mercoledì 27 febbraio 2019

Violenza privata impedire all'internal audit di svolgere le proprie mansioni

Luca de Grazia mi ha segnalato questo articolo de Il quotidiano giuridico, dal titolo "È violenza privata impedire all'internal audit di entrare in azienda e svolgere le proprie mansioni", relativo ad un'interessante sentenza della Cassazione penale:
- http://www.quotidianogiuridico.it/documents/2019/02/25/e-violenza-privata-impedire-all-internal-audit-di-entrare-in-azienda-e-svolgere-le-proprie-mansioni#.

La sentenza l'ho trovata sul sito http://www.italgiure.giustizia.it/sncass/,
inserendo nel campo di ricerca 4779/2019.

ETSI TS 103 645 Cyber Security for Consumer Internet of Things

Segnalo questa pubblicazione di ETSI dal titolo "Cyber Security for Consumer Internet of Things":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=54761.

E' scaricabile gratuitamente e senza registrazione.

Non l'ho studiata né confrontata con la mia lista di requisiti per l'IoT (lo farò quando mai dovrò lavorarci sopra), però mi pare interessante e scritta bene, con requisiti chiari e sintetici. Sapendo che ci hanno lavorato persone competenti, sicuramente sarà completa.

La sicurezza delle informazioni non è un'opportunità

E' stato pubblicato questo mio articolo per ICT security magazine, dal titolo "La sicurezza delle informazioni non è un'opportunità":
- https://www.ictsecuritymagazine.com/articoli/la-sicurezza-delle-informazioni-non-e-unopportunita/

Era nato come una risposta provocatoria ad un post su LinkedIn. Poi ho elaborato ulteriormente i concetti.

martedì 26 febbraio 2019

CrowdStrike Global Threat Report 2019

Non conoscevo questa CrowdStrike, ma anch'essa si è messa a pubblicare report sulla sicurezza (come segnalato dal SANS NewsBites del 22 febbraio 2019):
- https://www.crowdstrike.com/resources/reports/2019-crowdstrike-global-threat-report/.

Divertente leggere la classificazione dei gruppi di criminali sulla base della provenienza geografica e facendo uso di nomi come Kryptonite Panda o Vodoo Bear. Per il resto queste sono altre statistiche che non mi hanno insegnato niente (a me non sembra interessante sapere la velocità, peraltro alta, con cui, una volta compromessa una rete, i criminali possono acquisire i privilegi massimi).

Il SANS segnala, tra gli altri, questo sito che riporta i risultati in sintesi:
- https://www.fifthdomain.com/industry/2019/02/21/new-report-questions-effectiveness-of-cyber-indictments/.

Symantec Internet Security Threat Report 2019

Symantec, come segnalato dal SANS NewsBites del 22 febbraio ha pubblicato il suo Internet Security Threat Report:
- https://www.symantec.com/security-center/threat-report.

Dice qualcosa di nuovo? A me non sembra perché ricorda che gli attacchi più frequenti sono: formjacking (particolare forma di injection), Ransomware, IaaS in cloud mal configurati (in particolare S3), IoT. Non ho capito benissimo cosa siano gli attacchi Living off the Land, ma non vorrei siano gli attacchi condotti da persone interne (o comunque con accesso alla rete interna) con "normali" strumenti di amministrazione. Insomma... cose già viste e sentite.

Segnalo che non ho scaricato il report completo perché mi chiede i miei dati di contatto. Forse ci sono cose più interessanti e, se qualcuno ne dovesse avere notizia, lo prego di segnalarmelo.

venerdì 22 febbraio 2019

Prima bozza dei criteri per la certificazione GDPR

L'European Data Protection Board (EDPB) ha pubblicato la bozza ("versione per consultazione pubblica") delle "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en.

Siamo ancora lontani dall'avere i criteri di certificazione rispetto al GDPR. Questi sono i criteri per valutare i criteri di certificazione. Sono, insomma, meta-criteri.

BCI Horizon Scan Report 2019

Segnalo il BCI Horizon Scan Report 2019:
https://www.thebci.org/resource/horizon-scan-report-2019.html.

