Newsletter su sicurezza delle informazioni, qualità, privacy e non solo.

******************************************************
IT SERVICE MANAGEMENT NEWS – MARZO 2021
******************************************************

Newsletter mensile con novità in materia di sicurezza delle informazioni, IT Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Libro "Intelligenza artificiale e sicurezza"
02- 16-18 marzo: Security Summit 2021
03- 18 marzo 2021: Presentazione sulle novità delle norme internazionali
04- Storia delle norme di sicurezza informatica (molto breve)
05- Minacce e attacchi: Incendio al data center di OVH a Strasburgo
06- Normativa: Perimetro di sicurezza: decreto sugli incidenti (errata corrige)
07- Standard: Cosa prevede la nuova ISO/IEC 27002 (mio articolo)
08- Standard: Pubblicata la ISO 22300 sulla continuità operativa
09- Standard e privacy: Pubblicata la ISO/IEC 27006-2 per le certificazioni ISO/IEC 27701 (PIMS)
10- Standard e norme tecniche: Pubblicazioni ENISA per TSP
11- Privacy: Multa per non aver nominato il responsabile del trattamento
12- Privacy: 3 violazioni di dati personali in strutture sanitarie e problemi vari

******************************************************
01- Libro "Intelligenza artificiale e sicurezza"

Il 18 sarà disponibile il libro "Intelligenza artificiale e sicurezza" della Community for Security del Clusit:
- https://iasecurity.clusit.it/.

Io ho avuto l'opportunità e il privilegio di fare da editor, ossia di consolidare i contributi ricevuti e precedentemente ottimamente organizzati dai team leader. Lo dico perché all'inizio ero completamente ignorante in materia di intelligenza artificiale (a parte una certa conoscenza di Hal 9000 e delle tre leggi della robotica di Asimov) e ho avuto la possibilità di poter chiedere chiarimenti agli autori (tutti validissimi) mano a mano che non capivo qualcosa.

Spero quindi di essere riuscito a limare il testo in modo che possa essere utile ai principianti. Sono anche sicuro che sarà utile a chi conosce già l'intelligenza artificiale, visto che gli autori sono di altissimo livello e il testo è stato riesaminato da persone molto preparate sulla materia.

Io personalmente ho già avuto modo di verificare i benefici personali che ho avuto da questo lavoro. Sono infatti riuscito a seguire alcuni ragionamenti sull'intelligenza artificiale senza sentirmi perso.

Sono grato a tutti quelli che hanno partecipato a questo lavoro, coordinati dal bravissimo Alessandro Vallega di P4I, per l'opportunità non solo di imparare, ma anche e soprattutto di potermi confrontare con persone (non solo professionisti) eccezionali. Per fare un esempio: è stato bello assistere alla neo-paternità di un partecipante.

******************************************************
02- 16-18 marzo: Security Summit 2021

Dal 16 al 18 marzo ci sarà il Security summit:
- https://securitysummit.it/eventi/2021-milano/agenda.

Io terrò un fugace intervento, insieme ad altri, sullo stato delle norme internazionali:
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.

Ma vale la pena fare un giro in tutte le sessioni.

******************************************************
03- 18 marzo 2021: Presentazione sulle novità delle norme internazionali

Il 18 marzo 2021, nell'ambito del Security Summit, parteciperò alla presentazione "Tutte le novità delle norme internazionali in arrivo nel 2021 su: dati personali, ISO/IEC 27002, PEC e IoT":
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.

Avremo un'ora per parlare molte cose. Ce la faremo!

******************************************************
04- Storia delle norme di sicurezza informatica (molto breve)

Mi sono divertito a scrivere una brevissima storia delle norme di sicurezza informatica:
- https://www.key4biz.it/storia-delle-norme-degli-standard-e-delle-linee-guida-di-sicurezza-informatica/346992/.

L'ho impostata facendo riferimento al diverso livello di prescrittività delle norme nel tempo.

L'articolo riprende e in parte approfondisce il mio intervento al Dig.eat 2021.

******************************************************
05- Minacce e attacchi: Incendio al data center di OVH a Strasburgo

Sandro Sanna mi ha segnalato la notizia dell'incendio presso il data center di OVH a Strasburgo:
- https://www.ilmattino.it/primopiano/esteri/strasburgo_data_center_ovh_incendio_cosa_e_successo_ultime_notizie_news-5821804.html.

