ISO/IEC 27031:2025 sulla continuità operativa per l'ICT

E' stata pubblicata la ISO/IEC 27031:2025 "Information and communication technology readiness for business continuity": https://www.iso.org/standard/27031.

 

Ringrazio Chiara Ponti per avermelo segnalato.

 

Alcune mie riflessioni:

- temevo fosse troppo basata sui documenti, invece no;

- richiede di condurre una valutazione del rischio del tipo FMEA per ogni componente del sistema e questo è invece un po' eccessivo;

- se capisco bene, la norma prevede 3 fasi: interruzione totale, ripristino con MBCO, ritorno alla normalità; sappiamo bene che in realtà ce ne sono di più, però il modello di base è questo;

- a mio parere si confonde perché da una parte dice che l’RTO riguarda tutto il tempo di ripristino, ma (in figura 1) dice che il recovery finisce con il ritorno alla normalità;

- rimane un po’ antico, considerando solo tecnologie di hot standby, warm standby, cold standby e ship-in arrangements, senza citare i sistemi active-active o il possibile ricorso al cloud.

 

Trovo interessante la lista dei possibili test: ripristino di un solo file o di un database, ripristino di un singolo server, ripristino di un'applicazione, guasto di servizi su una piattaforma ad alta affidabilità, guasto di rete.

Quando il cloud crolla

Segnalo questo articolo dal titolo "Quando le nuvole fanno PLOP!": https://www.linkedin.com/comm/pulse/quando-le-nuvole-fanno-plop-antonio-ieran%C3%B2-h7swf.

 

Il tono è sarcastico, forse c'è un pelo di pubblicità alla soluzione di Proofpoint (immagino perché Ieranò l'abbia sperimentata personalmente), sicuramente ci sono cose che val la pena ripassare anche se in modo sintetico (fare i test di DR, prepararsi i comunicati verso i clienti, eccetera).

 

UNI 11980:2025 sulla distruzione supporto di dati

E' stata pubblicata la  UNI 11980:2025 "Distruzione supporto di dati - Requisiti e indicatori di conformità per i processi di distruzione di supporti di dati": https://store.uni.com/uni-11980-2025.

 

Si tratta di una specificazione ulteriore di quanto richiesto dalla ISO/IEC 21964 "Destruction of data carriers".

 

E' stato molto interessante partecipare ai lavori e ringrazio Luciano Quartarone per averli guidati.

 

Una richiesta: non segnalatemi quanto sia assurdamente alto il prezzo (85 €) per questo documento di 22 pagine.

DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

 

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

 

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

- il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;

- la sede del subappaltatore di TIC e dove sono trattati i dati;

- la lunghezza e la complessità della catena di subappaltatori;

- la natura dei dati condivisi con i subappaltatori;

- se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membre;

- se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;

- se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;

- il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

 

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

 

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

 

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.

28 giugno: Guasto ai radar del Nord Italia

Il 28 giugno, dicono, c'è stato un sovraccarico delle linee di comunicazione negli aeroporti del nord e che ha bloccato il loro sistema radar. Il risultato: tantissimi voli non decollati deviati in altri aeroporti (Firenze e Pisa, principalmente).

 

Christian Bernieri ha scritto il suo pezzo su come un'emergenza così è stata mal gestita: https://garantepiracy.it/blog/emergenza/.

 

C'ero anch'io e non ci siamo incontrati all'aeroporto Pisa per puro caso.

 

Le mie riflessioni sono diverse rispetto a quella di Christian. Io penso all'incidente, di cui ho trovato qui una descrizione: https://tg24.sky.it/cronaca/2025/06/28/traffico-aereo-sospeso-italia.

 

ENAV attribuisce la responsabilità a TIM, ma vengono in mente almeno due questioni. La prima è che la linea principale e quella di backup fossero sempre di TIM (una terza, quella che poi aveva funzionato, seppur in modo limitato era invece con un altro operatore). Solitamente si consiglia di usare sempre operatori diversi, anche se poi in Italia quasi tutti usano l'infrastruttura TIM.

 

La seconda è che sembra che la linea di backup fosse in stand-by. Questa non è una soluzione ottimale, soprattutto se consideriamo la criticità del servizio. Infatti in casi come questi sarebbe opportuno avere due linee sempre attive in load balancing. Per questa riflessione ringrazio un mio cliente.

 

Un'ultima riflessione riguarda la valutazione del rischio, sicuramente fatta da ENAV. Io, senza troppa fantasia, avrei selezionato solo 5 scenari: mancanza di sede, mancanza dei sistemi IT, mancanza di connettività, mancanza di personale, mancanza di fornitori. Questo approccio semplicistico avrebbe permesso di identificare il rischio, alla faccia di chi propone modelli più complessi (poi, lo ammetto, avrei accettato come valida la soluzione active-standby).

 

Queste riflessioni sono fatte in mancanza di dettagli certi, ma solo su "sentito dire". C'è un'indagine in corso da parte di ENAC. Penso che sia sempre opportuno riflettere su questi incidenti, purché sia fatto rispettando gli attori coinvolti sia perché le informazioni sono incerte sia perché non sono sicuro che sarei stato capace di fare meglio.

Cervello e ChatGPT

Segnalo questo articolo (grazie alla newsletter di DFA) dal titolo "Il tuo cervello e ChatGPT: il prezzo del debito cognitivo e come evitarlo": https://www.thesundayprompt.com/il-tuo-cervello-e-chatgpt-il-prezzo-del-debito-cognitivo-e-come-evitarlo/.

 

Esso riassume uno studio del MIT di 206 pagine dal titolo "Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task": https://arxiv.org/abs/2506.08872.

 

La sostanza è semplice: usare gli LLM atrofizza, in qualche modo, le capacità intellettuali ed è quindi opportuno attivare strategie per evitare questo effetto.

Guide ENISA per NIS2 (per fornitori di servizi IT)

ENISA, la European Union Agency for Cybersecurity, ha pubblicato, come richiesto dalla Direttiva NIS 2, due guide per l'implementazione della Direttiva stessa.

La prima è destinata ai fornitori di servizi IT ed è la "NIS2 Technical Implementation Guidance": https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.

Più precisamente, si tratta di una guida per l'implementazione della Commission Implementing Regulation (EU) 2024/2690, destinata a fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e prestatori di servizi fiduciari.

Il documento è lungo 170 pagine e non mi sembra riporti cose inutilmente fantasiose. Anzi, mi sembra che riporti misure pragmatiche al punto giusto, con descrizioni destinate a non esperti di sicurezza informatica.

La seconda è destinata a tutti i soggetti NIS 2 e ha titolo "Cybersecurity roles and skills for NIS2 Essential and Important Entities": https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities.

Questa seconda riporta qualche esempio ed elenca 12 ruoli che coinvolti nell'implementazione e nel mantenimento della sicurezza informatica. Non mi sembra una guida particolarmente illuminante.