La Cassazione Penale ((Corte di Cassazione - Sezione Quinta Penale, Sentenza 5 marzo 2012, n.8555), ha stabilito che, sussiste il reato previsto dall'articolo 635 bis Codice Penale (danneggiamento di informazioni, dati e programmi informatici) anche qualora i file cancellati possano essere oggetto di recupero.
La sentenza riguarda un caso in cui, comunque, alcuni dei file cancellati non sono stati recuperati lo stesso.
La notizia l'ho trovata sulla newsletter di Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3640
Per chi avesse la pazienza di leggere l'orrendo italiano della sentenza originale, ho trovato questo link:
- http://www.cnai.it/allegati/novita/85_sentenza%20cassazione%208555%205.03.2012.pdf
giovedì 15 marzo 2012
Analisi minacce - Rapporti MELANI
Quando si analizzano i rischi alla sicurezza delle informazioni, è necessario analizzare, tra gli altri elementi, la possibilità di accadimento delle minacce. Per questo dovrebbero essere prese in considerazioni le esperienze passate dell'organizzazione oggetto dell'analisi, le esperienze passate di organizzazioni in contesti geografici o di business simili, l'appetibilità delle proprie informazioni e le caratteristiche delle fonti di rischio.
Per questo segnalo due rapporti tecnici di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza delle informazioni della Svizzera:
- il Rapporto semestrale 2011/1 dell'ottobre 2011, http://www.melani.admin.ch/dokumentation/00123/00124/01128/index.html?lang=it
- il Rapporto "Minacce attuali su Internet, autori, strumenti, perseguimento penale e Incident Response" del gennaio 2012, http://www.melani.admin.ch/dokumentation/00123/01132/01134/index.html?lang=it
Per questo segnalo due rapporti tecnici di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza delle informazioni della Svizzera:
- il Rapporto semestrale 2011/1 dell'ottobre 2011, http://www.melani.admin.ch/dokumentation/00123/00124/01128/index.html?lang=it
- il Rapporto "Minacce attuali su Internet, autori, strumenti, perseguimento penale e Incident Response" del gennaio 2012, http://www.melani.admin.ch/dokumentation/00123/01132/01134/index.html?lang=it
mercoledì 14 marzo 2012
ISO/IEC 20000-2:2012
Il 15 febbraio è stata pubblicata la nuova versione della ISO/IEC 20000-2:2012. Il primo a darmene notizia è stato Attilio Rampazzo che ringrazio.
La ISO/IEC 20000-2 ha titolo "Information technology — Service management — Guidance on the application of service management systems". E' pertanto una linea guida e non uno standard certificabile.
La sua lettura è interessante ed è consigliabile a quanti intendono applicare la ISO/IEC 20000-1 senza avere una buona conoscenza di sistemi di gestione e/o una preparazione a livello di ITIL Foundation.
A dire la verità, leggendo il documento si notano alcune sbavature, soprattutto nei requisiti di sistema del capitolo 4 (responsabilità della direzione, gestione della documentazione e delle registrazioni, gestione delle risorse e gestione del miglioramento), a causa di alcune ripetizioni e concetti discutibili.
Gli approfondimenti sui 14 processi specifici sono invece più convincenti. Sono però rimasto perplesso dalla volontà di non parlare di workaround (si parla di known error con causa conosciuta, ma non di soluzioni temporanee a fronte di cause ignote) e di CAB e ECAB (anche se sono introdotti altri concetti tipici di ITIL e non presenti nella ISO/IEC 20000-1).
Faccio anche notare che queste linee guida sono di 94 pagine, mentre la versione precedente del 2005 ne aveva 42 per spiegare, più o meno, gli stessi processi. Ecco quindi che potremmo anche dire che tra la sintetica ISO/IEC 20000-1 (36 pagine) e il prolisso ITIL 2011 (quasi 2.000 pagine), un lettore potrebbe trovare in questo documento la giusta via di mezzo.
La ISO/IEC 20000-2 ha titolo "Information technology — Service management — Guidance on the application of service management systems". E' pertanto una linea guida e non uno standard certificabile.
La sua lettura è interessante ed è consigliabile a quanti intendono applicare la ISO/IEC 20000-1 senza avere una buona conoscenza di sistemi di gestione e/o una preparazione a livello di ITIL Foundation.
A dire la verità, leggendo il documento si notano alcune sbavature, soprattutto nei requisiti di sistema del capitolo 4 (responsabilità della direzione, gestione della documentazione e delle registrazioni, gestione delle risorse e gestione del miglioramento), a causa di alcune ripetizioni e concetti discutibili.
Gli approfondimenti sui 14 processi specifici sono invece più convincenti. Sono però rimasto perplesso dalla volontà di non parlare di workaround (si parla di known error con causa conosciuta, ma non di soluzioni temporanee a fronte di cause ignote) e di CAB e ECAB (anche se sono introdotti altri concetti tipici di ITIL e non presenti nella ISO/IEC 20000-1).
Faccio anche notare che queste linee guida sono di 94 pagine, mentre la versione precedente del 2005 ne aveva 42 per spiegare, più o meno, gli stessi processi. Ecco quindi che potremmo anche dire che tra la sintetica ISO/IEC 20000-1 (36 pagine) e il prolisso ITIL 2011 (quasi 2.000 pagine), un lettore potrebbe trovare in questo documento la giusta via di mezzo.
sabato 10 marzo 2012
Precisazione sul Regolamento UE Privacy
Trattando sul futuro Regolamento UE sulla privacy, mi sono posto la seguente domanda: come sarà possibile tradurre "employing fewer than 250 persons", essendo questo il confine tra aziende che saranno obbligate a fare il DPS e quelle che non lo saranno?
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Fabrizio Bottacin mi ha risposto inviandomi il link alla Raccomandazione della Commissione del del 6 maggio 2003 relativa alla definizione delle microimprese, piccole e medie imprese, da cui si deduce come calcolare le "250 persone" e che le PMI non dovranno fare il DPS, le altre sì:http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:IT:PDF
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Fabrizio Bottacin mi ha risposto inviandomi il link alla Raccomandazione della Commissione del del 6 maggio 2003 relativa alla definizione delle microimprese, piccole e medie imprese, da cui si deduce come calcolare le "250 persone" e che le PMI non dovranno fare il DPS, le altre sì:http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:IT:PDF
Nospammer.info
Luca De Grazia mi segnala l'associazione No Spammer (http://www.nospammer.info/). Si occupano di fornire assistenza legali a quanti sono infestati dallo spamming, a quanti hanno a che fare con siti web non regolari, a quanti hanno problemi a far valere i propri diritti quando acquistano via web, eccetera.
Al momento, l'associazione pare appena costituita e quindi non ci sono notizie interessanti. Ma l'idea è buona e non ci aspetta che vedere l'effetto che fa.
Al momento, l'associazione pare appena costituita e quindi non ci sono notizie interessanti. Ma l'idea è buona e non ci aspetta che vedere l'effetto che fa.
Change Oracle e blocco di un ospedale
Sandro Sanna mi segnala questa notizia:
-
In poche parole, sembra che il fine settimana del 12 e 13 febbraio, siano
state fatte delle modifiche al database (dall'articolo pare sia Oracle) e
che poi il sistema si sia bloccato fino a ripartire lentamente il martedì.
state fatte delle modifiche al database (dall'articolo pare sia Oracle) e
che poi il sistema si sia bloccato fino a ripartire lentamente il martedì.
Non ho nulla contro Oracle: chi non fa non falla. Ho però qualche appunto da
fare a chi dice che "i change ai database non sono critici", "fare e
documentare i test è una perdita di tempo" e "le procedure di roll-back sono
facili". In realtà nessuno lo dice con queste parole, ma lo pensa.
fare a chi dice che "i change ai database non sono critici", "fare e
documentare i test è una perdita di tempo" e "le procedure di roll-back sono
facili". In realtà nessuno lo dice con queste parole, ma lo pensa.
A pensarci bene, qualcosa contro Oracle ce la potrei avere, ma non ho dati a sufficienza. Vorrei capire se ci sono dei prezzi agevolati per l'acquisto di licenze per gli ambienti di test e per gli ambienti di DR. A pensar male ho ragione o torto?
Chissà chi è il colpevole (il manager che aveva fretta? il commerciale che
aveva fatto male i conti e bisognava chiudere per non perdere "giornate
uomo"? il cliente che aveva chiesto tempi irragionevoli? Il project manager
non abbastanza prudente? il responsabile qualità che non aveva fatto
correttamente la procedura?).
aveva fatto male i conti e bisognava chiudere per non perdere "giornate
uomo"? il cliente che aveva chiesto tempi irragionevoli? Il project manager
non abbastanza prudente? il responsabile qualità che non aveva fatto
correttamente la procedura?).
Di queste notizie ne abbiamo abbastanza, ma ne vedremo ancora. In Italia e
all'estero. In troppi penseranno comunque che "questo a me non potrà
capitare".
all'estero. In troppi penseranno comunque che "questo a me non potrà
capitare".
giovedì 1 marzo 2012
Prescrizioni per i siti web dedicati alla salute
Il Garante il 25 gennaio ha emesso le "Linee guida in tema di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute".
Esse riguardano "i gestori dei siti web dedicati esclusivamente alla salute (specifici forum e blog, specifiche sezioni di portali che contengono informazioni sanitarie, nonché social network che si occupano di tematiche sulla salute attraverso specifici profili, aperti da soggetti privati con finalità di sensibilizzazione e confronto in tale ambito) in cui si svolge un'attività di carattere meramente divulgativo e conoscitivo, non solo con riferimento alle informazioni e ai commenti che si scambiano gli utenti, ma anche con riferimento ai consigli o alle "consulenze" mediche che vengono dagli stessi richieste."
Sono compresi due casi: i siti che richiedono e quelli che non richiedono la registrazione. In tutti i casi, devono essere fornite opportune avvertenze agli utenti. Sicuramente, tali avvertenze potrebbero essere fornite anche da siti non dedicati alla salute.
Le Linee Guida:
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1870212
Il commento su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3613
Esse riguardano "i gestori dei siti web dedicati esclusivamente alla salute (specifici forum e blog, specifiche sezioni di portali che contengono informazioni sanitarie, nonché social network che si occupano di tematiche sulla salute attraverso specifici profili, aperti da soggetti privati con finalità di sensibilizzazione e confronto in tale ambito) in cui si svolge un'attività di carattere meramente divulgativo e conoscitivo, non solo con riferimento alle informazioni e ai commenti che si scambiano gli utenti, ma anche con riferimento ai consigli o alle "consulenze" mediche che vengono dagli stessi richieste."
Sono compresi due casi: i siti che richiedono e quelli che non richiedono la registrazione. In tutti i casi, devono essere fornite opportune avvertenze agli utenti. Sicuramente, tali avvertenze potrebbero essere fornite anche da siti non dedicati alla salute.
Le Linee Guida:
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1870212
Il commento su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3613
Certificazioni ISO 9001 e controlli
Edmea De Paoli mi segnala l'articolo 14 del DL Semplifica Italia (DL 5 del 2012), per cui:
- le amministrazioni pubbliche sono tenute a pubblicare la lista dei controlli a cui sono assoggettate le imprese
- i controlli potranno essere ridotti per le imprese in possesso della certificazione UNI EN ISO 9001
Già la Legge 133/2008 prevedeva che "i controlli periodici svolti dagli enti certificatori sostituiscono i controlli amministrativi o le ulteriori attività amministrative di verifica". Era un evidente orrore, in quanto è ben noto che la ISO 9001 non copre i controlli amministrativi in modo da coprire quanto opportuno.
Commento 1: dobbiamo vedere come sarà trattata la questione dalle Linee Guida in materia che saranno prodotte più o meno in ottobre 2012 e pubblicate su www.impresainungiorno.gov.it
Commento 2: il punto f) del comma 4 fornisce un ottimo punto di partenza per i requisiti da chiedere ad un qualsiasi fornitore ("certificazione del sistema di gestione per la qualità da un organismo di certificazione accreditato da un ente di accreditamento designato da uno Stato membro dell'Unione europea ai sensi del Regolamento 2008/765/CE, o firmatario degli Accordi internazionali di mutuo riconoscimento IAF MLA); visti i bandi di gara che si vedono in giro, c'è da fare i complimenti a chi ha scritto questo paragrafo per l'inusuale correttezza.
- le amministrazioni pubbliche sono tenute a pubblicare la lista dei controlli a cui sono assoggettate le imprese
- i controlli potranno essere ridotti per le imprese in possesso della certificazione UNI EN ISO 9001
Già la Legge 133/2008 prevedeva che "i controlli periodici svolti dagli enti certificatori sostituiscono i controlli amministrativi o le ulteriori attività amministrative di verifica". Era un evidente orrore, in quanto è ben noto che la ISO 9001 non copre i controlli amministrativi in modo da coprire quanto opportuno.
Commento 1: dobbiamo vedere come sarà trattata la questione dalle Linee Guida in materia che saranno prodotte più o meno in ottobre 2012 e pubblicate su www.impresainungiorno.gov.it
Commento 2: il punto f) del comma 4 fornisce un ottimo punto di partenza per i requisiti da chiedere ad un qualsiasi fornitore ("certificazione del sistema di gestione per la qualità da un organismo di certificazione accreditato da un ente di accreditamento designato da uno Stato membro dell'Unione europea ai sensi del Regolamento 2008/765/CE, o firmatario degli Accordi internazionali di mutuo riconoscimento IAF MLA); visti i bandi di gara che si vedono in giro, c'è da fare i complimenti a chi ha scritto questo paragrafo per l'inusuale correttezza.
Sentenza utilizzo di software duplicati per i computer aziendali
Se qualcuno aveva ancora dei dubbi: è illegale "aver installato software su computer aziendali senza averne previamente acquistato la relativa licenza". Lo ha stabilito la Cassazione, Sezione Terza Penale, con sentenza 5879 del 15 febbraio 2012.
L'articolo su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3618
Secondo me, l'accusato poteva pagare i 1.000 Euro e farsi convertire i 4 mesi di reclusione in qualcosa d'altro. O l'accusato aveva soldi e tempo da spendere in processi (primo, secondo e terzo grado!), o aveva scelto un avvocato furbetto che l'ha consigliato male.
L'articolo su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3618
Secondo me, l'accusato poteva pagare i 1.000 Euro e farsi convertire i 4 mesi di reclusione in qualcosa d'altro. O l'accusato aveva soldi e tempo da spendere in processi (primo, secondo e terzo grado!), o aveva scelto un avvocato furbetto che l'ha consigliato male.
Controllo legittimo ex post di email del dipendente
La Cassazione Lavoro, con sentenza del 23 febbraio 2012, ha dichiarato legittimo, in certe condizioni, il controllo delle e-mail del dipendente.
Sentenza molto interessante per chi si occupa di sicurezza, 231 e privacy.
Segnalo l'articolo su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3619
L'articolo si conclude con un interessante commento: "sarebbe stato interessante conoscere nel dettaglio l'attività di indagine sull'infrastruttura informatica posta in essere dal datore di lavoro".
Sentenza molto interessante per chi si occupa di sicurezza, 231 e privacy.
Segnalo l'articolo su Filodiritto:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3619
L'articolo si conclude con un interessante commento: "sarebbe stato interessante conoscere nel dettaglio l'attività di indagine sull'infrastruttura informatica posta in essere dal datore di lavoro".
NIS SP 153 - Guidelines for Securing WLANs
Il NIST ha pubblicato la Special Publication 800-153 dal titolo "Guidelines for Securing Wireless Local Area Networks (WLANs)".
In questa pubblicazione si richiamano soprattutto le criticità legate al personale interno che potrebbe usare la doppia connessione wireless e wired, aprendo delle vulnerabilità.
Per ulteriori specifiche di sicurezza sulle WLANs, bisogna fare riferimento a:
- SP 800-97 "Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i"
- SP 800-48 "Guide to Securing Legacy IEEE 802.11 Wireless Networks"
Rimangono i soliti concetti base:
- verificare i requisiti di sicurezza dei prodotti per creare gli Access Point
- configurare gli accessi via meccanismi crittografici
- installare le reti per gli ospiti in modo che non abbiano visibilità sulla rete interna
Banalità, certamente. Fino a quando si scopre che non sono sempre seguite.
In questa pubblicazione si richiamano soprattutto le criticità legate al personale interno che potrebbe usare la doppia connessione wireless e wired, aprendo delle vulnerabilità.
