Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
mercoledì 30 settembre 2020
Linee guida EDPB su titolare e responsabile - Un commento
- https://www.key4biz.it/titolari-contitolari-responsabili-cosa-indicano-le-nuove-linee-guida-edpb/322063/.
Libro sulla ISO 9001:2015
- https://www.edizionidelfaro.it/libro/uni-en-iso-90012015.
Si tratta di un libro molto pragmatico e utile. Forse la parte di pianificazione (in particolare la gestione del rischio relativo all'efficacia del sistema di gestione) è troppo poco approfondita, ma sicuramente questo è un ottimo libro per chi vuole iniziare a conoscere la ISO 9001, essenziale anche a chi si occupa di sicurezza delle informazioni e privacy (molti principi della qualità vanno applicati anche in questi ambiti).
domenica 27 settembre 2020
Consenso e legittimo interesse
Ultimamente sto notando, insieme agli Idraulici della privacy, molti siti
web che chiedono il consenso per gli interessi legittimi del titolare (in realtà questo viene proposto come possibile "opposizione al legittimo interesse").
Questi siti elencano delle finalità per cui è richiesto il "normale"
consenso e poi delle finalità per cui è dichiarato l'interesse legittimo e per le quali è richiesto all'interessato di esprimere la propria volontà di opporsi (il tipico "opt-out" al legittimo interesse).
Ricordo che consenso e interesse legittimo sono due delle basi legali per
cui un titolare può trattare i dati. Se la base legale per una certa
finalità è l'interesse legittimo allora, ovviamente, non deve essere
richiesto il consenso.
Su questo, in effetti, il GDPR presenta due meccanismi tra loro potenzialmente in conflitto.
Esempi che ho recentemente verificato sono https://www.corriere.it/ (Italia), https://www.theguardian.com/international (UK) e
https://www.computerweekly.com (USA).
Almeno in alcuni casi, concordo con Pietro
Calorio degli Idraulici della privacy secondo cui questa è una pratica per
nascondere alcune richieste di consenso e per rendere più difficile il
rifiuto, visto che, per questi consensi al legittimo interesse, non viene
mostrato il pulsante "rifiuta tutto", come invece succede per i consensi
"normali". Queste piattaforme che permettono questo giochino non possono
considerarsi privacy by design perché non consentono un trattamento
corretto.
Ringrazio ulteriormente Pietro per avermi segnalato un mio grande errore di interpretazione del GDPR (spero di aver corretto per bene).
Ospedale attaccato da ransomware e morte di una donna
- https://www.repubblica.it/tecnologia/sicurezza/2020/09/18/news/germania_donna_muore_durante_attacco_ransomware_all_ospedale-267735262/.
E' sicuramente difficile immaginare, progettare e realizzare, per infrastrutture di questo tipo, un piano di continuità operativa che permetta di proseguire le attività critiche anche in assenza di sistemi informatici e di attacchi ransomware. Però non viene neanche citato e questo mi lascia molto perplesso.
Questo articolo, in inglese, mi sembra decisamente più approfondito del precedente:
- https://www.scmagazine.com/home/security-news/ransomware/lessons-from-the-ransomware-death-cyber-emergency-preparedness-critical/.
giovedì 24 settembre 2020
NIST Security and Privacy Controls
- https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.
Si tratta di una lettura impegnativa, visto che i controlli sono descritti da pagina 35 a pagina 393. Va detto che sono presenti certe astrazioni, ma, rispetto ad altri, anche molte indicazioni pragmatiche.
sabato 19 settembre 2020
Privacy accountability framework dell'ICO
- https://ico.org.uk/for-organisations/accountability-framework/introduction-to-the-accountability-framework/.
Devo dire che ad un approccio superficiale non è chiarissimo come usarlo, ma ecco qui:
- ci sono alcune pagine web (menu a sinistra) con spiegati gli aspetti da considerare, ognuno con dei "modi per soddisfare le aspettative" e delle domande a cui si dovrebbe rispondere "sì";
- in un'altra pagina (https://ico.org.uk/for-organisations/accountability-framework-self-assessment/) è possibile scaricare un Excel (Accountability tracker) in cui rispondere ai "modi per soddisfare le aspettative".
