******************************************************
IT SERVICE MANAGEMENT NEWS –SETTEMBRE 2022
******************************************************

Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice
01- 20 settembre 2022 a Faenza: convegno sul business continuity
02- 7 ottobre a Mestre: mio intervento per ISACA Venice
03- La conformità non è un approccio efficace (secondo alcuni)
04- Il DoJ USA usa la carta per i documenti più critici
05- Sulle competenze (un articolo)
06- Mio articolo su sicurezza e semplicità
07- Articolo sulla EN 17799 (certificazioni GDPR)
08- Gli standard per la crittografia post-quantistica del NIST
09- Linee guida di design per i siti internet e i servizi digitali della PA
10- Libro di Paul C. van Oorschot. Computer Security and the Internet
11- La sicurezza del software open source
12- BYOD, CYOD, COPE e COBO
13- CISA: Come mitigare le minacce relative al malware
14- Humour da scienziato
15- Decreto trasparenza e privacy
16- Privacy: nuovo Registro delle opposizioni

******************************************************
01- 20 settembre 2022 a Faenza: convegno sul business continuity

Non sono solito segnalare eventi, ma questo è organizzato da Stefano Ramacciotti, del quale ho molta stima (e infatti ha contribuito anche alla scrittura del mio libro).

Il convegno è martedì 20 settembre 2022 a Faenza ed è sulla business continuity. Per iscriversi:
- https://www.eventbrite.it/e/biglietti-collaborative-business-continuity-disaster-recovery-crisis-management-301471137287.

******************************************************
02- 7 ottobre a Mestre: mio intervento per ISACA Venice

Il 7 ottobre mi hanno invitato a tenere un intervento per ISACA Venice. Ne sono molto onorato:
- https://sites.google.com/owasp.org/assg2022/home?authuser=0.

Il mio intervento avrà titolo "Spunti per lo sviluppo sicuro del software". Pubblicherò le slide prossimamente.

******************************************************
03- La conformità non è un approccio efficace (secondo alcuni)

Il SANS NewsBites del 19 agosto riporta una notizia con il titolo "Compliance is Not an Effective Approach to Cybersecurity". Questa riprende un articolo dal titolo "The Defense Department's current "checklist" approach can't keep its networks safe":
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.

Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.

Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.

E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.

Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.

******************************************************
04- Il DoJ USA usa la carta per i documenti più critici

Dal SANS NewsBites del 5 agosto 2022: Il US Department of Justice ha annunciato che dal gennaio 2021 sta archiviando i documenti critici in formato cartaceo e non digitale. Il Deputy Assistant Attorney General for National Security ha dichiarato, "La convenienza è una gran cosa, ma la sicurezza sui sistemi connessi a Internet è diversa di quella per i documenti cartacei":
- https://www.cyberscoop.com/top-justice-official-paper-only/.

Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibili da Internet.

******************************************************
05- Sulle competenze (un articolo)

Avevo scritto in merito alla carenza di esperti di sicurezza (http://blog.cesaregallotti.it/2022/06/mancanza-di-esperti-di-sicurezza-cyber.html). A questo proposito, Toto Zammataro di AlixPartners mi ha segnalato questo articolo:
- https://www.datamanager.it/2022/06/lavoro-nuovi-equilibri-la-sfida-delle-competenze/.

Segnalo questa frase: "Sarà sempre più difficile trovare risorse "plug & play", con le competenze richieste. Bisognerà valutare più il potenziale delle risorse e la loro capacità di adattarsi all'evoluzione del contesto. Si dovrà investire di più in formazione continua, per fare upskilling e reskilling delle risorse, con academy interne e con training on the job".

E' una cosa che condivido. Penso che sia sempre stato così: una persona esce dall'Università (o comunque dal sistema scolastico) con competenze abbastanza generali e poi sta ai datori di lavoro fornirgli una formazione aggiuntiva e pratica. Alcuni, durante gli studi, approfondiscono autonomamente alcuni temi o lavorano, ma l'esperienza pratica viene acquisita sul campo e le competenze operative devono essere fornite dalle aziende.

L'articolo è interessante anche in altri punti e ne consiglio la lettura.

******************************************************
06- Mio articolo su sicurezza e semplicità

E' stato pubblicato su Key4biz un mio brevissimo articolo dal titolo "Cybersecurity, cos'è il principio 'KISS': sicurezza e principio di semplicità":
- https://www.key4biz.it/cybersecurity-cose-il-principio-kiss-sicurezza-e-principio-di-semplicita/411184/.