Per ulteriori specifiche di sicurezza sulle WLANs, bisogna fare riferimento a:
- SP 800-97 "Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i"
- SP 800-48 "Guide to Securing Legacy IEEE 802.11 Wireless Networks"
Rimangono i soliti concetti base:
- verificare i requisiti di sicurezza dei prodotti per creare gli Access Point
- configurare gli accessi via meccanismi crittografici
- installare le reti per gli ospiti in modo che non abbiano visibilità sulla rete interna
Banalità, certamente. Fino a quando si scopre che non sono sempre seguite.
sabato 25 febbraio 2012
COSO Internal Control Framework (draft)
Il COSO Internal Control Framework è il punto di riferimento (per lo meno, nominale) per la progettazione, realizzazione e valutazione di controlli efficaci per le attività di business. Ovviamente, fa riferimento alla tecnologia. Esso è molto citato da chi si occupa di IT (è molto celebre il "cubo"), quando si lascia intendere che il business deve essere controllato secondo i principi del COSO Internal Control Framework e l'IT dal CobiT e le due attività devono essere tra loro connesse.
Il COSO ha pubblicato il draft per commenti:
- http://www.ic.coso.org/pages/exposure-draft.aspx
Il controllo interno deve seguire 17 principi, a loro volta collegati ai 5 componenti di controlli interni: ambiente di controllo, risk assessment, attività di controllo, comunicazione, monitoraggio.
La futura versione del COSO Internal Control Framework è destinata a sostituire quella attualmente in vigore, datata 1992 (20 anni!).
Il COSO, nel 2004, ha pubblicato anche il "Enterprise Risk Management - Integrated Framework". Secondo quanto dichiarato dal COSO stesso, "l'enterprise risk management è più ampio del controllo interno, perché espande e approfondisce il controllo interno e si focalizza maggiormente sui rischi".
Il COSO ha pubblicato il draft per commenti:
- http://www.ic.coso.org/pages/exposure-draft.aspx
Il controllo interno deve seguire 17 principi, a loro volta collegati ai 5 componenti di controlli interni: ambiente di controllo, risk assessment, attività di controllo, comunicazione, monitoraggio.
La futura versione del COSO Internal Control Framework è destinata a sostituire quella attualmente in vigore, datata 1992 (20 anni!).
Il COSO, nel 2004, ha pubblicato anche il "Enterprise Risk Management - Integrated Framework". Secondo quanto dichiarato dal COSO stesso, "l'enterprise risk management è più ampio del controllo interno, perché espande e approfondisce il controllo interno e si focalizza maggiormente sui rischi".
martedì 21 febbraio 2012
Tool di computer forensics
Dalla newsletter di Marco Mattiucci, segnalo il rilascio della DEFT 7, un toolkit (made in Italy) destinato ad operare nel Computer Forensics, Mobile Forensics, Network Forensics, Incident Response e Cyber​Intelligence:http://www.deftlinux.net/2012/01/31/deft-7-ready-for-download/
Pasquale Stirparo, della DFA, ha segnalato ai soci una "Crazy good list of free computer forensic tools":http://forensiccontrol.com/resources/free-software/
In tutti i casi, rimane la regola aurea: non usateli per scopi "reali" se non avete l'adeguata competenza tecnica e legale e una buona esperienza anche a seguito di affiancamenti.
Pasquale Stirparo, della DFA, ha segnalato ai soci una "Crazy good list of free computer forensic tools":http://forensiccontrol.com/resources/free-software/
In tutti i casi, rimane la regola aurea: non usateli per scopi "reali" se non avete l'adeguata competenza tecnica e legale e una buona esperienza anche a seguito di affiancamenti.
venerdì 17 febbraio 2012
BYOD - Bring your own device
Il tema del BYOD (gli utenti aziendali che usano i propri strumenti informatici personali per svolgere attività lavorativa) mi ha sempre interessato. Venendo dai tempi in cui non era lecito usare gli strumenti aziendali per finalità personali, mi sorprende questa tendenza di volere usare gli strumenti personali per finalità aziendali.
Sempre più vedo manager (e non manager) compulsare la propria mail o scrivere documenti su tablet quasi sicuramente personali. Mi chiedo se abbiano configurato una password di accesso (dubito, vista la velocità con cui rispondono alle telefonate), se i dati siano cifrati, eccetera.
IBM, tra gli altri, propone una sua soluzione:
- http://www.bitmat.it/articolo.php?aId=0000091292&cId=46&cpId=20&n=IBM%2Bpropone%2Bun%2Bnuovo%2Bsoftware%2Bper%2Bi%2Bdispositivi%2Bmobili%2Bsul%2Bluogo%2Bdi%2Blavoro
Non voglio fare pubblicità a IBM o ad altri, ma questo è un argomento che seguo da dicembre 2010 (http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html), ho visto questa segnalazione nel gruppo Clusit di LinkedIn, in questi 14 mesi ho visto crescere veramente il fenomeno e ho colto l'occasione per ribadirlo.
Sempre più vedo manager (e non manager) compulsare la propria mail o scrivere documenti su tablet quasi sicuramente personali. Mi chiedo se abbiano configurato una password di accesso (dubito, vista la velocità con cui rispondono alle telefonate), se i dati siano cifrati, eccetera.
IBM, tra gli altri, propone una sua soluzione:
- http://www.bitmat.it/articolo.php?aId=0000091292&cId=46&cpId=20&n=IBM%2Bpropone%2Bun%2Bnuovo%2Bsoftware%2Bper%2Bi%2Bdispositivi%2Bmobili%2Bsul%2Bluogo%2Bdi%2Blavoro
Non voglio fare pubblicità a IBM o ad altri, ma questo è un argomento che seguo da dicembre 2010 (http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html), ho visto questa segnalazione nel gruppo Clusit di LinkedIn, in questi 14 mesi ho visto crescere veramente il fenomeno e ho colto l'occasione per ribadirlo.
Materiale Convegno AIEA settembre 2011
L'AIEA ha messo a disposizione sul suo sito il materiale del convegno del 29 e 30 settembre 2011:
- http://www.aiea.it/html/pqwert3256_29_settembre_2011.html
- http://www.aiea.it/html/ytrew87bvc_30_settembre_2011.html
Non ho trovato molto interessanti le slides della seconda giornata (cloud e social network). Invece segnalo quelle della prima giornata:
- "Sistemi di pagamento elettronici" di Domenico Gammaldi di Banca d'Italia, con riferimenti alla normativa vigente in Italia in materia
- "Infrastrutture critiche" di Daniele Perucchini - Fondazione Ugo Bordoni, con riportata la situazione attuale in materia
- "La sicurezza ICT e la protezione delle infrastrutture critiche" di Glauco Bertocchi di Isaca Roma, un articolo su SCADA e i sistemi di controllo di processo.
Buona lettura.
- http://www.aiea.it/html/pqwert3256_29_settembre_2011.html
- http://www.aiea.it/html/ytrew87bvc_30_settembre_2011.html
Non ho trovato molto interessanti le slides della seconda giornata (cloud e social network). Invece segnalo quelle della prima giornata:
- "Sistemi di pagamento elettronici" di Domenico Gammaldi di Banca d'Italia, con riferimenti alla normativa vigente in Italia in materia
- "Infrastrutture critiche" di Daniele Perucchini - Fondazione Ugo Bordoni, con riportata la situazione attuale in materia
- "La sicurezza ICT e la protezione delle infrastrutture critiche" di Glauco Bertocchi di Isaca Roma, un articolo su SCADA e i sistemi di controllo di processo.
Buona lettura.
martedì 14 febbraio 2012
Certificati digitali invalidati?
La notizia è che le firme digitali utilizzate da ottobre 2011 da noi utenti potrebbero essere non ritenute valide. Il motivo è che per la generazione dei certificati digitali (e, quindi, per garantire la validità della firma digitale) è necessario utilizzare dei meccanismi certificati dall'OCSI. Ovviamente, come al solito, Le scadenze sono state di volta in volta posticipate fino ad arrivare al pasticcio. Ora sembra che solo i certificati rilasciati da un unico operatore siano validi. E gli altri?
L'articolo del Corriere della Sera:
- http://archiviostorico.corriere.it/2012/gennaio/23/pasticcio_delle_firme_digitali_ce_0_120123076.shtml
L'articolo di pc professionale:
- http://www.pcprofessionale.it/2012/01/27/il-far-west-delle-firme-digitali-8-milioni-di-certificati-fuorilegge/
Il commento dello Studio Legale Lisi:
- http://www.studiolegalelisi.it/notizia.php?titolo_mod=376_Il_pasticcio_italiano_dei_dispositivi_automatici_di_firma__le_firme_digital
Insomma, di qualunque materia si tratti, pare che le certificazioni non siano sempre apprezzate dalle aziende italiane...
La notizia me l'ha data mio padre per primo, Franco Ferrari del DNV poi e infine Daniela Quetti della DFA. L'ho trovata anche sulla newsletter dello Studio Legale Lisi.
L'articolo del Corriere della Sera:
- http://archiviostorico.corriere.it/2012/gennaio/23/pasticcio_delle_firme_digitali_ce_0_120123076.shtml
L'articolo di pc professionale:
- http://www.pcprofessionale.it/2012/01/27/il-far-west-delle-firme-digitali-8-milioni-di-certificati-fuorilegge/
Il commento dello Studio Legale Lisi:
- http://www.studiolegalelisi.it/notizia.php?titolo_mod=376_Il_pasticcio_italiano_dei_dispositivi_automatici_di_firma__le_firme_digital
Insomma, di qualunque materia si tratti, pare che le certificazioni non siano sempre apprezzate dalle aziende italiane...
La notizia me l'ha data mio padre per primo, Franco Ferrari del DNV poi e infine Daniela Quetti della DFA. L'ho trovata anche sulla newsletter dello Studio Legale Lisi.
venerdì 10 febbraio 2012
Il D.L. Crescita Italia diventa Legge
Con la Legge 214 del 22 dicembre 2011, il Decreto Legge 201/2011 «Disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici.» è stato convertito in Legge, con modificazioni.
I punti di interesse:
- art.29-bis: introduce, all'articolo 68 del Codice dell'Amministrazione Digitale (Dlgs 82 del 2005), la categoria del software libero accanto ai programmi a codice sorgente aperto tra le opzioni che hanno le PA per scegliere i programmi informatici
- art. 40 comma 2: esclude dall'applicabilità del Codice Privacy le persone giuridiche, enti e associazioni (aumentando l'impatto di quanto già stabilito dal DL 70 del 2011, convertito in Legge dalla Legge 106 del 2011).
(Su segnalazione di Daniela Quetti della DFA)
I punti di interesse:
- art.29-bis: introduce, all'articolo 68 del Codice dell'Amministrazione Digitale (Dlgs 82 del 2005), la categoria del software libero accanto ai programmi a codice sorgente aperto tra le opzioni che hanno le PA per scegliere i programmi informatici
- art. 40 comma 2: esclude dall'applicabilità del Codice Privacy le persone giuridiche, enti e associazioni (aumentando l'impatto di quanto già stabilito dal DL 70 del 2011, convertito in Legge dalla Legge 106 del 2011).
(Su segnalazione di Daniela Quetti della DFA)
giovedì 9 febbraio 2012
DPS addio? - Secondo tentativo riuscito! (ma meglio stare attenti ancora un po')
E' stato pubblicato in Gazzetta Ufficiale il D.L. n. 5 del 2012 "Disposizioni urgenti in materia di semplificazione e di sviluppo" dove, all'articolo 45, viene eliminato il DPS.
Ovviamente, per essere sicuri sicuri, dovremo aspettarne la Legge di conversione, che potrebbe recare modifiche o farlo decadere. Dovremo aspettare al massimo 60 giorni per avere certezze al 100%. E quindi le certezze potrebbero arrivare dopo il 31 marzo, data di "scadenza" per i DPS... chissà se conviene farlo o no?
Altri miei commenti (in cui dico che per alcuni è comunque meglio farlo, per altri no):
- http://blog.cesaregallotti.it/2012/01/dps-addio-secondo-tentativo-quasi.html
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Il sito della Gazzetta Ufficiale (ma sarà disponibile solo per 60 giorni):
- http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2012-02-09&task=dettaglio&numgu=33&redaz=012G0019&tmstp=1328822562622
Il sito del Comune di Jesi con le Gazzette Ufficiali (cercare il Supplemento Ordinario della GU n. 33 del 9-2-2012)
- http://gazzette.comune.jesi.an.it/2012/febbraio.htm
Normattiva, ancora, lo dà come "non esistente o vigente"
Grazie a Daniela Quetti che, via mailing list della DFA, me l'ha comunicato.
Ovviamente, per essere sicuri sicuri, dovremo aspettarne la Legge di conversione, che potrebbe recare modifiche o farlo decadere. Dovremo aspettare al massimo 60 giorni per avere certezze al 100%. E quindi le certezze potrebbero arrivare dopo il 31 marzo, data di "scadenza" per i DPS... chissà se conviene farlo o no?
Altri miei commenti (in cui dico che per alcuni è comunque meglio farlo, per altri no):
- http://blog.cesaregallotti.it/2012/01/dps-addio-secondo-tentativo-quasi.html
- http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html
Il sito della Gazzetta Ufficiale (ma sarà disponibile solo per 60 giorni):
- http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2012-02-09&task=dettaglio&numgu=33&redaz=012G0019&tmstp=1328822562622
Il sito del Comune di Jesi con le Gazzette Ufficiali (cercare il Supplemento Ordinario della GU n. 33 del 9-2-2012)
- http://gazzette.comune.jesi.an.it/2012/febbraio.htm
Normattiva, ancora, lo dà come "non esistente o vigente"
Grazie a Daniela Quetti che, via mailing list della DFA, me l'ha comunicato.
mercoledì 8 febbraio 2012
Pubblicata la ISO/IEC 27007
E' stata pubblicata la ISO/IEC 27007 dal titolo "Guidelines for information security management systems auditing". E' un'estensione della ISO 19011, applicabile agli audit di prima e seconda parte.
Non aggiunge molto rispetto ai requisiti della ISO 19011 e da questo punto di vista non è interessante. Può essere però interessante la lettura dell'allegato A (informativo) "Practice Guidance for ISMS Auditing", dove è quasi proposto un manuale di auditing molto dettagliato.
Non aggiunge molto rispetto ai requisiti della ISO 19011 e da questo punto di vista non è interessante. Può essere però interessante la lettura dell'allegato A (informativo) "Practice Guidance for ISMS Auditing", dove è quasi proposto un manuale di auditing molto dettagliato.
Computer forensics - Video Marco Mattiucci
Segnalo i notevoli video di Marco Mattiucci sulla Computer Forensics:
Video 3: "Incertezza nel Digital Forensics"
Video 4: "Aree del Digital Forensics"
Video 5: "Computer Forensics"
Video 6: "I problemi nel Digital Forensics"
Video 7: "Mobile forensics"
I primi due video, li avevo segnalati precedentemente.
Sono tutte delle lezioni base, anche se con diverse complessità. Fa eccezione il video 3 che propone una lezione di buona complessità, utile però a far capire che, prima di cimentarsi nella materia, è necessario aver seguito un buon percorso di formazione (teoria, pratica, affiancamento in situazioni reali).
Per accedere ai video, il punto di partenza è una pagina del sito di Marco Mattiucci:
- http://www.marcomattiucci.it/myvideodf.php
Video 3: "Incertezza nel Digital Forensics"
Video 4: "Aree del Digital Forensics"
Video 5: "Computer Forensics"
Video 6: "I problemi nel Digital Forensics"
Video 7: "Mobile forensics"
I primi due video, li avevo segnalati precedentemente.
Sono tutte delle lezioni base, anche se con diverse complessità. Fa eccezione il video 3 che propone una lezione di buona complessità, utile però a far capire che, prima di cimentarsi nella materia, è necessario aver seguito un buon percorso di formazione (teoria, pratica, affiancamento in situazioni reali).
Per accedere ai video, il punto di partenza è una pagina del sito di Marco Mattiucci:
- http://www.marcomattiucci.it/myvideodf.php
martedì 7 febbraio 2012
UNI EN ISO 19011 (in italiano) - Linee guida per gli audit di gestione
E' stata appena pubblicata la versione in italiano della ISO 19011.
Ho già commentato la versione in inglese:
- http://blog.cesaregallotti.it/2011/11/iso-190112011.html
Aggiungo solo che la 19011 si applica ai soli audit di prima parte (audit interni) e di seconda parte (ai fornitori o ai partner). Per gli audit di terza parte (audit degli organismi di certificazione), bisogna fare riferimento alla ISO/IEC 17021.
Ripeto: la norma è interessante, soprattutto se consideriamo come sono svolti alcuni audit (rilievi non discussi con il personale, rapporti inviati dopo settimane o mesi, eccetera).
