Segnalo che è stata pubblicata la nuova versione delle 10 vulnerabilità
applicative più importanti secondo OWASP:
- https://owasp.org/Top10/.
La precedente era del 2017.
Purtroppo non trovo una versione in pdf da poter studiare in formato
cartaceo. L'analsii è decisamente molto tecnica e, quindi, sarò grato a chi
mi segnalerà articoli di appronfondimento di questa versione.
lunedì 27 settembre 2021
Novità sulla futura ISO/IEC 27001
Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo
addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti,
visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC
27002 e quelli dell'Annex A della ISO/IEC 27001.
La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.
Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.
I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.
Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.
La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.
Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.
I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.
Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.
sabato 25 settembre 2021
Commenti privacy sul D.L. greenpass 127/2021
Come è noto, evito di scrivere di COVID e penso di averne già scritto
troppo.
Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.
La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).
Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.
La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).
venerdì 17 settembre 2021
Evoluzione normativa a supporto dell'Operational Resilience
Segnalo questo articolo di Laura Zarrillo dal titolo "On the Frontlines:
Building Operational Resilience":
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.
La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.
In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.
Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.
La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.
In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.
Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.
giovedì 16 settembre 2021
Attacco SolarWinds del dicembre 2020: una sintesi
Da Crypto-Gram del 15 settembre 2021, segnalo questo articolo dal titolo
"SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom":
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
lunedì 13 settembre 2021
Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero
Il 4 giugno 2021, la Commissione europea ha pubblicato le nuove clausole
contrattuali standard (standard contractual clauses, SCC) per i
trasferimenti all'estero:
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.
Iscriviti a:
Post (Atom)