lunedì 19 agosto 2019

Sicurezza dei micro-services (guida NIST)

Il NIST ha pubblicato la SP 800-204 dal titolo "Security Strategies for
Microservices-based Application Systems":
- https://csrc.nist.gov/publications/detail/sp/800-204/final.

La segnalo perché recentemente vedo che questo approccio è sempre più
utilizzato e quindi questa guida può essere utile.

Pubblicata la ISO/IEC 27701 (già 27552) sui sistemi di gestione privacy

E' stata finalmente pubblicata la norma ISO/IEC 27552 con un nuovo numero: ISO/IEC 27701. Il titolo è sempre lo stesso: "Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines":
- https://www.iso.org/standard/71670.html.

E' già stata adottata come standard europeo (EN) e pertanto potrà anche essere indicata come EN ISO/IEC 27701.

Tutto quanto detto e scritto finora rimane valido anche dopo la numerazione. In particolare, ricordo un mio articolo:
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Dovrò modificare il mio VERA, ma era una cosa già in programma (ho intenzione di fare un unico VERA privacy e 27001; spero di non fare una schifezza).

PS: grazie a Sandro Sanna per avermi segnalato un refuso (avevo scritto nel titolo "17701" al posto di "27701").

domenica 18 agosto 2019

Le immagini della sicurezza (da re-immaginare)

Su Crypto-Gram del 15 agosto è presente un articolo dal titolo "Wanted:
Cybersecurity Imagery":
- https://www.schneier.com/blog/archives/2019/07/wanted_cybersec.html.

In poche parole: tutte le immagini e i video sulla sicurezza presentano le
stesse figure (tizio con il cappuccio, tizio nel buio che smanetta su una
tastiera, lucchetto) e la Hewlett Foundation ha lanciato un concorso per
promuovere nuove idee:
- https://www.openideo.com/challenge-briefs/cybersecurity-visuals.

Ho letto la presentazione "Reimagining Visuals for Cybersecurity Design
Research" (si trova in fondo alla pagina) e l'ho trovata molto interessante.

Io faccio presentazioni per professionisti e quindi non sono un buon caso da
analizzare, però cerco di evitare le solite immagini. Ingenuamente uso mie
foto che in realtà non c'entrano molto con la presentazione stessa (nella
mia testa un collegamento c'è, ma molto molto tenue); ho visto che in molti
non fanno proprio alcuno sforzo (quando invio articoli, li invio sempre con
una mia foto che viene regolarmente cambiata, visto che "non si sa mai", con
lucchetti, tizi con cappuccio o anche nuvolette) e sarebbe invece bello
vedere più fantasia.

Sviluppatori e sicurezza

Su Crypto-Gram del 15 agosto è segnalato un articolo di ZDNet dal titolo "No
love lost between security specialists and developers":
-
https://www.zdnet.com/article/no-love-lost-between-security-specialists-and-
developers/
.

Riguarda un'indagine condotta presso gli sviluppatori e i professionisti
della sicurezza e Bruce Schneier riporta alcuni dati:
- il 49% dei professionisti della sicurezza (immagino quindi di estrazione
sistemistica o reziaria) denuncia fatica nel rendere prioritarie le
correzioni delle vulnerabilità presso gli sviluppatori;
- il 68% dei professionisti della sicurezza pensa che meno della metà degli
sviluppatori sia capace di individuare le vulnerabilità nel codice prima di
passarlo in ambiente di test;
- il 70% degli sviluppatori, dall'altra parte, dichiare di non riceve alcun
aiuto o linea guida per scrivere codice sicuro.

Io non sono un gran sostenitore di tutte queste indagini ("survey"), ma
penso che queste indicazioni siano molto interessanti.

Furto di identità con email

Da Crypto-Gram del 15 agosto 2019 segnalo questo articolo dal titolo "My job
application was withdrawn by someone pretending to be me":
- https://www.bbc.com/news/business-48995846.

In poche parole: un tizio aveva fissato un appuntamento di lavoro con
un'azienda, ma qualcun altro ha creato un account gmail con il suo nome e
cognome e ha disdetto l'appuntamento.

Questo per ricordarci che oggi pensiamo spesso all'indirizzo email come un
"documento di identità", ma che invece non ha alcuna caratteristica di
sicurezza. Questo ci ricorda anche che molti attacchi possono richiedere
competenze tecnologiche pressoché nulle.

sabato 17 agosto 2019

Aggiornata sezione data breach del Garante

Mi hanno segnalato (privacy, please!) che è stata aggiornata la scheda
informativa sulle violazioni dei dati personali del Garante:
- https://www.garanteprivacy.it/regolamentoue/databreach.

Chi è più bravo di me capirà le differenze rispetto a prima. Per intanto
penso che questa pagina sia molto utile.

TIA e schema di audit (aggiornamento)

Alessandro Gaspari, poco dopo avermi aggiornato a fine luglio sulle
certificazioni TIA (vedere post
http://blog.cesaregallotti.it/2019/08/qualche-considerazione-sulla-tia-942.h
tml
), ha visto che pochi giorni dopo (il 7 agosto) che TIA ha lanciato il
proprio schema di certificazione, con il supporto dell'ente di
accreditamento Certac (a me ignoto):
-
https://www.tiaonline.org/press-release/tia-launches-ansi-tia-942-accreditat
ion-scheme-for-certification-of-data-centers-selects-certac-to-manage-progra
m/
.

Alessandro mi dice che "questo ovviamente fa cadere le considerazioni
precedenti", anche se credo che alcune siano ancora valide.

giovedì 1 agosto 2019

Qualche considerazione sulla TIA-942

Recentemente ho scritto un articolo e fatto una presentazione sugli standard e le certificazioni per i data centre:
- articolo: https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/;
- presentazione: http://www.cesaregallotti.it/Pubblicazioni.html.

A questo proposito Alessandro Gaspari di Euris mi ha scritto in merito alle "certificazioni" sulla TIA-942. Io nel seguito riporto quanto mi ha scritto.

La "certificazione" TIA-942 si dovrebbe in realtà chiamare "dichiarazione di conformità", visto che per la TIA non esiste un percorso di accreditamento. EPI si è inventata un "prodotto": il sito e bollino tia-942.org. TIA-942.org non è quindi un sito ufficiale TIA né la TIA riconosce alcuna Società come ente certificatore. La conformità al momento può essere rilasciata da chiunque, ma ovviamente, avendo promosso bene il servizio tia-942.org il risultato è che tutti finiscono li.

Come richiamato dalla pagina https://en.wikipedia.org/wiki/TIA-942, TIA non offre programmi di certificazione ("The Telecommunications Industry Association does not offer certification programs or certify compliance to TIA standards. In many cases, there are other organizations and consultants that can provide those services. However, TIA does not certify these organizations or consultants").

Per la precisione, EPI ha solo la licenza per erogare la formazione, come dichiarato nel sito ("…have entered into a licensing agreement that allows EPI to build and conduct international certified training courses for the ANSI/TIA-942 Telecommunications Infrastructure Standards for Data Centres. The courses will initially be launched in Asia, but will eventually become available to Data Centre professionals worldwide"):
- https://www.epi-ap.com/content/19/23/TIA_and_EPI_announce_Licensing_Agreement_for_ANSI/TIA-942_Training

A questo proposito, sono interessanti due articoli:
- https://www.capitoline.org/data-centre-audit-2/tia-942-audit-and-certification/;
- https://www.linkedin.com/pulse/standards-v-update-john-booth-mbcs-cdcap/.

Per concludere, Alessandro ci ha tenuto a ricordare che ha fatto la formazione e le relative certificazioni con EPI e che le loro persone sono molto competenti con esperienze internazionali di alto livello. Il punto chiave è quindi che EPI non ha "un'esclusiva" sulle certificazioni TIA-942.

Copertura assicurativa Cyber risk per Consip

Tommaso Assandri, mio lettore, mi ha segnalato che Consip ha assegnato una gara per dare a Sogei una copertura assicurativa sui "cyber risk".

La documentazione di gara si trova qui:
- http://www.consip.it/bandi-di-gara/gare-e-avvisi/gara-cyber-risk-ii-rischio-per-sogei.

Interessante, nella "Documentazione di gara", il documento "All. 4 Cyber Secondo rischio_DEF.pdf" perché finalmente sono riportati rischi informatici veri e propri e non solo quelli relativi a danneggiamenti fisici o furti di apparati o dispositivi.

Segnalo poi che Sogei ha dichiarato di avere ulteriori polizze:
- Frode Informatica-Infedeltà;
- RC professionale II rischio.

