******************************************************
IT SERVICE MANAGEMENT NEWS – LUGLIO 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
00- Editoriale di auguri estivi
01- Normativa: Vietare Google Analytics
02- Normativa: Accessibilità anche dai privati
03- Normativa e perimetro nazionale sicurezza: DPCM 92/2022 - Regolamento per
l'accreditamento dei laboratori al CVCN
04- Valutazione del rischio: VERA 7 per la valutazione del rischio
05- Valutazione del rischio: Video spiegazione su VERA 6
06- Valutazione del rischio: Security Risk Assessment Tool del US HHS
07- Misure di sicurezza: Guida per le PMI per la sicurezza e la privacy - in
italiano
08- Misure di sicurezza: NIST su digital forensics e OT
09- Misure di sicurezza: ISO/IEC 27400:2022 sulla sicurezza IoT
10- PEC e REM - Nuovo standard ETSI
11- Minacce e attacchi: 2022 CWE Top 25 Most Dangerous Software Weaknesses
12- Minacce e attacchi: operazione "Finestra sul cortile"
13- Minacce e attacchi: Rete indisponibile per Clouflare
14- Rapporti SOC 2 - un piccolo studio
15- Mancanza di esperti di sicurezza (cyber)
******************************************************
00- Editoriale di auguri estivi
Faccio a tutti gli auguri di buon agosto, qualsiasi cosa facciate.
La newsletter andrà, come sempre, in vacanza e tornerà a metà settembre, con i
soliti ritardi.
******************************************************
01- Normativa: Vietare Google Analytics
Il Garante privacy, in pochissime parole, ha vietato l'uso di Google Analytics
in quanto opera un trasferimento eccessivo di dati negli USA. Gentilmente, il
Garante lascia tempo di adeguarsi fino a inizio settembre. Il Provvedimento:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in modo
chiaro e sintetico:
- https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il-garante-privacy-e-ora/
Segnalo anche il contributo di Pietro Calorio (un Idraulico della privacy) su
LinkedIn, anch'esso chiaro e sintetico:
- https://www.linkedin.com/posts/pietrocalorio_google-analytics-e-privacy-studio-legale-ugcPost-6947462798889127938-pDJz
Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per
quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni italiane);
- https://matomo.org/ (può essere installato su propri server).
Questo articolo, dal titolo "Google Analytics vietato in Italia: ecco 5
alternative (gratis e non)", ne segnala altre:
- https://www.wired.it/article/alternative-google-analytics/.
C'è chi intanto parla di Google Analytics 4, attivi da qualche tempo e che non
registrano gli indirizzi IP. Anzi, se non ho capito male, non usa proprio i
cookie. Non so, a questo punto, se dal punto di vista della privacy, sia un
bene, anche perché forse la soluzione prevede il trasferimento comunque di dati
personali, anche se non grazie ai cookie.
Andrebbe quindi letto con prudenza questo articolo dal titolo "Google
Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/.
Claudio Sartor che mi ha consigliato i due video di
Matteo Flora:
- Analizziamo il problema: https://youtu.be/Dz_lIYXUhFU;
- Quali soluzioni: https://youtu.be/Q981BTuaEoQ.
Non li ho guardati perché non mi trovo a mio agio a seguire i video. Preferisco
la lettura (mi permette di saltare dove voglio, tornare facilmente indietro,
sottolineare, copincollare per ulteriori ricerche). Però Matteo Flora è molto
bravo e quindi questo può essere utile.
******************************************************
02- Normativa: Accessibilità anche dai privati
Franco Vincenzo Ferrari di DNV mi ha segnalato questo articolo dal titolo
"Linee guida AgID per l'accessibilità dei siti web: i nuovi obblighi per
le grandi aziende":
- https://www.agendadigitale.eu/cittadinanza-digitale/linee-guida-agid-per-laccessibilita-dei-siti-web-i-nuovi-obblighi-per-le-grandi-aziende/.
Così ho scoperto che, con il DL 76/2020, la Legge 4/2004 (Legge Stanca
sull'accessibilità) è stata estesa anche le grandi imprese, e non solo la PA,
" a garantire a persone con disabilità l'accessibilità dei propri servizi,
erogati tramite siti web o applicazioni".
Alla pagina https://www.agid.gov.it/it/linee-guida è possibile scaricare le "Linee guida
sull'accessibilità degli strumenti informatici – Per i soggetti erogatori di
cui all'art 3 comma 1-bis della legge n. 4/2004". Purtroppo la pagina le
riporta come "Linee guida" e basta e bisogna avere un po' di fantasia
per trovarle.