Un altro report con le impressioni e i sentimenti degli intervistati, che elencano i rischi che più temono. Cosa mi ha insegnato questo report? Niente. Ma io lo segnalo lo stesso perché so che a molti interessa.

mercoledì 20 febbraio 2019

Mio libro "Sicurezza delle informazioni" edizione 2019 (in italiano e inglese)

Ho pubblicato un aggiornamento del mio libro "Sicurezza delle informazioni". Ho voluto tradurlo in inglese (con l'aiuto di altra persona!) e, nel farlo, ho trovato cose da correggere o da aggiornare anche nell'edizione italiana.

Tutti gli aggiornamenti sono apparsi prima sul mio blog (http://blog.cesaregallotti.it/) e sulla newsletter (http://www.cesaregallotti.it/Newsletter.html) e quindi niente per cui correre a comprare la nuova edizione.

La cosa più importante è che ho accreditato in copertina l'aiuto che avevo ricevuto nel 2014 da Massimo Cottafavi e Stefano Ramacciotti; il mio ritardo è inqualificabile e me ne scuso.

Per acquistarlo, consiglio di comprarlo sul sito degli editori (fornitori di piattaforme di self-publishing):
- per pdf in A4 e epub in italiano e inglese: https://store.streetlib.com;
- per il formato cartaceo in italiano e inglese: www.lulu.com/shop.

Alcuni appunti:
- il libro è disponibile su tutte le librerie virtuali e credo si possa anche noleggiare;
- dovrebbe essere disponibile solo l'edizione del 2019, ma vi prego di prestare comunque attenzione all'edizione che acquistate, visto che siamo ancora in fase di transizione dalla vecchia del 2017 alla nuova e alcuni negozi virtuali le vendono tutte e due);
- su Lulu, c'è un'edizione cartacea più economica; per motivi a me ignoti, è possibile creare una versione più economica (avendo gli stessi guadagni) vendibile solo su Lulu e così ho fatto;
- Lulu in questo momento è molto lenta nell'inviare la versione in italiano (ho avuto conferma della spedizione il 31 gennaio ma non mi è ancora arrivato il 18 febbraio), mentre è stata molto celere con quella in inglese.

martedì 19 febbraio 2019

DM per sicurezza operatori TLC

Andrea Evangelista via LinkedIn mi ha segnalato la pubblicazione del DM del 12 dicembre 2018 del Ministero dello sviluppo economico e pubblicato in G.U. il 21 gen 2019 "Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi":
- www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/s.

Andrea Evangelista mi dice "dettaglia l'art. 16bis e ter del Codice delle comunicazioni elettroniche. E' un po' l'equivalente del D. NIS per i servizi di comunicazione elettronica e i fornitori di reti e servizi di comunicazione".

Per completezza, il link al Codice delle comunicazioni elettroniche:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-08-01;259!vig=

Qualche riflessione (cerco di unire le mie con quelle di Andrea; ogni errore e mio):
- i destinatari sono i "fornitori di servizi di reti e servizi di comunicazione elettronica", ossia i fornitori di connessione (Telco) e le società cosiddette "wholesale only", ossia quelle che hanno una concessione ex art. 25 del Codice delle comunicazioni elettroniche; non è indirizzato ai fornitori di contenuti;
- quando parla di incidenti (articolo 5), li intende solo come con impatto sulla disponibilità e non su integrità (dei dati) e riservatezza (ha come obiettivo di garantire la disponibilità e continuità dei servizi sulle reti e prevenire i cosiddetti incidenti significativi che creano "disservizi");
- interessante il sunto di un sistema di gestione per la sicurezza delle informazioni dell'articolo 4 (anche se certe rigidità normative possono essere discusse);
- interessante anche quando all'art. 6 comma 2 tratta "dell'eventuale possesso di certificazioni di conformità...";
- meno apprezzabile il ricorso agli "asset" come base per la valutazione del rischio, concetto ormai ritenuto superato (ma va detto che il testo è sufficientemente ambiguo e può essere letto anche pensando alla necessità di descrivere correttamente i servizi e identificare i rischi non necessariamente per ciascun asset; usa termini come "potenzialmente in grado" e "asset propri o di terzi che contribuiscono anche parzialmente alla fornitura dei servizi...").

lunedì 18 febbraio 2019

Un altro articolo negativo su blockchain

Per quanto poco io capisca di blockchain o, come dicono quelli che vogliono essere "meno modaioli", di distributed ledger technology (DLT), penso che sia una boiata pazzesca (a differenza della Corazzata Potemkin, che è un grande film).

