******************************************************
IT SERVICE MANAGEMENT NEWS
– MAGGIO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni,
gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Standard: Articolo su evoluzione e confusione nelle norme ISO/IEC 27xxx
02- Standard: ISO 37301:2021 - Compliance management systems
03- Decreto sulle certificazioni richieste dal perimetro di sicurezza
04- Minacce e attacchi: Rapporto semestrale NCSC 2020/2
05- Minacce e attacchi: caso di SIM swap - Commento
06- Intelligenza artificiale: sul possibile futuro regolamento europeo
07- Intelligenza artificiale: When AIs start hacking
08- Sicurezza dei servizi cloud MS
09- Privacy: Vietato contattare per recuperare il consenso negato in precedenza
10- Privacy: Blacklight analizzatore di siti web
11- Privacy: Sulle sanzioni del Garante
******************************************************
01- Standard: Articolo su
evoluzione e confusione nelle norme ISO/IEC 27xxx
Paolo Sferlazza ha pubblicato un articolo dal titolo "Evoluzione e
confusione nella famiglia delle norme ISO/IEC 27xxx":
https://www.ictsecuritymagazine.com/articoli/evoluzione-e-confusione-nella-famiglia-delle-norme-iso-iec-27xxx/.
Non penso che la situazione sarà così confusa come paventato da Paolo, ma credo
comunque che valga la pena considerare il suo punto di vista e prepararsi
all'uscita della nuova edizione della ISO/IEC 27002, prevista per fine 2021 o
inizio 2022.
******************************************************
02- Standard: ISO
37301:2021 - Compliance management systems
Monica Perego mi ha segnalato la pubblicazione della norma ISO 37301:2021 dal
titolo "Compliance management systems — Requirements with guidance for
use":
- https://www.iso.org/standard/75080.html.
E' facile immagirare i requisiti che riporta, visto che si basa sull'High level
structure. E' però chiaro che, a chi intende certificarsi, è richiesto un
livello di rigore superiore rispetto al "ogni tanto controllo qualche
sito" per dimostrare la propria gestione della conformità. Per questo ci
sono alcuni requisiti interessanti.
La norma ha un'Appendice A con anche una guida per l'interpretazione dei
requisiti.
Non so che successo avrà questa norma, ma la trovo interessante.
******************************************************
03- Decreto sulle
certificazioni richieste dal perimetro di sicurezza
Giancarlo Caroti di Neumus mi ha segnalato la pubblicazione del decreto del
Presidente della Repubblica numero 54 del 5 febbraio 2021.
Giancarlo mi sintetizza: "sono definite le procedure, le modalità e i
termini da seguire ai fini delle valutazioni da parte del CVCN (Mise) ed i CV
(MinInt e Difesa)". E commenta: "Pare molto impattante sulle
dinamiche di acquisizione di prodotti e servizi ICT dei soggetti nel perimetro
e dunque merita attenzione e credo che sarà spesso invocato (non sempre per
lodarlo)!".
Dove reperirlo:
- www.gazzettaufficiale.it/eli/id/2021/04/23/21G00060/sg.
Qualche mio commento:
- gli enti all'interno del perimetro dovranno fare un'analisi del rischio e
della sicurezza di ciascun prodotto o servizio ICT che intendono acquistare;
credo che in molti copi-incolleranno, ma penso che sarà comunque una pratica
utile (purché l'approccio richiesto, che dovrà essere pubblicato tra un paio di
mesi, non sarà inutilmente oneroso);
- CV e CVCN potranno specificare quali test dovranno essere condotti prima di
approvare un acquisto; anche questi saranno pubblicati tra un paio di mesi e,
secondo me, permetteranno, nel tempo, di innalzare il livello complessivo della
sicurezza informatica, grazie alla condivisione delle competenze, anche a chi è
fuori dal perimetro.
******************************************************
04- Minacce e attacchi:
Rapporto semestrale NCSC 2020/2
Si chiamava MELANI, oggi si chiama NCSC e a mio parere pubblica uno dei
rapporti di sicurezza informatica più interessanti e chiari. Lo si trova in
italiano:
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-2.html.
E' anche disponibile in inglese, ma, a dimostrazione della qualità del
rapporto, l'italiano è molto corretto e chiaro (tra l'altro, senza inutili e
vezzose maiuscole e inglesismi fuori luogo).
******************************************************
05- Minacce e attacchi:
caso di SIM swap - Commento
Gabriele Marelli mi ha inviato un commento sul post "Minacce e attacchi:
caso di SIM swap":
http://blog.cesaregallotti.it/2021/03/caso-di-sim-swap.html.
Riporto nel seguito le sue parole e lo ringrazio.
Condivido la sua osservazione sul fatto che appaia strano che la banca abbia
risarcito il cliente pur non avendo una reale colpa per l'attacco e, aggiungo,
pur avendo negato le proprie responsabilità nella risposta fornita al cliente.
E in effetti in casi simili è raro leggere notizie di rimborsi, anche in
relazione a presunte o potenziali corresponsabilità del correntista.
In questo caso mi sembrano però dirimenti i punti 3, 4 e 15.7 della perizia del
Dott. Rapetto (e forse anche l'autorevolezza del perito…), che si riferiscono
ad una procedura di "Recall", forse colpevolmente non eseguita o
eseguita fuori termine da parte della Banca, o forse eseguita correttamente e
che quindi ha consentito di recuperare i fondi indebitamente sottratti.
