Ho pubblicato la versione 7 del VERA il mio foglio di calcolo per la
valutazione del rischio:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del
2022 (con lista di riscontro).
Questa è una versione "sperimentale", dove sono stati uniti il foglio per la
valutazione delle minacce e quello per il calcolo del rischio, in modo da
renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo,
forse, è più semplice aggiungere e togliere minacce e controlli di
sicurezza.
Al momento non prevedo di farne una versione in inglese, in attesa di essere
sicuro del suo funzionamento.
I controlli del 2022 in italiano non sono nella traduzione ufficiale perché
non ancora disponibile.
Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà
di utilizzo.
mercoledì 29 giugno 2022
martedì 28 giugno 2022
PEC e REM
Franco Vincenzo Ferrari di DNV mi ha segnalato la pubblicazione dello
standard ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito
qualificato (REM). La notizia è stata diffusa da AgID:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
lunedì 27 giugno 2022
Mancanza di esperti di sicurezza (cyber)
Segnalo questo articolo dal titolo "Cybersicurezza in Italia: perché non si
trovano candidati?":
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i molti master promossi da università o istituti simili, mentre andrebbero anche considerate le offerte sia dei produttori dei sistemi informatici (Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica", la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.
Minacce e attacchi: operazione "Finestra sul cortile"
La storia è recente ed è diventata subito molto nota: alcuni malfattori
hanno ottenuto accesso a numerose telecamere di sorveglianza e vendevano le
immagini raccolte:
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono essere facilmente compromessi ed è importante prestare molta attenzione quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere sull'opportunità di installare certe misure di sicurezza, soprattutto se moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, in molti ambienti sarebbe opportuno investire in misure preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno investire in armadietti robusti. Questa è una lezione sempre valida nell'ambito della sicurezza.
sabato 25 giugno 2022
Rete indisponibile per Clouflare
Cloudflare è un fornitore di servizi web e il 21 giugno 2022 ha avuto un
blocco della rete di 75 minuti. La causa? Un cambiamento non riuscito:
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
martedì 21 giugno 2022
Security Risk Assessment Tool del US HHS
Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of
Health and Human Services (HHS) Office for Civil Rights (OCR) and National
Coordinator for Health Information Technology (ONC) degli USA:
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e "vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di "valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
mercoledì 15 giugno 2022
Fornire segreti militari in discussioni sui giochi
Questa notizia, da Crypto-Gram di giugno 2022, ha titolo "War Thunder fan
leaks classified military documents to win an argument about tanks-again":
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.
In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.
In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.
martedì 7 giugno 2022
Poste italiane ferme per un errore di aggiornamento ai sistemi
Il 30 maggio, le Poste italiane sono rimaste ferme. Segnalo questo articolo
dal titolo "Poste down: Non c'entrano gli hacker russi ma è un problema
tecnico":
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.
Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.
Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.
Iscriviti a:
Post (Atom)