Il mio parere, come già scrissi tempo fa, è da prendere con prudenza. Ma quello di Bruce Schneier, uno degli esperti di sicurezza veramente competenti e che ragiona invece di ripetere a pappagallo quello che dicono altri, va preso molto seriamente (scrive anche benissimo, tra gli altri suoi pregi).

Quindi io segnalo il suo articolo "Blockchain and Trust":
- https://www.schneier.com/blog/archives/2019/02/blockchain_and_.html.

In sintesi, anche lui pensa che la blockchain sia un termine di moda e che, nella realtà, la sua tecnologia non migliora la sicurezza e sicuramente peggiora l'efficienza dei sistemi. Lui parla di blockchain pubblica, visto che quella privata è realizzabile in mille altri modi e tecnicamente avrebbe altri nomi (è indicata con il termine "blockchain" solo perché di moda).

Milano, 10 aprile 2019: DFA Open day 2019

Il 10 aprile pomeriggio si terrà a Milano l'annuale DFA Open day (gratuito). Per iscriversi:
- https://www.eventbrite.it/e/biglietti-dfa-open-day-2019-56637583537.

Il programma non lo abbiamo ancora stabilito completamente, ma parleremo di digital forensics (lato tecnologico e lato legale), di GDPR e chissà che altro.

Per la cronaca, sono presidente dell'associazione.

giovedì 14 febbraio 2019

ITIL 4 in uscita

In questi mesi (primo trimestre 2019) è prevista l'uscita di ITIL 4. Sicuramente è frutto di varie riflessioni (incluso il nome, dato che nel 2011 avevano decretato che le future versioni di ITIL non avrebbero più avuto una "versione" e invece oggi si parla di ITIL 4).

Per prepararsi (anche per capire come mantenere le certificazioni personali), segnalo questo articolo dal titolo "ITIL 4: aria di rinnovamento" che, mi pare, dica tutto:
- https://www.zerounoweb.it/cio-innovation/organizzazione/itil-4-aria-di-rinnovamento/.

La pagina ufficiale sull'aggiornamento di ITIL è quella del sito di Axelos:
- https://www.axelos.com/itil-update.

Cassazione: licenziamento lecito per troppo uso di Facebook

L'articolo ha titolo "Facebook per troppe ore al lavoro, la Cassazione ribadisce il licenziamento":
- https://www.repubblica.it/cronaca/2019/02/01/news/facebook_per_troppe_ore_la_cassazione_ribadisce_il_licenziamento-218017328

Notare che i giudici hanno stabilito che non c'è stata nessuna violazione delle regole sulla tutela della privacy. Spero qualcuno possa segnalare qualche articolo di maggiore riflessione in merito a questa sentenza.

ENISA e misure di sicurezza per le app per smartphone

ENISA pubblicò a inizio 2017 un documento dal titolo "Smartphone Secure Development Guidelines". Lo segnalo, con colpevole ritardo:
- https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines-2016.

Ora ha reso in formato xls le misure di sicurezza e, forse un po' troppo pomposamente, lo ha denominato SMASHING Tool. Al di là della mia ironia sull'eccesso di enfasi, penso che l'iniziativa sia più che apprezzabile:
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool.

domenica 10 febbraio 2019

Manutenzione impianti elettrici

La sicurezza degli impianti elettrici è un elemento, non principale e spesso dimenticato, della sicurezza informatica. Per questo, ricordando che le competenze in materia di sicurezza dei lavoratori e di sicurezza delle informazioni sono diverse, è bene saperne qualcosa.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo di PuntoSicuro dal titolo "Linee guida per la verifica e il controllo degli impianti elettrici":
- https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/tipologie-di-contenuto-C-6/linee-guida-buone-prassi-C-62/linee-guida-per-la-verifica-il-controllo-degli-impianti-elettrici-AR-18793/.

L'articolo riassume i punti salienti di una linea guida del CNPI sulla sicurezza degli impianti elettrici. La pagina del CNPI è la seguente:
- http://www.cnpi.eu/dal-cnpi-la-linea-guida-sulla-sicurezza-degli-impianti-elettrici/.

Nel 2008 avevo copiato un articolo di Filodiritto (www.filodiritto.it) che, ahimé, non riesco più a trovare. Segue quindi quanto avevo copiato (e forse sintetizzato... non ricordo). Segnalo che la linea guida del CNPI non cita il DPR 392 del 1994, che sembra comunque in vigore.