******************************************************
07- Articolo sulla EN 17799 (certificazioni GDPR)

Segnalo questo articolo di Fabio Guasconi dal titolo "Certificazioni GDPR, entra in gioco l'ente di normazione europeo: ecco perché è una svolta":
- https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-gdpr-entra-in-gioco-lente-di-normazione-europeo-ecco-perche-e-una-svolta/.

Lo trovo importante perché fa il punto dello stato delle norme per la "certificazione GDPR", in particolare sulla EN 17799.

******************************************************
08- Gli standard per la crittografia post-quantistica del NIST

Segnalo questo articolo di Bruce Schneier dal titolo "NIST's Post-Quantum Cryptography Standards":
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.

Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.

******************************************************
09- Linee guida di design per i siti internet e i servizi digitali della PA

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione delle "Linee guida di design per i siti internet e i servizi digitali della PA". La notizia è qui:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.

Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).

Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.

Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.

******************************************************
10- Libro di Paul C. van Oorschot. Computer Security and the Internet

In un'estate per me avara di letture interessanti, ho avuto l'occasione di leggere il libro di Paul C. van Oorschot dal titolo "Computer Security and the Internet: Tools and Jewels from Malware to Bitcoin (Second Edition)". Il libro si trova gratuitamente sul sito dell'autore:
- https://people.scs.carleton.ca/~paulv/toolsjewels.html.

Il libro è stato segnalato dalla newsletter Crypto-Gram.

Tratta della sicurezza da un punto di vista tecnologico e universitario e vale la pena analizzarlo, anche quando parla di cose che probabilmente non ci saranno utili nella pratica. Però la cultura non ha mai fatto male a nessuno e, anzi, serve anche quando sembra che non serva. Quindi lo raccomando.

Lo raccomando anche per l'invidiabile livello di sintesi e chiarezza di molti concetti.

******************************************************
11- La sicurezza del software open source

Bruce Schenier ha segnalato un'analisi sulla (scarsa) sicurezza del software open-source dal titolo "Open-Source Security: How Digital Infrastructure Is Built on a House of Cards":
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.

In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".

L'argomento è importante e quindi, ritengo, va seguito con attenzione.

******************************************************
12- BYOD, CYOD, COPE e COBO

Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo"Caratteristiche e differenza tra BYOD, CYOD, COPE e COBO in azienda":
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.

Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.

Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.

La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.

******************************************************
13- CISA: Come mitigare le minacce relative al malware

Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha pubblicato in agosto l'avviso AA22-216A dal titolo "2021 Top Malware Strains":
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.

Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.

******************************************************
14- Humour da scienziato

Stefano Ramacciotti mi ha segnalato questo articolo dal titolo "L'esperimento sociale dello scienziato che ha spacciato una fetta di salame per la stella Proxima Centauri". Non c'entra niente con le materie di cui tratto, però è divertente:
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.

Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.

******************************************************
15- Decreto trasparenza e privacy

E' entrato in vigore il D.Lgs. 104 del 2022 detto "Decreto Trasparenza". Esso chiede ai datori di lavoro di comunicare a ciascun lavoratore in modo chiaro e trasparente (appunto!) informazioni relative al rapporto o al contratto di lavoro e propone alcuni punti importanti relativi alla sicurezza delle informazioni, la privacy e la qualità.

Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.

Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).

Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".

Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.

Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".

Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.

******************************************************
16- Privacy: nuovo Registro delle opposizioni

Grazie a Silvestro Marascio di DFA ho i riferimenti al DPR che, dal 27 luglio 2022, estende il Registro delle opposizioni a cellulare e posta cartacea. Prima il Registro serviva solo per il telefono fisso.

Il DPR, che abroga il precedente DPR 178 del 2010, è il DPR 26 del 2022 e si può trovare su Normattiva:
- http://www.normattiva.it/eli/id/2022/03/29/22G00033/ORIGINAL.

Questo un brevissimo articolo su Federprivacy (quello consigliatomi da Silvestro Marascio):
- https://www.federprivacy.org/informazione/flash-news/marketing-dal-27-luglio-stop-a-chiamate-sui-cellulari-e-invio-pubblicita-per-posta-cartacea-con-il-nuovo-registro-delle-opposizioni.

Arrivo in ritardo, visto che è stato pubblicato a marzo. Però, devo dire, gli articoli che avevo letto in precedenza trattavano della "futura pubblicazione" del DPR e nessuno che ne segnalava la pubblicazione vera e propria. Ho notato che succede spesso: sono enfatizzate le "future pubblicazioni" e non le pubblicazioni finali, con il risultato che alcuni lavorano su bozze, come abbiamo visto con il GDPR.

Ad ogni modo, la notizia è significativa e, per quanto mi riguarda, benvenuta.

******************************************************
EONL