mercoledì 31 gennaio 2018

ISO 45001 sulla sicurezza dei lavoratori

Segnalo che è stata approvata e sarà tra poco disponibile la ISO 45001 dal titolo "Occupational health and safety management systems -- Requirements with guidance for use":
- https://www.iso.org/standard/63787.html.

Io non mi occupo di questa materia, ma credo sia importante sapere dell'esistenza di questo standard, visto che questa materia si interseca con la sicurezza delle informazioni.

lunedì 29 gennaio 2018

Dati sensibili e cifratura

La notizia me l'ha data per primo Luca De Grazia, ma confesso che non ci avevo capito molto.

L'ho ritrovata su Altalex e quindi ho cercato di capirla meglio:
- http://www.altalex.com/documents/news/2018/01/09/privacy-banca-dati-sensibili.

Una persona si lamenta perché l'accredito sul suo estratto di conto corrente riporta nella causale la motivazione (il numero di Legge, che però riguarda due specifici casi sanitari). A fronte di questo, la Cassazione ha deciso che:
a) la Regione Campania (che ha fatto l'accredito) deve cifrare i dati, in quanto è previsto che i soggetti pubblici debbano cifrare i dati pesonali sanitari dal D. Lgs. 196 del 2003;
b) in forza di questo, anche la banca deve cifrare i dati personali sanitari.

A mio parere era già inappropriato chiedere agli enti pubblici di cifrare i dati personali sanitari, senza rendersi conto degli impatti di tale misura, la sua sostanziale inutilità e prevedendo differenza tra il pubblico e il privato.

Però qui i giudici si sono ritrovati davanti ad un problema, visto che un'altra normativa (un Regio Decreto del 1924!) impone di specificare nei mandati di pagamento la precisa indicazione dell'oggetto di spesa. Ma allora, se è richiesto di cifrarla, come sarebbe riportata nell'estratto conto del destinatario?

Mi rifiuto di studiare l' art. 409 del R.D. n. 827 del 1924, ma credo proprio che un'altra soluzione si renderà necessaria. O forse no?

domenica 28 gennaio 2018

Articolo su DR per piccole e medie imprese

Tom Keller, autore di questo articolo dal titolo "How to Disaster-Proof Your Business IT", mi ha contattato per presentarmelo:
- https://digital.com/blog/disaster-proof/.

Nulla di eccezionale, ma tutto corretto e, soprattutto, con il tono giusto: tecnico senza tragedie o esaltazioni.

Alla fine dell'articolo ci sono dei link. Quello più interessante è quello verso www.smallbusinesscomputing.com, che a sua volta presenta dei link a soluzioni di mercato.

Attenzione però ad una cosa: noi europei dobbiamo, preferibilmente e per evitare le complicazioni del GDPR, usare server in EU e non tutte le soluzioni proposte garantiscono questo aspetto.

lunedì 22 gennaio 2018

Sviluppo sicuro delle applicazioni: il processo

Segnalo il mio ultimo articolo su ICT Security dal titolo "Sviluppo sicuro delle applicazioni: il processo":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-processo/.

Ne approfitto per segnalare che sono a corto di idee. Se qualcuno ha degli argomenti da suggerirmi, lo invito a farlo.

mercoledì 17 gennaio 2018

Nuovo Cad (e conservazione) - Riferimenti corretti

In un precedente post avevo segnalato gli aggiornamenti al CAD, senza però fornire i riferimenti normativi esatti:
- http://blog.cesaregallotti.it/2018/01/nuovo-cad-e-conservazione.html.

I riferimenti normativi mi sono stati forniti da Luca De Grazie e Franco Ruggieri, che ringrazio. Il CAD (D.Lgs. 82 del 2005) è stato modificato, con decorrenza 18 gennaio 2018, dal D. Lgs. 217 del 2017.

Il nuovo CAD è disponibile su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82!vig=

NB: il link diretto non sembra funzionare; è necessario copiarlo e incollarlo.

Linee guida AgID sullo sviluppo sicuro

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione, da parte di AgID, delle "Linee guida per lo sviluppo del software sicuro":
- http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/linee-guida-sviluppo-sicuro.

Le ho sfogliate rapidamente e mi sembrano un lavoro di "compilazione", ossia di raccolta di varie metodologie, pratiche e linee guida. Si rimane un po' storditi dalla mole di materiale.

A questo si aggiunga che molte indicazioni, sopratuttto quelle di processo, sono quelle classiche da teorici: belle, rigorose e... estremamente onerose.

Se però si ha la pazienza di scorrerle, si trovano molte cose interessanti (a me hanno colpito soprattutto i paragrafi con le tecniche di codifica per i singoli linguaggi). Si aggiunga che non mi pare siano disponibili lavori simili e quindi questo è utilissimo per quanto vogliono studiare lo sviluppo sicuro oltre le Top 10 di OWASP.

