******************************************************
IT SERVICE MANAGEMENT NEWS
– FEBBRAIO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni, IT
Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Minacce e attacchi: Furto di dati con il lavoro da remoto
02- Minacce e attacchi: Attacco a un impianto idrico in Florida
03- Patent box
04- Perimetro di sicurezza: decreto sugli incidenti
05- CSA Cloud Controls Matrix v4
06- Password manager
07- Analisi dei vulnerability scanner
08- Disponibili gli interventi di DIG.eat 2021
09- Mio intervento il 18 febbraio 2021 su valutazione del rischio
10- Sugli schemi di certificazione per GDPR
11- Privacy (ma non solo): Linee guida EDPB sulla gestione degli incidenti
12- Microsoft Teams (e non solo) e la privacy
13- "Un piccolo libro sulla privacy, il GDPR e come attuarlo" e
beneficenza
14- Libro su sicurezza delle informazioni e GDPR
******************************************************
01- Minacce e attacchi:
Furto di dati con il lavoro da remoto
Questa notizia l'ho letta su Crypto-gram di febbraio 2021:
- https://www.schneier.com/blog/archives/2021/01/dutch-insider-attack-on-covid-19-data.html.
In breve: due persone sono state arrestate nei Paesi Bassi perché hanno venduto
dati dai sistemi del Ministero della salute. Li raccoglievano scattando foto al
proprio schermo.
Ovviamente questo sarebbe stato immediatamente rilevato in caso di lavoro in un
ufficio con altri colleghi a guardare. Quindi questo caso può permetterci di
considerare questa minaccia.
******************************************************
02- Minacce e attacchi:
Attacco a un impianto idrico in Florida
Il SANS NewsBites segnala la notizia di un attacco a un impianto di trattamento
dell'acqua in Florida. Uno degli articoli suggeriti è questo:
- https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-7/.
Sembra che gli attaccanti abbiano sfruttato una cattiva configurazione di
TeamViewer, usato dal personale dell'impianto per accedere ai sistemi con
un'unica password condivisa. Nell'impianto erano usati anche dei pc Windows 7,
ma forse non c'entrano con l'attacco.
Riassumo i commenti degli editor del SANS NewsBites perché mi sembrano decisamente
interessanti. Li trovate al completo qui:
- https://www.sans.org/newsletters/newsbites/xxiii/12.
Ecco i commenti da me selezionati.
- Le applicazioni per il controllo remoto, come TeamViewer, dovrebbero essere
configurati con credenziali personali per ciascun utente.
- Gli accessi da Internet dovrebbero basarsi sull'autenticazione a più fattori
(TeamViewer lo permette e permette anche l'integrazione con altri sistemi di
SSO).
- Se, nell'ambito degli impianti industriali, non è possibile aggiornare vecchi
sistemi operativi (come Windows 7) allora questi vanno protetti con firewall.
Nulla di innovativo. Le misure da applicare sono sempre le stesse: qualcuno non
le applica e comunque ripetercele non fa male.
PS: mi viene da pensare che è ormai quasi un anno che ci ripetiamo di mettere
la mascherina. E' vero che inizialmente non c'erano le mascherine, ma adesso
ancora troppi pensano di poterne fare a meno. Chi si occupa di sicurezza (delle
informazioni, informatica, delle persone, eccetera) non può che ritrovare la
ripetizione degli errori e delle superficialità.
******************************************************
03- Patent box
Fabrizio Monteleone del DNV Italia mi ha segnalato le agevolazioni fiscali
dette "Patent box":
- https://www.mise.gov.it/index.php/it/incentivi/impresa/patent-box.
Le imprese possono avere agevolazioni fiscali per l'utilizzo di determinati
beni immateriali (software protetto da copyright, brevetti industriali, disegni
e modelli, processi, formule e informazioni relativi a esperienze acquisite nel
campo industriale, commerciale o scientifico giuridicamente tutelabili). Questi
beni devono essere dichiarati all'Agenzia delle entrate.
Io non capisco quasi niente di fiscalità, però mi pare di capire che, nel caso
una valutazione del rischio dovesse considerare questi beni immateriali, essa
dovrà essere in qualche modo allineata a quanto dichiarato all'Agenzia delle
entrate.
******************************************************
04- Perimetro di
sicurezza: decreto sugli incidenti
Del provvedimento in merito al perimetro di sicurezza nazionale avevo scritto a
suo tempo:
- http://blog.cesaregallotti.it/2019/09/perimetro-di-sicurezza-nazionale.html.
