******************************************************
IT SERVICE MANAGEMENT NEWS
– MARZO 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Toyota ferma a causa di un incidente IT presso un fornitore
02- Vulnerabilità in Zabbix
03- NSA Network Infrastructure Security Guidance
04- Lista CISA di strumenti di sicurezza gratuiti
05- Tempi per forzare le password
06- Corso (gratuito) sulla ISO/IEC 27701
07- VERA 7 - In lavorazione (e richiesta di aiuto)
08- Giovedì 17 marzo: mio breve intervento sulla ISO/IEC 27005 al Security
Summit
09- Mio corso di introduzione alle ISO/IEC 27001 e 27002 per Digital&Law
Academy
10- Mia intervista su IusLaw Web Radio sulla ISO/IEC 27002
******************************************************
01- Toyota ferma a causa
di un incidente IT presso un fornitore
Il titolo "Toyota suspends domestic factory operations after suspected
cyber attack" dice molto di questo articolo (che io segnalo dopo averlo
visto sul SANS NewsBites):
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.
In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma
rientra sicuramente nei casi di "supply chain attack" e non
nell'ambito strettamente informatico.
Sarà interessante sapere di più dell'incidente.
******************************************************
02- Vulnerabilità in
Zabbix
Dal SANS NewsBites segnalo questo articolo dal titolo, non molto chiaro,
"Zabbix vulnerabilities added to CISA catalog":
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.
Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività
sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua
volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA).
Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza
di un prodotto (anche) di sicurezza.
Le patch sono disponibili da dicembre.
Lo segnalo per ricordare di prestare attenzione anche a queste cose.
******************************************************
03- NSA Network Infrastructure
Security Guidance
Il CISA (Cybersecurity and Infrastructure Security Agency degli USA) ha
segnalato che l'NSA ha pubblicato un documento dal titolo "Network
Infrastructure Security Guidance":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.
Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio
avviso, usato validamente come riferimento per la configurazione della rete.
Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo
altrettanto completo e rigoroso, ma orientato allo studio (come era
"Building Internet Firewalls", del 2000). Però sono sicuro che un
sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà,
a parte il tempo da dedicarci, ovviamente.
******************************************************
04- Lista CISA di
strumenti di sicurezza gratuiti
Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha
pubblicato un'interessante lista di strumenti gratuiti per la sicurezza:
- https://www.cisa.gov/free-cybersecurity-services-and-tools.
Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per
l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di
alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più
preparati di me non avranno problemi.
Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.
Ringrazio della segnalazione Flora Tozzi di DFA.
******************************************************
05- Tempi per forzare le
password
Glauco Rampogna degli Idraulici della privacy ha segnalato una tabella che
indica il tempo per forzare le password con forza bruta. Si può scaricare da
qui:
- https://www.hivesystems.io/password-table.
In sostanza, è meglio avere password di almeno 11 caratteri.
******************************************************
06- Corso (gratuito) sulla
ISO/IEC 27701
Ho avuto modo di conoscere (tramite social) Leocadio Marrero Trulillo. Ho quindi
scoperto che tiene numerosi corsi sulla sicurezza e lui stesso mi ha segnalato
questo suo video "Bootcamp Sochisi 2022 - Taller N°5: Uso práctico
empresarial de la Privacidad ISO 27701":
- https://www.youtube.com/watch?v=lxVLCz0o1HE.
Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la
Fundación Sochisi, però mi sembra che ci sia materiale decisamente
interessante.
Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io
penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po'
invidioso per la chiarezza con cui i vari argomenti sono presentati.
******************************************************
07- VERA 7 - In
lavorazione (e richiesta di aiuto)
Sto lavorando al VERA 7, con un'impostazione leggermente diversa dalle
precedenti. Niente di sconvolgente, eh... Solo che volevo semplificare un po'
l'aggiunta delle minacce e dei controlli in modo da poter integrare più
valutazioni del rischio.
Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio
volentieri.
Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di
gestione.
******************************************************
08- Giovedì 17 marzo: mio
breve intervento sulla ISO/IEC 27005 al Security Summit
Il 15-17 marzo ci sarà il Security Summit nella Milano virtuale:
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.
Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione
"Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e
UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo
di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per
eventi", alternativo a quello "per asset".
Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti
sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC
27001.
******************************************************
09- Mio corso di
introduzione alle ISO/IEC 27001 e 27002 per Digital&Law Academy
Con Digital&Law Academy ho preparato un corso di 6 ore da seguire online
sugli standard ISO/IEC 27001 e ISO/IEC 27002 per la sicurezza delle
informazioni:
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.
E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002,
la ISO/IEC 27701.
E' a pagamento (350 Euro).
******************************************************
10- Mia intervista su
IusLaw Web Radio sulla ISO/IEC 27002
Elia Barbujani mi ha fatto l'onore di intervistarmi sulla nuova ISO/IEC 27002:
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.
Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.
******************************************************
EONL