Anche Serena Giugni di Register me l'ha segnalata quasi in contemporanea, però con un articolo in inglese:
- https://www.datacenterknowledge.com/uptime/fire-has-destroyed-ovh-s-strasbourg-data-center-sbg2.

Con le notizie a disposizione, penso solo che chi si appoggia a questi servizi cloud non deve mai dare per scontato il servizio di disaster recovery. Ma questa è una cosa che diciamo da molto tempo.

Nota amena: questo evento mi è stato segnalato mentre stavo tenendo un corso sulla ISO 22301, la norma sui sistemi di gestione per la continuità operativa.

******************************************************
06- Normativa: Perimetro di sicurezza: decreto sugli incidenti (errata corrige)

Avevo segnalato la bozza del DPCM per la comunicazione degli incidenti da parte delle organizzazioni che rientrano nel perimetro di sicurezza nazionale:
- http://blog.cesaregallotti.it/2021/02/perimetro-di-sicurezza-decreto-sugli.html.

Giancarlo Caroti di Neumus mi segnala un errore dove dico che lo schema di DPCM richiede ai soggetti inclusi nel perimetro di "adottare le misure minime di sicurezza già previste da AgID".

Giancarlo mi fa notare che le "misure richieste non sono quelle minime di AgID ma provengono dalle Linee Guida emesse dal Comitato che riunisce le Autorità NIS (che in base all'art 12 del DL 65/2018 possono definire specifiche misure di sicurezza), che ha condiviso l'opportunità di utilizzare il Framework Nazionale di Cyber Security (Versione 2.0 Febbraio 2019) predisposto dal CINI a sua volta ispirato al CS Framework NIST 2014, come base di riferimento.

Si tratta essenzialmente di meno della metà dei controlli proposti nel FNCS CINI, cioè 47 subcategorie sul totale delle 116 (che a loro volta sono 8 in più del CSF NIST 2014). Certamente però molte misure si mappano agevolmente sui controlli che AgID ha stabilito nel 2017".

Ringrazio Giancarlo per la precisazione e mi scuso con i miei lettori.

******************************************************
07- Standard: Cosa prevede la nuova ISO/IEC 27002 (mio articolo)

Ho scritto questo articolo dal titolo "Sicurezza delle informazioni, cosa prevede la nuova ISO/IEC 27002/2021":
- https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.

Tra l'altro, il 18 marzo, nell'ambito del Security Summit, presenterò molto brevemente le novità della ISO/IEC 27002 (parteciperà anche Fabio Guasconi che quindi potrà dare ulteriori spunti).

******************************************************
08- Standard: Pubblicata la ISO 22300 sulla continuità operativa

E' stata pubblicata la "ISO 22300:2021 Security and resilienceVocabulary":
- https://www.iso.org/standard/77008.html.

Il titolo dice già tutto sul suo contenuto. Essa sostituisce la versione del 2018.

******************************************************
09- Standard e privacy: Pubblicata la ISO/IEC 27006-2 per le certificazioni ISO/IEC 27701 (PIMS)

E' stata pubblicata la ISO/IEC TS 27006-2 "Requirements for bodies providing audit and certification of information security management systems — Part 2: Privacy information management systems":
- https://www.iso.org/standard/71676.html.

Di questa norma ho già accennato in precedenza. Essa regolamenta le certificazioni dei sistemi di gestione per la privacy rispetto alla norma ISO/IEC 27701.

Ricordo ancora che questa certificazione non soddisfa quanto previsto dagli articoli 42 e 43 del GDPR, ma è comunque una "buona" certificazione.

Evito di ripetere cose già dette e rimando a un articolo che avevo scritto insieme ad Andrea Caccia e Fabio Guasconi a gennaio 2020 ma ancora attuale:
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.

Personalmente spero che Accredia si allinei al più presto a questa norma, mettendo fine allo schema attuale, visto che non ne apprezzo alcune scelte.

Elementi particolarmente significativi:
- stabilito il calcolo delle giornate di audit (anche se il metodo è incompleto perché non considera il caso in cui l'ambito ISO/IEC 27701 sia un sottoinsieme di quello ISO/IEC 27001);
- indicate le competenze degli auditor e del gruppo di audit;
- specificato come deve essere il certificato ISO/IEC 27701 (che deve essere a sé stante, anche se collegato a un certificato ISO/IEC 27001).