E' infatti evidente che in questo caso specifico sussistessero le condizioni
per l'applicazione della suddetta procedura (BEU eseguito in modo fraudolento +
richiesta di "Recall" entro 10 giorni lavorativi).
Senza questo elemento a mio avviso l'esito non sarebbe stato così scontato.
Temo che il diffuso e ormai annoso problema dello "SIM Swap"
permanga…
******************************************************
06- Intelligenza
artificiale: sul possibile futuro regolamento europeo
In questi giorni si è parlato molto della bozza di regolamento europeo
sull'intelligenza artificiale. Non mi piace parlare delle bozze di leggi e
regolamenti perché poi le versioni definitive sono diverse (come abbiamo visto
con le bozze del GDPR).
Però questo articolo di Luca Sambuci, a mio parere, chiarisce alcuni aspetti
relativi all'intelligenza artificiale che a mio parere è bene conoscere:
- https://www.notizie.ai/sul-regolamento-europeo-per-lintelligenza-artificiale-ce-ancora-molto-da-fare/.
******************************************************
07- Intelligenza
artificiale: When AIs start hacking
Segnalo questo articolo di Bruce Schneier dal titolo "When AIs Start
Hacking":
- https://www.schneier.com/blog/archives/2021/04/when-ais-start-hacking.html.
Non mi pare dica nulla di innovativo, ma è comunque un piacere leggerlo.
Schneier fa riferimento a un suo documento molto più esteso (54 pagine, quasi
un libro) dal titolo "The Coming AI Hackers":
- https://www.belfercenter.org/publication/coming-ai-hackers.
Non ho avuto il coraggio di leggerlo, ma non mi pare aggiunga molto, tranne il
fatto che Bruce Schneier scrive sempre molto bene e dice comunque cose
interessanti e intelligenti.
******************************************************
08- Sicurezza dei servizi
cloud MS
Segnalo questa interessante presentazione sulla sicurezza (e su come
configurare) dei servizi cloud di microsoft:
- https://drive.google.com/file/d/13Hmi2lSZEZfrvaAfc72EEsmK1iDcuNtM/.
C'è anche il video della presentazione fatta il 28 aprile 2021:
- https://www.youtube.com/watch?v=XOF8fw_aW5E.
******************************************************
09- Privacy: Vietato
contattare per recuperare il consenso negato in precedenza
Glauco Rampogna ha segnalato agli idraulici della privacy un interessante
articolo dal titolo "Vietato contattare i consumatori per incassare il
consenso negato in precedenza":
- http://www.cassazione.net/vietato-contattare-i-consumatori-per-incassare-il-consenso-negato-in-precedenza-p43393.html.
La lettura dell'articolo richiede l'abbonamento a cassazione.net.
Esso fa riferimento alla sentenza 11019/2021 della Sez prima della Cassazione
Civile del 26 aprile 2021. Si può leggerla indicando il Numero/Anno sentenza
sulla pagina http://www.italgiure.giustizia.it/sncass/.
Direi che già il titolo fa capire completamente la questione.
A me interessa anche perché qualche cliente in passato mi aveva fatto domande
proprio su questa questione.
Purtroppo sul sito del Garante non sono riuscito a trovare il provvedimento
specifico.
******************************************************
10- Privacy: Blacklight
analizzatore di siti web
Mi scrive Glauco Rampogna, Idraulico della privacy: non male questo
analizzatore di siti web:
- https://themarkup.org/blacklight.
Anche a me sembra ben fatto.
******************************************************
11- Privacy: Sulle
sanzioni del Garante
Andrea Veneziani di Yioroi mi ha scritto in merito alle mie riflessioni sulle
sanzioni del Garante privacy:
- http://blog.cesaregallotti.it/2021/03/sulle-sanzioni-del-garante.html.
Secondo lui le sanzioni non sono abbastanza elevate perché "la nostra
storia ci ha insegnato che, a fronte di sanzioni basse o lievi, poco o nulla si
è ottenuto in tema di applicazione della protezione dei dati personali. Mi
riferisco alle leggi anteriori al GDPR".
Aggiunge poi: "capisco che le aziende sono tartassate su molteplici fronti
(costi per sicurezza sul lavoro, diritti dei lavoratori, agenzia entrate,
ecc.), non capisco però le aziende che continuano a fare finta di niente in un
mondo dove il singolo cittadino subisce attacchi e tentativi di frode, spamming
di pubblicità da società di ogni genere, chiamate da call center al limite
dello sfinimento, ecc.".
Io però vorrei ricordare che non chiedo sanzioni meno elevate. Solo mi sembra
che, se le sanzioni sono elevate anche per chi si auto-denuncia (anzi, sembra
che siano le più elevate in Europa), è inutile lamentarsi se le auto-denunce
sono poche.
Comunque la si voglia leggere, rimane una conclusione di Andrea che condivido:
"Le sanzioni fanno sì che ogni tanto ci sia una scossa e qualcuno prenda
maggiori (o migliori) provvedimenti rispetto alla protezione dei dati personali
e delle informazioni in genere".
******************************************************
EONL