Sulle assicurazioni di sicurezza informatica e delle informazioni avevo scritto in precedenza con molte critiche. Penso che le critiche rimangano valide, ma almeno vedo qualcosa di nuovo.

Aggiornamento delle Disposizioni di Vigilanza di Banca d'Italia

La Banca d'Italia, a luglio 2019, ha aggiornato le Disposizioni di Vigilanza per le banche (segnalazione di Enzo Ascione di Intesa Sanpaolo):
- https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html.

L'ultimo aggiornamento del 23 luglio 2019 riporta molte indicazioni sulla gestione, la sicurezza e la disponibilità dei sistemi informatici. A me non sembrano indicazioni particolarmente innovative, ma le ho lette molto superficialmente.

Per non impazzire e cercare i singoli cambiamenti, il file "Aggiornamento n. 28 del 23 luglio 2019" riporta solo le parti aggiornate, ossia quelle relative ai sistemi IT.

giovedì 25 luglio 2019

Garante e prescrizioni per i trattamenti dei dati "particolari"

Il Garante ha pubblicato il "Provvedimento recante le prescrizioni relative
al trattamento di categorie particolari di dati, ai sensi dell'art. 21,
comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510]":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9124510.

Riassumendo: si tratta degli obblighi per il trattamento di particolari
categorie di dati personali (ex "dati personali sensibili") nei rapporti di
lavoro e per scopi di ricerca scientifica e nel caso degli organismi di tipo
associativo, delle fondazioni, delle chiese e associazioni o comunità
religiose.

Sostituisce le precedenti autorizzazioni generali, oggi non più previste dal
GDPR. Alcune di queste sono state riprese dall'attuale provvedimento, altre
no.

Infine l'autorizzazione generale sul trattamento dei dati giudiziari da
parte di privati, enti pubblici economici e soggetti pubblici non è
"rinnovata" (anche se, a mio parere, qualche chiarimento sarebbe stato
necessario, visto gli orrori che vedo in giro).

venerdì 19 luglio 2019

Sanzioni GDPR (Google, Facebook, Marriott e BA) e riflessioni

In questi tempi si moltiplicano le notizie sulle sanzioni milionarie a seguito di violazioni di dati personali.

Google è stata multata per mancanza di trasparenza:
- https://www.bbc.com/news/technology-46944696;
- https://www.agendadigitale.eu/sicurezza/google-e-facebook-con-la-privacy-non-si-scherza-piu-le-prime-avvisaglie-in-europa-e-usa.

E infine Facebook per diverse violazioni:
https://arstechnica.com/tech-policy/2019/07/facebooks-ftc-fine-will-be-5-billion-or-one-months-worth-of-revenue/.

Non ne ho parlato perché in definitiva non aggiungono niente di nuovo sulle "cose da fare".

Mi hanno invece incuriosito molto le vicende della Marriott e della British Airways, ambedue sottoposte a multe miliardarie dall'ICO, ossia il Garante UK.

Un articolo sulla multa alla catena di hotel Marriott:
- http://www.ictbusiness.it/cont/news/nuova-vittima-del-gdpr-maxi-multa-anche-per-marriott-international/43277/1.html.

L'annuncio dell'EDPB sulla multa alla Marriott:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en.

Su questa c'è anche un articolo più tecnico sull'attacco alla Marriott:
- https://www.zdnet.com/article/marriott-ceo-shares-post-mortem-on-last-years-hack/.

Mi pare che quelli della Marriott abbiano dimostrato molta attenzione sulla vicenda e che siano stati loro stessi a renderla pubblica. In altre parole, non mi pare che la multa sia giustificata.

Anzi: quelli della Marriott usavano una tecnologia (IBM Guardium) dedicata a lanciare allarmi relativi a "strane" query sui database. IBM sarà contenta della pubblicità gratuita, ma mi pare interessante sapere che esistono queste tecnologie (temo però che al momento siano molto costose e difficili da mantenere).

Dall'altra parte, l'ICO non si è preoccupata di rilevare gli investimenti fatti da Marriott e il livello di prevenzione adottato, ma, più o meno, ha detto: "poiché avete avuto un incidente, vuol dire che avete sbagliato e quindi dovete pagare". Non mi pare sia questo lo spirito del GDPR. Mi pare piuttosto sia di verificare se l'azienda ha fatto quanto possibile per evitare gli incidenti.

Caso simile è quello della British Airways. Qui il comunicato dell'EDPB sulla multa comminata dall'ICO:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data-breach_en.

Qui invece un articolo più tecnico che, in sostanza, dice che sarebbe stato molto ma molto difficile identificare l'attacco (sfortunatamente non spiega come prevenirlo in futuro):
- https://www.riskiq.com/blog/labs/magecart-british-airways-breach/.

giovedì 18 luglio 2019

Sistemi operativi per smartphone

Una cosa che mi preoccupa è la massa di dati che sto dando a Google. Sono già migrato a Qwant come motore di ricerca e ora sto cominciando ad usare il loro sistema di mappe (e non abbandono il mio vecchio TomTom).

Per quanto riguarda il cellulare potrei passare ad Apple, ma non sopporto la chiusura dell'iOS. Per Android sono incuriosito dai progetti di sistemi alternativi.

Uno l'ho visto segnalato da Luca Bonesini (mio collega di tanti anni fa). Si tratta del progetto /e/:
- https://e.foundation/.

Un altro progetto l'ho visto più di recente ed è il PostmarketOS:
- https://postmarketos.org/blog/2019/06/23/two-years/.

Dovrei studiare meglio la questione e, soprattutto, aspettare che gli smartphone di casa siano abbastanza obsoleti per fare qualche test. Per intanto mi appunto la questione.

Minacce e attacchi: errore in un'applicazione di 7-Eleven

E' noto che non mi interesso molto delle notizie sugli attacchi, in quanto solitamente non riportano informazioni utili, ma solo generiche.

Questo articolo non è tanto migliore, ma ci ricorda che bisogna prestare molta attenzione anche alle applicazioni per dispositivi mobili:
- https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/.

In poche parole: il 7-Eleven giapponese ha commissionato un'applicazione che permetteva i pagamenti veloci. Questa permetteva anche di richiedere l'azzeramento della password, e la sua conseguente modifica, senza verificare che il richiedente fosse l'utente titolare dell'account. Il risultato è che degli attaccanti hanno azzerato la password di alcuni clienti e hanno fatto acquisti con i loro soldi.

venerdì 12 luglio 2019

Mia intervista su ISO/IEC 27552

Elia Barbujani mi ha intervistato per Web radio ius law sulla ISO/IEC 27552:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-iso-iec-27552-cosa-cambia-per-le-certificazioni-privacy/.

Notizia dell'ultima ora: forse la numerazione cambierà in ISO/IEC 27701. Giusto per rendere più semplici le cose...

sabato 29 giugno 2019

NIST NISTIR 8228 su IoT

Il NIST ha pubblicato il documento NISTIR 8228 dal titolo "Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks":
- https://csrc.nist.gov/publications/detail/nistir/8228/final.

Tratta dell'IoT in modo generale, senza approfondire i campi di applicazione (industriale, automobili, sanità, eccetera).

A mio pare è più interessante la parte analitica sui rischi, mentre le misure di sicurezza sono espresse in modo troppo generale e approfondimenti li avrei graditi.

lunedì 24 giugno 2019

Mio articolo su fornitori e GDPR

Segnalo questo mio articolo dal titolo "Fornitori, valutazione del rischio e adeguamento privacy: le linee guida":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/fornitori-valutazione-del-rischio-e-adeguamento-privacy-le-linee-guida/.

Ho proposto un metodo semplice per affrontare la questione dei fornitori in relazione al GDPR e una critica all'uso dei questionari purtroppo sempre più diffusi.

sabato 22 giugno 2019

Raccomandazione UE sulla cibersicurezza nel settore dell'energia

Segnalo questo articolo dal titolo "Cybersecurity nel settore energetico, ecco le raccomandazioni della Commissione europea":
- https://www.agendadigitale.eu/infrastrutture/cybersecurity-nel-settore-energetico-ecco-le-raccomandazioni-della-commissione-europea/.

Mi sembra interessante osservare che questa "Raccomandazione UE 2019/553 della Commissione del 3 aprile 2019 sulla cibersicurezza nel settore dell'energia" presenta indicazioni che potrebbero essere considerate anche in altri settori e nell'ambito industriale più generale.

Il link dell'articolo riporta alla raccomandazione in italiano. La pagina con le versioni nelle altre lingue dell'Unione è questa:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019H0553.