A me lascia perplesso: troppe domande che si concretizzano, in realtà, su poche cose e, sui punti meno ovvi, non presentano esempi o spiegazioni per i non addetti. Insomma, mi sembra un altro ennesimo modo di ripresentare il GDPR, senza però reale utilità. Non vorrei essere io troppo schizzinoso.
giovedì 17 settembre 2020
Nuove linee guida AgID sulla gestione dei documenti informatici
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.
Ho cercato di capire la questione con Franco Vincenzo Ferrari di DNV GL. Grazie a lui, vi segnalo questo articolo che secondo me è il più chiaro e completo in merito ai cambiamenti intervenuti sulla materia, di interesse per il pubblico e per il privato:
https://www.agendadigitale.eu/documenti/conservazione-dei-documenti-ecco-tutte-le-regole-nelle-linee-guida-agid/.
Stato delle norme ISO/IEC 270xx - Settembre 2020
La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente, che ringrazio per avermi segnalato qualche errore in questo mio commento), Alessandro Cosenza e me stesso.
Ricordo che gli stati delle norme sono: WD - CD - DIS - FDIS - IS (pubblicazione).
Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e la norma è rimasta in stato CD e si spera di pubblicarla a ottobre 2021;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori e la norma è rimasta in stato di CD; ancora una volta è oggetto di molte discussioni, e si spera di pubblicarla entro dicembre 2022 (due finale!);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori, passa in stato DIS e si spera di pubblicare entro dicembre 2021.
A breve verranno pubblicate le norme ISO/IC 27101 (sullo sviluppo di framework di cybersecurity) e 27022 (sui processi di sicurezza delle informazioni), ma non ne ho seguito i lavori.
La norma con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701 era denominata ISO/IEC 27558 e sarà sicuramente rinominata ISO/IEC 27006-2. Sarà pubblicata entro fine anno.
La ISO/IEC 27006-2 sarà una Technical specification. I lavori sono stati fatti molto in fretta al fine di regolamentare quanto prima un mercato potenzialmente molto vasto. Ci sono alcune cose che ho apprezzato, altre meno e altre ancora che saranno migliorate nelle future edizioni, ma per intanto abbiamo una buona norma per avviare le certificazioni ISO/IEC 27701 accreditate.
L'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1 e partiranno i lavori di revisione.
Per quanto riguarda le norme del WG 5 (privacy), segnalo:
- per la ISO/IEC 29134 (sulla PIA) è stato proposto un amendement, ma solo per questioni puramente formali (a mio parere scorrettamente, in quanto non è possibile fare più di 2 Amendement e già altre volte sono stati riscontrati errori sostanziali per cui non era più possibile produrre correzioni);
- ho partecipato, anche se troppo poco, alle interessantissime discussioni sulla norma ISO/IEC 27557 (che uscirà non prima di fine 2022) incentrata sul "rischio privacy organizzativo", distinguendo così tra valutazioni del rischio privacy per l'organizzazione e per gli interessati.
Per il WG 4, che si occupa di norme più tecniche, ho smesso di interessarmi a quelle sull'IoT perché non c'è un vero senso di direzione e i documenti finora prodotti sono troppo teorici. Da questo punto di vista, preferisco seguire, seppur da lontano, i lavori di ENISA.
Il prossimo meeting sarà ad aprile a Sanpietroburgo o nel cyberspazio, a seconda di come andrà l'emergenza COVID.
lunedì 14 settembre 2020
Pubblicato "Un piccolo libro sulla privacy, il GDPR e come attuarlo"
Lo trovate in formato digitale (consiglio il sito della piattaforma di auto-pubblicazione che abbiamo usato):
- https://store.streetlib.com/it/idraulici-della-privacy/un-piccolo-libro-sulla-privacy-il-gdpr-e-come-attuarlo.
In formato cartaceo (su un'altra piattaforma di auto-pubblicazione che abbiamo usato):
- https://www.lulu.com/it/shop/idraulici-della-privacy-/un-piccolo-libro-sulla-privacy-il-gdpr-e-come-attuarlo/paperback/product-m5gq84.html.
Qualcuno vuole leggere la quarta di copertina? Eccola: "Un libro breve e di taglio pratico (poca teoria, molti esempi) su come applicare il GDPR.
