Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità

******************************************************
IT SERVICE MANAGEMENT NEWS – APRILE 2022
******************************************************

Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Stato degli standard ISO/IEC 270xx
02- Analisi dei nuovi controlli della ISO/IEC 27002
03- Guida CERT EU sulla sicurezza
04- NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)
05- Incidente: mezzi meccanici che non funzionano senza l'IT
06- Libro "Rischio digitale Innovazione e Resilienza" del Clusit
07- Pubblicazione Enisa sugli standard di valutazione del rischio
08- Rapporto Clusit 2022
09- BCI Horizon Scan Report 2022
10- PCI DSS 4.0
11- Guida per le PMI per la sicurezza e la privacy
12- Certificazioni GDPR: il punto della situazione
13- Guida ENISA sul Data protection engineering

******************************************************
01- Stato degli standard ISO/IEC 270xx

Agli inizi di aprile 2022 si sono tenuti i meeting del ISO/IEC JTC 1 SC 27, ossia del gruppo che segue gli standard della famiglia ISO/IEC 27001, sicurezza e privacy.

Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.

Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.

******************************************************
02- Analisi dei nuovi controlli della ISO/IEC 27002

Giulia Zanchettin mi ha segnalato questa pagina web dal titolo "Detailed explanation of 11 new security controls in ISO 27001:2022":
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.

Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.

Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.

Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.

******************************************************
03- Guida CERT EU sulla sicurezza

Il CERT EU ha pubblicato la "Security Guidance 2022-01 - Cybersecurity mitigation measures against critical threats":
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.

Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.

******************************************************
04- NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)

Il NIST ha pubblicato la SP 1800-10 con titolo "Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector":
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.

Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).

Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.

******************************************************
05- Incidente: mezzi meccanici che non funzionano senza l'IT

Pierluigi Stefli mi ha segnalato questa notizia dal titolo "Furto in un'azienda agricola di Rottofreno: rubati oltre 250mila euro di materiale":
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.

In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.

Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".

Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).

******************************************************
06- Libro "Rischio digitale Innovazione e Resilienza" del Clusit

Segnalo il libro dal titolo (con troppe maiuscole, ahimè) "Rischio digitale Innovazione e Resilienza: Conoscere, affrontare e mitigare il rischio digitale":
- https://risk.clusit.it.

E' liberamente scaricabile.

Ho contribuito anche io e ne sono molto contento.

Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.

Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).

Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".

******************************************************
07- Pubblicazione Enisa sugli standard di valutazione del rischio

Glauco Rampogna mi ha segnalato la pubblicazione ENISA dal titolo "Risk management standards":
- https://www.enisa.europa.eu/publications/risk-management-standards.

Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.

Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.

******************************************************
08- Rapporto Clusit 2022

Se qualcuno non l'avesse ancora notato, il Clusit ha pubblicato il suo rapporto "sulla sicurezza ICT in Italia":
https://clusit.it/rapporto-clusit/.

Sempre pieno di dati interessanti.

Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.

******************************************************
09- BCI Horizon Scan Report 2022

Il BCI ha pubblicato la versione 2022 del suo Horizon Scan Report:
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.

Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.

La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.

******************************************************
10- PCI DSS 4.0

Fabio Guasconi di Bl4ckSwan ha segnalato la pubblicazione della PCI DSS 4.0:
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).

Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.

******************************************************
11- Guida per le PMI per la sicurezza e la privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato la "SME Guide on Information Security Controls" della SBS:
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.

La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.

Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.

******************************************************
12- Certificazioni GDPR: il punto della situazione

Elia Barbujani mi ha intervistato per IusLaw Web Radio su "Certificazioni GDPR: il punto della situazione":
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.

Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.

******************************************************
13- Guida ENISA sul Data protection engineering

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione da parte di ENISA della guida "Data protection engineering":
- https://www.enisa.europa.eu/publications/data-protection-engineering.

E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.

E' comunque una lettura utile e consigliata.

******************************************************
EONL