Codice di condotta sulle valutazioni commerciali

Il Garante ha approvato il "Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali", ossia il codice che riguarda le aziende che analizzano le caratteristiche delle aziende per elaborare valutazioni a scopo commerciale:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9119868.

Ho riscritto la definizione di "attività di informazione commerciale", sperando di essere stato chiaro. Ad ogni modo, è possibile usare la definizione "ufficiale". Inizialmente, erroneamente, pensavo si trattasse dei contact centre. La lettura mi ha smentito.

I codici di condotta sono regolati dall'articolo 40 del GDPR. Interessante (come anche da comunicato stampa del Garante) è il ruolo dell'Organismo di monitoraggio (OdM), previsto dall'articolo 41 del GDPR, che dovrà essere valutato in senso all'EDPB.

Ho avuto modo di rileggere il GDPR su queste cose e mi è sembrato strano il meccanismo degli OdM (unici per ciascun codice di condotta), molto differente da quello relativo agli organismi di certificazione (che sono in concorrenza tra loro e controllati da Accredia). Ci sarebbe materia per riflettere.

Per finire, visto che potrei aver scritto sciocchezze (vi prego di segnalarmele), invito a leggere direttamente la newsletter del Garante:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9120035

martedì 18 giugno 2019

Presentazione "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center"

Il 6 giugno ho tenuto una presentazione per un BCI Forum a Milano dal titolo "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Presentazione "Come migliorare le proprie competenze"

Il 24 maggio ho tenuto una presentazione per una sessione di studio di AIEA a Milano dal titolo "Come migliorare le proprie competenze".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Credo che i soci AIEA possano vedere il video. Gli altri potranno anche farne a meno senza problemi.

Strumenti per la sicurezza applicativa

Credo che gli strumenti per la sicurezza delle applicazioni software siano tra i meno considerati, anche se oggi sempre più necessari.

Tutto ha un'origine storica: inizialmente la sicurezza era solo una questione di infrastruttura informatica, non delle applicazioni. Per quanto oggi tutti siano consapevoli che non è più così (e da tempo) c'è ancora carenza di reale competenza, anche sugli strumenti che si possono utilizzare. Come consulente e auditor chiedo sempre se sono usati strumenti per il controllo del software: quasi mai sono usati strumenti per il controllo della sicurezza, qualche volta sono usati quelli per il controllo della qualità e spesso non è usato niente (anzi... sono guardato con sorpresa).

Non mi proclamo esperto e quindi non so giudicarlo appieno, ma segnalo questo articolo dal titolo "10 Hottest DevSecOps Tools You Need To Know About":
- https://www.crn.com/slide-shows/security/10-hottest-devsecops-tools-you-need-to-know-about/1.

Dovrebbe essere utile almeno come punto di partenza.

sabato 15 giugno 2019

Caso pratico di phishing di successo: i 15 milioni di Tecnimont.

Fabrizio Monteleone di DNV GL mi ha segnalato questo articolo dal titolo "Truffa del Ceo alla Tecnimont: falsa mail del capo fa partire un bonifico da 18 milioni di dollari":
- https://milano.fanpage.it/truffa-del-ceo-alla-tecnimont-falsa-mail-del-capo-fa-partire-un-bonifico-da-18-milioni-di-dollari/.

Il caso di phishing mirato (o "truffa del CEO") è da manuale e vale la pena ricordarla come caso di studio. Non è la prima (ne ho trovate altre con una semplice ricerca su Qwant) e per questo andrebbe usata come esempio per tutti.

venerdì 14 giugno 2019

Pubblicato il Cybersecurity Act

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del Cybersecurity Act sulla Gazzetta ufficiale dell'Unione europea.

Ora l'atto in italiano si chiama ufficialmente "Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)" ed è scaricabile da qui:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019R0881.

Hanno tradotto con il brutto termine "cibersicurezza" e non con il termine sbagliato di "sicurezza cibernetica". C'è speranza.

Qualche mese fa avevo già segnalato un articolo (che usa malamente il termine "cibernetico" e non approfondisce gli schemi di certificazione dei prodotti):
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Avevo anche segnalato il comunicato stampa del Consiglio della UE, con alcuni punti significativi del provvedimento:
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

mercoledì 12 giugno 2019

NIST Secure Software Development Framework (SSDF)

Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper: Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)":
- https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft.

Temevo fosse il solito documento "fai valutazione del rischio e arrangiati (noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece ho trovato alcuni elementi interessanti, anche se non c'è tantissima tecnologia. Però la sintesi aiuta.

In bibliografia ho trovato il riferimento ad un documento dal titolo "Fundamental Practices for Secure Software Development: Essential Elements of a Secure Development Life Cycle Program":
- https://safecode.org/news/safecode-publishes-fundamental-practices-secure-software-development-essential-elements-secure-development-life-cycle-program/.

Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano consigli pratici che non trovo facilmente in giro.

E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
- https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards.

Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.

Se posso segnalare dei difetti: i siti, alla fine, si concentrano soprattutto sulla parte di codifica e poco sulla parte funzionale e su quella architetturale.

Mio articolo sulla ISO/IEC 27552 sui sistemi di gestione privacy

Segnalo la pubblicazione del mio articolo "Gestione dei dati personali, ecco le novità della norma ISO/IEC 27552":
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Devo dire che, rileggendolo, non mi sembra scritto bene. Spero che almeno sia chiaro.

venerdì 7 giugno 2019

GDPR e questioni aperte

Segnalo questo interessante articolo di Agenda Digitale dal titolo "GDPR, i rinvii alla Corte di Giustizia Ue: i principali nodi da sciogliere":
- https://www.agendadigitale.eu/sicurezza/privacy/gdpr-i-rinvii-alla-corte-di-giustizia-ue-i-principali-nodi-da-sciogliere/.

L'articolo elenca i casi ora in esame presso la Corte di Giustizia UE. Questi, pertanto, ci forniscono alcune indicazioni su alcuni dubbi interpretativi e su cosa ci potrebbe aspettare in futuro.

giovedì 6 giugno 2019

PSD2

Un articolo di ictBusiness.it mi ha ricordato l'importanza che la Direttiva sui servizi di pagamento potrebbe avere. Infatti, tra le altre cose, è richiesto ai negozi virtuali di prevedere l'autenticazione forte dei clienti. L'articolo di ictBusiness.it si concentra su questo aspetto e sul fatto che ancora molte imprese sono in ritardo con gli adeguamenti dei propri siti di e-commerce:
- http://www.ictbusiness.it/cont/news/acquisti-online-aziende-europee-in-ritardo-sulle-nuove-norme/43134/1.html.

La PSD2 ha ulteriori impatti. A questo proposito ho trovato questo articolo su Agenda Digitale molto completo (anche troppo, per le mie competenze):
- https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/psd2-quello-ce-sapere-norme-interchange-fee-sicurezza/.

mercoledì 5 giugno 2019

Topi e indisponibilità

Sandro Sanna mi ha segnalato questa notizia dal titolo "Topi rosicchiano la fibra, mezza provincia di Belluno rimane senza web":
- https://www.ilmattino.it/napoli/cronaca/topi_fibra_provincia_senza_web_belluno_oggi_ultime_notizie-4536425.html

Non un notizione, ma ci ricorda di controllare, nell'ambito della manutenzione, la derattizzazione (che può anche prevedere l'uso di vernici particolari sui cavi). Anche questa è sicurezza delle informazioni...

martedì 4 giugno 2019

GDPR: la crittografia non basta

Segnalo questo breve articolo di Alessandro Vallega dal titolo "GDPR e sicurezza, vogliamo dirci la verità? L'encryption non basta":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-sicurezza-vogliamo-dirci-la-verita-lencryption-non-basta/.

In poche e buone parole dice quello che emerge da questi 12 mesi di attuazione del GDRP: per pigrizia e incompetenza, in tanti richiedono l'applicazione della crittografia (in modo generico, senza indicare né come né dove) solo perché citata (non richiesta obbligatoriamente!) dal GDPR, senza pensare ad altre misure probabilmente prioritarie.

Sebbene conosca personalmente Alessandro, ho avuto notizia di questo articolo dalla newsletter del Clusit del 31 maggio 2019.

domenica 2 giugno 2019

VERA per privacy - versione gamma

Ho aggiornato il VERA per privacy, usando i controlli della ISO/IEC 27552 al posto di quelli della ISO/IEC 29151.

Infatti la ISO/IEC 29151 è per soli titolari, mentre la ISO/IEC 27552 è rivolta a titolari e responsabili, oltre ad essere meglio organizzata, grazie anche alle esperienze accumulate nei 2 anni di utilizzo.

La ISO/IEC 27552 è al momento in fase di final draft, però i controlli finali saranno quelli (al limite mi sono sbagliato con la numerazione).