Gli Idraulici della privacy sono un gruppo selezionato di consulenti e manager in ambito della protezione dei dati personali che quotidianamente si sporcano le mani per affrontare, se serve anche con spirito da artigiani, le necessità dei propri clienti o colleghi. I membri del gruppo condividono le criticità che incontrano, propongono interpretazioni normative, si scambiano e raccontano esperienze ed elaborano chiavi di lettura sulle più varie e diverse tematiche privacy. Questo confronto costante permette al singolo professionista di arricchire le proprie conoscenze, gli strumenti e le soluzioni a sua disposizione per risolvere anche le situazioni più spinose.
Il ricavato di questo libro, completato nella prima metà del 2020 durante l'emergenza COVID-19, sarà devoluto in beneficenza".
I membri del gruppo (potete poi chiamarci per nome, come per i Beatles): Cesare Gallotti (curatore), Glauco Rampogna (revisore e curatore dell'epub), Stefania Algerio, Elia Barbujani, Fulvia Emegian, Pierfrancesco Maistrello, Ferruccio Militello, Nicola Nuti, Monica Perego, Manuel A. Salvi.
Pubblicata la IEC 62443-3-2 per la valutazione del rischio per i sistemi IACS (OT)
- https://webstore.iec.ch/publication/30727.
Essa presenta i requisiti per una valutazione del rischio tecnica dei sistemi informatici industriali (normalmente indicati come OT, ma indicati dalla norma IACS).
Ricordo che la 62443 è divisa in più parti: la prima per i concetti generali, la seconda per i sistemi di gestione, la terza per i sistemi OT e la quarta per le singole componenti.
Trovo interessante l'approccio di questa 62443-3-2 perché richiede di suddividere opportunamente il sistema in sottosistemi, in modo da assicurarne coerenza.
Alcune zone da tenere separate sono: sistemi di business, IACS, sistemi di sicurezza fisica delle persone (safety), dispositivi connessi temporaneamente, i dispositivi wireless, i dispositivi connessi da reti esterne.
Decreto semplificazioni - aggiornamento
- http://blog.cesaregallotti.it/2020/09/decreto-semplificazioni.html.
Il 10 settembre è stata approvata la conversione in Legge. Bisognerà quindi vedere se e come saranno confermate le misure che avevo segnalato.
Ulteriori riflessioni, quando sarà disponibile su Normattiva (www.normattiva.it) il testo definitivo o quando ci saranno articoli interessanti.
domenica 13 settembre 2020
Linee guida EDPB su titolare e responsabile
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en.
Sono decisamente importanti e dovrebbero essere sotto mano ogni volta.
Ancora oggi trovo organizzazioni per cui i responsabili sono quelli interni, mentre queste linee guida, per esempio, dicono che il responsabile è un'entità distinta rispetto al titolare.
Al momento in cui scrivo non mi risulta che sia stata ancora preparata una traduzione in italiano.
Il 18 luglio avevo segnalato le linee guida del novembre 2019 sul medesimo argomento dell'EDPS, ma ritengo che queste siano più significative, almeno perché successive.
sabato 12 settembre 2020
Decreto semplificazioni
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.
Sempre su Agenda Digitale ci sono altri articoli di Manca su questa materia e ne raccomando la lettura a chi ne è interessato.
La cosa più significativa, per me, riguarda i conservatori di documenti (conservazione a lungo termine di documenti digitali). Per questo ho chiesto aiuto a Franco Vincenzo Ferrari di DNV GL che mi ha raccomandato questo articolo dal titolo "DL Semplificazioni e conservazione dei documenti informatici delle PA: cosa cambia":
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.
In materia di conservazione, mi pare che si possa riassumere la situazione attuale con questo capoverso: "La sostanza delle modifiche necessarie si avrà solo dopo due provvedimenti attuativi in capo ad AgID".
Per intanto io aspetterei di vedere come avverrà la conversione in Legge, visto che spesso questo passaggio porta modifiche significative. Se non erro, questo dovrà avvenire entro metà ottobre.
Analisi Microsoft sul lavoro da remoto
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_microsoft-brutale-infinita-activity-6693148405046280192-BNPx.
Aggiungo solo che la ricerca completa di Microsoft si trova qui:
- https://insights.office.com/workplace-analytics/microsoft-analyzed-data-on-its-newly-remote-workforce/.
Chi sta trasmettendo ancora dati personali negli USA?