Ho già commentato la versione in inglese:
- http://blog.cesaregallotti.it/2011/11/iso-190112011.html
Aggiungo solo che la 19011 si applica ai soli audit di prima parte (audit interni) e di seconda parte (ai fornitori o ai partner). Per gli audit di terza parte (audit degli organismi di certificazione), bisogna fare riferimento alla ISO/IEC 17021.
Ripeto: la norma è interessante, soprattutto se consideriamo come sono svolti alcuni audit (rilievi non discussi con il personale, rapporti inviati dopo settimane o mesi, eccetera).
giovedì 2 febbraio 2012
Regolamento UE sulla Privacy (forse il DPS resusciterà)
Grazie a Uninfo, ricevo notizia sull'attuale bozza del possibile futuro Regolamente Privacy a livello europeo.
Detto in poche parole, questo regolamento, una volta approvato, entrerà in vigore per tutti gli stati UE. Le proposte sono sottoposte, ora, al Parlamento europeo e agli Stati membri dell’Unione (riuniti in sede di Consiglio dei Ministri) per discussione e, una volta adottate, non entreranno in vigore prima di due anni.
Il link:
- http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Ho trovato molto interessante la lettura della bozza e scrivo qui alcuni punti:
- articolo 26: stabilisce chiaramente che se il Responsabile (Processor) tratta i dati senza opportune istruzioni del Titolare (Controller), allora deve essere considerato Titolare Congiunto (Joint Controller). Osservo che il trasferimento ad altri da parte del Processor è vietato, se non dopo autorizzazione da parte del Controller: il 99% degli attuali Responsabili Esterni saranno quindi Joint Controller
- articolo 28: il DPS è morto e, se passa questo articolo, risorgerà; forse più molesto di prima, tranne che per le aziende con meno di 250 addetti (bisognerà poi vedere come tradurre "employing fewer than 250 persons")
- articolo 30: bisogna ancora fare una "valutazione dei rischi"
- articoli 31 e 32: gli incidenti con impatto sui dati personali dovranno essere comunicati al Garante e agli interessati
- articolo 33: la notifica al Garante viene un poco trasformata; anzi... bisognerà anche fare un "impact assessment"
- articolo 35 e seguenti: le aziende con più di 250 persone dovranno nominare un Data Protection Officer
- articolo 39: potrà esistere una "certificazione privacy"; ne vedremo delle belle... temo.
Copiando un intervento di Daniela Quetti, segnalo anche
- Riferimento ad un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui imprese e organizzazioni hanno il proprio stabilimento principale.
- Viene introdotto il diritto all’oblio: chiunque potrà cancellare i propri dati se non sussistono motivi legittimi per mantenerli.
- Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell'Unione.
- Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri;
Altro di interessante c'è. Per chi volesse: buona lettura!
Altri commenti sono benvenuti.
La Direttiva collegata al Regolamento riguarda solo il trattamento dei dati da parte delle autorità addette a prevenire, investigare, rilevare e perseguire crimini.
PS: Fabrizio Bottacin, dopo aver letto questo post, mi ha risposto privatamente sul mio dubbio relativo al "employing fewer than 250 persons":
- http://blog.cesaregallotti.it/2012/03/precisazione-sul-regolamento-ue-privacy.html
Detto in poche parole, questo regolamento, una volta approvato, entrerà in vigore per tutti gli stati UE. Le proposte sono sottoposte, ora, al Parlamento europeo e agli Stati membri dell’Unione (riuniti in sede di Consiglio dei Ministri) per discussione e, una volta adottate, non entreranno in vigore prima di due anni.
Il link:
- http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Ho trovato molto interessante la lettura della bozza e scrivo qui alcuni punti:
- articolo 26: stabilisce chiaramente che se il Responsabile (Processor) tratta i dati senza opportune istruzioni del Titolare (Controller), allora deve essere considerato Titolare Congiunto (Joint Controller). Osservo che il trasferimento ad altri da parte del Processor è vietato, se non dopo autorizzazione da parte del Controller: il 99% degli attuali Responsabili Esterni saranno quindi Joint Controller
- articolo 28: il DPS è morto e, se passa questo articolo, risorgerà; forse più molesto di prima, tranne che per le aziende con meno di 250 addetti (bisognerà poi vedere come tradurre "employing fewer than 250 persons")
- articolo 30: bisogna ancora fare una "valutazione dei rischi"
- articoli 31 e 32: gli incidenti con impatto sui dati personali dovranno essere comunicati al Garante e agli interessati
- articolo 33: la notifica al Garante viene un poco trasformata; anzi... bisognerà anche fare un "impact assessment"
- articolo 35 e seguenti: le aziende con più di 250 persone dovranno nominare un Data Protection Officer
- articolo 39: potrà esistere una "certificazione privacy"; ne vedremo delle belle... temo.
Copiando un intervento di Daniela Quetti, segnalo anche
- Riferimento ad un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui imprese e organizzazioni hanno il proprio stabilimento principale.
- Viene introdotto il diritto all’oblio: chiunque potrà cancellare i propri dati se non sussistono motivi legittimi per mantenerli.
- Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell'Unione.
- Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri;
Altro di interessante c'è. Per chi volesse: buona lettura!
Altri commenti sono benvenuti.
La Direttiva collegata al Regolamento riguarda solo il trattamento dei dati da parte delle autorità addette a prevenire, investigare, rilevare e perseguire crimini.
PS: Fabrizio Bottacin, dopo aver letto questo post, mi ha risposto privatamente sul mio dubbio relativo al "employing fewer than 250 persons":
- http://blog.cesaregallotti.it/2012/03/precisazione-sul-regolamento-ue-privacy.html
lunedì 30 gennaio 2012
DPS addio? - Secondo tentativo (quasi riuscito; ci manca poco)
Il primo a darmi la notizia è stato Max Cottafavi di Spike Reply: il Decreto Legge "Semplifica Italia" del Governo Monti elimina il DPS. Bisognerà aspettare l'approvazione in Legge, ma non sono da prevedere ulteriori sorprese.
Se guardo solo nel mio palazzo (un artigiano, uno studio di ingegneria, uno studio di un professionista - io, due medici che però non hanno lo studio privato), posso dire che almeno 4 o 5 DPS inutili non sono più obbligatori.
Se però penso ad alcuni miei clienti (tra le cui attività vi sono: trattamento del personale, gestione donazioni per scopi religiosi, ricerche di mercato, selezione del personale e conservazione cartelle mediche) e ad alcune realtà fortemente sindacalizzate, se penso anche che tanti reclami al Garante vengono da sindacati e consumatori, allora mi viene da pensare che a molti conviene predisporre, in ottica preventiva, nel caso in cui dovessero essere coinvolti in un procedimento giudiziario o da una verifica da parte del Garante, un documento che dimostri in qualche modo l'attuazione delle misure di sicurezza minime e idonee previste (ancora...) dal Codice Privacy.
Non dimentichiamoci che i Titolari devono ancora dimostrare il controllo sulle attività dei Responsabili, che devono fornire loro delle istruzioni, che devono verificare l'operato degli Amministratori di Sistema e che rimangono responsabili penalmente per alcuni inadempimenti. Sicuramente, molte aziende dovranno produrre ancora dei documenti in merito e una sorta di "lista di riscontro", come poteva essere inteso il DPS, sarà sempre utile.
Insomma, io suggerirei a queste imprese di continuare a farlo (e non solo per mie finalità economiche!), anche se ora non bisognerà più pensare alla scadenza del 31 marzo, potrà essere redatto in modo diverso e forse migliore e potrà essere nominato "Manuale Privacy" o "Pippo" e non più "DPS".
Ultima nota: con l'eliminazione del punto 19.6 dell'Allegato B, non c'è più una misura minima la formazione al personale. Ho già discusso altrove come questa misura sia mal scritta e mal posizionata all'interno del Codice. Ora mi chiedo: è veramente furbo non prenderla più in considerazione?
Attilio Rampazzo mi ha suggerito anche il seguente articolo, che condivido quasi completamente:
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=469&Itemid=8
(per i curiosi: non condivido quanto detto sul ruolo del Responsabile della Sicurezza, né la presunta inutilità di fare riferimento a nomine e informative sul DPS; quest'ultimo punto non l'ho mai preso in carico, ma stavo giusto giusto pensando che ora che il DPS diventa facoltativo, forse potrebbe essere utile).
Altri articoli, sempre consigliati da Attilio Rampazzo, fanno riferimento al prossimo Regolamento UE che "presto sarà applicato in tutti i 27 Paesei della Comunità Europea prevede regole rigide, documenti da predisporre e conservare, oltre a sanzioni da capogiro". Ci penseremo quando sarà emesso:
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=468:passa-il-decreto-semplificazioni-il-dps-e-stato-abolito&catid=40:flash-news&Itemid=64
Il testo non ufficiale è disponibile qui (in attesa di Normattiva):
- http://www.ictlex.net/?p=1375
Se guardo solo nel mio palazzo (un artigiano, uno studio di ingegneria, uno studio di un professionista - io, due medici che però non hanno lo studio privato), posso dire che almeno 4 o 5 DPS inutili non sono più obbligatori.
Se però penso ad alcuni miei clienti (tra le cui attività vi sono: trattamento del personale, gestione donazioni per scopi religiosi, ricerche di mercato, selezione del personale e conservazione cartelle mediche) e ad alcune realtà fortemente sindacalizzate, se penso anche che tanti reclami al Garante vengono da sindacati e consumatori, allora mi viene da pensare che a molti conviene predisporre, in ottica preventiva, nel caso in cui dovessero essere coinvolti in un procedimento giudiziario o da una verifica da parte del Garante, un documento che dimostri in qualche modo l'attuazione delle misure di sicurezza minime e idonee previste (ancora...) dal Codice Privacy.
Non dimentichiamoci che i Titolari devono ancora dimostrare il controllo sulle attività dei Responsabili, che devono fornire loro delle istruzioni, che devono verificare l'operato degli Amministratori di Sistema e che rimangono responsabili penalmente per alcuni inadempimenti. Sicuramente, molte aziende dovranno produrre ancora dei documenti in merito e una sorta di "lista di riscontro", come poteva essere inteso il DPS, sarà sempre utile.
Insomma, io suggerirei a queste imprese di continuare a farlo (e non solo per mie finalità economiche!), anche se ora non bisognerà più pensare alla scadenza del 31 marzo, potrà essere redatto in modo diverso e forse migliore e potrà essere nominato "Manuale Privacy" o "Pippo" e non più "DPS".
Ultima nota: con l'eliminazione del punto 19.6 dell'Allegato B, non c'è più una misura minima la formazione al personale. Ho già discusso altrove come questa misura sia mal scritta e mal posizionata all'interno del Codice. Ora mi chiedo: è veramente furbo non prenderla più in considerazione?
Attilio Rampazzo mi ha suggerito anche il seguente articolo, che condivido quasi completamente:
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=469&Itemid=8
(per i curiosi: non condivido quanto detto sul ruolo del Responsabile della Sicurezza, né la presunta inutilità di fare riferimento a nomine e informative sul DPS; quest'ultimo punto non l'ho mai preso in carico, ma stavo giusto giusto pensando che ora che il DPS diventa facoltativo, forse potrebbe essere utile).
Altri articoli, sempre consigliati da Attilio Rampazzo, fanno riferimento al prossimo Regolamento UE che "presto sarà applicato in tutti i 27 Paesei della Comunità Europea prevede regole rigide, documenti da predisporre e conservare, oltre a sanzioni da capogiro". Ci penseremo quando sarà emesso:
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=468:passa-il-decreto-semplificazioni-il-dps-e-stato-abolito&catid=40:flash-news&Itemid=64
Il testo non ufficiale è disponibile qui (in attesa di Normattiva):
- http://www.ictlex.net/?p=1375
martedì 24 gennaio 2012
Telelavoro e sicurezza
Dalla circolare dello Studio Tributario "Borioli & Colombo Associati", riporto che il comma 5 dell'articolo 22 della legge 183/2011(Legge di stabilità 2012) interviene sul tema del telelavoro con la finalità di favorirne l'utilizzo, oggi poco diffuso. Tale tipologia di lavoro subordinato non è rinvenibile in alcuna norma di legge ma, nel settore privato, è contenuta in vari accordi aziendali o di settore, fino a trovare il suo sbocco più generale nell'accordo interconfederale del 9 giugno 2004 che ha recepito l'accordo quadro europeo del 16 luglio 2002.
Ovviamente, non è questo il luogo dove discutere della Legge di Stabilità, ma degli impatti sulla sicurezza. E per questo è interessante leggere l'accordo in questione. Ecco alcuni punti che evidenzio (vale però la pena leggere tutto:
- Articolo 1 - Definizione: Il telelavoro costituisce una forma di organizzazione del lavoro che si avvale delle tecnologie dell' informazione, in cui l'attività lavorativa, che potrebbe anche essere svolta nei locali dell'impresa, viene regolarmente svolta al di fuori dei locali della stessa
- Articolo 2: il datore di lavoro provvede a fornire al telelavoratore le relative informazioni scritte
- Articolo 4 - Protezione dei dati: Il datore di lavoro ha la responsabilità di adottare misure appropriate, in particolare per quel che riguarda il software, atte a garantire la protezione dei dati utilizzati ed elaborati dal telelavoratore per fini professionali.
- Articolo 6 - Strumenti di lavoro: Di regola, il datore di lavoro è responsabile della fornitura, dell'istallazione e della manutenzione degli strumenti necessari ad un telelavoro svolto regolarmente, salvo che il telelavoratore non faccia uso di strumenti propri; In caso di guasto o malfunzionamento degli strumenti di lavoro il telelavoratore dovrà darne immediato avviso alle strutture aziendali competenti
Io ho trovato l'accordo su:https://www.cliclavoro.gov.it/informarmi/comefarepercit/Conciliarefamigliaelavoro/Documents/accordo_telelavoro2004.pdf
Ovviamente, non è questo il luogo dove discutere della Legge di Stabilità, ma degli impatti sulla sicurezza. E per questo è interessante leggere l'accordo in questione. Ecco alcuni punti che evidenzio (vale però la pena leggere tutto:
- Articolo 1 - Definizione: Il telelavoro costituisce una forma di organizzazione del lavoro che si avvale delle tecnologie dell' informazione, in cui l'attività lavorativa, che potrebbe anche essere svolta nei locali dell'impresa, viene regolarmente svolta al di fuori dei locali della stessa
- Articolo 2: il datore di lavoro provvede a fornire al telelavoratore le relative informazioni scritte
- Articolo 4 - Protezione dei dati: Il datore di lavoro ha la responsabilità di adottare misure appropriate, in particolare per quel che riguarda il software, atte a garantire la protezione dei dati utilizzati ed elaborati dal telelavoratore per fini professionali.
- Articolo 6 - Strumenti di lavoro: Di regola, il datore di lavoro è responsabile della fornitura, dell'istallazione e della manutenzione degli strumenti necessari ad un telelavoro svolto regolarmente, salvo che il telelavoratore non faccia uso di strumenti propri; In caso di guasto o malfunzionamento degli strumenti di lavoro il telelavoratore dovrà darne immediato avviso alle strutture aziendali competenti
Io ho trovato l'accordo su:https://www.cliclavoro.gov.it/informarmi/comefarepercit/Conciliarefamigliaelavoro/Documents/accordo_telelavoro2004.pdf
Computer forensics e processo civile
Uno degli argomenti normalmente meno dibattuti in ambito di computer forensics è "la prova nel processo civile".
Provo qui a raccogliere gli elementi in merito:
- nell'ordinamento italiano, i mezzi di prova sono "tipici", ossia devono essere quelli stabiliti dalla Legge (prova documentale, prova testimoniale, presunzioni, confessione, giuramento)
- le prove possono essere legali (il giudice è vincolato a prenderne atto) o liberamente apprezzabili (la Legge non attribuisce loro alcuna predeterminata valenza probatoria)
- le prove possono essere piene (dimostrano con certezza la veridicità dei fatti cui si riferiscono), di verosomiglianza (ritenute sufficienti dalla Legge) oppure possono essere "argomenti di prova" (offrono alcuni elementi di valutazione)
Per quanto riguarda la prova informatica:
- le riproduzioni informatiche hanno la medesima valenza probatoria delle riproduzioni meccaniche disciplinate dall'articolo 2712 del Codice Civile: la prova è piena se colui contro il quale sono prodotte non le disconosce; in altre parole oppure, se contestate, argomenti di prova
- il Codice dell'Amministrazione Digitale (CAD, Dlgs 82 del 2005, più volte modificato), nella versione attuale, definisce il valore giuridico del documento informatico come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti"; ricordiamo comunque che il CAD stabilisce anche che tale mezzo di prova è liberamente valutabile in giudizio (a meno che non sia firmato digitalmente, ma solo elettronicamente)
Per l'acquisizione e presentazione delle prove, non vi sono regole esplicite (con l'eccezione della proprietà intellettuale, per cui la prova è acquisita da un Ufficiale Giudiziario con l'assistenza di un perito).