Per la versione GAMMA, grazie a: Nicola Nuti, Simona Persi, Chiara Ponti.

Il VERA 4.4 privacy GAMMA è scaricabile da qui:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Dopo l'estate vorrei creare un VERA 5.0 per privacy e per 27001 (vorrei cercare di fare un unico file, in modo che uno lo possa usare per la sola ISO/IEC 27001, la sola privacy o per tutte e due contemporaneamente). Quindi: chiunque ha suggerimenti è pregato di farmeli avere.

PS: sono consapevole che "versione gamma" non è mai usata (a meno di eccezioni che non conosco), ma dopo la versione beta ho trovato questa soluzione.

Plugin QWAC per Firefox

Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che AgID ha pubblicato un plug-in per Firefox per validare i Qualified Website Authentication Certificates (QWAC):
- https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/2019/05/31/The+Agency+for+Digital+Italy+brings+online+security+to+the+next+level.

Il nome divertente (QWAC) vuol dire che per Regolamento (e non per fiducia "nel sistema") è possibile validare i certificati SSL di un sito web.

Glauco ha commentato: "per una volta pare che siamo i primi".

Per il resto, io ho installato il plug-in e prossimamente vedrò come lavora.

Mio articolo su ITIL 4

E' stato pubblicato su ICT Security magazine il mio articolo dal titolo "ITIL 4 Foundation":
- https://www.ictsecuritymagazine.com/articoli/itil-4-foundation/.

Nulla in più di quanto avevo già scritto sul blog.

ENISA Industry 4.0 - Cybersecurity Challenges and Recommendations

Sandro Sanna mi ha segnalato la pubblicazione del breve (13 pagine) studio di ENISA dal titolo "Industry 4.0 - Cybersecurity Challenges and Recommendations":
- https://www.enisa.europa.eu/publications/industry-4-0-cybersecurity-challenges-and-recommendations.

Le raccomandazioni (riassunte da me) sono:
- allineare le competenze in materia di IT e OT (segnalo che è scritto che le persone in ambito OT devono adattarsi alle innovazioni, me, ma non è esplicitato che gli "esperti" di IT devono capire le caratteristiche dell'OT, per esempio in termini di sicurezza delle persone e lunghezza del ciclo di vita dei prodotti);
- prestare attenzione alle regole stabilite (solitamente incomplete) e alla necessità di fornire fondi alla sicurezza;
- incoraggiare con incentivi la sicurezza;
- prestare attenzione ai prodotti per industria 4.0 perché il loro ciclo di vita è la composizione di quello dei prodotti IT e OT;
- chiarire le responsabilità tra gli attori di industria 4.0;
- prestare attenzione al fatto che gli standard in materia di industria 4.0 sono frammentati;
- gestire la sicurezza considerando tutta la filiera di fornitura;
- prestare attenzione all'interoperabilità e alla sicurezza dei prodotti industria 4.0.

giovedì 30 maggio 2019

Garante e formazione gratuita per DPO

Il Garante ha lanciato il progetto T4DATA, ossia eventi di formazione gratuita per DPO del settore pubblico e privato.

Il primo evento sarà ad Ancona il 7 giugno e poi ce ne saranno altri. Sono anche previsti webinar:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9113500.

Provvedo a diffondere la notizia, anche perché l'iniziativa mi sembra molto
meritoria.

lunedì 20 maggio 2019

Manuale sul diritto europeo in materia di protezione dei dati - ed. 2018

Nicola Nuti degli Idraulici della Privacy e Franco Vincenzo Ferrari di DNV GL mi hanno segnalato la pubblicazione del "Manuale sul diritto europeo in materia di protezione dei dati - edizione 2018" da parte del Council of Europe:
- https://publications.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-it.

giovedì 16 maggio 2019

ITIL 4 Foundation - I contenuti

Poco tempo fa avevo annunciato la disponibilità dell'esame ITIL 4 Foundation:
- http://blog.cesaregallotti.it/2019/04/itilv4-solo-foundation.html.

Dopo aver letto il manuale di ITIL 4 Foundation, posso dire che mi è piaciuto. Il primo motivo è perché è breve e mette già a disposizione le informazioni di base del modello ITIL, senza doverle estrarre da volumi più ampi. Il secondo motivo è perché tecnicamente è molto più convincente, coerente e utile delle ultime 2 versioni (ITILv3 e ITIL 2011). Riporto quindi nel seguito i miei appunti sulle parti tecniche.

Ora il modello ruota intorno a 3 elementi chiave: le attività del SVS (Service value system), le pratiche e i principi.

Le attività del SVS sono 6: pianificazione, miglioramento, coinvolgimento (engage), progettazione (design) e transizione, ottenimento o realizzazione, consegna e supporto (in precedenza, ITIL ruotava intorno alle 5 fasi di strategia, progettazione, transizione, esercizio, miglioramento continuo).

Sono anche trattate le 4 "dimensioni della gestione dei servizi", ossia le vecchie 4 P, anche se con nome leggermente diverso.

Le "pratiche" corrispondono ai "processi" delle precedenti versioni. Sono 34 divise in generali, di servizio e tecniche. Si vede quindi che non sono diminuite. L'idea è però quella di fornire indicazioni in merito agli aspetti della gestione dei servizi, non di presentare un modello unitario e coerente di queste pratiche. Mi permetto di tradurre così: dopo averci tormentati con i processi e la loro importanza, dopo averne creati troppi, dopo non essere riusciti a diminuirli, gli autori di ITIL hanno rinunciato a dare una visione dei processi come sistema (ossia a correrlarli tra loro) e li hanno chiamati "pratiche".

Se pure molte indicazioni sono interessanti, è in effetti difficile capire le relazioni tra le pratiche di "service design" e "change control" (non mi pare siano spiegate) e tra le pratiche di "release management" e "deployement management" (anche se per queste è fornita una spiegazione).

Sulle pratiche, segnalo poche cose:
- rinuncia al termine "risorse umane" per "forza lavoro e talenti" (workforce and talent);
- sottolinea che il CMS (configuration management system) è importante, ma non è necessario che sia di dettaglio e che è possibile averne più di uno (questo ricordando certi consulenti che promuovono un unico CMS o CMDB o Asset inventory, evidentemente senza avere idea di cosa sono veramente);
- ricorda che i processi di controllo dei change possono essere distinti per ambienti distinti (in molti pensavano ad un unico change manager per tutti i change);
- rinuncia (per lo meno a livello di foundation) al change manager e al CAB (change advisory board), ricordando solo che vanno previsti diversi livelli di autorizzazione per i change;
- riduce notevolmente l'importanza della pratica di "change control" rispetto a quanto in precedenza era importante il processo di change management (lo cita solo una volta nei 4 esempi forniti in Appendice A);
- usa il termine "continuity" per eventi di elevato impatto, contrariamente ad altri (per esempio il BCI) che invece lo usano anche per incidenti di impatto minore.

Per ogni pratica, sono indicati gli impatti sulle 6 attività del SVS. Questo punto spesso non mi è risultato chiaro e, anzi, alcune relazioni non mi hanno trovato d'accordo. Si tratta sicuramente di un tentativo di correlare il modello SVS con le 34 pratiche. Come spesso succede, i tentativi di correlare modelli diversi risultano difficili e il risultato non è buono.

I principi sono 8. Sono trattati all'inizio e poi quasi dimenticati. Di questi, anche come conclusione di questa analisi superficiali, vorrei ricordarne 3:
- il primo è la promozione della "progressione iterativa con riscontri" ossia dell'approccio Agile, criticando, in qualche modo, chi ha cercato di adottare ITIL con un approccio di reingenierizzazione dei processi (si ritorna, insomma, al Kaizen promosso nell'ambito della qualità);
- il secondo è di "partire da dove si è", ossia di essere consapevoli del proprio stato prima di iniziare attività di miglioramento; questo lo ricordo perché include, finalmente, una critica alle misurazioni e un richiamo all'importanza del monitoraggio;
- il terzo principio che ricordo è quello di "rendere semplice e pratico", spesso dimenticato da manager, consulenti e auditor; la frase che mi sono segnato è: "Simplicity is the ultimate sophistication".

Ora dovrò sostenere l'esame. Le differenze rispetto a ITIL 2011 sono molte e molti consigliano di seguire il corso completo. Io ho preferito studiare da solo il manuale. Spero di non aver fatto una scelta sbagliata.

venerdì 10 maggio 2019

Mia intervista per Coretech

CoreTech, nella persona di Roberto Beneduci (Founder & CEO), mi ha invitato a tenere un intervento al suo convegno annuale (CoreTech Summit) sul tema della business continuity.