Le linee guida non si applicano al solo web, ma ai documenti che sono
incorporati nelle pagine web e che sono utilizzati nella rappresentazione o che
sono destinati a essere rappresentati insieme alla pagina web in cui sono
incorporati, alle web app, al software incorporato nelle pagine web e
utilizzato nella rappresentazione o destinato alla rappresentazione insieme
alla pagina web in cui è incorporato.
Mi sembra una bella iniziativa, anche se comporterà investimenti per alcune
aziende. Penso che anche le altre aziende dovrebbero seguire queste linee
guida, anche adottandole con minor fretta.
******************************************************
03- Normativa e perimetro nazionale
sicurezza: DPCM 92/2022 - Regolamento per l'accreditamento dei laboratori al
CVCN
Glauco Rampogna mi ha segnalato l'uscita in Gazzetta del DPCM 92/2022, ossia
del Regolamento per l'accreditamento dei laboratori di prova al CVCN:
- https://www.gazzettaufficiale.it/eli/id/2022/07/15/22G00099/sg.
Un breve riassunto: il DL 105/2019 (cosiddetto "Perimetro di sicurezza
nazionale cibernetica") istituiva il CVCN (ora incorporato nell'ACN). Il
CVCN stabilisce quali prodotti possono essere usati dagli enti all'interno del
perimetro e quali test devono essere eseguiti, secondo quanto previsto dal DL
54/2021. I test vanno eseguiti dai laboratori di prova accreditati dal CVCN
secondo quanto stabilito da questo DPCM 92/2022.
Non mi sembra di aver trovato requisiti particolarmente significativi.
Probabilmente saranno forniti direttamente dal CVCN ai laboratori di prova che
intendono accreditarsi.
Interessante osservare che non è previsto alcun intervento di Accredia.
Purtroppo ho trovato riferimenti al "Manuale qualità", non più
previsto dalla ISO 9001 ormai dal 2015. Ma immagino si tratti di un refuso.
******************************************************
04- Valutazione del rischio: VERA 7 per la valutazione del
rischio
Ho pubblicato la versione 7 del VERA il mio foglio di calcolo per la
valutazione del rischio:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del
2022 (con lista di riscontro).
Questa è una versione "sperimentale", dove sono stati uniti il foglio
per la valutazione delle minacce e quello per il calcolo del rischio, in modo
da renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo,
forse, è più semplice aggiungere e togliere minacce e controlli di sicurezza.
Al momento non prevedo di farne una versione in inglese, in attesa di essere
sicuro del suo funzionamento.
I controlli del 2022 in italiano non sono nella traduzione ufficiale perché non
ancora disponibile.
Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà di
utilizzo.
******************************************************
05- Valutazione del rischio: Video
spiegazione su VERA 6
Agostino Oliveri di Sicurdata mi ha chiesto di registrare un video di
spiegazione sull'uso di VERA 6. Eccolo qui:
- https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.
Intanto ho cercato di non pubblicarlo con YouTube, ma su MyRaspTube, che fa
parte del PeerTube, che a sua volta fa parte del fediverso (https://notes.nicfab.it/it/posts/mastodon/). Tutto ciò per me è nuovissimo, ma ho colto questa
occasione per sperimentare un pochino. Prego di segnalarmi problemi (e poi,
quando avrò un po' di tempo, potrei cercare di spostare il blog da Blogger).
Claudio Sartor mi ha segnalato che alcuni filtri di rete non permettono
l'accesso a MyRaspTube. Quindi ho caricato il video sul mio sito:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2022-07-08-Vera06-ITA-Spiegazione.mp4.
******************************************************
06- Valutazione del rischio: Security Risk Assessment Tool
del US HHS
Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of Health
and Human Services (HHS) Office for Civil Rights (OCR) and National Coordinator
for Health Information Technology (ONC) degli USA:
- https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta
interessante perché non si tratta di una vera e proprio valutazione del
rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono
evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e
"vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però
non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di
"valutazione del rischio", ciascuno ha idee diverse su cosa si
intende.
******************************************************
07- Misure di sicurezza: Guida per le PMI per la sicurezza e
la privacy - in italiano
E' stata pubblicata la "Guida ai controlli di sicurezza delle informazioni
per le piccole e medie imprese":
- https://www.digitalsme.eu/cybersecurity-e-pmi-pubblicata-la-guida-europea-per-le-pmi-sui-controlli-di-sicurezza-delle-informazioni.
