Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 21 dicembre 2021
Le icone per le informative privacy
- https://www.garanteprivacy.it/temi/informativechiare.
Le icone dovrebbero far capire al volo dove si parla di "accesso ai dati", "finalità", "titolare", eccetera.
Manuel Salvi ha espresso perplessità in merito alla chiarezza delle informative in generale che condivido:
- https://www.linkedin.com/posts/manuelsalvi_gdpr-activity-6877893872488378368-WD-w.
Io guardo le icone e non mi aiutano proprio a capire al volo che lì si parla di titolare (o responsabile, o finalità, o DPO e via così). Potrei usarle per rendere più piacevoli le informative con qualche elemento grafico, ma "Titolare" dovrò pur sempre scriverlo.
L'idea delle icone è carina e interessante, ma, nella migliore delle ipotesi, ci vorranno anni per renderle familiari. Io poi penso che non ci arriveremo mai, visto che (ad esclusione di chi lavora nella privacy) le persone "normali" le vedono una o due volte al mese al massimo, non come i cartelli stradali o i bottoni sui pc che invece vedono quotidianamente per tempi lunghi.
Insomma, penso che si stia rincorrendo un'illusione (e allora preferisco impiegare il mio tempo inseguendo altre illusioni).
lunedì 20 dicembre 2021
"Cybersecurity Made in Europe Label"
Franco Vincenzo Ferrari di DNV mi ha inoltrato la segnalazione relativa al
"Cybersecurity Made in Europe Label":
-
https://www.corrierecomunicazioni.it/cyber-security/cybersicurezza-arriva-il-bollino-europeo-di-qualita-per-le-aziende/.
Va guardato anche il sito vero e proprio:
- https://www.cybersecurity-label.eu/.
Devo dire che l'iniziativa poteva essere bella, ma il sito non è chiaro e,
anzi, mi ha lasciato perplesso se non preoccupato. I motivi sono i seguenti:
Primo: sembra che si tratti di un'etichetta per dire che si è bravi ad
erogare servizi di cybersicurezza (ma niente a che vedere con le
certificazioni previste dal Cybersecurity act), ma non si distingue assolutamente tra i vari servizi, come se fossero un grande blob unico.
Sappiamo che i servizi sono tanti: monitoraggio, gestione sistemistica o
della rete, VA/PT infrastrutturali o delle applicazioni (e, a loro volta, di
tantissimi tipi), allarmi preventivi, chi ne ha più ne metta. Qui sembra che tutti i servizi possono avere l'etichetta "Cybersecurity Made in Europe
Label", senza distinzione alcuna.
Secondo: il registro delle aziende "etichettate" riporta solo il link al
loro sito web, senza dire quale servizio è stato valutato.
Terzo: nelle istruzioni per ricevere l'etichetta, gli unici criteri di
verifica che ho trovato richiedono solo dichiarazioni e una breve check list
di due paginette. La check list (dal titolo "The Label Conformity Declaration with ENISA's Indispensable baseline security requirements for
the procurement of secure ICT products and services"), tra l'altro, riporta
domande sulla sicurezza del "prodotto", non sulla qualità di un servizio di sicurezza.
Allora sembrerebbe che l'etichetta serva solo a dichiarare di essere
un'impresa che si occupa di cybersicurezza e che ha sede in Europa. Beh...
non mi sembra questa gran cosa. Sembra un'iniziativa in cui le aziende
spendono soldi per essere inserite in un registro (almeno apparentemente)
inutile (anzi, direi dannoso, visto che toglie energie a cose più importanti
e dà false idee su cos'è la sicurezza, purtroppo avallate da troppe
imprese).
O forse sbaglio (lo spero proprio) e non ho visto tutto?