Ora è in discussione il DPCM per la comunicazione degli incidenti da parte
delle organizzazioni che rientrano nel perimetro. La bozza ("schema")
è reperibile sul sito della Camera:
- https://www.camera.it/leg18/682?atto=240&tipoAtto=Atto&idLegislatura=18&tab=1#inizio.
Ringrazio Giancarlo Caroti per la segnalazione.
Non mi piace annunciare provvedimenti in bozza (e infatti non lo faccio quasi
mai, nonostante ne riceva alcune volte notizia), ma questo merita alcune brevi
considerazioni:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti
più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per
un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in
allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito
era auspicabile;
- mi chiedo come questa tassonomia si integri con quella di ENISA per i
fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework);
non vorrei che troppe tassonomie tra loro scollegate facciano più male che
bene;
- è richiesto che le informazioni sugli incidenti vengano comunicate a molti
soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se
l'allegato C specifica le misure di sicurezza da prevedere per queste
informazioni, bisogna dire che sono talmente generica da non essere
significative);
- Il DPCM richiede anche esplicitamente ai soggetti inclusi nel perimetro di
adottare le misure minime di sicurezza già previste da AgID.
PS: non annuncio più provvedimenti in bozza da quando, in epoche preistoriche,
avevo annunciato la morte del DPS, poi annullata, e l'inserimento della privacy
nel D. Lgs. 231, poi non avvenuto. Inoltre le bozze sono spesso modificate
(come ha dimostrato il GDPR). Infine, i commenti possono aspettare
l'approvazione definitiva dei provvedimenti, visto che sono sempre previsti dei
tempi di adozione che lasciano il tempo anche per queste cose.
******************************************************
05- CSA Cloud Controls
Matrix v4
La Cloud security alliance ha pubblicato il 20 gennaio 2021 la versione 4 della
sua Cloud Controls Matrix v4:
- https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/.
Ho lavorato sulla versione 3 e l'ho trovata in alcuni punti non chiara, in
altri inutilmente ripetitiva e in altri ancora (la maggior parte) utilissima e
molto significativa. Non ho ancora letto la versione 4 e quindi non mi
pronuncio.
Penso che, al di là dei suoi difetti, sia un documento fondamentale per chi si
occupa di sicurezza informatica. Infatti è di alta qualità, autorevole e
ampiamente riconosciuto. Oltre a ciò, su di esso si basa il porgramma STAR, una
sorta di certificazione dei servizi cloud.
Ringrazio Antonio Salis di Engineering per avermi segnalato la novità.
Antonio mi segnala che hanno anche pubblicato due ulteriori documenti:
- Enterprise Architecture CCM Mapping (sulla versione 3.0.1): https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-v301-mapping;
- Enterprise Architecture CCM Shared Responsibility Model:
https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-shared-responsibility-model/.
Cito la email di Antonio Salis: "Questi propongono una mappatura dei
controlli CCM secondo un modello di responsabilità condivisa per IaaS, PaaS e
SaaS. Vorrebbero dare una vista delle responsabilità lato cloud con il dominio
di controllo specifico (per il cloud provider o per il cloud user). Forse per
evitare di aggiungere altre colonne al CCM e renderlo ancor più difficile da
consultare, hanno gemmato due documenti, ma il risultato non è un esempio di
chiarezza". Condivido.
******************************************************
06- Password manager
Segnalo questo articolo dal titolo "Gestione delle credenziali: un'analisi
comparativa dei principali strumenti di Password Management":
- https://www.ictsecuritymagazine.com/articoli/gestione-delle-credenziali-una-comparazione-tra-i-principali-strumenti-di-password-management/.
Mi accorgo di non aver mai scritto alcunché sui password manager, ma sono
strumenti oggi essenziali per gestire qualunque ambiente e pertanto vanno
conosciuti.
******************************************************
07- Analisi dei
vulnerability scanner
Segnalo questo articolo dal titolo "I migliori scanner di vulnerabilità
per valutare la sicurezza di un'applicazione Web?":
https://www.ictsecuritymagazine.com/articoli/i-migliori-scanner-di-vulnerabilita-per-valutare-la-sicurezza-di-unapplicazione-web/.
Il titolo è forse più pretenzioso di quanto è il contenuto reale dell'articolo.
Però è molto interessante vedere come nessuno dei 7 strumenti analizzati abbia
identificato tutte le vulnerabilità.