Le basi della digital forensics (per la GdF ma non solo)

Segnalo questo articolo di Paolo Dal Checco dal titolo "Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza":
- https://www.ictsecuritymagazine.com/articoli/le-basi-della-digital-forensics-nella-circolare-12018-della-guardia-finanza/.

Penso sia un ottimo articolo di introduzione (e anche di approfondimento) sulla digital forensics, che prende spunto da una circolare della GdF.

lunedì 15 gennaio 2018

Ritorna la notifica al Garante (nella Legge di Bilancio)

La Legge di Bilancio riporta anche delle indicazioni per la privacy. Faccio riferimento all'articolo 1, commi dal 1020 al 1025 (il comma 1162 fornisce ulteriori fondi al Garante).

La Legge 205 del 2017 si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2017-12-27;205.

Riassumento:
- si ripetono cose già note o comunque prevedibili sul ruolo del Garante (monitoraggio dell'applicazione del GDPR, verifiche, predisposizione di modelli di informativa);
- il Garante dovrà vigilare sulla "presenza di adeguate infrastrutture per l'interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati" e quindi spero che capiremo meglio l'estensione del concetto di "portabilità";
- il Garante dovrà "definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare"; sicuramente queste saranno utili anche per chi tratta i dati su altri fondamenti legali.

La cosa più inquietante si trova ai commi 2022 e seguenti: "Il titolare, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali" usando un modello che il Garante metterà a disposizione presumibilmente entro fine febbraio 2018. In caso di silenzio, dopo 15 giorni, il titolare potrà procedere al trattamento, ma il Garante potrà comunque interromperlo (per un massimo di 30 giorni) per chiedere "ulteriori informazioni e integrazioni" o bloccarlo completamente "qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato"

Perché dico che è inquietante? Perché il GDPR, intenzionalmente, propone l'abrogazione delle "notifiche" al Garante, se non a seguito di PIA (privacy impact assessment) con risultati "negativi". Questo rimette nelle mani del titolare la valutazione della pericolosità dei propri trattamenti, contrariamente a quanto previsto dal Dlgs 196 che richiede, per tutti i trattamenti, la notifica al Garante. Sembrava un passo in avanti, ma il legislatore italiano si è dimostrato ancora una volta troppo paranoico e ha voluto aumentare le normative applicabili e ha voluto reintrodurre un simpatico strumento (la notifica) che speravamo superato.

Da notare un paio di cose:
- la notifica (anche se non si chiama più così) si applica solo ai trattamenti fondati "sull'interesse legittimo", ossia su una delle 6 opzioni su cui fondare un trattamento (legal ground);
- i trattamenti da notificare sono quelli che "prevedono l'uso di nuove tecnologie o di strumenti automatizzati"; ma oggi quasi tutti i trattamenti prevedono l'uso di strumenti automatizzati (notare la "o" disgiuntiva) e quindi la notifica andrà fatta per tutti i trattamenti fondati sull'interesse legittimo del titolare e quindi, per esempio, quelli per protezione aziendale (tutte le attività di videosorveglianza e di log degli strumenti informatici) e per il controllo qualità (quindi tutte le attività di archiviazione pratiche di qualsiasi ufficio, con riportato il nome di chi le ha redatte e approvate).

Sicuramente c'è qualche errore e sarà pubblicata una delle molte "interpretazioni". Però mi pare che l'errore sia grande. A meno che il Garante non voglia crearsi un registro delle imprese italiane.

Grazie a Paolo Calvi e Pietro Calorio degli Idraulici della privacy per la segnalazione.

Paolo Calvi rincara commentando: Così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al Garante con la consultazione prevista dall'art.36. Qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione.

Nuova privacy per telemarketing

È stata approvata la nuova normativa sulla privcacy in ambito telemarketing. Non ho ancora il numero della norma e pertanto, non avendola ancora letta, evito commenti.

Ivo Trotti di Kantar Italia mi ha segnalato questo articolo da Repubblica:
- http://www.repubblica.it/economia/diritti-e-consumi/diritti-consumatori/2017/12/22/news/telemarketing_e_legge_l_obbligo_di_far_sapere_che_la_telefonata_e_commerciale-184917480/.

Roberto Gallotti (che è anche mio papà) mi ha segnalato questo dal Il Sole 24 Ore:
- http://www.ilsole24ore.com/art/notizie/2018-01-12/privacy-piu-facile-fermare-telefonate-indesiderate-214237.shtml.

Nuovo Cad (e conservazione)

A fine 2017 è stata pubblicato un aggiornamento al Codice per l'amministrazione digitale (CAD), che presenta interessanti novità.

Purtroppo non ho ancora disponibile il numero del Decreto (e non capisco neanche se si tratta di un DL o un DLgs) e su Normattiva non vedo il testo consolidato (l'ultima modifica è del novembre 2016).

Per chi vuole portarsi avanti con il lavoro, Franco Ferrari di DNV GL mi ha segnalato due articoli (un terzo lo segnalo qui, ma è citato da uno dei due).