D. Lgs. 170 e 173 del 2021 per il Codice del consumo e la vendita di dati personali
Per questo segnalo due articoli di Altalex. Il primo riguarda il D. Lgs. 170 e tratta soprattutto delle responsabilità del venditore (e quindi dei diritti dei consumatori) di beni digitali:
- https://www.altalex.com/documents/news/2021/12/03/codice-del-consumo-le-modifiche-alla-disciplina-sulla-vendita-di-beni.
Il secondo riguarda il D. Lgs. 173 del 2021 e riguarda i contratti di fornitura di servizi digitali, incluso il "pagamento con dati personali":
- https://www.altalex.com/documents/news/2021/12/09/fornitura-di-contenuti-o-servizi-digitali-le-modifiche-al-codice-del-consumo.
Per quanto riguarda il secondo caso, sembra che le interpretazioni siano ancora dubbiose e quindi ci vorrà del tempo per capirne meglio la portata.
Regolamento AgID per il cloud delle PA
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/12/15/cloud-pa-adottato-il-regolamento.
Per leggere le misure vere e proprie, bisogna scaricare l'allegato dalla pagina:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_123065_725_1.html.
Nulla di particolarmente innovativo (ma non per questo scorretto), ma è importante conoscere le misure richiesta alla PA e ai suoi fornitori.
sabato 18 dicembre 2021
VERA 6
- https://www.cesaregallotti.it/Pubblicazioni.html.
Le modifiche principali:
- forse la più importante è che riporta i controlli della ISO/IEC 27001 del 2013 e del 2022 con lista di riscontro;
- il piano di trattamento del rischio con anche il rischio atteso dopo l'azione.
Per quanto riguarda i controlli, ho cercato di avere una relazione 1-1 tra quelli del 2013 e quelli del 2022. Questo ha comportato un aumento di 14 controlli, mentre tra le due edizioni c'è stata una diminuzione. Però penso che in alcuni casi gli accorpamenti siano stati eccessivi, fino a rendere meno chiari alcuni controlli. Quindi alla fine penso che non sia una cosa così negativa avere qualche controllo in più, purché si aggiunga chiarezza.
Quindi ho anche aggiunto note ai controlli.
Come sempre, invito tutti a segnalarmi errori o possibili miglioramenti.
giovedì 9 dicembre 2021
NISTIR 8286A sulla valutazione del rischio
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.
L'ho letta un po' velocemente, ma devo dire che contiene cose molto interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative alla valutazione del rischio relativo alla sicurezza delle informazioni.
Vorrei segnalare che propone una valutazione del rischio in qualche modo più semplice di quella che di solito vediamo. In sostanza chiede di enumerare le minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.
Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.
C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando si valuta il rischio e anche questo l'ho trovato molto interessante.
Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.
giovedì 2 dicembre 2021
NIST SP 800-213 sulla sicurezza IoT
- https://csrc.nist.gov/publications/detail/sp/800-213/final.
Il corpo principale non mi sembra dica cose straordinarie, ma è utile per capire l'architettura di un sistema IoT e le sue caratteristiche significative per la sicurezza. Interessante il catalogo, anche se qualche misura mi sembra non scritta terra-terra.
Lettura consigliata per chi si occupa di questa materia, anche se penso che la guida
(http://blog.cesaregallotti.it/2019/02/etsi-ts-103-645-cyber-security-for.html), per sintesi, è più pratica.
Avevo segnalato a suo tempo (giugno 2020) le NIST NISTIRs 8259 e 8259A, dicendo che erano troppo generali. Questa supera questo problema.
ISO/IEC 27013:2021 sulle relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1
- https://www.iso.org/standard/78752.html.
Questa è una norma che esiste dal 2012 e a mio parere contiene alcune indicazioni utili. In alcuni casi il testo è inutilmente complicato, ma molte volte permette di guardare consapevolmente alle differenze (soprattutto di linguaggio) tra i due standard.
Ho visto che Fabrizio Cirilli ha segnalato la pubblicazione su LinkedIn qualche giorno fa. Lo ringrazio.