendali sul web e sicurezza

Nell'ultima newsletter HSC, ho trovato un editoriale di Hervé Schauer che tratta di un argomento che spesso mi ha fatto pensare. Ossia: se un'azienda fornisce accesso via web a email e server aziendali, automaticamente accetta che il personale acceda ai dati aziendali su dispositivi personali e possa scaricarli.

Io segnalo questo articolo perché in realtà vedo troppi miei interlocutori sorpresi dal pensiero che, sì, in effetti, permettere gli accessi via web implica permettere gli accessi da qualsiasi tipo di dispositivo anche personale.

Hervé Schauer segnala la funzionalità di accesso condizionale offerta da Office 365 e ricorda che così facendo si riduce un rischio, ma si accetta che sia Microsoft a gestire la propria Active Directory.

Ecco quindi che ho scoperto che ci sono soluzioni per ridurre il rischio degli accessi dal web alle risorse aziendali (così alcuni miei interlocutori si sorprenderanno ancora di più).

La Newsletter HSC:
http://www.hsc-news.com/archives/2017/000143.html.

L'articolo di Microsoft sull'accesso condizionale:
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access".

Nota finale: mi pare di capire che questa funzionalità sia stata introdotta meno di un anno fa, quindi forse non sono stato troppo disattento; è anche vero che sul web si evidenziano troppo gli articoli inutili sulla "cybersecurity" e troppo poco quelli veramente importanti per la sicurezza delle informazioni.

martedì 14 marzo 2017

Diritto d'autore e produzione software

Una vera coincidenza: la sera un cliente mi chiede informazioni sul diritto d'autore del software prodotto dal personale e il mattino dopo la newsletter di Filodiritto riporta una sentenza proprio su questo argomento:
http://www.filodiritto.com/articoli/2017/03/a-chi-spetta-il-diritto-di-sfruttamento-economico-del-software-il-caso-del-software-commissionato-da-una-societa-ad-un.html.

Mi sembra molto chiaro e quindi lo segnalo.

mercoledì 8 marzo 2017

Aggiornamento libro "Sicurezza delle informazioni"

Ho aggiornato il mio libro "Sicurezza delle informazioni". Maggiori dettagli si trovano in questa pagina:
http://www.cesaregallotti.it/libro.html.

Segnalo che le modifiche non sono molto numerose. Ho ovviamente aggiornato i  riferimenti alla normativa privacy e al Regolamento eIDAS e ho introdotto qualche nuovo esempio. Tutte le modifiche sono comunque frutto di aggiornamenti che ho segnalato sul blog e sulla newsletter.

In altre parole: se avete già comprato una copia della precedente edizione, oltre a ringraziarvi, vi invito a non acquistare la nuova edizione. A meno che non vogliate avere la mia foto del Perito Moreno (ma in quel caso vi prego di scrivermi e ve la mando).

Per questa edizione ringrazio Pierfrancesco Maistrello e Francesca Lazzaroni per una rilettura delle bozze e i loro suggerimenti. Ancora di più ringrazio Stefano Ramacciotti, che anche per questa edizione si è prodigato di consigli e suggerimenti (oltre a continuare a regalarmi l'appendice sui Common Criteria e altre parti di testo).

lunedì 6 marzo 2017

Controlli Essenziali di Cybersecurity

Stefano Ramacciotti mi ha segnalato la pubblicazione di CINI dal titolo "2016 Italian Cybersecurity Report: Controlli Essenziali di Cybersecurity" che si può scaricare da qui:
http://www.cybersecurityframework.it/.

Non mi sembra male, anche se ho sempre delle riserve per chi promuove uno schema made in USA al posto di uno di livello internazionale (le ISO/IEC 27001, come invece fa ENISA) e per chi usa il termine "cibernetica" in modo scorretto.

Altra perplessità: sullo stesso sito si fa riferimento alle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni", pubblicate di recente, che sono diverse dai "Controlli essenziali". Il tutto mi sembra possibile fonte di confusione.

Comunque, se questa iniziativa può servire a migliorare la cultura in materia di sicurezza informatica, ben venga.

Linee guida ENISA per la valutazione del rischio per le PMI

Pierfrancesco Maistrello mi ha segnalato le "Guidelines for SMEs on the security of personal data processing" di ENISA:
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing.