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_trasmettendo-personali-usa-activity-6701723919822462976-FCHA.
Aggiungo che in effetti le linee guida di European Data Protection Board non aiutano (ancora) bene a capire. A luglio avevano promesso aggiornamenti e spero arrivino presto.
lunedì 7 settembre 2020
US Clean network program
Il primo è in Italiano e ha titolo "Trump firma il decreto che vieta TikTok e WeChat negli Stati Uniti":
http://amp.ilsole24ore.com/pagina/ADR3pLi.
Il secondo è la pagina sull'iniziativa The Clean Network dell'US Department of State, ovviamente favorevole all'iniziativa:
- https://www.state.gov/the-clean-network/.
Il terzo è molto critico sull'iniziativa e ha titolo "The Hidden, Dirty Secrets Behind the US Clean Network Program" (e mi si scusi, ma mi lascia starnito il fatto che l'autore abbia un nome che suona cinese; non metto in dubbio le sue competenze e la sua integrità, ma tutto suona assurdo):
- https://www.globaltimes.cn/content/1197211.shtml.
Pensavo di non aver nulla da dire in merito, anche perché non so nulla in merito. So solo che la guerra sul 5G non è tanto sulla sicurezza, ma economica (visto che ovviamente l'acquisto di apparati 5G fatti negli USA favorirebbe l'industria statunitense!) e che puntare il dito sui social e sugli IM cinesi non toglie i dubbi sui social e sugli IM statunitensi.
Ed è proprio su queste cose che ho un'idea strana nella testa: perché ci facciamo tante paranoie sulla sicurezza dei servizi cinesi (e anche a quelli italiani) e invece diamo tutti i nostri dati agli statuntensi? Le aziende usano sempre più i servizi pubblici e gratuiti, anche per scambiarsi dati molto critici, senza pensare a quanto questi siano oggetto di analisi da parte di soggetti non identificati. Ecco quindi che penso che dovremmo farci un "programma di pulizia informatica" anche in casa e in azienda. Ma non è per niente facile e forse, oggi, impossibile.
Foto del registro accessi (violazioni)
Mi sembra che la decisione di inoltrare la notifica al Garante sia un po' eccessiva, ma sappiamo bene che la paura (ingiustificata, a mio parere, in questo caso) di sanzioni porta a questo e altro.
Però... io in questo vedo alcune piccole lezioni di sicurezza delle informazioni:
- suppongo che il registro fosse cartaceo e quindi questo ci ricorda che la sicurezza delle informazioni e la privacy non riguardano solo i dati digitali e quindi la cybersecurity, ma anche altri dati;
- in molte organizzazioni i registri degli accessi sono usati male, lasciati in mano alle persone che entrano e senza alcun controllo di quanto scrivono e delle successive uscite; in questi casi sarebbe opportuno riflettere sulla loro reale utilità;
- bisognerebbe riflettere sui tempi di conservazione anche per dati di questo tipo.
Requisiti per l'accreditamento degli OdC per le certificazioni GDPR
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9445086.
Li ho letti molto superficialmente perché si tratta dei requisiti per gli organismi di certificazione e non per organizzazioni che intendono ottenere un "bollino GDPR". Certamente è utile e interessante sapere che si stanno facendo passi avanti verso l'attivazione di un meccanismo di certificazione, ma questa deve ancora avvenire.
Infatti mancano i "criteri approvati dal Garante o dal Comitato europeo per la protezione dei dati (di seguito "Comitato") in conformità dell'articolo 43, paragrafo 2, lettera b) e dell'articolo 42, paragrafo 5 del Regolamento", ossia i requisiti che devono rispettare i servizi (o i processi o i prodotti) da certificare.
Sottolineo che, con il testo sopra riportato, la Delibera ribadisce il fatto che i criteri devono essere approvati dal Garante o dall'EDPB, non da altre entità (p.e. Accredia, che su questo argomento ha già fatto un passo falso qualche tempo fa).
Quindi: a meno che non lavoriate per un organismo di certificazione, è inutile che vi agitiate. Ovviamente è utile tenere monitorata la situazione.
Ringrazio Monica Perego che, incurante della prossimità a Ferragosto, ha dato la notizia agli Idraulici della privacy il 13 agosto e a Franco Ferrari di DNV GL che invece me l'ha comunicata il 4 settembre.