Il Decreto Ministeriale n. 37 del 22 gennaio 2008 è stato emanato al fine di riordinare tutte le disposizioni in tema di attività di installazione e di sicurezza degli impianti all'interno di edifici di diversa tipologia. Il riordino delle disposizioni vigenti in materia ha comportato l'abrogazione delle norme contenute:
- nella Legge n. 46 del 5 marzo 1990 "Norme sulla sicurezza degli impianti" (ad eccezione degli articoli 8, 14, 16 sulle sanzioni applicabili);
- nel Decreto del Presidente della Repubblica n. 447 del 6 dicembre 1991 "Regolamento di attuazione della legge 46/1990 in materia di sicurezza degli impianti";
- nel Capo V parte II artt. dal 107 al 121 "Norme per la sicurezza degli impianti" del Testo Unico in materia edilizia di cui al Decreto del Presidente della Repubblica n. 380 del 6 giugno 2001.

Pertanto, a partire dal 27 marzo 2008 (data di entrata in vigore del Decreto Ministeriale n. 37/2008), tutta la materia dell'installazione e della sicurezza degli impianti è disciplinata:
- dal citato decreto 37/2008;
- dagli articoli 8, 14 e 16 della legge n. 46/1990;
- dal Decreto del Presidente della Repubblica n. 392 del 18 aprile 1994 "Regolamento per la disciplina del procedimento di riconoscimento delle imprese ai fini dell'installazione, ampliamento e trasformazione degli impianti nel rispetto delle norme di sicurezza".

Per la manutenzione degli impianti di ascensori e montacarichi in servizio privato continuano, invece, ad applicarsi le disposizioni del Decreto del Presidente della Repubblica n. 162 del 30 aprile 1999 e le altre disposizioni specifiche in materia.

venerdì 8 febbraio 2019

Differenza tra sicurezza IT e OT

Ho scritto questo breve articolo dal titolo "Differenza tra sicurezza IT e OT":
- https://www.ictsecuritymagazine.com/articoli/differenza-tra-sicurezza-it-e-ot/.

Titolare e responsabile secondo il Garante (e i consulenti del lavoro)

Quest'estate era divampato il dibattito dal titolo "il consulente del lavoro è titolare o responsabile dei trattamenti svolti per i propri clienti?". Ne avevo scritto:
- http://blog.cesaregallotti.it/2018/07/circolare-dei-consulenti-del-lavoro.html.

Il Garante si è finalmente espresso su questo punto, dicendo (in accordo con tutti gli "esperti privacy" che io ritengo veramente tali e non con tanti altri cialtroni) che il consulente del lavoro ha il ruolo di responsabile quando tratta i dati per conto dei propri clienti:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.

Da notare che la risposta del Garante fornisce altri esempi di responsabili: il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza.

Aggiunge anche "la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori", ma su questo ho i miei dubbi, visto che la capogruppo è solitamente non delegata "volontariamente" dalle controllate.

Il business della sicurezza (nelle scuola USA)

Segnalo questo articolo del Corriere della sera dal titolo "Usa, il business sicurezza nelle scuole":
- https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.

Mi occupo di sicurezza delle informazioni e, con le dovute cautele, alcuni parallelismi li possiamo fare. In particolare ho riflettuto sull'unione di due direzioni contrapposte: da una parte quella della sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, dall'altra quella della fiducia totale nei confronti dei venditori delle tecnologie che hanno già dimostrato di potersene approfittare (vedere caso di Cambridge Analytica).

E da questa storia si nota anche la tendenza a rifugiarsi, per la sicurezza, in tecnologie sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, "ho un tool"; oggi sembra la risposta comune. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più negli stipendi del personale che c'è già, nella sua formazione e nella sua crescita numerica.

Penso che in molti casi costerebbero di meno (anche se, ahinoi, nelle spese fisse), e avrebbero maggiori benefici, due persone in più, con la riduzione dello stress in quelli che ci sono già e quindi degli errori, al posto del continuo ricorso a super-fornitori, super-consulenti e super-tecnologie.