Mi hanno quindi fatto un'intervista "preventiva" pubblicata su LinkedIn. Per chi vuole ascoltarmi (e ascoltare anche Roberto) per poco più di 12 minuti, il link è questo (mi pare che questo video sia visibile anche senza accedere a LinkedIn):
- https://www.linkedin.com/feed/update/urn:li:activity:6531774727407562752.

Pubblicazione ISO/IEC 27050-2

Seppur con grande ritardo, segnalo che a settembre 2018 è stata pubblicata la ISO/IEC 27050-2:2018 dal titolo "Information technology -- Electronic discovery -- Part 2: Guidance for governance and management of electronic discovery":
- https://www.iso.org/standard/66230.html.

Non mi pare aggiunga alcunché a quanto già noto, visto che è soprattutto una norma di tipo "gestionale" e non tecnico.

In sostanza, senza fornire molti dettagli, dice di prevedere regole in merito a: archiviazione, identificazione delle prove, dichiarazioni e comunicazione, gestione del rischio, monitoraggio e rendicontazione.

martedì 7 maggio 2019

Controllo dei lavoratori, Statuto lavoratori, penale e civile

Franco Vincenzo Ferrari di DNV GL Business Assurance Italia mi ha segnalato un articolo dal titolo "Cassazione penale: utilizzabili le riprese di un impianto di video-sorveglianza non conforme alla normativa privacy":
- https://www.forensicsgroup.eu/2019/05/cassazione-penale-utilizzabili-le-riprese-di-un-impianto-di-video-sorveglianza-non-conforme-alla-normativa-privacy/.

Si tratta di una sentenza della Cassazione, per cui si possono usare in un processo penale delle prove raccolte da strumenti di monitoraggio non coerenti con l'art. 4 dello Statuto dei lavoratori. Infatti questo riguarda il diritto privato e non il penale.

martedì 30 aprile 2019

CSA IoT Security Controls Framework

Il Cloud Security Alliance (CSA) ha pubblicato una lista di misure di sicurezza da prevedere per l'IoT dal titolo "CSA IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/iot-security-controls-framework.

Questa lista è accompagnata da una guida "CSA Guide to the IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/guide-to-the-iot-security-controls-framework/.

Per scaricare i documenti è necessario registrarsi (ma è possibile farlo anche usando dati totalmente inventati).

Il tutto sembra destinato soprattutto a organizzazioni che vogliono usare dispositivi IoT.

La lista non è certo agile, visto che si tratta di 160 controlli. Il suo utilizzo richiede la capacità di adattarla alle proprie esigenze (io, per esempio, trovo eccessivamente numerosi i controlli dedicati alla valutazione del rischio; però sono contento che alla gestione degli incidenti siano dedicati solo 2 controlli). Può comunque essere utile a chiunque voglia produrre o usare dispositivi o sistemi per l'IoT.

La notizia l'ho vista inoltrata da un post di LinkedIn di Laura  Zarrillo (che a sua volta ha fornito un link di continuitycentral.com). Per vederlo è necessario essere iscritti a LinkedIn:
- https://www.linkedin.com/feed/update/urn:li:activity:6528994891962425344

Gli standard EN 50600 e ISO/IEC TS 22237 per i data center

Ho scritto un breve articolo di compilazione sullo standard ISO/IEC TS 22237 sui data center. Si tratta, se posso semplificare e quindi essere criticato, della "risposta europea" al "Tier Standard: Topology" dell'Uptime Instititue e all'ANSI TIA-942.

Infatti la ISO/IEC TS 22237 nasce dalle norme europee EN 50600.

Il mio articolo:
- https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/.

Bollettino MELANI 2/2019

Il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (della Confederazione Svizzera) è a mio parere uno dei documenti più interessanti. Segnalo quindi il rapporto relativo alla seconda metà del 2018, uscito in questi giorni:
- https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/melani-halbjahresbericht-2-2018.html.

I temi "caldi" sono l'IoT, la «fake sextortion» e la compromissione delle utenze di Office 365.

domenica 28 aprile 2019

Microsoft e il cambio delle password

Sul SANS NewsBites del 26 aprile trovo la notizia che Microsoft riconosce l'inutilità di forzare il cambio delle password:
- https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/.

Questo in realtà si trova in un'idea per la prossima versione delle Security baselines di Windows: non avere più come default la richiesta di cambio periodico delle password.

Questa posizione è la stessa assunta dal NIST quasi due anni fa e di cui avevo già parlato all'epoca:
- http://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html.

Ricordo che "si ritiene preferibile lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non presenti in una blacklist di password troppo facili". Purtroppo non sembra che i futuri sistemi Windows automatizzeranno queste blacklist. Anzi, il post di Microsoft dichiara che è compito degli utilizzatori realizzare le blacklist o meccanismi di autenticazione a più fattori (multi-factor authentication).

Di primo acchito, non mi pare un miglioramento (sappiamo quanto siano spesso superficiali molti amministratori di sistema; semplicemente non attueranno niente di più di quello previsto dalle baseline). Inoltre mi lascia sempre perplesso l'assenza di riflessioni sull'abitudine di molti utilizzatori aziendali di scambiarsi le password e delle possibili contromisure alternative al cambio periodico delle password. C'è però la riflessione sul fatto che oggi i sisitemi MFA, con la diffusione degli smartphone, siano sempre più economici e facili da usare.

martedì 23 aprile 2019

ENISA Maturity Evaluation Methodology for CSIRTs

L'ENISA ha pubblicato un documento dal titolo "ENISA Maturity Evaluation Methodology for CSIRTs" (è l'aggiornamento di un documento del 2017):
- https://www.enisa.europa.eu/publications/study-on-csirt-maturity-evaluation-process.

Non mi piacciono molto i modelli di maturità, questo dà comunque indicazioni utili per costruire un computer security incident response team (ricordo, a questo proposito, anche la guida dell'ETSI per costruire un SOC, di cui avevo scritto a suo tempo: http://blog.cesaregallotti.it/2019/01/guida-etsi-per-un-soc.html).

mercoledì 17 aprile 2019

ITIL 4 (solo Foundation)

Axelos (la società che mantiene ITIL) da tempo aveva annunciato la pubblicazione prevista per il 2019 di ITIL 4, ossia la nuova edizione di ITIL (ricordo che la precedente edizione era la ITIL 2011, a sua volta un aggiornamento minore di ITILv3 e segnalo che si divertono molto a cambiare il modo di indicare le versioni):
- https://www.axelos.com/best-practice-solutions/itil/what-is-itil.

Interessante il fatto che al momento non risulta pubblicato ITIL 4, per lo meno come lo intenderemmo dopo aver visto i 5 (non agili) volumi di ITILv3 e ITIL 2011. Risulta pubblicato solo il manuale per sostenere l'esame ITILv4 Foundation.

L'esame è disponibile dal 28 febbraio:
- https://www.axelos.com/certifications/itil-certifications/itil-foundation-level.

Da quanto è scritto sul sito di Axelos, ITILv4 ruoterà interno al concetto di "sistema del valore del servizio" (service value system, SVS) e si concentrerà sulla "co-creazione del valore attraverso le relazioni determinate dal servizio". Il SVS rappresenta come i componenti e le attività possono lavorare insieme per facilitare la creazione del valore attraverso i servizi.

Tanti bei paroloni (appare, ma non l'ho riportato, anche "olistico", che è un indicatore del livello di fuffa di un testo). Ho i miei timori.

PS: ho scritto una breve analisi del manuale di ITIL 4 Foundation: http://blog.cesaregallotti.it/2019/05/itil-4-foundation-i-contenuti.html. 

sabato 13 aprile 2019

Mio articolo su sicurezza e selezione del personale

Segnalo questo mio articolo dal titolo "Sicurezza e selezione del personale":
- https://www.ictsecuritymagazine.com/articoli/sicurezza-e-selezione-del-personale/.

Si tratta di alcune mie riflessioni sulla materia. Sicuramente alcuni non concorderanno con alcune mie posizioni; nel caso, sono aperto a ricevere controdeduzioni.

15 aprile 1999-2019: 20 di consulenza in sicurezza delle informazioni

Il 15 aprile 1999 iniziai a lavorare come consulente di sicurezza delle informazioni.

Più che altro, entrai negli uffici di Securteam di Milano e mi diedero da studiare ITSEC e la metodologia aziendale Defender (dopo pranzo ebbi anche un abbiocco!).