Ne avevo scritto quando era uscita la versione in inglese:
- http://blog.cesaregallotti.it/2022/04/guida-per-le-pmi-per-la-sicurezza-e-la.html.
Ripeto quanto scrissi. La guida è curiosamente basata sulla precedente versione
del 2013 della ISO/IEC 27001. Comunque è interessante. Non ammorba con la
valutazione del rischio e spiega i controlli più significativi. Interessante
poi trovare il controllo "Cyberthreats watch" che finora era ignorato
in questo genere di guide.
******************************************************
08- Misure di sicurezza: NIST su digital forensics e OT
Glauco Rampogna mi ha segnalato la pubblicazione del NIST "NISTIR 8428 -
Digital Forensics and Incident Response (DFIR) Framework for Operational
Technology (OT)":
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.
E' molto interessante, fosse anche solo per capire alcune peculiarità di
sicurezza degli ambienti OT.
******************************************************
09- Misure di sicurezza: ISO/IEC 27400:2022 sulla sicurezza
IoT
Monica Perego mi ha segnalato la pubblicazione della ISO/IEC 27400:2022 dal titolo
"Cybersecurity — IoT security and privacy — Guidelines":
- https://www.iso.org/standard/44373.html.
Avevo iniziato a lavorarci nel 2020, ma tutto era troppo confuso e ho lasciato
perdere. Il prodotto finale mi sembra convincente: sono elencate alcune minacce
e i controlli di sicurezza, anche tecnologici, da prevedere.
Nulla di nuovo e decisamente molto caro (circa 160 Euro), ma mi sembra ben
fatto.
******************************************************
10- PEC e REM - Nuovo standard ETSI
Franco Vincenzo Ferrari di DNV mi ha segnalato la pubblicazione dello standard
ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito qualificato
(REM). La notizia è stata diffusa da AgID:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.
Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra
siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.
******************************************************
11- Minacce e attacchi: 2022 CWE Top 25
Most Dangerous Software Weaknesses
E' stata pubblicata la lista "2022 CWE Top 25 Most Dangerous Software
Weaknesses":
- https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html.
La lettura è resa complicata perché, per leggere le raccomandazioni, è
necessario accedere alla pagina di ogni vulnerabilità e poi consultare la
sezione "Potential Mitigations". Per come ragiono io, avrei preferito
leggere le raccomandazioni per poi approfondire, eventualmente, quali minacce
contrastano. Questa iniziativa è comunque notevole.
******************************************************
12- Minacce e attacchi: operazione "Finestra sul
cortile"
La storia è recente ed è diventata subito molto nota: alcuni malfattori hanno
ottenuto accesso a numerose telecamere di sorveglianza e vendevano le immagini
raccolte:
- https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/milano_hacker-353195287/.
Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità di installazioni proprio perché possono essere compromesse;
- l'incompetenza di molti installatori.
Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono
essere facilmente compromessi ed è importante prestare molta attenzione quando
si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre riflettere
sull'opportunità di installare certe misure di sicurezza, soprattutto se
moderatamente efficaci e altamente vulnerabili.
Tra l'altro, piuttosto che installare telecamere, ossia misure di rilevazione, sarebbe
spesso opportuno investire in misure preventive. Negli spogliatoi, per esempio,
sarebbe stato più opportuno investire in armadietti robusti. Questa è lezione
sempre valida nella sicurezza.
******************************************************
13- Minacce e attacchi: Rete indisponibile per Clouflare
Cloudflare è un fornitore di servizi web e il 21 giugno 2022 ha avuto un blocco
della rete di 75 minuti. La causa? Un cambiamento non riuscito:
- https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for-global-traffic-a-19429.
Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli
attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.
Notizia presa dal SANS NewsBites del 24 giugno 2022.
******************************************************
14- Rapporti SOC 2 - un piccolo studio
Periodicamente mi arrivano richieste in merito ai rapporti SOC 2. Ho chiesto
aiuto a Marco Ondoli di Grant Thornton e a Fabrizio Bulgarelli di PKF, che mi
hanno fornito materiale e chiarimenti per capire la questione. Li ringrazio
molto ed è bene precisare che quanto segue è una mia rielaborazione e gli
eventuali errori sono tutti miei e non loro.
