******************************************************
IT SERVICE MANAGEMENT NEWS
– DICEMBRE 2021
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
00- Editoriale e auguri
01- VERA 6
02- NISTIR 8286A sulla valutazione del rischio
03- "Cybersecurity Made in Europe Label"
04- Regolamento AgID per il cloud delle PA
05- NIST SP 800-213 sulla sicurezza IoT
06- ISO/IEC 27013:2021 sulle relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1
07- ISO/TS 22317:2021 sulla BIA
08- D. Lgs. 170 e 173 del 2021 per il Codice del consumo e la vendita di dati
personali
09- Le icone per le informative privacy
******************************************************
00- Editoriale e auguri
Come sempre, colgo l'occasione della newsletter di dicembre per fare gli auguri
di buone feste a tutti i miei lettori e ringraziarvi per la pazienza che usate
seguendomi.
Ci sono poi un po' di novità che vorrei segnalarvi.
La prima è che ho prodotto il VERA 6 e ne sono molto contento perché mi è
costato un po' di fatica. Spero di non aver fatto troppi errori.
La seconda è che tra poco pubblicherò la nuova edizione del mio libro
"Sicurezza delle informazioni", con tutti i controlli aggiornati
anche con riferimento alla futura ISO/IEC 27002. Speravo di essere più veloce e
pubblicarlo entro Natale, ma non ce l'ho ancora fatta, purtroppo.
La terza è che proverò, su suggerimento di David Foresti, a inviare queste
notizie anche attraverso il servizio di newsletter di LinkedIn. Chissà come
verrà...
Infine ricordo a tutti che questa non è una newsletter tecnica e quindi non c'è
niente sulla vulnerabilità Log4j. Per quella ci sono canali di informazioni ben
più qualificati di questo.
E quindi... arrivederci al 2022!
Ce
******************************************************
01- VERA 6
Finalmente sono riuscito a completare e pubblicare il VERA 6 in italiano e
inglese. Si scarica dal mio sito:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Le modifiche principali:
- forse la più importante è che riporta i controlli della ISO/IEC 27001 del
2013 e del 2022 con lista di riscontro;
- il piano di trattamento del rischio con anche il rischio atteso dopo
l'azione.
Per quanto riguarda i controlli, ho cercato di avere una relazione 1-1 tra
quelli del 2013 e quelli del 2022. Questo ha comportato un aumento di 14
controlli, mentre tra le due edizioni c'è stata una diminuzione. Però penso che
in alcuni casi gli accorpamenti siano stati eccessivi, fino a rendere meno
chiari alcuni controlli. Quindi alla fine penso che non sia una cosa così
negativa avere qualche controllo in più, purché si aggiunga chiarezza.
Quindi ho anche aggiunto note ai controlli.
Come sempre, invito tutti a segnalarmi errori o possibili miglioramenti.
******************************************************
02- NISTIR 8286A sulla
valutazione del rischio
Il NIST ha pubblicato la NISTIR 8286A "Identifying and Estimating
Cybersecurity Risk for Enterprise Risk Management":
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.
L'ho letta un po' velocemente, ma devo dire che contiene cose molto
interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative
alla valutazione del rischio relativo alla sicurezza delle informazioni.
Vorrei segnalare che propone una valutazione del rischio in qualche modo più
semplice di quella che di solito vediamo. In sostanza chiede di enumerare le
minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a
un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.
Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza
al rischio (i "criteri di rischio" o "criteri di accettabilità
del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.
C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando
si valuta il rischio e anche questo l'ho trovato molto interessante.
Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.
******************************************************
03- "Cybersecurity
Made in Europe Label"
Franco Vincenzo Ferrari di DNV mi ha inoltrato la segnalazione relativa al
"Cybersecurity Made in Europe Label":
- https://www.corrierecomunicazioni.it/cyber-security/cybersicurezza-arriva-il-bollino-europeo-di-qualita-per-le-aziende/.
