******************************************************
IT SERVICE MANAGEMENT NEWS – MARZO 2023
******************************************************

Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

00- Migrazione newsletter
01- Libro sulla supply chain
02- "Interoperable EU Risk Management Toolbox" di ENISA
03- Best Cyber Insights of 2023
04- Esempi di notifiche di incidenti (buone e cattive)
05- Vademecum sull'uso dei social media
06- WhatsApp e i messaggi rubati
07- Diritto alla riparazione
08- Vulnerabilità in Jenkins
09- Il futuro di SPID (e della CIE)
10- Accredia e schema di accreditamento Europrivacy
11- Gli uomini possono fare tutto

******************************************************
00- Migrazione newsletter

La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l. (per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.

Come si può notare, ho pensato bene di cambiare anche il titolo alla newsletter.

Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.

La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.

Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.

Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.

Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.

Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).

******************************************************
01- Libro sulla supply chain

"Supply Chain Security: l'importanza di conoscere e gestire i rischi della catena di fornitura" è il titolo dell'ultimo lavoro della "CLUSIT Community for Security", di cui faccio parte:
- https://supplychainsecurity.clusit.it/.

I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.

******************************************************
02- "Interoperable EU Risk Management Toolbox" di ENISA

Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il documenti "Interoperable EU Risk Management Toolbox":
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.

Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2023), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.

Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio. Una scala per la probabilità di accadimento è al paragrafo 2.3.1.4.

Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.

******************************************************
03- Best Cyber Insights of 2023

Claudio Sartor mi ha segnalato questo post su LinkedIn:
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.

Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.

Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".

Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.

******************************************************
04- Esempi di notifiche di incidenti (buone e cattive)

Segnalo (dopo averlo visto dal SANS NewsBites) questo articolo dal titolo "Best and worst data breach responses highlight the do's and don'ts of IR":
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.

Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.

******************************************************
05- Vademecum sull'uso dei social media

Il Consultative Council of European Judges (CCJE, o Consiglio consultivo dei giudici europei del Consiglio d'Europa) ha adottato a dicembre 2022 la "Opinion No. 25 (2022) on freedom of expression of judges". Essa riporta anche indicazioni sull'uso dei social media:
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.

La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.

Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.

******************************************************
06- WhatsApp e i messaggi rubati

Claudio Sartor mi ha segnalato la notizia dei messaggi WhatsApp resi pubblici nonostante la crittografia end-to-end:
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.

Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).

Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".

******************************************************
07- Diritto alla riparazione

Claudio Sartor mi scrive: sebbene laterale rispetto alla sicurezza delle informazioni propriamente intesa, ti segnalo questo interessante articolo su come una funzionalità, nata per mettere in sicurezza i dispositivi in caso di furto o smarrimento, si riveli un boomerang per il mercato della seconda mano:
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.

Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.

******************************************************
08- Vulnerabilità in Jenkins

Jenkins è uno strumento molto diffuso per la continuous integration del software. Si tratta quindi di un "software di supporto". E' stata identificata una vulnerabilità grave in una versione precedente ma ancora in uso:
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.

Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.

Notizia presa da SANS NewsBites.

******************************************************
09- Il futuro di SPID (e della CIE)

Da Project:IN Avvocati, segnalo questo articolo di Wired dal titolo "I contratti per gestire Spid stanno per scadere. E non c'è un accordo per rinnovarli":
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.

Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.

La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.

Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)

******************************************************
10- Accredia e schema di accreditamento Europrivacy

Accredia e schema di accreditamento Europrivacy

Accredia ha pubblicato la Circolare tecnica DC N° 12/2023 con titolo "Avvio accreditamento, ambito PRD, schema di certificazione EuroprivacyTM/®":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.

In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da Europrivacy per accreditare, a livello italiano, gli organismi di certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati personali. Il meccanismo è stato concordato a livello EA, ossia di accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.

Deduco, in poche parole, che il percorso di certificazione secondo gli articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno essere coinvolti i "soliti" organismi di certificazione, secondo modalità già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque ricordato che quelle citate sono certificazioni di sistemi di gestione, mentre la certificazione Europrivacy è di processo o servizio, quindi con significative differenze.

Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.

******************************************************
11- Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).

******************************************************
EONL

Email inviata da Cesare 
Gallotti con MailUp
Cancella iscrizione  |  Invia a un amico
Ricevi questa email perché ti sei registrato a questa newsletter.
Cesare Gallotti, Cesare Gallotti Ripa Ticinese 75, Milano, 20143 MI IT
www.cesaregallotti.it