Presenta un metodo semplificato di valutazione del rischio per il trattamento dei dati personali. Ritengo sia da considerare anche per altre finalità, come per esempio la certificazione ISO/IEC 27001 (in altre parole, mi sembra un metodo ancora più semplice del mio VERA).

Inoltre ENISA elenca un insieme di contromisure, tratte dalla ISO/IEC 27001, da attuare per il controllo del rischio.

Forse l'ho già detto, ma lo ripeto: mi pare che ENISA stia facendo quello che il NIST ha smesso di fare, ossia scrivere documenti semplici ma pragmatici e rigorosi.

Privacy, call centre e protezionismo

Pierfrancesco Maistrello mi ha segnalato anche questa. La legge di stabilità 2017 cerca di proteggere i call centre italiani. Per questo anche il Garante privacy ha aumentato le pratiche burocratiche per lo spostamento dei call centre all'estero.

Un articolo in merito alle novità sui call centre:
http://www.publicpolicy.it/analisi-%e2%80%8bcall-center-privacy-protezionista-lavoratori-67376.html.

La nota informativa del Garante privacy "Nuove disposizioni normative concernenti le attività di call center":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6029202.

mercoledì 1 marzo 2017

Privacy e accessi degli AdS

Pierfrancesco Maistrello (ormai mio spacciatore ufficiale di novità dal Garante) mi ha segnalato questa "Ordinanza di ingiunzione nei confronti di Planetel s.r.l. - 22 dicembre 2016":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6032975.

Il punto importante riguarda una prassi solitamente seguita per l'autenticazione degli AdS, ossia: accesso con credenziali personali ad un desktop remoto, successivo accesso con credenziali condivise al sistema da amministrare. Questa prassi si basa sul fatto che l'accesso al desktop remoto permette di risalire a chi è poi acceduto ai sistemi con credenziali condivise (in modo simile al comando "su" dei sistemi Unix e Linux).

Il Garante ha detto che questa prassi non è conforme alle misure minime.

Scrive Pierfrancesco: "Servirà a convincere i, tuttora molti, riottosi all'assegnazione univoca di credenziali amministrative?". Non saprei rispondergli.

L'ordinanza riporta altre violazioni, a mio parere meno interessanti e quindi non le evidenzio in questa occasione.

Configurare il browser in modo sicuro

Questa pagina (da un retweet di @pstirparo) di istruzioni su come configurare il browser per una navigazione sicura mi sembra interessante:
https://gist.github.com/atcuno/3425484ac5cce5298932.

Mi pare possa essere utile da segnalare quando qualcuno mi chiede come configurare un pc.

Linee guida ENISA per la sicurezza dei Digital Service Providers

ENISA ha pubblicato un documento dal titolo "Technical Guidelines for the implementation of minimum security measures for Digital Service Providers":
https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers/.

La pagina di presentazione è:
https://www.enisa.europa.eu/news/enisa-news/security-measures-for-digital-service-providers.

Mi sembra ben fatto e di facile lettura. Forse ENISA sta facendo quello che il NIST ha smesso di fare, ossia documenti di semplice lettura.

Forse non sentivo la mancanza di un altro documento con le misure di sicurezza.

Da un tweet di @Silvia_Mar_

Imprese: informazioni di carattere non finanziario

Il Decreto legislativo 254/2016 riguarda la comunicazione di informazioni di carattere non finanziario e sulla diversità. Esso recepisce la direttiva 2014/95/UE riguardante la comunicazione di informazioni di carattere non finanziario di imprese e gruppi di grandi dimensioni.

La Fondazione nazionale dei commercialisti ha pubblicato una panoramica di queste nuove disposizioni:
http://www.fondazionenazionalecommercialisti.it/node/1201.

La materia mi è largamente ignota. Capisco che la normativa richiede di pubblicare informazioni: di carattere ambientale, di carattere sociale, inerenti alla gestione del personale, inerenti alla tutela dei diritti umani, riguardanti la lotta contro la corruzione. E quindi tutto ciò non è pertinente alle materie di cui mi occupo.

Però... magari in questo documento potrebbero trovare posto considerazioni sulla qualità, la sicurezza delle informazioni e i processi del sistema di gestione. Viceversa, da un documento così si potrebbero ricavare informazioni utili per l'analisi dei "rischi e opportunità" richiesti dagli standard ISO. E forse questo può rendere l'adozione degli standard ISO ancora meno formale e più pratica.

Queste sono solo riflessioni personali. Se altri possono fornire contributi, ne sarò lieto.