Ecco quindi che le prove informatiche da usare in ambito civile, anche per motivi prudenziali, andrebbero raccolte con le stesse procedure tecniche (acquisizione bit a bit, eccetera) e non tecniche (tra cui: documentazione delle modalità di acquisizione e catena di custodia) del penale.
Ovviamente, poi, i casi reali possono essere piuttosto variegati. Segnalo quindi questa presentazione trovata sul web:
- http://www.slideshare.net/gbellazzi/la-gestione-legale-delle-prove-digitali
Ulteriori segnalazioni in materia sono gradite.
Provo qui a raccogliere gli elementi in merito:
- nell'ordinamento italiano, i mezzi di prova sono "tipici", ossia devono essere quelli stabiliti dalla Legge (prova documentale, prova testimoniale, presunzioni, confessione, giuramento)
- le prove possono essere legali (il giudice è vincolato a prenderne atto) o liberamente apprezzabili (la Legge non attribuisce loro alcuna predeterminata valenza probatoria)
- le prove possono essere piene (dimostrano con certezza la veridicità dei fatti cui si riferiscono), di verosomiglianza (ritenute sufficienti dalla Legge) oppure possono essere "argomenti di prova" (offrono alcuni elementi di valutazione)
Per quanto riguarda la prova informatica:
- le riproduzioni informatiche hanno la medesima valenza probatoria delle riproduzioni meccaniche disciplinate dall'articolo 2712 del Codice Civile: la prova è piena se colui contro il quale sono prodotte non le disconosce; in altre parole oppure, se contestate, argomenti di prova
- il Codice dell'Amministrazione Digitale (CAD, Dlgs 82 del 2005, più volte modificato), nella versione attuale, definisce il valore giuridico del documento informatico come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti"; ricordiamo comunque che il CAD stabilisce anche che tale mezzo di prova è liberamente valutabile in giudizio (a meno che non sia firmato digitalmente, ma solo elettronicamente)
Per l'acquisizione e presentazione delle prove, non vi sono regole esplicite (con l'eccezione della proprietà intellettuale, per cui la prova è acquisita da un Ufficiale Giudiziario con l'assistenza di un perito).
Ecco quindi che le prove informatiche da usare in ambito civile, anche per motivi prudenziali, andrebbero raccolte con le stesse procedure tecniche (acquisizione bit a bit, eccetera) e non tecniche (tra cui: documentazione delle modalità di acquisizione e catena di custodia) del penale.
Ovviamente, poi, i casi reali possono essere piuttosto variegati. Segnalo quindi questa presentazione trovata sul web:
- http://www.slideshare.net/gbellazzi/la-gestione-legale-delle-prove-digitali
Ulteriori segnalazioni in materia sono gradite.
domenica 22 gennaio 2012
I 20 controlli per un'efficace difesa informatica
Sulla newsletter Sans NewsByte del 13 gennaio si trova la notizia che il Governo UK ha rilasciato un documento dal titolo "20 critical controls for effective cyber defence".
- http://www.cpni.gov.uk/advice/infosec/Critical-controls/
Questo sono a loro volta un riassunto dei "20 Critical Security Controls - Version 3.1" dello stesso SANS. Meglio leggere questi, con riportate molte linee guida in più (come la mancanza del controllo può essere sfruttata per un attacco, come realizzare il controllo, come misurarne l'efficacia, procedure e strumenti per realizzare il controllo, quali test condurre).
- https://www.sans.org/critical-security-controls/
Per gli appassionati di metriche, anche perché spinti dal requisito della ISO/IEC 27001, segnalo che la bozza ora in circolazione richiede, in modo più generico dell'attuale versione del 2005, di "misurare l'efficacia del Piano di Trattamento del rischio". Chissà cosa ci riserverà la versione finale?
lunedì 16 gennaio 2012
Sostenibilità e responsabilità sociale
Un tema interessante è quello della sostenibilità. La sua accezione più ampia parte dal presupposto che "un'economia sostenibile a livello globale dovrebbe combinare la profittabilità a lungo termine con la giustizia sociale e la cura dell'ambiente".
Le organizzazioni possono quindi misurare e diffondere le proprie prestazioni in merito alla sostenibilità (a livello globale).
Per elaborare questi report, sono disponibili diverse linee guida o manuali.
Ho trovato interessante il link segnalatomi da Antonio Astone del DNV Italia:http://www.globalreporting.org/
Qui, nella sessione "Get started" è possibile trovare le "Sustainability Reporting Guidelines", utili per chi volesse iniziare a produrre il proprio report.
Le organizzazioni possono quindi misurare e diffondere le proprie prestazioni in merito alla sostenibilità (a livello globale).
Per elaborare questi report, sono disponibili diverse linee guida o manuali.
Ho trovato interessante il link segnalatomi da Antonio Astone del DNV Italia:http://www.globalreporting.org/
Qui, nella sessione "Get started" è possibile trovare le "Sustainability Reporting Guidelines", utili per chi volesse iniziare a produrre il proprio report.
Elenco degli standard di sicurezza ICT
Da Uninfo, che ha girato il verbale del primo incontro del "CEN-CENELEC-ETSI Cyber Security Coordination Group (CSCG)", ricevo un interessante link a "una lista di tutti gli standard relativi alla sicurezza ICT", curata dall'ITU.http://www.itu.int/ITU-T/studygroups/com17/ict/index.html
La pagina è decisamente interessante e, a sua volta, indirizza ad altre 6 pagine. I riferimenti sono tanti e dovrebbero soddisfare quasi ogni esigenza.
La pagina è decisamente interessante e, a sua volta, indirizza ad altre 6 pagine. I riferimenti sono tanti e dovrebbero soddisfare quasi ogni esigenza.
sabato 7 gennaio 2012
Prevenzione incendi - DPR 151 del 2011
Con il DPR 151 del 2011 sulla prevenzione incendi (scaricabile da www.normattiva.it) sono cambiate alcune cose in materia.
Per farla breve, vi segnalo la pagina pertinente dei Vigili del Fuoco, dove sono disponibili FAQ e moduli:http://www.vigilfuoco.it/aspx/Page.aspx?IdPage=4075
Ho trovato molto interessante l'opuscolohttp://www.vigilfuoco.it/aspx/page.aspx?IdPage=5694
Per farla breve, vi segnalo la pagina pertinente dei Vigili del Fuoco, dove sono disponibili FAQ e moduli:http://www.vigilfuoco.it/aspx/Page.aspx?IdPage=4075
Ho trovato molto interessante l'opuscolohttp://www.vigilfuoco.it/aspx/page.aspx?IdPage=5694
venerdì 6 gennaio 2012
24 gennaio 2012: "Usare il Cloud in sicurezza: spunti tecnici"
Il 24 gennaio, a Milano, parlerò di "Usare il Cloud in sicurezza: spunti tecnici" nell'ambito del Cloud Seminar organizzato da Assintel in collaborazione con CSA Italia e UC-Link.
Il convegno è gratuito e spero partecipiate anche per attivare una bella discussione:http://www.assintel.it/eventi/815.jsp
Il convegno è gratuito e spero partecipiate anche per attivare una bella discussione:http://www.assintel.it/eventi/815.jsp
giovedì 29 dicembre 2011
Decreto Monti e Privacy
Come noto, il Decreto Monti (DL 201 del 2011) è diventato Legge (Legge 214 del 2011) il 22 dicembre ed ha apportato modifiche alla normativa sulla privacy.
Per evitare di ripetere cose già scritte, segnalo questo articolo dove sono riportate le novità:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2559
Il testo attuale del Codice Privacy lo trovate su Normattiva:
www.normattiva.it
Per evitare di ripetere cose già scritte, segnalo questo articolo dove sono riportate le novità:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2559
Il testo attuale del Codice Privacy lo trovate su Normattiva:
www.normattiva.it
ISO/IEC/IEEE 42010:2011 - Architetture dei sistemi
Dal Gruppo di LinkedIn "ISO/IEC JTC 1/SC7 Software and Systems Engineering", ricevo notizia della nuova edizione della ISO/IEC/IEEE 42010:2011.
Lo standard ha titolo "Systems and software engineering — Architecture description" e tratta, in modo astratto, delle modalità con cui devono essere espresse e organizzate le descrizioni delle architettutre dei sistemi IT.
Per chi fosse interessato alla materia, suggerisco:
- il sito dello standard: http://www.iso-architecture.org/
- il MOD Architecture Framework del Ministero della Difesa UK: http://www.modaf.org.uk
- The Open Group Architecture Framework (TOGAF) http://www.opengroup.org/togaf/
- The Open Group Archimate: http://www.archimate.org/
- la pagina ABLE della CMU: http://www.cs.cmu.edu/~able/
Lo standard ha titolo "Systems and software engineering — Architecture description" e tratta, in modo astratto, delle modalità con cui devono essere espresse e organizzate le descrizioni delle architettutre dei sistemi IT.
Per chi fosse interessato alla materia, suggerisco:
- il sito dello standard: http://www.iso-architecture.org/
- il MOD Architecture Framework del Ministero della Difesa UK: http://www.modaf.org.uk
- The Open Group Architecture Framework (TOGAF) http://www.opengroup.org/togaf/
- The Open Group Archimate: http://www.archimate.org/
- la pagina ABLE della CMU: http://www.cs.cmu.edu/~able/
venerdì 16 dicembre 2011
Stato delle norme della famiglia ISO/IEC 270xx (seconda parte)
Pubblico qui alcuni commenti di Fabio Guasconi, Presidente Commissione SC27, che ha partecipato al meeting SC27 a Nairobi.
- ISO/IEC 27001: ancora molto immatura: si è rimasti allo stadio di CD
- ISO/IEC 27006 (per gli Organismi di Certificazione), approvata per pubblicazione; rispetto alla versione precedente, recepisce i soli aggiornamenti richiesti per allinearla alla ISO/IEC 17021:2011; un riesame sistematico partirà a maggio (rimane invariato l'Allegato C con le giornate uomo richiesta per gli audit di certificazione)
- ISO/IEC 27007, estensione della ISO 19011 sull'auditing dei sistemi di gestione, approvata per pubblicazione
- ISO/IEC 27008:2011, sull'audit dei controlli di sicurezza, già pubblicata
- ISO/IEC 27010, supplemento ai controlli della 27002 per lo scambio di informazioni, passata allo stadio di FDIS
- ISO/IEC 27014, Governance of information security, passata allo stadio di DIS,
- ISO/IEC 27015 sui controlli di sicurezza per i servizi finanziari e assicurativi, è allo stadio di WD e sarà un TR e non un International Standard anche a causa delle perplessità degli inglesi
- ISO/IEC 27017 sull'uso dei servizi cloud; approvato l'avvio dei lavori
- ISO/IEC 27037 sulla digital forensics, lavori in corso
- ISO/IEC 27043: approvato l'avvio dei lavori per una norma su "Investigation principles and processes"
- avviati i lavori per uno standard sul Air traffic management
Due commenti su un paio di aspetti della nuova ISO/IEC 27001:
- Il risk assessment sarà nel capitolo dedicato alle "Operations" e non al "Planning" perché si distinguono i rischi del sistema di gestione rispetto a quelli operativi
- il SOA non sarà più obbligatorio, dovranno però essere documentate e giustificate le esclusioni rispetto all'Allegato A
- sono state avanzate alcune proposte di modifica rispetto al testo della ISO Guide 83, ma non sono ancora pervenute risposte dal comitato specifico
- il rischio residuale dovrà essere approvato dalla Direzione
- non saranno esplicitati, come input al Riesame della Direzione, i risultati del risk assessment perché si ritiene che il testo attuale già lo richieda
- ISO/IEC 27001: ancora molto immatura: si è rimasti allo stadio di CD
- ISO/IEC 27006 (per gli Organismi di Certificazione), approvata per pubblicazione; rispetto alla versione precedente, recepisce i soli aggiornamenti richiesti per allinearla alla ISO/IEC 17021:2011; un riesame sistematico partirà a maggio (rimane invariato l'Allegato C con le giornate uomo richiesta per gli audit di certificazione)
- ISO/IEC 27007, estensione della ISO 19011 sull'auditing dei sistemi di gestione, approvata per pubblicazione
- ISO/IEC 27008:2011, sull'audit dei controlli di sicurezza, già pubblicata
- ISO/IEC 27010, supplemento ai controlli della 27002 per lo scambio di informazioni, passata allo stadio di FDIS
- ISO/IEC 27014, Governance of information security, passata allo stadio di DIS,
- ISO/IEC 27015 sui controlli di sicurezza per i servizi finanziari e assicurativi, è allo stadio di WD e sarà un TR e non un International Standard anche a causa delle perplessità degli inglesi
- ISO/IEC 27017 sull'uso dei servizi cloud; approvato l'avvio dei lavori
- ISO/IEC 27037 sulla digital forensics, lavori in corso
- ISO/IEC 27043: approvato l'avvio dei lavori per una norma su "Investigation principles and processes"
- avviati i lavori per uno standard sul Air traffic management
Due commenti su un paio di aspetti della nuova ISO/IEC 27001:
- Il risk assessment sarà nel capitolo dedicato alle "Operations" e non al "Planning" perché si distinguono i rischi del sistema di gestione rispetto a quelli operativi
- il SOA non sarà più obbligatorio, dovranno però essere documentate e giustificate le esclusioni rispetto all'Allegato A
- sono state avanzate alcune proposte di modifica rispetto al testo della ISO Guide 83, ma non sono ancora pervenute risposte dal comitato specifico
- il rischio residuale dovrà essere approvato dalla Direzione
- non saranno esplicitati, come input al Riesame della Direzione, i risultati del risk assessment perché si ritiene che il testo attuale già lo richieda
Progetti standardizzazione norme di certificazione dei prodotti
Il 25 novembre, Stefano Ramacciotti ha fatto un'interessante presentazione in Uninfo sui lavori di ottobre del Gruppo di Lavoro WG3 del SC27 di ISO/IEC JTC1.
Questi gli standard trattati dal Gruppo:
- ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008; ISO/IEC 15408-3:2008: si tratta dei Common Criteria e potete scaricarli da http://www.commoncriteriaportal.org/; le versioni attuali saranno riesaminate a partire dal 2013
- ISO/IEC 15292:2001 "ProtecHon Profile registraHon procedures": non è stato oggetto di discussione
- ISO/IEC TR 15443 "A framework for IT Security assurance": sarà rielaborata l'attuale versione del 2005
- ISO/IEC TR 15446:2009 "Guide for the producHon of ProtecHon Profiles and Security Targets": non è stato oggetto di discussione
- ISO/IEC 18045:2008 "Methodology for IT security evaluaHon", il CEM: sarà riesaminata dal 2013
- ISO/IEC 19790:2006 "Security requirements for cryptographic modules", corrispondente del NIST FIPS 140-2: ne è stato avviato il riesame
- ISO/IEC TR 19791:2010 "Security assessment of operaHonal systems": non è stato oggetto di discussione
- ISO/IEC 19792:2009 "Security evaluaHon of biometrics": non è stato oggetto di discussione
- ISO/IEC 21827:2008 "Systems Security Engineering - Capability Maturity Model® (SSE-�CMM®)": non è stato oggetto di discussione
- ISO/IEC 24759:2008 "Test requirements for cryptographic modules", corrispondente al NIST DTR per la NIST FIPS 140-2: ne è stato avviato il riesame
Sono inoltre in corso dei progetti sulle seguenti norme:
- ISO/IEC 29147 "Responsible vulnerability disclosure": prevista la pubblicazione nel 2013
- ISO/IEC 29193 "Secure System Engineering Principles and Techniques": prevista la pubblicazione nel 2013
Questi gli standard trattati dal Gruppo:
- ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008; ISO/IEC 15408-3:2008: si tratta dei Common Criteria e potete scaricarli da http://www.commoncriteriaportal.org/; le versioni attuali saranno riesaminate a partire dal 2013
- ISO/IEC 15292:2001 "ProtecHon Profile registraHon procedures": non è stato oggetto di discussione
- ISO/IEC TR 15443 "A framework for IT Security assurance": sarà rielaborata l'attuale versione del 2005
- ISO/IEC TR 15446:2009 "Guide for the producHon of ProtecHon Profiles and Security Targets": non è stato oggetto di discussione
- ISO/IEC 18045:2008 "Methodology for IT security evaluaHon", il CEM: sarà riesaminata dal 2013
- ISO/IEC 19790:2006 "Security requirements for cryptographic modules", corrispondente del NIST FIPS 140-2: ne è stato avviato il riesame
- ISO/IEC TR 19791:2010 "Security assessment of operaHonal systems": non è stato oggetto di discussione
- ISO/IEC 19792:2009 "Security evaluaHon of biometrics": non è stato oggetto di discussione
- ISO/IEC 21827:2008 "Systems Security Engineering - Capability Maturity Model® (SSE-�CMM®)": non è stato oggetto di discussione
- ISO/IEC 24759:2008 "Test requirements for cryptographic modules", corrispondente al NIST DTR per la NIST FIPS 140-2: ne è stato avviato il riesame
Sono inoltre in corso dei progetti sulle seguenti norme:
- ISO/IEC 29147 "Responsible vulnerability disclosure": prevista la pubblicazione nel 2013
- ISO/IEC 29193 "Secure System Engineering Principles and Techniques": prevista la pubblicazione nel 2013
Stato delle norme della famiglia ISO/IEC 270xx
A ottobre si è svolto il meeting del SC27 in Kenya.