Va guardato anche il sito vero e proprio:
- https://www.cybersecurity-label.eu/.
Devo dire che l'iniziativa poteva essere bella, ma il sito non è chiaro e,
anzi, mi ha lasciato perplesso se non preoccupato. I motivi sono i seguenti:
Primo: sembra che si tratti di un'etichetta per dire che si è bravi ad erogare
servizi di cybersicurezza (ma niente a che vedere con le certificazioni previste
dal Cybersecurity act), ma non si distingue assolutamente tra i vari servizi,
come se fossero un grande blob unico. Sappiamo che i servizi sono tanti:
monitoraggio, gestione sistemistica o della rete, VA/PT infrastrutturali o
delle applicazioni (e, a loro volta, di tantissimi tipi), allarmi preventivi,
chi ne ha più ne metta. Qui sembra che tutti i servizi possono avere
l'etichetta "Cybersecurity Made in Europe Label", senza distinzione
alcuna.
Secondo: il registro delle aziende "etichettate" riporta solo il link
al loro sito web, senza dire quale servizio è stato valutato.
Terzo: nelle istruzioni per ricevere l'etichetta, gli unici criteri di verifica
che ho trovato richiedono solo dichiarazioni e una breve check list di due
paginette. La check list (dal titolo "The Label Conformity Declaration
with ENISA's Indispensable baseline security requirements for the procurement
of secure ICT products and services"), tra l'altro, riporta domande sulla
sicurezza del "prodotto", non sulla qualità di un servizio di
sicurezza.
Allora sembrerebbe che l'etichetta serva solo a dichiarare di essere un'impresa
che si occupa di cybersicurezza e che ha sede in Europa. Beh... non mi sembra
questa gran cosa. Sembra un'iniziativa in cui le aziende spendono soldi per essere
inserite in un registro (almeno apparentemente) inutile (anzi, direi dannoso,
visto che toglie energie a cose più importanti e dà false idee su cos'è la
sicurezza, purtroppo avallate da troppe imprese).
O forse sbaglio (lo spero proprio) e non ho visto tutto?
******************************************************
04- Regolamento AgID per
il cloud delle PA
Franco Vincenzo Ferrari di DNV mi ha segnalato che AgID ha pubblicato il
"Regolamento recante i livelli minimi di sicurezza, capacità elaborativa,
risparmio energetico e affidabilità delle infrastrutture digitali per la PA e
le caratteristiche di qualità, sicurezza, performance e scalabilità,
portabilità dei servizi cloud per la pubblica amministrazione, le modalità di
migrazione, nonché le modalità di qualificazione dei servizi cloud per la
pubblica amministrazione":
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/12/15/cloud-pa-adottato-il-regolamento.
Per leggere le misure vere e proprie, bisogna scaricare l'allegato dalla
pagina:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_123065_725_1.html.
Nulla di particolarmente innovativo (ma non per questo scorretto), ma è
importante conoscere le misure richiesta alla PA e ai suoi fornitori.
******************************************************
05- NIST SP 800-213 sulla
sicurezza IoT
Il NIST ha pubblicato la NIST SP 800-213 dal titolo "IoT Device
Cybersecurity Guidance for the Federal Government". Essa è divisa in due
parti: il corpo principale ("Establishing IoT Device Cybersecurity
Requirements") e l'elenco delle misure di sicurezza ("IoT Device
Cybersecurity Requirement Catalog"). Si può scaricare dal sito del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-213/final.
Il corpo principale non mi sembra dica cose straordinarie, ma è utile per
capire l'architettura di un sistema IoT e le sue caratteristiche significative
per la sicurezza. Interessante il catalogo, anche se qualche misura mi sembra
non scritta terra-terra.
Lettura consigliata per chi si occupa di questa materia, anche se penso che la
guida
(http://blog.cesaregallotti.it/2019/02/etsi-ts-103-645-cyber-security-for.html),
per sintesi, è più pratica.