Mi sembra che forse altri strumenti avrebbero potuto essere analizzati (i più
noti sono Nessus e OpenVAS), ma mi sembra che l'analisi non avesse ambizioni di
completezza, essendo stata condotta nell'ambito di una tesi universitaria.
******************************************************
08- Disponibili gli
interventi di DIG.eat 2021
Segnalo che si è chiusa la manifestazione DIG.eat 2021.
Io ho tenuto un intervento, ma gli argomenti trattati sono molto vari e
interessanti:
- https://anorc.eu/attivita/il-netflix-della-cultura-digitale-chiuso-il-dig-eat-2021-la-piattaforma-offrira-contenuti-gratis-e-on-demand.
Il difetto è che è necessario registrarsi per poter accedere ai contenuti. Però
ne vale la pena.
******************************************************
09- Mio intervento il 18
febbraio 2021 su valutazione del rischio
Sono intervenut, per un tempo brevissimo con qualche riflessione sulla
valutazione del rischio:
- https://www.linkedin.com/posts/coretech-s-r-l_cybersecurity-coretech-coretalks-activity-6767035215618555906-li0e.
Si parlerà di privacy e violazioni di dati personali.
******************************************************
10- Sugli schemi di
certificazione per GDPR
Fabio Guasconi ha tenuto un interessante webinar il 12 gennaio per il Clusit e
Osservatori (ringrazio poi Franco Vincenzo Ferrari di DNV GL per avermelo
ricordato):
- https://www.osservatori.net/it/eventi/on-demand/webinar/isoiec-27701-certificazione-gdpr-approccio-oggi-domani-webinar.
L'evento è a pagamento. Io mi permetto solo di segnalare due cose che mi erano
sfuggite sui lavori di standardizzazione per gli schemi di certificazioni
previsti dal GDPR.
In poche parole, a livello CEN, ossia europeo, sono in discussione due standard
per la certificazione prevista dal GDPR:
- uno basato sulla ISO/IEC 27701, che prevede un suo "raffinamento"
per poterla usare con la ISO/IEC 17065 (come previsto dal GDPR) in ambito
europeo;
- uno che prevede un nuovo standard basato sull'italiana PdR 43-2, non più
limitata all'ambito ICT e più orientata alle PMI.
La previsione è di finire i lavori entro fine 2021. Poi, ovviamente, bisognerà
vedere come saranno recepiti dall'EDPB, visto che questi sarebbero gli standard
per le organizzazioni da certificare, ma vanno ancora creati gli schemi di
certificazione con le caratteristiche degli organismi di certificazione e le
modalità per verificare se gli organismi hanno le caratteristiche previste, le
competenze richieste agli auditor, il calcolo dei tempi di audit, eccetera.
Nota. A chi mi parla della ISDP 10003 confermo la mia posizione. Abbiamo
bisogno di standard di livello internazionale, scritti da organismi normazione
riconosciuti, approvati con il consenso internazionale, appoggiati dall'EDPB e
non da un'autorità locale (non è un caso se nessun Paese si è mosso
autonomamente, almeno finora). Questo richiederà tempo, ma siamo vissuti bene
dal 1995 senza alcuna "certificazione privacy" e possiamo continuare così
pur di avere un buono standard.
******************************************************
11- Privacy (ma non solo):
Linee guida EDPB sulla gestione degli incidenti
L'EDPB (la commissione dei garanti privacy europei) ha pubblicato le
"Guidelines 01/2021 on Examples regarding Data Breach Notification"
(grazie a Giancarlo Caroti di Neumus che me le aveva inoltrate qualche giorno
fa):
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en.
Per ora sono solo in inglese.
Non dicono nulla di nuovo a chi si occupa di privacy e sicurezza delle
informazioni. Ma... lo dicono bene.
Innanzi tutto sono presentati 18 casi di incidente. Essi possono essere causati
da alcuni attacchi (ransomware, intrusione in un sito web, copia di dati da
parte di un interno, accesso non autorizzato da parte di un interno a causa di
un errore di configurazione, perdita o furto di dispositivi IT, perdita o furto
di documenti cartacei, invio di email o posta cartacea a destinatari sbagliati,
furto di identità con attacco di social engineering, riconfigurazione malevola
di un server di posta). Già qui abbiamo una sorta di lista di minacce da
considerare perché significative.
Poi sono anche elencate le misure di sicurezza preventive raccomandate. Ripeto:
nulla di nuovo, ma messo per bene.