Questi alcuni dei risultati:
- la ISO/IEC 27001 è allo stato di secondo CD
- la ISO/IEC 27002 è al primo CD
- la ISO/IEC 27007, come già sapete, è stata pubblicata
- la ISO/IEC 27013 (rapporti ISO/IEC 27001 e ISO/IEC 20000-1) rimane allo stato di DIS
- la ISO/IEC 27014 (Governance) è allo stato di DIS
- la ISO/IEC TR 27016 (Organizational economics) è allo stato di terzo WD
- la ISO/IEC WD 27033-4 (Securing Communications between networks using security gateways) è al quarto WD
- la ISO/IEC 27034-1 (Application security — Part 1: Overview and concepts) è stata pubblicata
Al di fuori della famiglia ISO/IEC 270xx, ho avuto notizia che la ISO 22301 (Requisiti per il Business Continuity Management System) è allo stato di FDIS e la pubblicazione è prevista per metà del 2012. La corrispondente Linea Guida, ISO 22313 è prevista per fine 2012. Queste due norme sostituiranno, rispettivamente, la BS 25999-2 e BS 25999-1.
Ricordo che gli stati degli standard sono i seguenti (riassumo):
WD -> CD -> DIS -> FDIS -> Pubblicazione
Per il passaggio da uno stato all'altro (quando non rimangono allo stesso stato), normalmente, devono passare almeno 6 mesi. Quindi, se calcolo correttamente, la nuova 27001 sarà pubblicata non prima del 2013.
Ulteriori dettagli a gennaio (devo ancora studiare!).
Questi alcuni dei risultati:
- la ISO/IEC 27001 è allo stato di secondo CD
- la ISO/IEC 27002 è al primo CD
- la ISO/IEC 27007, come già sapete, è stata pubblicata
- la ISO/IEC 27013 (rapporti ISO/IEC 27001 e ISO/IEC 20000-1) rimane allo stato di DIS
- la ISO/IEC 27014 (Governance) è allo stato di DIS
- la ISO/IEC TR 27016 (Organizational economics) è allo stato di terzo WD
- la ISO/IEC WD 27033-4 (Securing Communications between networks using security gateways) è al quarto WD
- la ISO/IEC 27034-1 (Application security — Part 1: Overview and concepts) è stata pubblicata
Al di fuori della famiglia ISO/IEC 270xx, ho avuto notizia che la ISO 22301 (Requisiti per il Business Continuity Management System) è allo stato di FDIS e la pubblicazione è prevista per metà del 2012. La corrispondente Linea Guida, ISO 22313 è prevista per fine 2012. Queste due norme sostituiranno, rispettivamente, la BS 25999-2 e BS 25999-1.
Ricordo che gli stati degli standard sono i seguenti (riassumo):
WD -> CD -> DIS -> FDIS -> Pubblicazione
Per il passaggio da uno stato all'altro (quando non rimangono allo stesso stato), normalmente, devono passare almeno 6 mesi. Quindi, se calcolo correttamente, la nuova 27001 sarà pubblicata non prima del 2013.
Ulteriori dettagli a gennaio (devo ancora studiare!).
mercoledì 14 dicembre 2011
Nuovo Codice di Autodisciplina per le aziende quotate
A dicembre 2011 è stato pubblicato il nuovo "Codice di Autodisciplina" rivolto a "ogni società italiana con azioni quotate".
Il Codice è focalizzato sui controlli di garanzia contabile e finanziaria. Però, la lettura dell'articolo 7 "Sistema di controllo interno e di gestione dei rischi", può accendere qualche lampadina a chi si occupa di sicurezza delle informazioni (materia collegata ai rischi operativi, trattati dal Codice).
In particolare, il nuovo Codice stabilisce i ruoli e le caratteristiche del consiglio di amministrazione, di una figura di riferimento detta "amministratore incaricato del sistema di controllo interno e di gestione dei rischi", di un comitato controllo e rischi, dell'internal audit.
E' possibile scaricare il Codice da:
- http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/corporategovernance.htm
Il link direto è:
- http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/codicecorpgov2011clean_pdf.htm
Ho trovato la notizia sulla newsletter di Protiviti, di cui do il link per altri approfondimenti:
- http://hqp-as-prdaut01:95/it-IT/Insights/Newsletters/Insight%20-%20Newsletter-di-Protiviti-Italia/Documents/Newsletter_35%20-%20Dic_2011.pdf
Il Codice è focalizzato sui controlli di garanzia contabile e finanziaria. Però, la lettura dell'articolo 7 "Sistema di controllo interno e di gestione dei rischi", può accendere qualche lampadina a chi si occupa di sicurezza delle informazioni (materia collegata ai rischi operativi, trattati dal Codice).
In particolare, il nuovo Codice stabilisce i ruoli e le caratteristiche del consiglio di amministrazione, di una figura di riferimento detta "amministratore incaricato del sistema di controllo interno e di gestione dei rischi", di un comitato controllo e rischi, dell'internal audit.
E' possibile scaricare il Codice da:
- http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/corporategovernance.htm
Il link direto è:
- http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/codicecorpgov2011clean_pdf.htm
Ho trovato la notizia sulla newsletter di Protiviti, di cui do il link per altri approfondimenti:
- http://hqp-as-prdaut01:95/it-IT/Insights/Newsletters/Insight%20-%20Newsletter-di-Protiviti-Italia/Documents/Newsletter_35%20-%20Dic_2011.pdf
Corte di Giustizia UE: Opt-in e Diritto di Opposizione
Segnalo questa sentenza della Corte di Giustizia UE:
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3487
Arrivo direttamente alla conclusione (cancellando qualche inciso che ne rende la lettura quasi impossibile):
"La Direttiva del Parlamento europeo 95/46/CE osta ad una normativa nazionale che, in assenza del consenso della persona interessata e per autorizzare il trattamento dei suoi dati personali, richiede che i dati in parola figurino in fonti accessibili al pubblico"
Spero di poter tradurre così: il comma 3-bis dell'articolo 130 del Codice Privacy ("il
trattamento dei dati su pubblici elenchi, mediante l'impiego del telefono e della posta cartacea per le finalita' di invio di materiale pubblicitario e' consentito nei confronti
di chi non abbia esercitato il diritto di opposizione") è contrario a quanto previsto dalla Direttiva Europea e, pertanto, dovrà essere eliminato.
A questa speranza, aggiungo quindi la speranza che qualcuno porti avanti questa richiesta.
- http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3487
Arrivo direttamente alla conclusione (cancellando qualche inciso che ne rende la lettura quasi impossibile):
"La Direttiva del Parlamento europeo 95/46/CE osta ad una normativa nazionale che, in assenza del consenso della persona interessata e per autorizzare il trattamento dei suoi dati personali, richiede che i dati in parola figurino in fonti accessibili al pubblico"
Spero di poter tradurre così: il comma 3-bis dell'articolo 130 del Codice Privacy ("il
trattamento dei dati su pubblici elenchi, mediante l'impiego del telefono e della posta cartacea per le finalita' di invio di materiale pubblicitario e' consentito nei confronti
di chi non abbia esercitato il diritto di opposizione") è contrario a quanto previsto dalla Direttiva Europea e, pertanto, dovrà essere eliminato.
A questa speranza, aggiungo quindi la speranza che qualcuno porti avanti questa richiesta.
Virus blocca un ospedale negli USA
Dalla newsletter SANS Newsbyte del 13 dicembe 2011, trovo la notizia di un ospedale bloccato per due giorni causa virus IT. E' una delle tante storie dell'orrore sulla sicurezza delle informazioni e questa mi pare degna di essere segnalata.
Un articolo (in inglese):
- https://www.ajc.com/news/gwinnett/ambulances-turned-away-as-1255750.html
Un articolo (in inglese):
- https://www.ajc.com/news/gwinnett/ambulances-turned-away-as-1255750.html
lunedì 12 dicembre 2011
Digital profiling
Segnalo l'articolo "Digital Profiling" di Clara Maria Colombini.
Il Digital Profiling rappresenta uno strumento di indagine informatica mirato all'estrazione di informazioni utili all'identificazione di soggetti, dall'analisi dei dati contenuti nella memoria di un qualsiasi dispositivo digitale.
L'articolo è molto interessante, anche per chi non si occupa di Digital Forensics.
Link: http://www.marcomattiucci.it/CMColombini.art.02.v1.0.pdf
Il Digital Profiling rappresenta uno strumento di indagine informatica mirato all'estrazione di informazioni utili all'identificazione di soggetti, dall'analisi dei dati contenuti nella memoria di un qualsiasi dispositivo digitale.
L'articolo è molto interessante, anche per chi non si occupa di Digital Forensics.
Link: http://www.marcomattiucci.it/CMColombini.art.02.v1.0.pdf
sabato 10 dicembre 2011
ISO Guide 83 - Common text for management system standards
Come avevo già detto parlando della nuova ISO/IEC 27001, l'ISO sta promuovendo l'uso di un modello comune per tutti gli standard dei sistemi di gestione (ISO 9001, ISO 14001, ISO/IEC 27001, eccetera).
La guida è denominata "ISO Guide 83" e la sua versione finale dovrebbe essere disponibile a febbraio 2012.
Per saperne di più, segnalo l'articolo dell'IRCA:http://www.irca.org/inform/issue32/DSmith.html?dm_i=4VM,MN6H,HZSOT,1U0IS,1
La guida è denominata "ISO Guide 83" e la sua versione finale dovrebbe essere disponibile a febbraio 2012.
Per saperne di più, segnalo l'articolo dell'IRCA:http://www.irca.org/inform/issue32/DSmith.html?dm_i=4VM,MN6H,HZSOT,1U0IS,1
Internet, stampa e controllo dell'editore
Da Interlex riporto questo testo:
Un periodico on line non può essere considerato "stampa". La nuova sentenza della Corte di cassazione (Sentenza n. 44126 del 28.10.2011) conferma i precedenti orientamenti, ma lascia aperte diverse questioni sulla responsabilità di chi immette contenuti on line.
- http://www.mcreporter.info/giurisprudenza/cass11_44126.pdf
Aggiungo che l'evento riguarda un post inserito da un lettore, non un articolo del giornale stesso.
Un periodico on line non può essere considerato "stampa". La nuova sentenza della Corte di cassazione (Sentenza n. 44126 del 28.10.2011) conferma i precedenti orientamenti, ma lascia aperte diverse questioni sulla responsabilità di chi immette contenuti on line.
- http://www.mcreporter.info/giurisprudenza/cass11_44126.pdf
Aggiungo che l'evento riguarda un post inserito da un lettore, non un articolo del giornale stesso.
Video digital forensics
Segnalo i primi due video di Marco Mattiucci sulla Digital Forensics.
Molto interessanti:
- Definizioni: http://www.ustream.tv/recorded/18774982
- Digital forensics e digital investigation: http://www.ustream.tv/recorded/18925489
Sulla rete e in letteratura si trovano moltissimi contributi per l'ambito penale. Purtroppo, ho trovato pochissimo per l'ambito civile. Se qualcuno ha segnalazioni, sono le benvenute.
Molto interessanti:
- Definizioni: http://www.ustream.tv/recorded/18774982
- Digital forensics e digital investigation: http://www.ustream.tv/recorded/18925489
Sulla rete e in letteratura si trovano moltissimi contributi per l'ambito penale. Purtroppo, ho trovato pochissimo per l'ambito civile. Se qualcuno ha segnalazioni, sono le benvenute.
lunedì 5 dicembre 2011
ISO 13053 - Quantitative methods in process improvement - Six Sigma
Il 1 settembre 2011 sono state pubblicate le prime due parti della ISO 13053 "Quantitative methods in process improvement — Six Sigma". In particolare:
- ISO 13053-1:2011: DMAIC methodology
- ISO 13053-2:2011: Tools and techniques
Si tratta, in sostanza, del recepimento da parte dell'ISO della metodologia Six Sigma.
La lettura è interessante, soprattutto del secondo documento, dove sono illustrati brevemente 31 strumenti per la qualità.
Per chi non abbia a disposizione i documenti ISO, segnalo comunque la presenza di molto materiale su Internet. Un buon punto di partenza è Wikipedia:
- italiano: https://it.wikipedia.org/wiki/Sei_Sigma
- inglese: https://en.wikipedia.org/wiki/Six_Sigma
- ISO 13053-1:2011: DMAIC methodology
- ISO 13053-2:2011: Tools and techniques
Si tratta, in sostanza, del recepimento da parte dell'ISO della metodologia Six Sigma.
La lettura è interessante, soprattutto del secondo documento, dove sono illustrati brevemente 31 strumenti per la qualità.
Per chi non abbia a disposizione i documenti ISO, segnalo comunque la presenza di molto materiale su Internet. Un buon punto di partenza è Wikipedia:
- italiano: https://it.wikipedia.org/wiki/Sei_Sigma
- inglese: https://en.wikipedia.org/wiki/Six_Sigma
sabato 3 dicembre 2011
UNI 11200 e UNI EN 15838 del 2010
La UNI 11200 e la UNI EN 15838 sono due norme, tra loro collegate, sulla qualità dei Centri di Contatto. In Italia, era stata pubblicata nel 2006 la prima norma in materia (UNI 11200:2006), con la quale era possibile certificare un Centro di Contatto.
A novembre del 2009, il CEN ha pubblicato la norma europea EN 15838 ("Centri di contatto - Requisiti del Servizio"), recepita in Italia come UNI EN 15838:2010 nel luglio del 2010. Sempre a luglio, la UNI ha emesso la norma italiana UNI 11200.
Questa seconda norma (come leggo dal sito dell'UNI www.uni.com) "definisce i parametri di riferimento dei requisiti di servizio fornito dai centri di contatto (come indicati dalle appendici A e B della UNI EN 15838:2010), al fine di garantire una valutazione oggettiva del livello di qualità del servizio medesimo, indipendentemente dal modello organizzativo o dalla tecnologia utilizzati". Forse, potevamo fare a meno di una ulteriore norma nazionale (non ho trovato, leggendo la EN 15838, alcuna richiesta di emissione di ulteriori norme). Forse, alle persone che hanno lavorato sulla UNI 11200:2006 dispiaceva perdere le esperienze maturate.
A parte queste riflessioni, la norma EN 15838 riprende molti concetti della precedente UNI 11200. Soprattutto, a differenza di altre norme, i requisiti sono molto specifici, fino ad elencare gli indicatori (KPI) che un Centro di Contatto deve tenere sotto controllo. La UNI 11200:2010 richiede ulteriori KPI e impone anche le soglie di attenzione ("valori di riferimento").
Aggiungo che queste due norme hanno anche degli approfondimenti sulla sicurezza dei dati dei clienti e delle persone contattate e hanno anche dei requisiti su come deve essere gestito correttamente il rapporto di lavoro con i collaboratori (sappiamo che in Italia la situazione non è sempre buona).
Si raccomanda quindi la lettura della norma a quanti si occupano di Centri di Contatto.
A novembre del 2009, il CEN ha pubblicato la norma europea EN 15838 ("Centri di contatto - Requisiti del Servizio"), recepita in Italia come UNI EN 15838:2010 nel luglio del 2010. Sempre a luglio, la UNI ha emesso la norma italiana UNI 11200.
Questa seconda norma (come leggo dal sito dell'UNI www.uni.com) "definisce i parametri di riferimento dei requisiti di servizio fornito dai centri di contatto (come indicati dalle appendici A e B della UNI EN 15838:2010), al fine di garantire una valutazione oggettiva del livello di qualità del servizio medesimo, indipendentemente dal modello organizzativo o dalla tecnologia utilizzati". Forse, potevamo fare a meno di una ulteriore norma nazionale (non ho trovato, leggendo la EN 15838, alcuna richiesta di emissione di ulteriori norme). Forse, alle persone che hanno lavorato sulla UNI 11200:2006 dispiaceva perdere le esperienze maturate.