Il primo ha titolo "Conservazione digitale, cosa cambia con il correttivo Cad":
- https://www.agendadigitale.eu/documenti/conservazione-digitale-cosa-cambia-con-il-correttivo-cad/.

Lo trovo molto interessante perché sintetizza efficacemente il processo di accreditamento dei conservatori e i problemi ad esso connessi.

Tra i problemi avrei aggiunto anche considerazioni sulla "perfettibilità" delle liste di riscontro predisposte da AgID e sull'eccessiva onerosità del processo di verifica. Lungi da me volere un processo che permette ai candidati inadeguati di passare la verifica, ma quello attuale è decisamente eccessivo, dimostrando un eccesso di normazione che diventa, in alcuni casi, inutile.

Gli altri due articoli (titoli "Correttivo CAD, le cinque novità principali" e "Il CAD numero 6 è in Gazzetta Ufficiale, che succede ora") contengono informazioni utili:
- https://www.agendadigitale.eu/cultura-digitale/correttivo-cad-le-cinque-novita-principali/;
- https://www.agendadigitale.eu/cittadinanza-digitale/il-cad-numero-6-e-in-gazzetta-ufficiale-che-succede-ora/.

VERA per privacy

Ho pubblicato sul mio sito il VERA per privacy, ossia un foglio di calcolo (Excel) per la valutazione del rischio relativo alla privacy:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Si basa su VERA (Very easy risk assessment), versione 4.4.

Attenzione che questa versione, in italiano, è in versione alfa. Vi prego di inviarmi suggerimenti per il suo miglioramento.

Rispetto al "normale" VERA 4.4:
  • aggiornato un poco il foglio di censimento delle informazioni e dei trattamenti;
  • aggiunte, nei criteri di valutazione delle informazioni (o dei trattamenti), considerazioni in merito agli impatti sugli interessati (in precedenza si consideravano solo gli impatti sull'organizzazione);
  • tolte le minacce senza impatto sulla privacy; 
  • ridotto il numero di controlli di sicurezza (ossia privacy) a 62 (il VERA 27001 + privacy ne aveva circa 140);
  • inserite note (molto sintetiche) per l'interpretazione dei controlli;
  • corretto qualche refuso.

Nota: ho apportato qualche piccola correzione ai VERA 4.4 già pubblicati. Essendo pigro, non ho cambiato la versione dei file.

lunedì 8 gennaio 2018

Pubblicata la nuova versione della SP 800-160 (Systems Security Engineering)

Il NIST ha pubblicato la nuova versione della SP 800-160 dal titolo "Systems Security Engineering":
- https://csrc.nist.gov/publications/detail/sp/800-160/final.

Confesso di non averla letta (è un malloppo di 160 pagine), ma ne avevo letto le versioni precedenti e non riesco a individuare i cambiamenti in questa (tranne gli errata, riportati in tabella). Sicuramente è un documento importante per chiunque si occupa di sicurezza.

domenica 7 gennaio 2018

Spectre e Meltdown

La vulnerabilità di inizio 2018 in realtà è doppia e si chiama Spectre e Meltdown.

Per ora il migliore articolo tecnico l'ho trovato sul National Cyber Security Centre (del GCHQ):
- https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance.

Trovo utile ricordare che:
- sono vulnerabili tutti i dispositivi e quindi è necessario aggiornare quelli personali (pc e smartphone), i server, gli apparati di rete (router, firewall, eccetera);
- i server includono gli hypervisor e le guest machine; in altre parole, chi ha i servizi "in IaaS sul cloud" non può ignorare il problema (questo conferma ancora una volta che chi usa servizi cloud deve comunque mantenere forti competenze al proprio interno);
- anche i compilatori vanno aggiornati e, dopo, tutto quanto compilato va ricompilato (questa verifica di sicurezza è fatta raramente, credo, anche perché oggi sono pochi i software compilati; ciò non ostante questo punto andrebbe meglio valutato in futuro).

La questione è esplosa su tutti i media. Passa un po' inosservato il fatto che "non risultano siano stati condotti con successo attacchi che sfruttano queste vulnerabilità". Quindi alcuni suggeriscono di affrontare queste vulnerabilità, ma senza entrare in "panic mode".

martedì 2 gennaio 2018

Tutelato il dipendente che segnala illeciti

Segnalo questa novità dal sito di Altalex: "Whistleblowing, in vigore le nuove norme: tutelato il dipendente che segnala illeciti":
- http://www.altalex.com/documents/leggi/2017/11/16/whistleblowing.

Copio e incollo: "il dipendente che segnala al responsabile della prevenzione della corruzione dell'ente o all'Autorità nazionale anticorruzione o ancora all'autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non può essere - per motivi collegati alla segnalazione - soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro".

Inoltre: "Le nuove disposizioni valgono anche per chi lavora in imprese che forniscono beni e servizi alla Pa".