Intanto mi ha aiutato la "SOC 2 User Guide" di ISACA (non la trovo
più disponibile online). Da qui ho capito che:
- i rapporti SOC servono per dimostrare alle organizzazioni l'efficacia dei
propri controlli operativi;
- fino al 2011, la pubblicazione di riferimento era la SAS 70 della AICPA ed
era relativa ai rapporti per le organizzazioni che volevano dimostrare
l'efficacia della progettazione e dell'esercizio dei controlli con impatto sui
rapporti contabili;
- dal 2011 sono entrati in vigore i 3 tipi di rapporti SOC 1, SOC 2 e SOC 3
(SOC sta per Service organization control);
- i rapporti SOC 1 sono relativi ai controlli interni sui rapporti contabili
(ICFR, internal control over financial reporting) e sono descritti dalla SSAE
18 e dalla ISAE 3402; in precedenza erano descritti dalla SSAE 16);
- i rapporti SOC 2 e SOC 3 sono descritti dalla SSAE AT Section 101 e servono
alle organizzazioni che forniscono servizi informatici (service provider) a
clienti (user entitiy) a descrivere i controlli relativi a sicurezza,
disponibilità, integrità delle elaborazioni, riservatezza e privacy (questi
sono i 5 principi);
- i rapporti SOC 2 descrivono i sistemi IT oggetto del rapporto, i controlli
progettati e i test condotti e riportano un parere degli auditor in merito
all'efficacia dei controlli; la loro distribuzione dovrebbe essere ristretta;
- i rapporti SOC 2 di tipo 1 descrivono i controlli progettati in un certo
momento specifico;
- i rapporti SOC 2 di tipo 2 descrivono anche l'efficacia dei controlli in
esercizio lungo un certo periodo di tempo;
- i rapporti SOC 3 riportano solo la descrizione dei sistemi IT oggetto del
rapporto e il parere degli auditor in merito all'efficacia dei controlli.
I rapporti SOC 2 devono riportare le seguenti sezioni:
- Description of the service organization's system, che deve essere abbastanza
approfondita per poter identificare i rischi pertinenti e far capire al cliente
se i sistemi che lo riguardano sono inclusi;
- A written assertion by management of the service organization;
- Design and operating effectiveness testing results, dove sono descritti con
maggiore dettaglio e valutati i controlli;
- The service auditor's expressed opinion.
A questo punto ci si può chiedere come valutare i controlli. Ossia se esiste
una sorta di check list. La risposta è no, perché la check list può essere
ricavata da altri documenti. ISACA, ovviamente, suggerisce di usare COBIT.
Per i servizi cloud è invece possibile usare la CCM della cloud security
alliance. E' stato prodotto un rapporto di esempio:
https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/soc2_csa_ccm_report.pdf.
E' disponibile online il rapporto SOC 3 di Dropbox, che non sembra seguire uno
schema preciso:
- https://aem.dropbox.com/cms/content/dam/dropbox/www/en-us/business/trust/soc/dropbox-soc-3.pdf.
Non sono previsti corsi su questi rapporti. E' come se facessero parte della
"normale" formazione degli auditor tecnici delle società di revisione
contabile. Anche leggendo il rapporto di Dropbox si capisce che (come mi scrive
Fabrizio Bulgarelli) "dietro a questo documento ci sta tutto il lavoro in
dettaglio che non viene reso pubblico, come nelle certificazioni ISO. Ogni
società di revisione, ogni team di revisione, usa un suo metodo di
attestazione".
Infine sembra che i rapporti SOC possano essere emessi solo da società di
revisione contabile.
******************************************************
15- Mancanza di esperti di sicurezza
(cyber)
Segnalo questo articolo dal titolo "Cybersicurezza in Italia: perché non
si trovano candidati?":
- https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-candidati/.
Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i
molti master promossi da università o istituti simili, mentre andrebbero anche
considerate le offerte sia dei produttori dei sistemi informatici (Microsoft,
per dirne uno) sia di istituti di tipo più tecnologico (come il SANS).
Anche in questo caso il panorama è complesso e lo dimostra anche il fatto che
io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare il
Quaderno Clusit "Certificazioni Professionali in Sicurezza
Informatica", la cui ultima edizione è del 2013 (però stiamo facendo
ripartire i lavori e quindi ne approfitto per segnalare che sono disponibile a
ricevere contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.
Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e
quindi non ho altro da aggiungere. Posso solo
consigliarne la lettura.
******************************************************
EONL