A parte queste riflessioni, la norma EN 15838 riprende molti concetti della precedente UNI 11200. Soprattutto, a differenza di altre norme, i requisiti sono molto specifici, fino ad elencare gli indicatori (KPI) che un Centro di Contatto deve tenere sotto controllo. La UNI 11200:2010 richiede ulteriori KPI e impone anche le soglie di attenzione ("valori di riferimento").
Aggiungo che queste due norme hanno anche degli approfondimenti sulla sicurezza dei dati dei clienti e delle persone contattate e hanno anche dei requisiti su come deve essere gestito correttamente il rapporto di lavoro con i collaboratori (sappiamo che in Italia la situazione non è sempre buona).
Si raccomanda quindi la lettura della norma a quanti si occupano di Centri di Contatto.
Ringrazio Deborah Monaco di Quint per avermi segnalato l'uscita della UNI 11200:2010.
mercoledì 30 novembre 2011
Linee guida per il DR delle PA
Il 23 novembre 2011, è stata pubblicata la versione definitiva delle "Linee guida per il Disaster Recovery delle Pubbliche Amministrazioni". Questo in ottemperanza a quanto disposto dall'articolo 50-bis del Dlgs 82 del 2005, così come aggiornato nel 2010.
- La pagina della DigitPA: http://www.digitpa.gov.it/altre-attivit/linee-guida-disaster-recovery-delle-pubbliche-amministrazioni
- Il link al documento in pdf: http://www.digitpa.gov.it/sites/default/files/notizie/LINEE%20GUIDA%20PER%20IL%20DISASTER%20RECOVERY%20DELLE%20PA.pdf
Note polemiche:
- non mi sembra ben delineata la differenza tra Business Continuity (Continuità Operativa) e Disaster Recovery; sebbene le definizioni fornite siano corrette, in alcuni punti del documento si rileva un utilizzo non rigoroso di questi termini
- malgrado quanto specificato nella sezione 4.10 dello stesso documento, questo è pubblicato senza data e senza versione
- avrei preferito un documento più schematico.
A parte queste piccolezze, ho trovato interessante la lettura del documento e ho individuato alcuni interessanti spunti.
Altri elementi di interesse:
- insieme alle Linee Guida, è possibile scaricare dalla pagina della DigitPA anche anche un "tool di autovalutazione" (lo chiamerei "tool per una BIA in ambito non-profit")
- l'appendice D, con le caratteristiche di un sito di DR (certamente da estendere anche al sito primario)
- il capitolo 8 sulle Infrastrutture Critiche (anche se i riferimenti bibliografici non sono disponibili)
- i capitoli 2 e 5 con i riferimenti giuridici
Ringrazio Franco Guidi per la segnalazione della pubblicazione delle Linee Guida.
- La pagina della DigitPA: http://www.digitpa.gov.it/altre-attivit/linee-guida-disaster-recovery-delle-pubbliche-amministrazioni
- Il link al documento in pdf: http://www.digitpa.gov.it/sites/default/files/notizie/LINEE%20GUIDA%20PER%20IL%20DISASTER%20RECOVERY%20DELLE%20PA.pdf
Note polemiche:
- non mi sembra ben delineata la differenza tra Business Continuity (Continuità Operativa) e Disaster Recovery; sebbene le definizioni fornite siano corrette, in alcuni punti del documento si rileva un utilizzo non rigoroso di questi termini
- malgrado quanto specificato nella sezione 4.10 dello stesso documento, questo è pubblicato senza data e senza versione
- avrei preferito un documento più schematico.
A parte queste piccolezze, ho trovato interessante la lettura del documento e ho individuato alcuni interessanti spunti.
Altri elementi di interesse:
- insieme alle Linee Guida, è possibile scaricare dalla pagina della DigitPA anche anche un "tool di autovalutazione" (lo chiamerei "tool per una BIA in ambito non-profit")
- l'appendice D, con le caratteristiche di un sito di DR (certamente da estendere anche al sito primario)
- il capitolo 8 sulle Infrastrutture Critiche (anche se i riferimenti bibliografici non sono disponibili)
- i capitoli 2 e 5 con i riferimenti giuridici
Ringrazio Franco Guidi per la segnalazione della pubblicazione delle Linee Guida.
venerdì 25 novembre 2011
Privacy: Limiti (ma non troppi) al telemarketing
Max Cottafavi di Reply mi ha fatto tornare sul comma 4 dell'articolo 130 del Codice Privacy. Il testo recita: "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni".
Insomma, mi ha fatto notare (l'avevo rimosso dalla mia memoria) come in questo caso viga l'opt-out.
Per il telefono e la posta cartacea, vige quanto previsto dal comma 3-bis (quello sul Diritto di Opposizione che, tra l'altro, alcuni mi hanno segnalato non funzionare correttamente per le numerazioni non comprese nel solo elenco di Telecom Italia... ahinoi).
Il Garante, quasi contemporaneamente, ha segnalato nella sua newsletter un recente Provvedimento di divieto proprio perché una società si è "allargata" il significato del comma (già di per sé discutibile).
Il riassunto del Provvedimento: http://www.garanteprivacy.it/garante/doc.jsp?ID=1852586#1
Il Provvedimento completo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1851415
Il Garante, quasi contemporaneamente, ha segnalato nella sua newsletter un recente Provvedimento di divieto proprio perché una società si è "allargata" il significato del comma (già di per sé discutibile).
Il riassunto del Provvedimento: http://www.garanteprivacy.it/garante/doc.jsp?ID=1852586#1
Il Provvedimento completo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1851415
giovedì 24 novembre 2011
BSI PAS 200 sul Crisis Management
Il BSI segnala la pubblicazione della PAS 200 sul Crisis Management.
Questa è una materia molto importante quando si parla di di gestione degli incidenti e di Business Continuity.
Ovviamente, il suo ambito non è solo ristretto a questi due processi, ma può riguardare ogni genere di evento "critico" per un'azienda (e non solo; penso a Zapatero che ha vinto le elezioni 7 anni fa perché Aznar non ha saputo gestire una crisi e le ha perse pochi giorni fa perché a sua volta non è riuscito a gestire un'altra crisi, anche se diversa).
Attualità a parte, il documento costa 100 sterline e potete trovarlo al link sottostante.http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030252035&utm_source=QUALL-NA&utm_medium=et_mail&utm_content=2497212&utm_campaign=QUALL-NA_24_November_2011&utm_term=PAS+200
Per i più parsimoniosi, l'indice può già essere d'aiuto.
Questa è una materia molto importante quando si parla di di gestione degli incidenti e di Business Continuity.
Ovviamente, il suo ambito non è solo ristretto a questi due processi, ma può riguardare ogni genere di evento "critico" per un'azienda (e non solo; penso a Zapatero che ha vinto le elezioni 7 anni fa perché Aznar non ha saputo gestire una crisi e le ha perse pochi giorni fa perché a sua volta non è riuscito a gestire un'altra crisi, anche se diversa).
Attualità a parte, il documento costa 100 sterline e potete trovarlo al link sottostante.http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030252035&utm_source=QUALL-NA&utm_medium=et_mail&utm_content=2497212&utm_campaign=QUALL-NA_24_November_2011&utm_term=PAS+200
Per i più parsimoniosi, l'indice può già essere d'aiuto.
ISO 19011:2011
Per primo, Attilio Rampazzo mi ha segnalato la pubblicazione, in data 15 novembre 2011, della ISO 19011:2011 dal titolo "Guidelines for auditing management systems".
La precedente versione era del 2002 e riguardava solo i sistemi di gestione per la qualità e per l'ambiente (ISO 9001 e ISO 14001). Oggi la norma è estesa a tutti i sistemi di gestione (inclusi quindi quelli per la sicurezza delle informazioni e per i servizi IT). Per alcuni schemi, sono state emesse norme specifiche per la conduzione degli audit e bisognerà fare riferimento a tutte e due le norme (ricordo che è stata pubblicata la ISO/IEC 27007 "Guidelines for information security management systems auditing", già allineata con la nuova versione della ISO 19011).
La nuova vesione è molto allineata con la precedente. Ho notato l'aggiunta di considerazioni in merito ai rischi di audit e alla sicurezza delle informazioni trattate durante le verifiche. Ci sono anche molti altri dettagli ulteriori rispetto alla precedente edizione e suggerisco quindi la lettura di questo standard a quanti devono condurre audit.
L'IRCA ha emesso un commento ad agosto, basato sulla bozza finale:http://www.irca.org/downloads/ISO%20FDIS%2019011%202011%20Briefing%20Note.pdf
La precedente versione era del 2002 e riguardava solo i sistemi di gestione per la qualità e per l'ambiente (ISO 9001 e ISO 14001). Oggi la norma è estesa a tutti i sistemi di gestione (inclusi quindi quelli per la sicurezza delle informazioni e per i servizi IT). Per alcuni schemi, sono state emesse norme specifiche per la conduzione degli audit e bisognerà fare riferimento a tutte e due le norme (ricordo che è stata pubblicata la ISO/IEC 27007 "Guidelines for information security management systems auditing", già allineata con la nuova versione della ISO 19011).
La nuova vesione è molto allineata con la precedente. Ho notato l'aggiunta di considerazioni in merito ai rischi di audit e alla sicurezza delle informazioni trattate durante le verifiche. Ci sono anche molti altri dettagli ulteriori rispetto alla precedente edizione e suggerisco quindi la lettura di questo standard a quanti devono condurre audit.
L'IRCA ha emesso un commento ad agosto, basato sulla bozza finale:http://www.irca.org/downloads/ISO%20FDIS%2019011%202011%20Briefing%20Note.pdf
venerdì 18 novembre 2011
Errata Corrige - DPS: nessun addio
Daniela Quetti e Vito Losacco mi hanno segnalato il fatto che il Patto di
Stabilità 2012 non riporta l'eliminazione dell'obbligo del DPS. La notizia
data in precedenza è quindi non più attuale
Il DPS rimane quindi un obbligo normativo (tranne le semplificazioni già introdotte nel 2008. Questo per la gioia dei pochi che lo ritengono utile, dei tanti consulenti che ci guadagnano soldi e di quanti hanno ancora qualcosa di cui lamentarsi (l'innocente DPS, mentre possono evitare di affrontare punti più complessi della normativa in vigore).
Vito Lo Sacco mi ha anche segnalato il seguente articolo:
mercoledì 16 novembre 2011
Voucher per la valutazione dei rischi informatici
La Regione Lombardia e le Camere di Commercio di alcune Province, in accordo con Assintel, intendono finanziare tramite l'utilizzo di voucher a fondo perduto, nominativi e non trasferibili, l'acquisto di un servizio tecnico di valutazione dei rischi informatici.http://www.assintel.it/eventi/810.jsp
La notizia mi è stata segnalata da Simone Tomirotti e potrebbe essere interessante capirne i dettagli. Soprattutto le procedure tecniche che saranno seguite. Sui siti web relativi, non ho trovato nulla in merito. Si accettano ulteriori informazioni.
La notizia mi è stata segnalata da Simone Tomirotti e potrebbe essere interessante capirne i dettagli. Soprattutto le procedure tecniche che saranno seguite. Sui siti web relativi, non ho trovato nulla in merito. Si accettano ulteriori informazioni.
martedì 15 novembre 2011
Presentazione ISO/IEC 27001
Il 10 novembre ho tenuto un intervento per la DFA sulla "Famiglia delle norme ISO/IEC 270xx".
E' pubblicato su www.cesaregallotti.it/Pubblicazioni.html
E' pubblicato su www.cesaregallotti.it/Pubblicazioni.html
domenica 13 novembre 2011
iOS 5
La Apple ha pubblicato la nuova versione dell'iOS per iPhone, iPod e iPad. Oltre al servizio di iCloud, la nuova versione corregge alcune vulnerabilità.
Perché do io questo annuncio, visto che normalmente non tratto questi argomenti? Per denunciare, nel mio piccolo, il fatto che questa nuova versione, con correzione di vulnerabilità, è disponibile per iPhone 3GS e superiori. Per chi ha comprato un iPhone 3G (solo 3 anni fa, non molti), nulla!
E' ovvio, scrivo perché sono persona interessata al problema (ho un iPhone 3G), ma trovo scorretta questa politica di non fornire più alcun supporto giusto giusto 2 anni dopo l'uscita di una nuova versione dell'hardware (il 3GS è uscito nel giugno 2009), quando la garanzia non è più valida. E poi ci lamentiamo della Microsoft!
Perché do io questo annuncio, visto che normalmente non tratto questi argomenti? Per denunciare, nel mio piccolo, il fatto che questa nuova versione, con correzione di vulnerabilità, è disponibile per iPhone 3GS e superiori. Per chi ha comprato un iPhone 3G (solo 3 anni fa, non molti), nulla!
E' ovvio, scrivo perché sono persona interessata al problema (ho un iPhone 3G), ma trovo scorretta questa politica di non fornire più alcun supporto giusto giusto 2 anni dopo l'uscita di una nuova versione dell'hardware (il 3GS è uscito nel giugno 2009), quando la garanzia non è più valida. E poi ci lamentiamo della Microsoft!
Attacco a SSL/TLS
Un interessante articolo da "Minded Security Early Warning" segnala il nuovo attacco al protocollo SSL/TLS 1.0 che permette di intercettare le comunicazioni.
Gli sviluppatori dovrebbero passare alle versioni successive.
Segnalo questi link in materia:
- http://www.mindedsecurity.com/fileshare/early_warning/Early_Warning_Ott11.pdf
- http://www.theinquirer.net/inquirer/news/2110508/ssl-tls-attack-secure-communications-risk
- http://vnhacker.blogspot.com/2011/09/beast.html
Gli sviluppatori dovrebbero passare alle versioni successive.
Segnalo questi link in materia:
- http://www.mindedsecurity.com/fileshare/early_warning/Early_Warning_Ott11.pdf
- http://www.theinquirer.net/inquirer/news/2110508/ssl-tls-attack-secure-communications-risk
- http://vnhacker.blogspot.com/2011/09/beast.html
sabato 5 novembre 2011
Segreto di Stato
Sulla Gazzetta Ufficiale n. 203 del 1 settembre 2011 è stato pubblicato il DPCM 22 luglio 2011 n.4 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate".
Il DPCM è molto focalizzato nella descrizione delle misure di sicurezza fisica. Sulle misure di sicurezza informatica, mi pare sia molto limitato.
Ad ogni modo, il tema merita di essere conosciuto anche da chi non si occupa di sicurezza delle informazioni in ambito militare o del Segreto di Stato. La mia personale biografia è la seguente:
- Legge 124 del 2007 sulla disciplina del Segreto di Stato
- DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (questo è anche sulla classificazione delle informazioni)
- DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (cioè, disposizioni sulle misure di sicurezza)
- Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
- DPR 184 del 2006 "Regolamento recante disciplina in materia di accesso ai documenti amministrativi."
- DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato
Segnalo quindi la pagina del Comitato parlamentare per la sicurezza della Repubblica che riporta alcune di queste normative:http://www.parlamento.it/bicamerali/43775/43777/43783/44440/88129/sommario.htm
Infine, segnalo questa pagina della Presidenza del Consiglio dei Ministri:http://www.sicurezzanazionale.gov.it/web.nsf/pagine/segreto_di_stato
Il DPCM è molto focalizzato nella descrizione delle misure di sicurezza fisica. Sulle misure di sicurezza informatica, mi pare sia molto limitato.
Ad ogni modo, il tema merita di essere conosciuto anche da chi non si occupa di sicurezza delle informazioni in ambito militare o del Segreto di Stato. La mia personale biografia è la seguente:
- Legge 124 del 2007 sulla disciplina del Segreto di Stato
- DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (questo è anche sulla classificazione delle informazioni)
- DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (cioè, disposizioni sulle misure di sicurezza)
- Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
- DPR 184 del 2006 "Regolamento recante disciplina in materia di accesso ai documenti amministrativi."
- DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato
Segnalo quindi la pagina del Comitato parlamentare per la sicurezza della Repubblica che riporta alcune di queste normative:http://www.parlamento.it/bicamerali/43775/43777/43783/44440/88129/sommario.htm
Infine, segnalo questa pagina della Presidenza del Consiglio dei Ministri:http://www.sicurezzanazionale.gov.it/web.nsf/pagine/segreto_di_stato
sabato 22 ottobre 2011
DPS Addio?