Erano altri tempi: la BS 7799 (oggi ISO/IEC 27001) era roba per pochi, il DPR 318 non era ancora stato pubblicato, la prima certificazione italiana in materia di sicurezza delle informazioni non era stata neanche pensata e si pensava che "sicurezza delle informazioni" fosse un'espressione più significativa di "sicurezza informatica" (e non si parlava proprio di "cyber-security"). Per contro c'era già chi parlava di "visione olistica della sicurezza" e "sicurezza a 360 gradi".

Fui assunto da Securteam grazie all'apprezzamento che ebbi da Giulio Carducci dopo il colloquio fissato grazie all'invio del mio CV "a pioggia" (in cui dicevo che non sapevo quasi nulla di sicurezza delle informazioni, ma avevo fatto la tesi su crittorafia e crittanalisi). E poi negli uffici di Securteam trovai Maurizio (il responsabile dell'ufficio di Milano), Andrea, Laura, Donatella e Nino. Li anonimizzo perché è da tanto che non li sento, anche se sento che un filo di amicizia "silenziosa" ci leghi ancora tutti.

A loro va tutto il mio affetto e la mia stima e i miei ringraziamenti. Mi insegnarono a lavorare nel rispetto dei clienti, a studiare come un pazzo per svolgere al meglio il mio lavoro, a confrontarmi con i colleghi e a divertirmi a fare consulenza. Mi insegnarono anche che quella era la mia strada: loro lo avevano capito, mentre io nutrivo ancora dubbi.

venerdì 12 aprile 2019

Approvato il EU Cybersecurity Act

Alessandro Cosenza di BTicino mi ha segnalato che il 9 aprile, il Consiglio UE ha approvato definitivamente il Cyber security Act. La pagina ufficiale del Consiglio con l'atto:
- https://www.consilium.europa.eu/it/press/press-releases/2019/04/09/legislative-acts-adopted-by-the-general-affairs-council/

Dalla pagina è possibile scaricare il testo definitivo e accedere al comunicato stampa (di dicembre, ma evidentemente ancora valido):
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

Nei prossimi giorni sarà pubblicato in Gazzetta Europea. Ricordo che si tratta di un Regolamento e pertanto non deve essere recepito dai singoli Stati membri.

Ora credo che il punto più importante da guardare per il futuro riguarderà gli schemi di certificazione che saranno promossi, senza sottovalutare le attività di miglioramento della sicurezza promosse da ENISA.

mercoledì 10 aprile 2019

Stato delle norme ISO/IEC 27xxx - Aprile 2019

La prima settimana di aprile 2019 a Tel Aviv (Israele) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Al WG 1 (quello che si occupa della ISO/IEC 27001 e delle norme ad essa collegati) i registrati erano 143; al WG 5 (quello che si occupa di norme relative alla privacy) i registrati erano 139. La delegazione italiana era composta da ben 4 persone distribuite tra i WG 1, 4 e 5 (ringrazio quindi Fabio Guasconi, Alessandro Cosenza e *dato anonimizzato* per avermi aiutato anche con questa mia relazione).

Durante questo meeting, molte norme erano o in stato troppo avanzato o in stato troppo arretrato e quindi le discussioni erano relative o ai dettagli editoriali o all'impostazione del documento. In generale, quindi, poco interessanti.

Come sempre, segnalo le cose a mio parere più interessanti. Infatti i temi sono stati molto numerosi.

Per quanto riguarda le norme legate alla ISO/IEC 27001:
- la ISO/IEC 27001 per il momento non si tocca, ma nel prossimo futuro sarà aggiornata per essere pubblicata intorno al 2021 per includere la nuova lista dei controlli, per recepire le nuove richieste editoriali per tutti gli standard (p.e. la richiesta di avere termini e definizioni all'interno dello stesso documento, mentre oggi sono nella ISO/IEC 27000) e per discutere dell'utilità della Dichiarazione di applicabilità;
- per la ISO/IEC 27002, la discussione ha riguardato soprattutto quali controlli includere, quali eliminare e quali unire; si spera di affrontare discussioni più tecniche dal prossimo meeting;
- la ISO/IEC 27005 è ritornata al via e quindi la discussione ha riguardato l'impostazione; su questa norma, segnalo che il BSI ha pubblicato un suo aggiornamento; per quanto sono riuscito a leggere sembra interessante;
- per la ISO/IEC 27006, si sono affrontate alcune correzioni per la sua futura versione; purtroppo non ho seguito i lavori precedenti e, quindi, non ho contribuito come avrei voluto;
- per la ISO/IEC 27013, si è discusso della necessità di avviare il lavoro, visto che il gruppo che si occupa della ISO/IEC 20000 sta già pubblicando una norma simile (ISO/IEC 20000-7, che include anche riferimenti alla ISO 9001.

Il WG 1 si occupa anche di norme che richiamano più direttamente la cyber-security. In particolare, la ISO/IEC 27102 (sulle cyber-insurance) sarà promossa in "bozza finale" e quindi sarà pubblicata, dopo un ulteriore giro di controllo editoriale, a cavallo del 2019-2020.

Il WG 4 ha discusso di argomenti su cui pubblicare standard (al momento i lavori sono però molto indietro):
- IoT e domotica (in particolare la ISO/IEC 27030, linea guida su rischi, principi e controlli per la sicurezza e la privacy di IoT; attualmente al terzo working draft); per tutti i lavori IoT c'è una forte sinergia con l'SC 41;
- modello per i sistemi industriali.

Per quanto riguarda le norme legate alla privacy, segnalo che si sono conclusi i lavori sulla ISO/IEC 27552 (la norma per certificare i "sistemi di gestione per la privacy") e sarà pubblicata, probabilmente, entro giugno. Però manca una norma di supporto alla certificazione. Un'idea sarebbe quella di estendere la ISO/IEC 27006 (che a sua volta è un'estensione della ISO/IEC 17021 per la ISO/IEC 27001); per discutere compiutamente dell'argomento, si è avviata una richiesta di contributi che si concluderà tra 6 mesi (su questo penso che per il momento si potrebbe usare la ISO/IEC 17021; inoltre segnalo che al momento non è previsto l'uso della ISO/IEC 17065, come richiesto dal GDPR e pertanto bisognerà valutare la questione (in questi mesi cercherò di capire meglio come funziona la certificazione dei prodotti)).

Altri lavori di interesse per quanto riguarda la privacy:
- proseguiti i lavori sulla ISO/IEC 29184 sull'informativa e il consenso online;
- proseguiti i lavori anche su ISO/IEC 27045 dal titolo "Big data security and privacy – Processes" (per definire modelli di riferimento, valutazione e maturità del processo per il dominio della sicurezza e della privacy dei big data); altre norme legate ai big data sono le ISO/IEC 20546 e 20547.

Infine, importantissimo e sempre relativamente alla privacy, è con orgoglio che segnalo che un membro della delegazione italiana (quello anonimo!) è editor della norma ISO/IEC 27555, sulla cancellazione dei dati personali.

Il prossimo meeting sarà a ottobre a Parigi.

venerdì 5 aprile 2019

CIS Controls v 7.1

Franco Vincenzo Ferrari del DNV GL mi ha segnalato la pubblicazione della versione 7.1 dei CIS Controls.

Avevo già parlato della versione 7 e non mi ripeto:
- http://blog.cesaregallotti.it/2018/03/i-controlli-di-sicurezza-del-cis.html.


La pagina da dove scaricare il materiale:
- https://www.cisecurity.org/controls/.

mercoledì 3 aprile 2019

Sulle valutazioni del rischio oggettive (e quantitative)

In questi pochi mesi sto assistendo ad un ritorno dell'idea delle valutazioni del rischio quantitative e su quelle oggettive.

Pierfrancesco Maistrello mi ha ricordato, tra le altre cose, che c'è un Provvedimento del Garante sul data breach:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378.

In un paragrafo, c'è scritto: "VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva".

Io e Pierfrancesco siamo d'accordo nel dire che si possono anche seguire approcci qualitativi (con valori semplici come "alto", "medio" e "basso"), ma i valori assegnati vanno giustificati, dimostrando così l'oggettività della valutazione. Sempre Pierfrancesco mi ricorda che un'ulteriore attività di supporto all'oggettività è la conduzione di un vulnerability assessment.

Delle valutazioni del rischio quantitative ho già scritto in passato e ripeto in sintesi i punti: i dati a disposizione sono troppo pochi e inaffidabili e valutazioni quantitative (se pure fossero possibili) richiederebbero un eccessivo dispendio di energie senza apprezzabili miglioramenti.

PS: più recentemente ho visto anche valutazioni del rischio sulla salute dei lavoratori e anch'esse sono spesso di tipo qualitativo (anche perché diventa difficile assegnare un valore economico alla vita delle persone).