Avevo segnalato a suo tempo (giugno 2020) le NIST NISTIRs 8259 e 8259A, dicendo
che erano troppo generali. Questa supera questo problema.
******************************************************
06- ISO/IEC 27013:2021
sulle relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1
E' stata appena pubblicata la ISO/IEC 27013:2021 con titolo "Guidance on
the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1":
- https://www.iso.org/standard/78752.html.
Questa è una norma che esiste dal 2012 e a mio parere contiene alcune
indicazioni utili. In alcuni casi il testo è inutilmente complicato, ma molte volte
permette di guardare consapevolmente alle differenze (soprattutto di
linguaggio) tra i due standard.
Ho visto che Fabrizio Cirilli ha segnalato la pubblicazione su LinkedIn qualche
giorno fa. Lo ringrazio.
******************************************************
07- ISO/TS 22317:2021
sulla BIA
Nuova ISO/TS 22317:2021, "Guidelines for business impact analysis"
per la continuità operativa:
- https://www.iso.org/standard/79000.html.
Non l'ho ancora letta. La precedente versione mi sembrava un po' troppo
teorica. Però vale sicuramente la pena buttarci un occhio.
Grazie a Laura Zarrillo che l'ha segnalato su LinkedIn.
******************************************************
08- D. Lgs. 170 e 173 del 2021
per il Codice del consumo e la vendita di dati personali
Grazie all'informativa di B&C Legal and compliance vedo che sono entrati in
vigore i D. Lgs. 170 e 173 del 2021 con modifiche al codice del consumo.
Per questo segnalo due articoli di Altalex. Il primo riguarda il D. Lgs. 170 e
tratta soprattutto delle responsabilità del venditore (e quindi dei diritti dei
consumatori) di beni digitali:
- https://www.altalex.com/documents/news/2021/12/03/codice-del-consumo-le-modifiche-alla-disciplina-sulla-vendita-di-beni.
Il secondo riguarda il D. Lgs. 173 del 2021 e riguarda i contratti di fornitura
di servizi digitali, incluso il "pagamento con dati personali":
- https://www.altalex.com/documents/news/2021/12/09/fornitura-di-contenuti-o-servizi-digitali-le-modifiche-al-codice-del-consumo.
Per quanto riguarda il secondo caso, sembra che le interpretazioni siano ancora
dubbiose e quindi ci vorrà del tempo per capirne meglio la portata.
******************************************************
09- Le icone per le
informative privacy
Grazie a un tweet di Daniela Quetti, scopro che si è concluso un concorso del
Garante per proporre icone nelle informative privacy:
- https://www.garanteprivacy.it/temi/informativechiare.
Le icone dovrebbero far capire al volo dove si parla di "accesso ai
dati", "finalità", "titolare", eccetera.
Manuel Salvi ha espresso perplessità in merito alla chiarezza delle informative
in generale che condivido:
- https://www.linkedin.com/posts/manuelsalvi_gdpr-activity-6877893872488378368-WD-w.
Io guardo le icone e non mi aiutano proprio a capire al volo che lì si parla di
titolare (o responsabile, o finalità, o DPO e via così). Potrei usarle per
rendere più piacevoli le informative con qualche elemento grafico, ma
"Titolare" dovrò pur sempre scriverlo.
L'idea delle icone è carina e interessante, ma, nella migliore delle ipotesi,
ci vorranno anni per renderle familiari. Io poi penso che non ci arriveremo
mai, visto che (ad esclusione di chi lavora nella privacy) le persone
"normali" le vedono una o due volte al mese al massimo, non come i
cartelli stradali o i bottoni sui pc che invece vedono quotidianamente per
tempi lunghi.
Insomma, penso che si stia rincorrendo un'illusione (e allora preferisco
impiegare il mio tempo inseguendo altre illusioni).
******************************************************
EONL