Attilio Rampazzo di segnala un articolo su Italia Oggi sulle ulteriori semplificazioni alla normativa privacy.http://www.italiaoggi.it/news/dettaglio_news.asp?id=201110211204007588&chkAgenzie=ITALIAOGGI&sez=newsPP&titolo=Privacy,%20Dps%20addio
Attilio si chiede: "A questo punto, anche se è una nuova proposta per superare la crisi, invece di tutte queste semplificazioni ovvero mutilazioni, non è meglio a questo punto abrogare tutta la legge visto che,se sarà vero, non rimane quasi più nulla di tutela dei dati personali?"
Convengo che la cosa mi inquieta.
Un pochino per quei pochi euro che mi portava "l'aggiornamento del DPS", ma tanto per la mia sensibilità in materia di sicurezza.
Purtroppo, alcune pessime disposizioni dell'Allegato B (ereditate dal 318/1999, e ampliate da amenità quali la "data certa" e altri Provvedimenti del Garante) e un nugolo di cani affamati di soldi (i consulenti), hanno reso l'esercizio del DPS molto oneroso e incomprensibile, ridotto alla produzione di plichi di centinaia di pagine anche in piccole realtà (li ho visti! lo giuro!).
Se a questo aggiungiamo che il Governo attualmente in carica non è molto sensibile alla materia (vedere Registro delle Opposizioni, che inverte il precedente principio di opt-in nel principio di opt-out), il gioco è fatto.
Non ci rimane che guardare cosa succede: una nostra manifestazione sotto il Parlamento richiamerebbe al massimo una decina di persone ;-)
Attilio si chiede: "A questo punto, anche se è una nuova proposta per superare la crisi, invece di tutte queste semplificazioni ovvero mutilazioni, non è meglio a questo punto abrogare tutta la legge visto che,se sarà vero, non rimane quasi più nulla di tutela dei dati personali?"
Convengo che la cosa mi inquieta.
Un pochino per quei pochi euro che mi portava "l'aggiornamento del DPS", ma tanto per la mia sensibilità in materia di sicurezza.
Purtroppo, alcune pessime disposizioni dell'Allegato B (ereditate dal 318/1999, e ampliate da amenità quali la "data certa" e altri Provvedimenti del Garante) e un nugolo di cani affamati di soldi (i consulenti), hanno reso l'esercizio del DPS molto oneroso e incomprensibile, ridotto alla produzione di plichi di centinaia di pagine anche in piccole realtà (li ho visti! lo giuro!).
Se a questo aggiungiamo che il Governo attualmente in carica non è molto sensibile alla materia (vedere Registro delle Opposizioni, che inverte il precedente principio di opt-in nel principio di opt-out), il gioco è fatto.
Non ci rimane che guardare cosa succede: una nostra manifestazione sotto il Parlamento richiamerebbe al massimo una decina di persone ;-)
venerdì 21 ottobre 2011
Glossario ITIL 2011
Sul sito ufficiale di ITIL è stato pubblicato il glossario 2011, anche in italiano (può anche far riflettere il fatto che ci sia un glossario spagnolo per la Spagna e uno spagnolo per l'America Latina).
E' noto che non tutte le definizioni di ITIL sono condivisibili (pensate a quella di known error, per cui non basta avere il workaround, ma anche la causa documentata, mentre nella realtà si hanno spesso workaround senza causa documentata e sono comunque denominati known error) e alcuni termini rimangono confinati a ITIL e non usati nella maggioranza dei casi ("operation bridge" su tutti).
E' anche noto che alcune traduzioni in italiano dei termini informatici possono sembrare forzate.
Però, in questo glossario ci sono anche cose interessanti e che meritano di essere capite e utilizzate.
La pagina dei glossari: http://www.itil-officialsite.com/InternationalActivities/ITILGlossaries_2.aspx
E' noto che non tutte le definizioni di ITIL sono condivisibili (pensate a quella di known error, per cui non basta avere il workaround, ma anche la causa documentata, mentre nella realtà si hanno spesso workaround senza causa documentata e sono comunque denominati known error) e alcuni termini rimangono confinati a ITIL e non usati nella maggioranza dei casi ("operation bridge" su tutti).
E' anche noto che alcune traduzioni in italiano dei termini informatici possono sembrare forzate.
Però, in questo glossario ci sono anche cose interessanti e che meritano di essere capite e utilizzate.
La pagina dei glossari: http://www.itil-officialsite.com/InternationalActivities/ITILGlossaries_2.aspx
giovedì 20 ottobre 2011
Pubblicata la ISO/IEC TR 27008 - Tecniche di audit
Attilio Rampazzo mi informa della pubblicazione, il 6 ottobre 2011, della
ISO/IEC TR 27008:2011 - Information technology -- Security techniques -- Guidelines for auditors on information security controls.
E' una linea guida, quindi non è necessario seguirla. Come tutte le norme di questo tipo, ci sono cose interessante e altre risapute.
ISO/IEC TR 27008:2011 - Information technology -- Security techniques -- Guidelines for auditors on information security controls.
E' una linea guida, quindi non è necessario seguirla. Come tutte le norme di questo tipo, ci sono cose interessante e altre risapute.
lunedì 17 ottobre 2011
Incidente al Blackberry
Il 10 ottobre, i servizi Blackberry hanno subito un crash con conseguente indisponibilità di 3-4 giorni.
Clienti arrabbiati, investitori infastiditi e altre amenità di questo genere:
- http://www.bbc.co.uk/news/technology-15287072
- http://money.cnn.com/2011/10/13/technology/blackberry_outage/index.htm
La Blackberry ha detto che condurrà una "root cause analysis" su un "problema hardware". Spero che non diventi una "caccia al colpevole per punire un innocente", ma sia una roba seria (mi chiedo quale possa essere stato il guasto che ha colpito un'infrastruttura forse in non-così-alta-affidabilità).
Detto questo, l'incidente ci deve ricordare che l'e-mail (come la posta tradizionale, come gli SMS) è basata su un protocollo "inaffidabile". Se volete essere certi che il destinatario riceva una vostra comunicazione, dovete telefonargli!
Clienti arrabbiati, investitori infastiditi e altre amenità di questo genere:
- http://www.bbc.co.uk/news/technology-15287072
- http://money.cnn.com/2011/10/13/technology/blackberry_outage/index.htm
La Blackberry ha detto che condurrà una "root cause analysis" su un "problema hardware". Spero che non diventi una "caccia al colpevole per punire un innocente", ma sia una roba seria (mi chiedo quale possa essere stato il guasto che ha colpito un'infrastruttura forse in non-così-alta-affidabilità).
Detto questo, l'incidente ci deve ricordare che l'e-mail (come la posta tradizionale, come gli SMS) è basata su un protocollo "inaffidabile". Se volete essere certi che il destinatario riceva una vostra comunicazione, dovete telefonargli!
Dilbert sugli standard
Da Crypto-Gram del 15 ottobre 2011, segnalo questa vignetta di Dilbert:http://dilbert.com/fast/2011-08-02/
In inglese. Ma mi ha ricordato cose italiane...
In inglese. Ma mi ha ricordato cose italiane...
mercoledì 12 ottobre 2011
Dispositivi mobili aziendal-personali
Lo scorso dicembre segnalai il fatto che oggi sempre più smartphones e tablet personali (per non parlare del pc di casa) sono utilizzati per il lavoro, visto che sono spesso migliori della strumentazione fornita dall'azienda.http://blog.cesaregallotti.it/2010/12/lasciatemi-il-mio-pc.html
Ora scopro che questa modalità ha un nome: BYOD, Bring your own device.
Segnalo quindi questo breve articolo pubblicato sul sito web dell'ISACA dal titolo "5 Information Risk Management and Security Tips When Adopting a BYOD Strategy for Mobile Devices":http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/at-ISACA-Volume-21-12-October-2011.aspx?utm_source=informz&utm_medium=email&utm_campaign=informz#2
Ora scopro che questa modalità ha un nome: BYOD, Bring your own device.
Segnalo quindi questo breve articolo pubblicato sul sito web dell'ISACA dal titolo "5 Information Risk Management and Security Tips When Adopting a BYOD Strategy for Mobile Devices":http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/at-ISACA-Volume-21-12-October-2011.aspx?utm_source=informz&utm_medium=email&utm_campaign=informz#2
Divieto di concorrenza
Da Filodiritto trovo questa sentenza della Cassazione sul divieto di concorrenza: la cessione del "solo" 40% delle quote societarie non implica il divieto di concorrenza previsto dall'articolo 2557 del Codice Civile.
La notizia, di per se, non riguarderebbe i temi di questo blog. Però ho capito il perché, in alcuni contratti, si impone la clausola di riservatezza per "almeno cinque anni" (per me dovrebbe valere per sempre, a meno che le informazioni non diventino pubbliche) dopo il termine del rapporto di lavoro per dipendenti) o del contratto per fornitori.
Infatti, l'articolo 2557 recita "Il patto di astenersi dalla concorrenza in limiti più ampi di quelli previsti dal comma precedente è valido, purché non impedisca ogni attività professionale dell'alienante. Esso non può eccedere la durata di cinque anni dal trasferimento."
L'articolo: http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3368
La notizia, di per se, non riguarderebbe i temi di questo blog. Però ho capito il perché, in alcuni contratti, si impone la clausola di riservatezza per "almeno cinque anni" (per me dovrebbe valere per sempre, a meno che le informazioni non diventino pubbliche) dopo il termine del rapporto di lavoro per dipendenti) o del contratto per fornitori.
Infatti, l'articolo 2557 recita "Il patto di astenersi dalla concorrenza in limiti più ampi di quelli previsti dal comma precedente è valido, purché non impedisca ogni attività professionale dell'alienante. Esso non può eccedere la durata di cinque anni dal trasferimento."
L'articolo: http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3368
Posta Elettronica Certificata -- Scadenza e professionisti
Prendendo spunto da una pubblicità che mi è arrivata, ricordo che "La legge n.2 del 2009 impone a tutte le Aziende, entro il 29/11/2011, di comunicare al registro imprese della C.C.I.A.A. il proprio indirizzo di casella PEC - Posta Elettronica Certificata."
Io non sono un'impresa, ma a breve attiverò la PEC.
Ha i suoi limiti (tra gli altri, vi segnalo l'articolo di Andrea Monti su Interlex "Posta certificata: troppe questioni ancora aperte"), ma mi pare sia utile.
L'articolo di Andrea Monti: http://www.interlex.it/docdigit/amonti92.htm
Inoltre segnalo questo articolo di Filodiritto sulla PEC per i professionisti iscritti agli albi professionali:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2457
Infine, segnalo anche questo sulla condanna alla Regione Basilicata per "mancato uso di PEC":
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2456
Io non sono un'impresa, ma a breve attiverò la PEC.
Ha i suoi limiti (tra gli altri, vi segnalo l'articolo di Andrea Monti su Interlex "Posta certificata: troppe questioni ancora aperte"), ma mi pare sia utile.
L'articolo di Andrea Monti: http://www.interlex.it/docdigit/amonti92.htm
Inoltre segnalo questo articolo di Filodiritto sulla PEC per i professionisti iscritti agli albi professionali:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2457
Infine, segnalo anche questo sulla condanna alla Regione Basilicata per "mancato uso di PEC":
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2456
Videosorveglianza, standard ISO e Garante Privacy
Il 14 luglio il Garante Privacy ha emesso un provvedimento che permette alla società DNP Photomask Europe S.p.A. di conservare alcune immagini videoregistrate per 90 giorni, contrariamente al Provvedimento Generale del 8 aprile 2010 che impone un limite di 24 ore, a meno di eccezioni che possono portare fino al limite massimo di 7 giorni.
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1836335
Cos'è successo? In altre occasioni il Garante ha chiesto di limitare il tempo di conservazione, qui addirittura permette di estenderlo fino a 13 volte il limite massimo ed eccezionale.
Un potenziale cliente (Infineon, tedesco) della società DNP ha richiesto alla DNP di adottare delle misure di sicurezza, tra cui la conservazione per 90 giorni delle immagini, in conformità alle loro procedure, "conformi alla ISO/IEC 17799 e alla ISO/IEC 15408".
Per i pignoli: il Provvedimento dice che la Infineon "opera rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", non che sono certificati (anche se un prodotto della Infineon è effettivamente certificato EAL5+)
Quindi, al punto 3 del Provvedimento, il Garante (Relatore: Fortunato) elogia gli standard internazionali dicendo alcune cose corrette e osservando che queste norme fissano "stringenti criteri" da prendere per buoni. Il tutto si conclude con: "si ammette la conservazione delle immagini per 90 giorni".
Ecco cosa c'è di sbagliato:
- il Provvedimento è del 14 luglio 2011; ormai da 6 (sei) anni, la ISO/IEC 17799 si chiama ISO/IEC 27002 (peccato veniale, ma allora sentiamoci autorizzati di citare la Legge 675 del 1996)
- le norme citate sono ISO/IEC non ISO (altro peccato veniale)
- la ISO/IEC 27002 (o 17799) non c'entra nulla con il "protocollo EAL5+"
- nessuna delle due norme citate fissa "stringenti criteri"; l'unico "stringente criterio" è che (semplifico) le misure di sicurezza devono essere commisurate al rischio analizzato dall'impresa; non si parla di "videosorveglianza", "90 giorni", "TVCC" o altre cose del genere (ho trovato solo un "suitable intruder detection systems")
- la ISO/IEC 27002 non fornisce "stringenti criteri" per sua natura (è una linea guida, da adattare caso per caso)
Alla luce di tutto ciò, provo a tradurre quello che è successo: la Infineon ha fatto le sue analisi del rischio (secondo un metodo e con risultati non riportati dal Provvedimento) e ha stabilito che il tempo giusto per conservare le immagini per lei e i suoi fornitori è di 90 giorni, lo richiede alla DNP, la quale DNP lo richiede al Garante, che dice "OK". Sintetizzo ancora: il Garante ha detto "se mi dite che avete fatto un'analisi dei rischi (che non vorrò vedere) che vi dice di conservare le immagini per 90 giorni, io approvo".
Non credo fosse quello il suo intendimento. Purtroppo, avendo accettato di trattare un argomento senza conoscerlo e senza averlo studiato, questo è il risultato.
Ma c'è un ulteriore effetto negativo della storia: si dà alle norme ISO/IEC citate un valore inesatto, esattamente come lo si dà alla ISO 9001. Come la ISO 9001 non garantisce l'alta qualità dei prodotti o servizi offerti, così la 27002 e la 15408 non garantiscono l'alta sicurezza dei prodotti o servizi o dell'azienda in assoluto. Non la faccio lunga, ma ricordo che Windows NT fu certificato EAL3, e oggi molti sistemi operativi Windows sono certificati EAL 4+... questo intuitivamente vi fa capire che non basta sapere "certificato", bisogna andare un poco oltre.
E infatti, da tempo, insieme ad altri colleghi, cerco di far capire che queste affermazioni sono false (il Garante invece ha dimostrato di prenderle per buone, soprattutto l'ultima; sarà forse perché tutte quelle sigle e quei numeri l'hanno confuso?):
- io sono certificato ISO -> sono al sicuro
- il mio fornitore è ISO -> è sicuro anche secondo i miei standard, anche se non glieli ho detti
- ricerco un fornitore ISO -> non ho bisogno di dirgli i miei requisiti di sicurezza perché tanto lui è sicuro -> non ho neanche bisogno di capire cosa c'è scritto sul certificato
- compro un prodotto ISO o da un fornitore ISO -> il prodotto è sicuro
- il mio cliente, fornitore o partner è ISO -> tutto ciò che dice è buono e giusto
Mi limito a concludere dicendo che:
- il Garante ha sbagliato
- se ha sbagliato qui, quante altre volte è stato superficiale nei Provvedimenti?
- come è possibile che il Garante non conosca almeno approssimativamente gli standard internazionali sulla sicurezza delle informazioni?
- allora è vero che emette Provvedimenti con misure di sicurezza da realizzare senza una base condivisa dagli specialisti della materia!
- Il Provvedimento Generale sulla videosorveglianza del 8 aprile 2010: http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680#3.4
- il sito ufficiale dei Common Criteria: http://www.commoncriteriaportal.org/
Mi fermo qui. Qualcuno mi dia i riferimenti di un avvocato in caso riceva una querela.
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1836335
Cos'è successo? In altre occasioni il Garante ha chiesto di limitare il tempo di conservazione, qui addirittura permette di estenderlo fino a 13 volte il limite massimo ed eccezionale.