Sistemi di sorveglianza e sicurezza

Un mio articolo per ICT Security Magazine dal titolo "Sistemi di sorveglianza e sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sistemi-di-sorveglianza-e-sicurezza/.

Atti del Security Summit 2019 di Milano

Segnalo la pubblicazione degli atti (ossia delle presentazioni) del Security Summit 2019 organizzato dal Clusit e che si è tenuto a Milano il 12, 13 e 14 marzo:
- https://securitysummit.it/event/Milano-2019/atti.

Personalmente ho assistito a poche presentazioni. Leggendo le slide, ecco quelle che mi hanno interessato di più:
- "E se fosse un attacco mirato proprio contro la tua organizzazione sapresti gestirlo", a cura di Alessio Pennasilico e Giorgio Di Grazia (presentazione principalmente didattica, e poi promotrice di uno specifico servizio);
- "Da molti giorni a pochi minuti, come fermare rapidamente gli attacchi di phishing in corso con Cofense", a cura di Angelo Salice e Claudia Pollio (simile alla precedente);
- "La tua rete, gli applicativi e i database sono performanti e protetti come vuoi, Il tuo traffico di rete è davvero il tuo, Il monitoraggio di rete ti fornisce una piena visibilità e una sicura analisi comportamentale" (promozione del prodotto Flowmon; mi è piaciuto l'approccio della presentazione, ossia la presentazione di casi reali; questo è un approccio opposto alle presentazioni precedenti, più didattiche);
- "Cloud a volo d'uccello", a cura di Daniele Catteddu (le slide le ho trovate insipide, mentre l'intervento, a cui ho assistito, mi è piaciuto molto; peccato non ne rimanga niente se non nella mia memoria);
- "Siamo sicuri della blockchain", a cura di Andrea Reghelin (in realtà, parla degli smart contract, argomento molto recente; questa presentazione facilita un primo approccio all'argomento).

venerdì 29 marzo 2019

Convenzione tra Garante privacy e Accredia (nulla di nuovo)

Il 20 marzo 2019, Garante privacy e Accredia hanno firmato un accordo di collaborazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9099558.

Se leggo correttamente, non avvia alcun schema di certificazione comeprev isto dal GDPR. Mette solo le basi affinché questo possa accadere in futuro. Infatti non sono stati ancora approvati schemi di certificazione a livello nazionale e dinanzi al Comitato Europeo per la Protezione dei Dati.

martedì 26 marzo 2019

Microsoft Threat Modeling Tool

Qualche tempo fa, Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che lui usa, per lo sviluppo del software sicuro, il Microsoft Threat Modeling Tool:
- https://docs.microsoft.com/en-us/azure/security/azure-security-threat-modeling-tool.

Si tratta di un modello basato su quello STRIDE ed è orientato all'analisi delle applicazioni informatiche.

Consiglio la lettura di questo materiale messo a disposizione da Microsoft per ragionare sugli approcci di valutazione del rischio. Anche se questo MTM è dedicato allo sviluppo di software, i suoi principi possono essere facilmente estesi ad ambiti più ampi come i sistemi di gestione per la sicurezza delle informazioni e il GDPR. Da notare che qui non è prevista l'assegnazione di valori per calcolare un livello di rischio (penso sia necessario assegnare valori qualitativi; purtroppo stanno riemergendo auditor che ripropongono la folle idea di approcci quantitativi senza che però ne siano disponibili e consigliati pubblicamente, a differenza di approcci qualitativi o, come questo, che non sono né l'uno né l'altro).

Il caso delle password in chiaro di Facebook

A fine marzo è emersa la notizia che Facebook conservava le password dei propri utenti in chiaro. Per questo segnalo questo articolo di Wired:
- https://www.wired.com/story/facebook-passwords-plaintext-change-yours/.

La notizia ufficiale di Facebook:
- https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/.

Un commento, a mio parere molto interessante, su Twitter, che io intitolerei "Facebook is more secure than 99.9% of other websites":
- https://twitter.com/ErrataRob/status/1109557359360131072.

Non sono un fan di Facebook e, come molti sanno, il problema di Facebook è come usano i dati dei loro utenti.

Qui si è fatto grande clamore per una notizia fornita da Facebook stessa (che ha commissionato un'analisi tecnica dei propri sistemi, che ha evidenziato un errore tecnico del sistema di logging degli accessi) e non un bug scoperto da un "ricercatore indipendente" o evidenziato da una violazione dei dati.

Il caso della Boeing e del software

Credo sia nota a tutti la brutta notizia del Boeing dell'Ethiopian Airlines precipitato il 10 marzo 2019.

L'incidente, gravissimo, è stato originato da un bug del software. Incredibilmente i comandi del software non potevano essere contrastati da un'azione umana, contrariamente a quanto raccomandato per tutti gli impianti con impatto sulla sicurezza delle persone. Inoltre sembra che la correzione al bug fosse già disponibile, ma solo a pagamento.

Penso che ogni commento sia superfluo.

Un articolo sul fatto che i fix fossero a pagamento dal titolo "Doomed Boeing Jets Lacked 2 Safety Features That Company Sold Only as Extras":
- https://www.nytimes.com/2019/03/21/business/boeing-safety-features-charge.html.

Un'analisi sull'errore del software dal titolo "Storie di aerei caduti e del loro software":
- https://www.zeusnews.it/n.php?c=27193.

lunedì 25 marzo 2019

Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli

Segnalo questo articolo di Altalex dal titolo "Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli, anche anteriori":
- https://www.altalex.com/documents/news/2019/03/18/rapporto-di-lavoro-incidenza-dei-comportamenti-extralavorativi-riprovevoli-anche-anteriori.

Si tratta di un argomento che mi dà molto da pensare, dal punto di vista etico e da quello tecnico (i limiti imposti dal GDPR, la relazione tra comportamenti passati e quelli futuri).

sabato 16 marzo 2019

Rapporto Clusit 2019

Segnalo l'uscita (in occasione del Security summit a Milano) del Rapporto Clusit 2019 sulla sicurezza ICT in Italia:
- https://clusit.it/rapporto-clusit/.

Il Rapporto è in realtà una doppia pubblicazione. La prima è il rapporto vero e proprio con dati e analisi sugli eventi del 2018 e sulle previsioni per il 2019. Parere personale: la quantità di dati è enorme ma, alla fine, non aiutano a migliorare la sicurezza informatica (qualcuno potrebbe supporre che i "non esperti" potrebbero interessarsi a questi numeri e quindi avviare dei processi di miglioramento, ma la mia esperienza mi dice di no).

La seconda parte del rapporto è una raccolta di articoli, alcuni decisamente interessanti.

mercoledì 13 marzo 2019

Libro "Consapevolmente cloud"

E' stato pubblicato il libro "Consapevolmente cloud", a cura della Oracle Community for Security e con l'obiettivo di presentare alcuni aspetti utili alle organizzazioni che vogliono usare servizi cloud:
- https://consapevolmentecloud.clusit.it.

Lo segnalo perché ho partecipato come revisore. Non mi pare che il libro abbia contenuti particolarmente innovativi rispetto alle numerose pubblicazioni già a disposizione. Qualche spunto però l'ho colto e mi ha fatto piacere avere la possibilità di leggerlo e commentarlo in anteprima.

lunedì 11 marzo 2019

Sweep 2018: l'analisi dei Garanti sull'attuazione del GDRP

I Garanti europei hanno condotto nell'ultimo quadrimestre del 2018 un'indagine "a tappeto" sullo stato di attuazione del GDPR. Il nostro Garante ha pubblicato una sintesi dei risultati:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9088164.

Si scopre che, in realtà, l'indagine non è veramente "a tappeto", visto che è stata condotta su soggetti selezionati. In Italia sono stati selezionati Regioni e Province autonome, nonché le rispettive società controllate. I risultati non sono particolarmente soprendenti, ma forniscono un'indicazione sui punti considerati più importanti dalle autorità Garanti.

martedì 5 marzo 2019

Articolo sul Cybersecurity Act

A dicembre è stato raggiunto l'accordo per il Regolamento europeo detto "Cybersecurity act".

Questo Regolamento è importante perché:
- affida ad ENISA un ruolo più operativo, in particolare per quanto riguarda la gestione degli incidenti;
- introduce lo schema di certificazione europeo per i prodotti e i servizi informatici (che dovrà comunque essere ulteriormente specificato).