Inoltre l'EDPB raccomanda la redazione di un "Manuale per gestire gli
incidenti". E proprio il documento stesso, se utilizzato opportunamente,
fornisce la base per una prima versione di questo manuale (proprio prendendo i
casi riportati e personalizzando i relativi processi di "mitigazione e
obblighi").
I casi sono accompagnati anche da considerazioni in merito alla necessità di
notificare all'autorità garante e agli interessati l'evento.
Finalmente, dopo tantissimi documenti fumosi, che raccomandano le
"solite" misure di sicurezza, un documento facilmente leggibile e
pratico.
******************************************************
12- Microsoft Teams (e non
solo) e la privacy
Glauco Rampogna degli Idraulici della privacy mi ha segnalato questo articolo
dal titolo, un po' lungo, "I looked at all the ways Microsoft Teams tracks
users and my head is spinning":
- https://www.zdnet.com/article/i-looked-at-all-the-ways-microsoft-teams-tracks-users-and-my-head-is-spinning/.
L'articolo è forse troppo emotivo, ma pone due problemi importanti. Il primo è
quello della privacy e del controllo a distanza dei lavoratori. Dovrei capire
meglio se e come le funzionalità di monitoraggio possano essere messe a
disposizione dei manager, però dovrò approfondire la questione, visti gli
impatti sulla privacy.
Il secondo tema è quello delle tecniche gestionali, che vorrebbero,
erroneamente, essere quantitative. Come si chiede l'autore, il numero di
messaggi inviati è veramente sintomo di una buona produttività (e, aggiungerei,
non di inutile spreco di risorse)? Purtroppo il mito del management by
objective continua a sopravvivere, nonostante fosse già stato criticato negli
anni Quaranta da Deming (non un tizio qualsiasi).
Ovviamente le stesse considerazioni valgono per tutti questi strumenti che da
una parte aiutano i lavoratori e le organizzazioni, ma dall'altra mettono a
disposizione strumenti per controllare i lavoratori stessi.
******************************************************
13- "Un piccolo libro
sulla privacy, il GDPR e come attuarlo" e beneficenza
Pubblicizzando il libro degli Idraulici della privacy "Un piccolo libro
sulla privacy, il GDPR e come attuarlo", avevo detto che i ricavati
sarebbero andati in beneficenza.
Mi sembra giusto dire come sono andate le cose.
Innanzi tutto abbiamo pubblicato la versione digitale su Streetlib e quella
cartacea prima su Lulu e poi su Youcanprint (distribuisce in più posti rispetto
a Lulu). Ovviamente non abbiamo potere contrattuale con queste piattaforme che
quindi si sono tenute il loro margine.
In tutto al 31 gennaio abbiamo ricavato 1133 Euro. Metà è andata alla
Fondazione Meyer (https://donazioni.fondazionemeyer.it/)
e metà alla Parrocchia di San Stanislao a Roma che si occupa del supporto
alimentare alle famiglie in difficoltà (soprattutto adesso con le difficoltà
legate all'emergenza COVID).
Grazie a quanti hanno sostenuto, anche promuovendola, l'iniziativa.
******************************************************
14- Libro su sicurezza
delle informazioni e GDPR
Chiara Ponti e Renato Castroreale pubblicheranno (a febbraio) un libro dal
titolo "Il sistema integrato per la sicurezza delle informazioni ed il
GDPR":
- https://www.epc.it/Prodotto/Editoria/Libri/Il-sistema-integrato-per-la-SICUREZZA-delle-INFORMAZIONI-ed-il-GDPR/4909.
Mi hanno chiesto di scrivere la presentazione e io l'ho fatto molto volentieri.
Il testo, infatti, tratta di un argomento fondamentale, ossia, come dice il
titolo, dell'integrazione delle attività relative alla sicurezza delle
informazioni e al GDPR. Oggi sempre più organizzazioni stanno seguendo questo
approccio, ma ancora troppe separano quasi completamente le due materie, spesso
affidando la prima ai tecnici e la seconda ai legali, senza capire le
tantissime relazioni reciproche e la necessità di avere un approccio
interdisciplinare in ambedue.
A questo proposito ho ricordato come queste materie permettono di avere grandi
soddisfazioni, soprattutto perché: 1) si ha l'opportunità di conoscere persone
validissime e molto professionali con esperienze e competenze diverse; 2)
questa diversità ci richiede di approfondire il rapporto; 3) alcune volte
questo approfondimento sfocia nell'amicizia.
Concludo quindi ringraziando Chiara e Renato per avermi dato l'opportunità di
riflettere su queste cose.
******************************************************
EONL