Un potenziale cliente (Infineon, tedesco) della società DNP ha richiesto alla DNP di adottare delle misure di sicurezza, tra cui la conservazione per 90 giorni delle immagini, in conformità alle loro procedure, "conformi alla ISO/IEC 17799 e alla ISO/IEC 15408".
Per i pignoli: il Provvedimento dice che la Infineon "opera rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", non che sono certificati (anche se un prodotto della Infineon è effettivamente certificato EAL5+)
Quindi, al punto 3 del Provvedimento, il Garante (Relatore: Fortunato) elogia gli standard internazionali dicendo alcune cose corrette e osservando che queste norme fissano "stringenti criteri" da prendere per buoni. Il tutto si conclude con: "si ammette la conservazione delle immagini per 90 giorni".
Ecco cosa c'è di sbagliato:
- il Provvedimento è del 14 luglio 2011; ormai da 6 (sei) anni, la ISO/IEC 17799 si chiama ISO/IEC 27002 (peccato veniale, ma allora sentiamoci autorizzati di citare la Legge 675 del 1996)
- le norme citate sono ISO/IEC non ISO (altro peccato veniale)
- la ISO/IEC 27002 (o 17799) non c'entra nulla con il "protocollo EAL5+"
- nessuna delle due norme citate fissa "stringenti criteri"; l'unico "stringente criterio" è che (semplifico) le misure di sicurezza devono essere commisurate al rischio analizzato dall'impresa; non si parla di "videosorveglianza", "90 giorni", "TVCC" o altre cose del genere (ho trovato solo un "suitable intruder detection systems")
- la ISO/IEC 27002 non fornisce "stringenti criteri" per sua natura (è una linea guida, da adattare caso per caso)
Alla luce di tutto ciò, provo a tradurre quello che è successo: la Infineon ha fatto le sue analisi del rischio (secondo un metodo e con risultati non riportati dal Provvedimento) e ha stabilito che il tempo giusto per conservare le immagini per lei e i suoi fornitori è di 90 giorni, lo richiede alla DNP, la quale DNP lo richiede al Garante, che dice "OK". Sintetizzo ancora: il Garante ha detto "se mi dite che avete fatto un'analisi dei rischi (che non vorrò vedere) che vi dice di conservare le immagini per 90 giorni, io approvo".
Non credo fosse quello il suo intendimento. Purtroppo, avendo accettato di trattare un argomento senza conoscerlo e senza averlo studiato, questo è il risultato.
Ma c'è un ulteriore effetto negativo della storia: si dà alle norme ISO/IEC citate un valore inesatto, esattamente come lo si dà alla ISO 9001. Come la ISO 9001 non garantisce l'alta qualità dei prodotti o servizi offerti, così la 27002 e la 15408 non garantiscono l'alta sicurezza dei prodotti o servizi o dell'azienda in assoluto. Non la faccio lunga, ma ricordo che Windows NT fu certificato EAL3, e oggi molti sistemi operativi Windows sono certificati EAL 4+... questo intuitivamente vi fa capire che non basta sapere "certificato", bisogna andare un poco oltre.
E infatti, da tempo, insieme ad altri colleghi, cerco di far capire che queste affermazioni sono false (il Garante invece ha dimostrato di prenderle per buone, soprattutto l'ultima; sarà forse perché tutte quelle sigle e quei numeri l'hanno confuso?):
- io sono certificato ISO -> sono al sicuro
- il mio fornitore è ISO -> è sicuro anche secondo i miei standard, anche se non glieli ho detti
- ricerco un fornitore ISO -> non ho bisogno di dirgli i miei requisiti di sicurezza perché tanto lui è sicuro -> non ho neanche bisogno di capire cosa c'è scritto sul certificato
- compro un prodotto ISO o da un fornitore ISO -> il prodotto è sicuro
- il mio cliente, fornitore o partner è ISO -> tutto ciò che dice è buono e giusto
Mi limito a concludere dicendo che:
- il Garante ha sbagliato
- se ha sbagliato qui, quante altre volte è stato superficiale nei Provvedimenti?
- come è possibile che il Garante non conosca almeno approssimativamente gli standard internazionali sulla sicurezza delle informazioni?
- allora è vero che emette Provvedimenti con misure di sicurezza da realizzare senza una base condivisa dagli specialisti della materia!
- Il Provvedimento Generale sulla videosorveglianza del 8 aprile 2010: http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680#3.4
- il sito ufficiale dei Common Criteria: http://www.commoncriteriaportal.org/
Mi fermo qui. Qualcuno mi dia i riferimenti di un avvocato in caso riceva una querela.
venerdì 30 settembre 2011
Pagina normativa "informatica"
Ho cambiato la pagina sulla normativa in materia informatica: http://www.cesaregallotti.it/Normativa.html
Ho infatti scelto di non allegare più una copia delle norme, ma di riinviare a siti come www.normattiva.it o quello del Garante Privacy (era impossibile tenere aggiornati i files).
Avrò fatto sicuramente molti errori: se li trovate, vi prego di segnalarmeli.
Ho infatti scelto di non allegare più una copia delle norme, ma di riinviare a siti come www.normattiva.it o quello del Garante Privacy (era impossibile tenere aggiornati i files).
Avrò fatto sicuramente molti errori: se li trovate, vi prego di segnalarmeli.
mercoledì 21 settembre 2011
Vulnerabilità SCADA
La newsletter Sans NewsByte del 20 settembre segnala che "Un ricercatore italiano, Luigi Auriemma, ha pubblicato 13 vulnerabilità di alcuni prodotti SCADA (supervisory control and data acquisition). In marzo, Auriemma aveva già pubblicato altre 34 vulnerabilità."
La notizia su Computerworld:http://www.computerworld.com/s/article/9220099/Researcher_discloses_zero_day_flaws_in_SCADA_systems?taxonomyId=17
Per essere aggiornati in materia, segnalo il ICS-CERT, collegato al "Ministero della Sicurezza Interna" (Department of Homeland Security) degli USA: www.ics-cert.org.
L'ICS-CERT pubblica newsletter mensili e dei Vulnerability Report per gli ICS (o SCADA) che possono interessare i loro utilizzatori.
La notizia su Computerworld:http://www.computerworld.com/s/article/9220099/Researcher_discloses_zero_day_flaws_in_SCADA_systems?taxonomyId=17
Per essere aggiornati in materia, segnalo il ICS-CERT, collegato al "Ministero della Sicurezza Interna" (Department of Homeland Security) degli USA: www.ics-cert.org.
L'ICS-CERT pubblica newsletter mensili e dei Vulnerability Report per gli ICS (o SCADA) che possono interessare i loro utilizzatori.
martedì 20 settembre 2011
Le sanzioni disciplinari nel rapporto di lavoro. Cenni introduttivi
Segnalo questo interessante articolo di Filodiritto sulle sanzioni disciplinari nel rapporto di lavoro.
Come dice il titolo stesso dell'articolo, si tratta di una semplice introduzione. Penso comunque che sia necessaria:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2429
Come dice il titolo stesso dell'articolo, si tratta di una semplice introduzione. Penso comunque che sia necessaria:http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2429
giovedì 15 settembre 2011
Tor Day
Il 28 giugno, alla Statale di Milano, si è tenuto un incontro con Giovanni Ziccardi, Pierluigi Perri, Andrea Trentini e Jan Reister, tutti dell'Università di Milano, dal titolo "TOR day".
Il TOR è un progetto per l'anonimità on line. Nella sua pagina web (https://www.torproject.org/) è possibile scaricare un browser Firefox con una configurazione specifica e altri software.
Altri miei appunti:
- i siti web per default spesso utilizzano pagine http, anche se sono disponibili quelle https. Il plug-in di Firefox HTTPS Everywhere permette invece di richiedere le pagine https di default
https://www.eff.org/https-everywhere
- per scaricare i video di youtube con TOR o da luoghi dove youtube è censurato: http://pwnyoutube.com o http://deturl.com/
- per creare utenti anonimi, con la possibilità di ricevere files in modo anonimo e per permettere ai mittenti di essere altrettanto anonimi (se usano, ovviamente, TOR): https://privacybox.de/
- via TOR sono poi disponibili diversi "hidden services" (non sempre eticamente accettabili). Per questo, si segnala la pagina http://tor2web.org
Il TOR è un progetto per l'anonimità on line. Nella sua pagina web (https://www.torproject.org/) è possibile scaricare un browser Firefox con una configurazione specifica e altri software.
Altri miei appunti:
- i siti web per default spesso utilizzano pagine http, anche se sono disponibili quelle https. Il plug-in di Firefox HTTPS Everywhere permette invece di richiedere le pagine https di default
https://www.eff.org/https-everywhere
- per scaricare i video di youtube con TOR o da luoghi dove youtube è censurato: http://pwnyoutube.com o http://deturl.com/
- per creare utenti anonimi, con la possibilità di ricevere files in modo anonimo e per permettere ai mittenti di essere altrettanto anonimi (se usano, ovviamente, TOR): https://privacybox.de/
- via TOR sono poi disponibili diversi "hidden services" (non sempre eticamente accettabili). Per questo, si segnala la pagina http://tor2web.org
martedì 13 settembre 2011
Garante: Cloud e smartphones
Il 23 giugno, il Garante ha pubblicato due "schede di documentazione":
- "Cloud computing: indicazioni per l’utilizzo consapevole dei servizi":
http://www.garanteprivacy.it/garante/document?ID=1819933
- "Smartphone e tablet: scenari attuali e prospettive operative":
http://www.garanteprivacy.it/garante/document?ID=1819937
Mi viene da notare che il Garante sta ora espandendo la propria area di azione alla informazione sulla sicurezza informatica, oltre al trattamento dei dati personali.
- "Cloud computing: indicazioni per l’utilizzo consapevole dei servizi":
http://www.garanteprivacy.it/garante/document?ID=1819933
- "Smartphone e tablet: scenari attuali e prospettive operative":
http://www.garanteprivacy.it/garante/document?ID=1819937
Mi viene da notare che il Garante sta ora espandendo la propria area di azione alla informazione sulla sicurezza informatica, oltre al trattamento dei dati personali.
lunedì 5 settembre 2011
BS BS 10008:2008 sulle prove informatiche
Max Cottafavi (Spike Reply) mi segnala che è da tempo pubblicata la BS 10008:2008 dal titolo "Evidential weight and legal admissibility of electronic information. Specification".
Leggendo la presentazione sul sito del BSI Group, mi pare che non sia una anticipazione della ISO/IEC 27037 sulla computer forensics, quanto una norma sulla autenticità dei documenti e delle comunicazioni informatiche. Insomma, qualcosa di molto legata alla firma digitale, per la quale, in Italia, vige il Codice dell'Amministrazione Digitale (Dlgs 82 del 2005) e, quindi, forse questo standard non è utile per le nostre imprese.
Ad ogni modo, posso sempre sbagliarmi e lascio a voi la valutazione (nel caso, provvederò a pubblicare commenti):
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030191165
Leggendo la presentazione sul sito del BSI Group, mi pare che non sia una anticipazione della ISO/IEC 27037 sulla computer forensics, quanto una norma sulla autenticità dei documenti e delle comunicazioni informatiche. Insomma, qualcosa di molto legata alla firma digitale, per la quale, in Italia, vige il Codice dell'Amministrazione Digitale (Dlgs 82 del 2005) e, quindi, forse questo standard non è utile per le nostre imprese.
Ad ogni modo, posso sempre sbagliarmi e lascio a voi la valutazione (nel caso, provvederò a pubblicare commenti):
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030191165
ISO/IEC 27035:2011 - Incident management
Il 1 settembre è stata pubblicata la ISO/IEC 27035:2011 dal titolo "Information technology — Security techniques — Information security incident management". Questa norma della famiglia ISO/IEC 270xx sostituisce la ISO/IEC TR 18044:2004.
Oltre alle cose già note e ripetute in mille altri contesti (scrivere politica, registrare gli incidenti, eccetera), sono sviluppati i seguenti argomenti:
- istituzione di un ISIRT (o CERT)
- un'appendice con degli esempi di incidente
- un'appendice con esempi di categorizzazione degli incidenti (in molti, in questi anni, mi hanno chiesto se c'era uno standard con questi esempi; la ISO/IEC TR 18044 non li aveva, ora ci sono)
- esempi di reportistica (già presenti nella ISO/IEC TR 18044)
Ovviamente, non mancano riflessioni su escalation, analisi approfondite dopo aver superato l'emergenza, computer forensics, gestione delle comunicazioni, eccetera.
Il tutto è più orientato al trattamento di attacchi o di gravi incidenti, che alla gestione di eventi meno significativi. Ovviamente, chi seguirà questo standard farà in modo di implementarlo in modo corretto.
Le norme ISO costano (www.iso.org). Per chi vuole risorse autorevoli e gratuite, segnalo la guida del NIST (http://csrc.nist.gov/publications/PubsSPs.html), SP 800-61 "Computer Security Incident Handling Guide" del 2008:
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf
Grazie a Franco Ferrari del DNV Italia per la segnalazione.
Oltre alle cose già note e ripetute in mille altri contesti (scrivere politica, registrare gli incidenti, eccetera), sono sviluppati i seguenti argomenti:
- istituzione di un ISIRT (o CERT)
- un'appendice con degli esempi di incidente
- un'appendice con esempi di categorizzazione degli incidenti (in molti, in questi anni, mi hanno chiesto se c'era uno standard con questi esempi; la ISO/IEC TR 18044 non li aveva, ora ci sono)
- esempi di reportistica (già presenti nella ISO/IEC TR 18044)
Ovviamente, non mancano riflessioni su escalation, analisi approfondite dopo aver superato l'emergenza, computer forensics, gestione delle comunicazioni, eccetera.
Il tutto è più orientato al trattamento di attacchi o di gravi incidenti, che alla gestione di eventi meno significativi. Ovviamente, chi seguirà questo standard farà in modo di implementarlo in modo corretto.
Le norme ISO costano (www.iso.org). Per chi vuole risorse autorevoli e gratuite, segnalo la guida del NIST (http://csrc.nist.gov/publications/PubsSPs.html), SP 800-61 "Computer Security Incident Handling Guide" del 2008:
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf
Grazie a Franco Ferrari del DNV Italia per la segnalazione.
ISO 31000: 2009 - Versione italiana
Franco Ferrari del DNV Italia mi segnala che in novembre 2010 è stata pubblicata la versione italiana della ISO 31000:2009 "Risk management — Principles and guidelines".
E' quindi disponibile presso la UNI la UNI ISO 31000:2010 "Gestione del rischio - Principi e linee guida"
E' quindi disponibile presso la UNI la UNI ISO 31000:2010 "Gestione del rischio - Principi e linee guida"
Versione italiana della ISO/IEC 17021:2011
Franco Ferrari mi segnala che a marzo 2011 è stata emessa la traduzione italiana della ISO/IEC 17021:2011 "Conformity assessment — Requirements for bodies providing audit and certification of management systems".
E' quindi disponibile la UNI CEI EN ISO/IEC 17021:2011 "Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione".
Ricordo che questa norma è applicabile ai soli organismi di certificazione, sulla base della quale sono accreditati da orgnismi quali Accredia, UKAS, eccetera.
E' quindi disponibile la UNI CEI EN ISO/IEC 17021:2011 "Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione".
Ricordo che questa norma è applicabile ai soli organismi di certificazione, sulla base della quale sono accreditati da orgnismi quali Accredia, UKAS, eccetera.
venerdì 2 settembre 2011
Regole tecniche documento informatico
Segnalazione ricevuta da Uninfo: DigitPA ha pubblicato la bozza delle regole tecniche documento informatico e gestione documentale, protocollo informatico e sistema conservazione di documenti.
Queste regole dovrebbero sostituire la Circolare CNIPA 11/2004 e AIPA 28/2001 e prendere in carico i requisiti del CAD dopo le modifiche apportate dal Dlgs 235 del 2010.
La bozza è stata pubblicata il 5 agosto e i commenti possono essere inviati entro il 10 settembre. Non commento i tempi.
Può essere comunque utile leggere il materiale proposto:
http://www.digitpa.gov.it/altre-attivit/pubblicata-bozza-regole-tecniche-documento-informatico-protocollo-informatico-conserva
Queste regole dovrebbero sostituire la Circolare CNIPA 11/2004 e AIPA 28/2001 e prendere in carico i requisiti del CAD dopo le modifiche apportate dal Dlgs 235 del 2010.
La bozza è stata pubblicata il 5 agosto e i commenti possono essere inviati entro il 10 settembre. Non commento i tempi.
Può essere comunque utile leggere il materiale proposto:
http://www.digitpa.gov.it/altre-attivit/pubblicata-bozza-regole-tecniche-documento-informatico-protocollo-informatico-conserva
Iscriviti a:
Post (Atom)