Dico questo con l'esperienza di chi ha visto aziende con tanti tecnici sovraccarichi di lavoro e che investono in tecnologie spesso inutili (qualcuno si ricorda i DLP? oggi sono, a ragione, quasi dimenticati) e in consulenze altrettanto inutili (per esempio su fantistici modelli organizzativi che non vedono mai la luce, nonostante gli enormi costi sostenuti per farsi dire che è necessaria un'organizzazione "matriciale" (perché è così che finisce nella maggior parte dei casi; mi si scusi lo spoiler)).

martedì 5 febbraio 2019

Ampliamento Registro delle opposizioni

Luca de Grazia mi ha segnalato l'entrata in vigore del DPR 149 del 2018 che estende il Registro delle opposizioni alla posta cartacea. Il registro era già stato esteso, con la Legge 5 del 2018, ai numeri di cellulari.

Il DPR che istituisce il Registro delle opposizioni è il 178 del 2010 e su Normattiva si trova la sua versione aggiornata. Similmente, si trova la Legge 5 del 2018.

L'indirizzo web di Normattiva è:
- www.normattiva.it.

Il Registro delle opposizioni è il servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato. Il suo indirizzo web è:
- http://www.registrodelleopposizioni.it/.

lunedì 4 febbraio 2019

Articolo sulle assicurazioni IT (un altro)

Recentemente segnalai e commentai un articolo del The Economist sulle assicurazioni IT:
- http://blog.cesaregallotti.it/2019/01/articolo-sulle-assicurazioni-it.html.

Pierfrancesco Maistrello, allora, mi ha segnalato un articolo di IAPP molto simile, dal titolo "Data breach insurance: A three-part problem":
- https://iapp.org/news/a/data-breach-insurance-a-three-part-problem/.

Prende le mosse da una sentenza (credo di un tribunale inglese) che ha imposto ad un'azienda di sottoscrivere un'assicurazione per le multe derivanti dal GDPR. Il fatto è che la questione non è banale per vari motivi: è in dubbio la possibilità di prevedere assicurazioni per inadempimenti legali, sono carenti le statistiche sugli incidenti, è incerta la definizione di "cyber risk", l'assicuratore può non pagare anche per minime carenze dell'assicurato nel seguire le procedure.

L'articolo parla, incidentalmente, anche delle assicurazioni da DPO dicendo che non sono sostanzialmente disponibili.

Due riflessioni:
- la cosa sull'impossibilità di assicurarsi per inadempimenti legali mi è nuova e spero di trovare ulteriori articoli in merito per approfondire la questione (pare purtroppo che gli esperti legali italiani trovino più gusto a ripetere il concetto di accountability);
- le altre cose le so da tempo, eppure troppi "esperti" continuano a proporle e mi chiedo come mai; non si aggiornano o non approfondiscono le cose di cui parlano? si aggiornano facendo affidamento a "esperti" che non sono esperti ma solo imbonitori? sono essi stessi imbonitori senza vera competenza?

venerdì 1 febbraio 2019

ENISA Threat Landscape 2018 report

Tempo di report (solitamente non molto utili, ma molto apprezzati) sulla sicurezza. Ecco il primo del 2019: "ENISA Threat Landscape 2018 report":
- https://www.enisa.europa.eu/news/enisa-news/exposure-to-cyber-attacks-in-the-eu-remains-high/.

Questo rapporto ha il pregio di elencare 15 minacce ritenute particolarmente significative (dal malware allo spionaggio) e di collegarle a misure di mitigazione.

La mia perplessità è che sembra (anche se è faticoso capirlo dal documento) che queste 15 minacce sono state selezionate non sulla base di dati, ma sulla base delle percezioni degli esperti di ENISA. Tutto ragionevole, ma da sapere.

ENISA e materiale di formazione tecnica

Ho notato la recente pubblicazione di ENISA del materiale di formazione tecnica "Introduction to network forensics".

Andando a vedere di cosa si tratta, ho visto che il materiale è pubblicato insieme a tante altre cose in una pagina "Online training material":
- https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational.

Mi sembra tutto molto interessante e pertanto lo segnalo.

ENISA e IoT

ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato negli anni alcuni documenti e raccomandazioni per l'IoT.

In una pagina web è possibile accedere alle raccomandazioni per gli ambiti finora trattati (città, automobili, industria, aeroporti, ospedali). Queste raccomandazioni possono anche essere scaricate in formato Excel.

La pagina "ENISA Good practices for IoT and Smart Infrastructures Tool":
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool