******************************************************
IT SERVICE MANAGEMENT NEWS
– MARZO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni, IT
Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution
4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti
con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team
Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Libro "Intelligenza artificiale e sicurezza"
02- 16-18 marzo: Security Summit 2021
03- 18 marzo 2021: Presentazione sulle novità delle norme internazionali
04- Storia delle norme di sicurezza informatica (molto breve)
05- Minacce e attacchi: Incendio al data center di OVH a Strasburgo
06- Normativa: Perimetro di sicurezza: decreto sugli incidenti (errata corrige)
07- Standard: Cosa prevede la nuova ISO/IEC 27002 (mio articolo)
08- Standard: Pubblicata la ISO 22300 sulla continuità operativa
09- Standard e privacy: Pubblicata la ISO/IEC 27006-2 per le certificazioni
ISO/IEC 27701 (PIMS)
10- Standard e norme tecniche: Pubblicazioni ENISA per TSP
11- Privacy: Multa per non aver nominato il responsabile del trattamento
12- Privacy: 3 violazioni di dati personali in strutture sanitarie e problemi
vari
******************************************************
01- Libro
"Intelligenza artificiale e sicurezza"
Il 18 sarà disponibile il libro "Intelligenza artificiale e
sicurezza" della Community for Security del Clusit:
- https://iasecurity.clusit.it/.
Io ho avuto l'opportunità e il privilegio di fare da editor, ossia di
consolidare i contributi ricevuti e precedentemente ottimamente organizzati dai
team leader. Lo dico perché all'inizio ero completamente ignorante in materia
di intelligenza artificiale (a parte una certa conoscenza di Hal 9000 e delle tre leggi della robotica di Asimov) e ho
avuto la possibilità di poter chiedere chiarimenti agli autori (tutti
validissimi) mano a mano che non capivo qualcosa.
Spero quindi di essere riuscito a limare il testo in modo che possa essere
utile ai principianti. Sono anche sicuro che sarà utile a chi conosce già
l'intelligenza artificiale, visto che gli autori sono di altissimo livello e il
testo è stato riesaminato da persone molto preparate sulla materia.
Io personalmente ho già avuto modo di verificare i benefici personali che ho
avuto da questo lavoro. Sono infatti riuscito a seguire alcuni ragionamenti
sull'intelligenza artificiale senza sentirmi perso.
Sono grato a tutti quelli che hanno partecipato a questo lavoro, coordinati dal
bravissimo Alessandro Vallega di P4I, per l'opportunità non solo di imparare,
ma anche e soprattutto di potermi confrontare con persone (non solo
professionisti) eccezionali. Per fare un esempio: è stato bello assistere alla
neo-paternità di un partecipante.
******************************************************
02- 16-18 marzo: Security
Summit 2021
Dal 16 al 18 marzo ci sarà il Security summit:
- https://securitysummit.it/eventi/2021-milano/agenda.
Io terrò un fugace intervento, insieme ad altri, sullo stato delle norme
internazionali:
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.
Ma vale la pena fare un giro in tutte le sessioni.
******************************************************
03- 18 marzo 2021:
Presentazione sulle novità delle norme internazionali
Il 18 marzo 2021, nell'ambito del Security Summit, parteciperò alla
presentazione "Tutte le novità delle norme internazionali in arrivo nel
2021 su: dati personali, ISO/IEC 27002, PEC e IoT":
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.
Avremo un'ora per parlare molte cose. Ce la faremo!
******************************************************
04- Storia delle norme di
sicurezza informatica (molto breve)
Mi sono divertito a scrivere una brevissima storia delle norme di sicurezza
informatica:
- https://www.key4biz.it/storia-delle-norme-degli-standard-e-delle-linee-guida-di-sicurezza-informatica/346992/.
L'ho impostata facendo riferimento al diverso livello di prescrittività
delle norme nel tempo.
L'articolo riprende e in parte approfondisce il mio intervento al Dig.eat 2021.
******************************************************
05- Minacce e attacchi:
Incendio al data center di OVH a Strasburgo
Sandro Sanna mi ha segnalato la notizia dell'incendio presso il data center di
OVH a Strasburgo:
- https://www.ilmattino.it/primopiano/esteri/strasburgo_data_center_ovh_incendio_cosa_e_successo_ultime_notizie_news-5821804.html.
