ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà

Segnalo questo mio articolo dal titolo "ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà": https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/.

Guidelines for secure AI system development (CISA)

Il US Cybersecurity and Infrastructure Security Agency (CISA) e altre organizzazioni hanno pubblicato un breve documento dal titolo "Guidelines for secure AI system development": https://www.cisa.gov/news-events/news/dhs-cisa-and-uk-ncsc-release-joint-guidelines-secure-ai-system-development.

Nulla di inaspettato, ma, come dice una nota di Lee Neely, alla notizia riportata dal SANS Newsbites, "questa guida, anche se orientata agli sviluppatori di sistemi di IA, è una buona lettura per chi vuole capire meglio i problemi e i rischi relativi all'introduzione di sistemi IA nei processi dell'organizzazione".

Schema di certificazione europeo EUCC

Segnalo questo articolo dal titolo "Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti": https://www.agendadigitale.eu/sicurezza/lo-schema-di-certificazione-europeo-eucc-novita-punti-di-forza-e-problemi-aperti/.

Fa il punto su uno schema europeo, in sviluppo da parte di ENISA, basato sui Common criteria (ISO/IEC 15408, disponibili gratuitamente anche su https://www.commoncriteriaportal.org/). Esso quindi è destinato alla certificazione di prodotti e componenti hardware o software.

Al momento la Commissione Europea sta discutendo un Implementing Act per avviare lo schema di certificazione.

Ulteriori informazioni si trovano su https://certification.enisa.europa.eu/.

Attacco a Federprivacy

Ormai la notizia è stata diffusa e commentata da quasi tutti. Quindi do un link per chi non fosse ancora a conoscenza di quanto successo: https://www.wired.it/article/federprivacy-hackerato-sito-protezione-dei-dati/.

Alcuni hanno commentato la notizia acidamente. Io ebbi modo di criticare Federprivacy, ormai molti anni fa, per lo scatenamento della "frenesia da DPO" negli anni 2012-2016, prima ancora che uscisse la versione definitiva del GDPR. Questo però non mi fa gioire per le disgrazie altrui. Anche perché non mi sembra che Federprivacy abbia mai vantato livelli di sicurezza elevati dei propri sistemi.

Certamente si tratta di un'associazione che promuove la sicurezza informatica e ha subito un attacco che ha violato le sue informazioni. Sono cose che succedono, così come è successo a Yuri Gagarin di morire per uno schianto aereo (è il primo esempio che mi è venuto in mente; ce ne saranno altri sicuramente migliori). Succederà anche a me sicuramente, se non è già successo, e succederà ancora a loro e a me e ad altri. Non credo sia corretto criticare quanto successo.

Però... abuso anche io dei complimenti seguiti da un però. Ed è questo: il messaggio del Presidente Nicola Bernardi non mi sembra adeguato. Penso avrebbe dovuto descrivere meglio l'attacco subito, assumersi pienamente la responsabilità senza minimizzare l'accaduto, evitare un atteggiamento vittimistico, descrivere quanto fatto per correggere le vulnerabilità e le lezioni apprese o rimandare a un futuro comunicato per gli approfondimenti. Insomma, fare quanto consigliato da molti (ricordo alcuni esempi che avevo segnalato a marzo 2023: https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html).

Capisco che la storia abbia colpito emotivamente e non credo che sarei riuscito a fare di meglio nella stessa situazione. Quindi mi auguro che tutto possa essere recuperato, questa brutta storia superata e dimenticata, soprattutto per gli impatti umani e personali, tranne le piccole lezioni per il futuro. Sì, perché da un parte dobbiamo cercare di non fare gli avvoltoi approfittando delle disgrazie altrui, ma dall'altra non dobbiamo lasciarci sfuggire un'occasione per riflettere su cosa poteva essere fatto meglio e cosa peggio, serenamente e professionalmente, senza dimenticarci che delle persone, come noi con pregi e difetti, sono state coinvolte.

Prima e dopo l'audit ISO/IEC 27001 (da ridere)

Alessandro D'Avanzo di CoreTech mi ha segnalato questo breve video sul prima e dopo un audit ISO/IEC 27001: https://www.linkedin.com/posts/santosh-nandakumar_true-story-iso-27001-audit-with-pun-intended-ugcPost-7127314116909613056-ddng.

Mi ha fatto ridere...

Parental control nazionale dal 21 novembre

Segnalo questo articolo dal titolo "Minori, come funziona il parental control automatico nelle sim": https://www.agendadigitale.eu/sicurezza/minori-online-piu-tutele-con-il-parental-control-di-stato-dal-21-novembre/.

Dal 21 novembre, gli operatori telefonici devono attivare sistemi di controllo parentale gratuiti.

Iniziativa lodevole, ma temo che i ragazzi non seguiti sapranno come aggirarli, i genitori che invece seguono i ragazzi sanno benissimo che il blocco non è sufficiente: bisogna osservare cosa fanno e come usano il dispositivo (oltre a limitare anche il tempo e gli orari).

Aggiornamento della NIST SP 800-53 con i Security and Privacy Controls

Il NIST ha pubblicato un aggiornamento (minore) della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations" e adesso è alla versione 5.1.1.

La pagina di riferimento è questa: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final.

Segnalo in particolare il "Control Catalog Spreadsheet", foglio Excel che riporta tutti i controlli (sono 1.190; la prossima volta che qualcuno mi dice che la ISO/IEC 27001 ha troppi controlli saprò come rispondergli). Anche se sono tanti e non sempre la descrizione è di facile comprensione, è sempre utile guardarli.

Altro documento interessante è quello di correlazione tra i controlli della ISO/IEC 27001:2022 e la SP 800-53. E' chiaro che molti dei 1.190 controlli della SP 800-53 non hanno un diretto riscontro con uno dei 93 della ISO/IEC 27001. In molti casi, però, i punti non sono presenti nel controllo, ma segnalati nella ISO/IEC 27002 nelle linee guida per la sua implementazione.