Su questo tema, segnalo questo articolo (anche se usa malamente il termine "cibernetico") dal titolo "Cybersecurity Act, ecco cosa ci aspetta dopo la Direttiva NIS":
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Segnalo che non approfondisce gli schemi di certificazione dei prodotti. Oggi, come indicato, ne sono in vigore alcuni, ma basati su schemi diversi; in particolare in Italia sono usati i Common criteria (ISO/IEC 15408), mentre in altri Paesi sono stati introdotti altri requisiti. Sarebbe interessante fosse condotta un'analisi su questi schemi (nel caso fosse già stata fatta, invito a segnalarmela).

mercoledì 27 febbraio 2019

Violenza privata impedire all'internal audit di svolgere le proprie mansioni

Luca de Grazia mi ha segnalato questo articolo de Il quotidiano giuridico, dal titolo "È violenza privata impedire all'internal audit di entrare in azienda e svolgere le proprie mansioni", relativo ad un'interessante sentenza della Cassazione penale:
- http://www.quotidianogiuridico.it/documents/2019/02/25/e-violenza-privata-impedire-all-internal-audit-di-entrare-in-azienda-e-svolgere-le-proprie-mansioni#.

La sentenza l'ho trovata sul sito http://www.italgiure.giustizia.it/sncass/,
inserendo nel campo di ricerca 4779/2019.

ETSI TS 103 645 Cyber Security for Consumer Internet of Things

Segnalo questa pubblicazione di ETSI dal titolo "Cyber Security for Consumer Internet of Things":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=54761.

E' scaricabile gratuitamente e senza registrazione.

Non l'ho studiata né confrontata con la mia lista di requisiti per l'IoT (lo farò quando mai dovrò lavorarci sopra), però mi pare interessante e scritta bene, con requisiti chiari e sintetici. Sapendo che ci hanno lavorato persone competenti, sicuramente sarà completa.

La sicurezza delle informazioni non è un'opportunità

E' stato pubblicato questo mio articolo per ICT security magazine, dal titolo "La sicurezza delle informazioni non è un'opportunità":
- https://www.ictsecuritymagazine.com/articoli/la-sicurezza-delle-informazioni-non-e-unopportunita/

Era nato come una risposta provocatoria ad un post su LinkedIn. Poi ho elaborato ulteriormente i concetti.

martedì 26 febbraio 2019

CrowdStrike Global Threat Report 2019

Non conoscevo questa CrowdStrike, ma anch'essa si è messa a pubblicare report sulla sicurezza (come segnalato dal SANS NewsBites del 22 febbraio 2019):
- https://www.crowdstrike.com/resources/reports/2019-crowdstrike-global-threat-report/.

Divertente leggere la classificazione dei gruppi di criminali sulla base della provenienza geografica e facendo uso di nomi come Kryptonite Panda o Vodoo Bear. Per il resto queste sono altre statistiche che non mi hanno insegnato niente (a me non sembra interessante sapere la velocità, peraltro alta, con cui, una volta compromessa una rete, i criminali possono acquisire i privilegi massimi).

Il SANS segnala, tra gli altri, questo sito che riporta i risultati in sintesi:
- https://www.fifthdomain.com/industry/2019/02/21/new-report-questions-effectiveness-of-cyber-indictments/.

Symantec Internet Security Threat Report 2019

Symantec, come segnalato dal SANS NewsBites del 22 febbraio ha pubblicato il suo Internet Security Threat Report:
- https://www.symantec.com/security-center/threat-report.

Dice qualcosa di nuovo? A me non sembra perché ricorda che gli attacchi più frequenti sono: formjacking (particolare forma di injection), Ransomware, IaaS in cloud mal configurati (in particolare S3), IoT. Non ho capito benissimo cosa siano gli attacchi Living off the Land, ma non vorrei siano gli attacchi condotti da persone interne (o comunque con accesso alla rete interna) con "normali" strumenti di amministrazione. Insomma... cose già viste e sentite.

Segnalo che non ho scaricato il report completo perché mi chiede i miei dati di contatto. Forse ci sono cose più interessanti e, se qualcuno ne dovesse avere notizia, lo prego di segnalarmelo.

venerdì 22 febbraio 2019

Prima bozza dei criteri per la certificazione GDPR

L'European Data Protection Board (EDPB) ha pubblicato la bozza ("versione per consultazione pubblica") delle "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en.

Siamo ancora lontani dall'avere i criteri di certificazione rispetto al GDPR. Questi sono i criteri per valutare i criteri di certificazione. Sono, insomma, meta-criteri.

BCI Horizon Scan Report 2019

Segnalo il BCI Horizon Scan Report 2019:
https://www.thebci.org/resource/horizon-scan-report-2019.html.

Un altro report con le impressioni e i sentimenti degli intervistati, che elencano i rischi che più temono. Cosa mi ha insegnato questo report? Niente. Ma io lo segnalo lo stesso perché so che a molti interessa.

mercoledì 20 febbraio 2019

Mio libro "Sicurezza delle informazioni" edizione 2019 (in italiano e inglese)

Ho pubblicato un aggiornamento del mio libro "Sicurezza delle informazioni". Ho voluto tradurlo in inglese (con l'aiuto di altra persona!) e, nel farlo, ho trovato cose da correggere o da aggiornare anche nell'edizione italiana.

Tutti gli aggiornamenti sono apparsi prima sul mio blog (http://blog.cesaregallotti.it/) e sulla newsletter (http://www.cesaregallotti.it/Newsletter.html) e quindi niente per cui correre a comprare la nuova edizione.

La cosa più importante è che ho accreditato in copertina l'aiuto che avevo ricevuto nel 2014 da Massimo Cottafavi e Stefano Ramacciotti; il mio ritardo è inqualificabile e me ne scuso.

Per acquistarlo, consiglio di comprarlo sul sito degli editori (fornitori di piattaforme di self-publishing):
- per pdf in A4 e epub in italiano e inglese: https://store.streetlib.com;
- per il formato cartaceo in italiano e inglese: www.lulu.com/shop.

Alcuni appunti:
- il libro è disponibile su tutte le librerie virtuali e credo si possa anche noleggiare;
- dovrebbe essere disponibile solo l'edizione del 2019, ma vi prego di prestare comunque attenzione all'edizione che acquistate, visto che siamo ancora in fase di transizione dalla vecchia del 2017 alla nuova e alcuni negozi virtuali le vendono tutte e due);
- su Lulu, c'è un'edizione cartacea più economica; per motivi a me ignoti, è possibile creare una versione più economica (avendo gli stessi guadagni) vendibile solo su Lulu e così ho fatto;
- Lulu in questo momento è molto lenta nell'inviare la versione in italiano (ho avuto conferma della spedizione il 31 gennaio ma non mi è ancora arrivato il 18 febbraio), mentre è stata molto celere con quella in inglese.

martedì 19 febbraio 2019

DM per sicurezza operatori TLC

Andrea Evangelista via LinkedIn mi ha segnalato la pubblicazione del DM del 12 dicembre 2018 del Ministero dello sviluppo economico e pubblicato in G.U. il 21 gen 2019 "Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi":
- www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/s.

Andrea Evangelista mi dice "dettaglia l'art. 16bis e ter del Codice delle comunicazioni elettroniche. E' un po' l'equivalente del D. NIS per i servizi di comunicazione elettronica e i fornitori di reti e servizi di comunicazione".

Per completezza, il link al Codice delle comunicazioni elettroniche:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-08-01;259!vig=

Qualche riflessione (cerco di unire le mie con quelle di Andrea; ogni errore e mio):
- i destinatari sono i "fornitori di servizi di reti e servizi di comunicazione elettronica", ossia i fornitori di connessione (Telco) e le società cosiddette "wholesale only", ossia quelle che hanno una concessione ex art. 25 del Codice delle comunicazioni elettroniche; non è indirizzato ai fornitori di contenuti;
- quando parla di incidenti (articolo 5), li intende solo come con impatto sulla disponibilità e non su integrità (dei dati) e riservatezza (ha come obiettivo di garantire la disponibilità e continuità dei servizi sulle reti e prevenire i cosiddetti incidenti significativi che creano "disservizi");
- interessante il sunto di un sistema di gestione per la sicurezza delle informazioni dell'articolo 4 (anche se certe rigidità normative possono essere discusse);
- interessante anche quando all'art. 6 comma 2 tratta "dell'eventuale possesso di certificazioni di conformità...";
- meno apprezzabile il ricorso agli "asset" come base per la valutazione del rischio, concetto ormai ritenuto superato (ma va detto che il testo è sufficientemente ambiguo e può essere letto anche pensando alla necessità di descrivere correttamente i servizi e identificare i rischi non necessariamente per ciascun asset; usa termini come "potenzialmente in grado" e "asset propri o di terzi che contribuiscono anche parzialmente alla fornitura dei servizi...").