lunedì 29 novembre 2021

ISO/TS 22317:2021 sulla BIA

Nuova ISO/TS 22317:2021, "Guidelines for business impact analysis" per la continuità operativa:
- https://www.iso.org/standard/79000.html.

Non l'ho ancora letta. La precedente versione mi sembrava un po' troppo teorica. Però vale sicuramente la pena buttarci un occhio.

Grazie a Laura Zarrillo che l'ha segnalato su LinkedIn.

domenica 14 novembre 2021

Mia presentazione sullo stato delle certificazioni GDPR

Il 13 novembre ho tenuto una breve presentazione con gli Idraulici della privacy dal titolo "Certificazioni e codici di condotta GDPR: come si sta procedendo?":
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.

Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose che non avevo considerato.

martedì 9 novembre 2021

Articolo sulla valutazione dei rischi di sicurezza delle informazioni e di privacy

Monica Perego ha scritto un articolo dal titolo "La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019":
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.

Monica scrive sempre cose utili e da un punto di vista interessante.

E mi cita! Ne sono onorato.

lunedì 8 novembre 2021

Stato delle norme ISO/IEC 270xx

Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il 27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati pochi giorni perché molti incontri di scrittura degli standard si sono tenuti da remoto nei mesi precedenti.

Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.

Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.

mercoledì 3 novembre 2021

NCSC Rapporto semestrale 2021/1 (ex Melani)

Segnalo il rapporto semestrale di NCSC (ex Melani):
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.

Come al solito è molto interessante e descrive gli incidenti più significativi registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione, ma include anche suggerimenti per le contromisure.

Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato (non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di una raccolta periodica, come dimostra anche il successo del rapporto Clusit).

Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo è un peccato.