La ISO/IEC 27006-1 è stata aggiornata nel 2024 e gli organismi di certificazione che certificano ISO/IEC 27001 devono adattarsi. IAF ha pubblicato le linee guida e i termini per adeguarsi: https://iaf.nu/en/news/iaf-publishes-md-for-transition-to-iso-iec-27006-12024/.
Tutto ciò non riguarda le organizzazioni che si certificano.
Grazie a Franco Vincenzo Ferrari per la segnalazione.
Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.
Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.
Lettura interessante.
Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.
Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".
Insomma: nulla di troppo nuovo, ma:
- mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);
- il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.
Segnalo questo mio articolo dal titolo "Valutare il rischio cyber, la scelta dei controlli di sicurezza e le check list": https://www.agendadigitale.eu/sicurezza/valutare-il-rischio-cyber-la-scelta-dei-controlli-di-sicurezza-e-le-check-list/.
Mi soffermo sulla necessità di non scegliere le misure di sicurezza solo perché sono indicate da liste più o meno autorevoli, ma anche sulla base di una valutazione del rischio.
In realtà gli uomini NON possono fare tutto. Però possono mantenere i rapporti con gli altri genitori delle classi dei propri figli.
Così per le gite scolastiche dei figli, fissate quando io e mia moglie avevamo già preso impegni non spostabili, ho avuto l'aiuto di altri genitori per portare i figli in stazione.
Ovviamente non abbiamo potuto evitare di svegliarci presto per preparare zainetto, merenda e pranzo al sacco e portarli dai genitori accompagnatori (colgo l'occasione per ringraziarli).
Adesso l'ente che si occupa di sicurezza informatica o cibersicurezza in Svizzera si chiama NCSC (Ufficio federale della cibersicurezza). Io continuo a ricordami "Melani".
Comunque continuano a produrre ottimi rapporti semestrali con sintesi delle minacce e degli attacchi dell'ultimo semestre (in questo caso il secondo del 2023) e con raccomandazioni per proteggersi.
L'ultimo rapporto semestrale è pubblicato all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2023-2.html.
Segnalo che è stata pubblicata la UNI CEI EN 17740:2024 "Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali": https://store.uni.com/uni-cei-en-17740-2024.
Questa norma sostituisce la UNI 11697:2017 e ne è molto simile.
Questa è la traduzione italiana della EN 17740:2023 "Requirements for professional profiles related to personal data processing and protection": https://store.uni.com/en-17740-2023.