******************************************************
10- Standard e norme tecniche: Pubblicazioni ENISA per TSP

Franco Ferrari di DNV mi ha segnalato la recente pubblicazione (16 febbraio) di nuovi documenti da parte di ENISA, significativi per i TSP (e forse non solo per loro).

Security Framework for Trust Providers
-
https://www.enisa.europa.eu/publications/security-framework-for-trust-providers/.

Security Framework for Qualified Trust Providers
-
https://www.enisa.europa.eu/publications/security-framework-for-qualified-trust-providers.

Remote ID Proofing
-
https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing.

Assessment of Qualified Trust Service Providers
-
https://www.enisa.europa.eu/publications/assessment-of-qualified-trust-service-providers/.

Recommendations for QTSPs based on Standards
-
https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards/.

Me li dovrò studiare per bene, ma sono sicuro che siano estremamente validi.

Purtroppo ENISA ha un sito web che non aiuta a trovare i documenti: la pagina "Publications" non evidenzia questi nuovi documenti e, in realtà, si concentra sui rapporti, sui documenti interni e altra roba non molto importante per gli altri. Poi ha etichette e argomenti (topic) non aggiornati alle attuali esigenze. Insomma, la situazione è molto difficile e ritengo che sia un peccato vista la qualità della documentazione di ENISA.

******************************************************
11- Privacy: Multa per non aver nominato il responsabile del trattamento

La Regione Lazio è stata multata per 75.000 Euro per non aver designato un fornitore esterno (contact center) come responsabile del trattamento dei dati:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9542113.

Molte organizzazioni sono indietro relativamente a questi adempimenti (e altre si ostinano a "nominare" come responsabile del trattamento il legale rappresentante e non la società) e forse questa ordinanza smuoverà qualcosa.

******************************************************
12- Privacy: 3 violazioni di dati personali in strutture sanitarie e problemi vari

La newsletter del Garante privacy del 19 febbraio 2021 riporta la notizia "Data breach sanitari, il Garante privacy sanziona tre strutture":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544567.

In due casi, un invio cartaceo è stato indirizzato alla persona sbagliata, mentre nel terzo caso un'infermiera aveva contattato i familiari di una paziente, nonostante questa avesse richiesto di non farlo.

Il terzo caso è abbastanza semplice da capire: la richiesta della paziente non era stata archiviata in modo opportuno e la struttura sanitaria non aveva ben stabilito come gestire questo tipo di richieste in modo che il personale non faccia errori (p.e. con maschere che ricordano le opzioni indicate dai pazienti oppure cancellando i numeri di telefono non più dichiarati accettabili dai pazienti).

Gli altri due casi sono invece di difficile comprensione. I provvedimenti indicano che "sono ricostruite le dinamiche dell'accaduto, analizzate le cause e definite le azioni correttive", ma io non e trovo traccia. Certamente i provvedimenti non sono sempre il posto dove trovare queste informazioni, ma così ho avuto l'idea di una giustizia un po' cieca, che non ammette l'errore.

Infatti il GDPR non richiede che non vengano fatti errori, ma che vengano valutati i rischi privacy. I provvedimenti non specificano niente in merito alla valutazione del rischio delle aziende ospedialiere. E qui si palesa lo scenario peggiore quando si parla di valutazione del rischio, ossia l'affermazione (scorretta) secondo cui "se c'è stato un incidente, vuol dire che la valutazione del rischio non era adeguata".

Dispiace che si sia arrivati a questo. Così la valutazione del rischio rimarrà sempre più un esercizio formale (utile solo a qualche auditor o consulenti per lanciarsi in noiosissime disqusizioni; l'ultima lezione che ho ricevuto, in un'azienda di 5 persone, riguardava i rischi inerenti, correnti, attesi e residui).

Spero che la rotta cambi, ma non credo che succederà in tempi brevi: l'approccio basato sul rischio è bello da raccomandare e da sbandierare, ma è difficile da capire e accettare fino in fondo.

******************************************************
EONL

Email inviata da Cesare 

Gallotti con MailUp

Cancella iscrizione  |  Invia a un amico

Ricevi questa email perché ti sei registrato a questa newsletter.
Cesare Gallotti, Cesare Gallotti Ripa Ticinese 75, Milano, 20143 MI IT
www.cesaregallotti.it