Anche Serena Giugni di Register me l'ha segnalata
quasi in contemporanea, però con un articolo in inglese:
- https://www.datacenterknowledge.com/uptime/fire-has-destroyed-ovh-s-strasbourg-data-center-sbg2.
Con le notizie a disposizione, penso solo che chi si appoggia a questi servizi cloud non deve mai dare per scontato il servizio di disaster recovery. Ma questa è
una cosa che diciamo da molto tempo.
Nota amena: questo evento mi è stato segnalato mentre stavo tenendo un corso
sulla ISO 22301, la norma sui sistemi di gestione per la continuità operativa.
******************************************************
06- Normativa: Perimetro
di sicurezza: decreto sugli incidenti (errata corrige)
Avevo segnalato la bozza del DPCM per la comunicazione degli incidenti da parte
delle organizzazioni che rientrano nel perimetro di sicurezza nazionale:
- http://blog.cesaregallotti.it/2021/02/perimetro-di-sicurezza-decreto-sugli.html.
Giancarlo Caroti di Neumus mi segnala un errore dove dico che lo schema di DPCM
richiede ai soggetti inclusi nel perimetro di "adottare le misure minime
di sicurezza già previste da AgID".
Giancarlo mi fa notare che le "misure richieste non sono quelle minime di AgID ma provengono dalle Linee Guida emesse dal Comitato
che riunisce le Autorità NIS (che in base all'art 12 del DL 65/2018 possono
definire specifiche misure di sicurezza), che ha condiviso l'opportunità di
utilizzare il Framework Nazionale di Cyber Security (Versione 2.0 Febbraio
2019) predisposto dal CINI a sua volta ispirato al CS Framework NIST 2014, come
base di riferimento.
Si tratta essenzialmente di meno della metà dei controlli proposti nel FNCS
CINI, cioè 47 subcategorie sul totale delle 116 (che a loro volta sono 8 in più
del CSF NIST 2014). Certamente però molte misure si mappano agevolmente sui
controlli che AgID ha stabilito nel 2017".
Ringrazio Giancarlo per la precisazione e mi scuso con i miei lettori.
******************************************************
07- Standard: Cosa prevede
la nuova ISO/IEC 27002 (mio articolo)
Ho scritto questo articolo dal titolo "Sicurezza delle informazioni, cosa
prevede la nuova ISO/IEC 27002/2021":
- https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.
Tra l'altro, il 18 marzo, nell'ambito del Security Summit, presenterò molto
brevemente le novità della ISO/IEC 27002 (parteciperà anche Fabio Guasconi che
quindi potrà dare ulteriori spunti).
******************************************************
08- Standard: Pubblicata
la ISO 22300 sulla continuità operativa
E' stata pubblicata la "ISO 22300:2021 Security and resilience
— Vocabulary":
- https://www.iso.org/standard/77008.html.
Il titolo dice già tutto sul suo contenuto. Essa sostituisce la versione del
2018.
******************************************************
09- Standard e privacy:
Pubblicata la ISO/IEC 27006-2 per le certificazioni ISO/IEC 27701 (PIMS)
E' stata pubblicata la ISO/IEC TS 27006-2 "Requirements
for bodies providing audit
and certification of information security management systems — Part 2: Privacy information management systems":
- https://www.iso.org/standard/71676.html.
Di questa norma ho già accennato in precedenza. Essa regolamenta le
certificazioni dei sistemi di gestione per la privacy rispetto alla norma
ISO/IEC 27701.
Ricordo ancora che questa certificazione non soddisfa quanto previsto dagli
articoli 42 e 43 del GDPR, ma è comunque una "buona" certificazione.
Evito di ripetere cose già dette e rimando a un articolo che avevo scritto
insieme ad Andrea Caccia e Fabio Guasconi a gennaio 2020 ma ancora attuale:
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.
Personalmente spero che Accredia si allinei al più
presto a questa norma, mettendo fine allo schema attuale, visto che non ne
apprezzo alcune scelte.
Elementi particolarmente significativi:
- stabilito il calcolo delle giornate di audit (anche se il metodo è incompleto
perché non considera il caso in cui l'ambito ISO/IEC 27701 sia un sottoinsieme
di quello ISO/IEC 27001);
- indicate le competenze degli auditor e del gruppo di audit;
- specificato come deve essere il certificato ISO/IEC 27701 (che deve essere a
sé stante, anche se collegato a un certificato ISO/IEC 27001).
******************************************************
10- Standard e norme
tecniche: Pubblicazioni ENISA per TSP
Franco Ferrari di DNV mi ha segnalato la recente pubblicazione (16 febbraio) di
nuovi documenti da parte di ENISA, significativi per i TSP (e forse non solo
per loro).
Security Framework for Trust
Providers
- https://www.enisa.europa.eu/publications/security-framework-for-trust-providers/.
Security Framework for Qualified Trust Providers
- https://www.enisa.europa.eu/publications/security-framework-for-qualified-trust-providers.
Remote ID Proofing
- https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing.
Assessment of Qualified Trust Service Providers
- https://www.enisa.europa.eu/publications/assessment-of-qualified-trust-service-providers/.
Recommendations for QTSPs based on Standards
- https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards/.
Me li dovrò studiare per bene, ma sono sicuro che siano
estremamente validi.
Purtroppo ENISA ha un sito web che non aiuta a trovare i documenti: la pagina "Publications"
non evidenzia questi nuovi documenti e, in realtà, si concentra sui rapporti,
sui documenti interni e altra roba non molto importante per gli altri. Poi ha
etichette e argomenti (topic) non aggiornati alle
attuali esigenze. Insomma, la situazione è molto difficile e ritengo che sia un
peccato vista la qualità della documentazione di ENISA.
******************************************************
11- Privacy: Multa per non
aver nominato il responsabile del trattamento
La Regione Lazio è stata multata per 75.000 Euro per non aver designato un
fornitore esterno (contact center) come responsabile
del trattamento dei dati:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9542113.
Molte organizzazioni sono indietro relativamente a questi adempimenti (e altre
si ostinano a "nominare" come responsabile del trattamento il legale
rappresentante e non la società) e forse questa ordinanza smuoverà qualcosa.
******************************************************
12- Privacy: 3 violazioni
di dati personali in strutture sanitarie e problemi vari
La newsletter del Garante privacy del 19 febbraio 2021 riporta la notizia
"Data breach sanitari, il Garante privacy
sanziona tre strutture":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544567.
In due casi, un invio cartaceo è stato indirizzato alla persona sbagliata,
mentre nel terzo caso un'infermiera aveva contattato i familiari di una
paziente, nonostante questa avesse richiesto di non farlo.
Il terzo caso è abbastanza semplice da capire: la richiesta della paziente non
era stata archiviata in modo opportuno e la struttura sanitaria non aveva ben
stabilito come gestire questo tipo di richieste in modo che il personale non
faccia errori (p.e. con maschere che ricordano le opzioni indicate dai pazienti
oppure cancellando i numeri di telefono non più dichiarati accettabili dai
pazienti).
Gli altri due casi sono invece di difficile comprensione. I provvedimenti
indicano che "sono ricostruite le dinamiche dell'accaduto, analizzate le
cause e definite le azioni correttive", ma io non e trovo traccia.
Certamente i provvedimenti non sono sempre il posto dove trovare queste
informazioni, ma così ho avuto l'idea di una giustizia un po' cieca, che non
ammette l'errore.
Infatti il GDPR non richiede che non vengano fatti errori, ma che vengano
valutati i rischi privacy. I provvedimenti non specificano niente in merito
alla valutazione del rischio delle aziende ospedialiere.
E qui si palesa lo scenario peggiore quando si parla di valutazione del
rischio, ossia l'affermazione (scorretta) secondo cui "se c'è stato un
incidente, vuol dire che la valutazione del rischio non era adeguata".
Dispiace che si sia arrivati a questo. Così la valutazione del rischio rimarrà
sempre più un esercizio formale (utile solo a qualche auditor o consulenti per
lanciarsi in noiosissime disqusizioni; l'ultima
lezione che ho ricevuto, in un'azienda di 5 persone, riguardava i rischi
inerenti, correnti, attesi e residui).
Spero che la rotta cambi, ma non credo che succederà in tempi brevi:
l'approccio basato sul rischio è bello da raccomandare e da sbandierare, ma è
difficile da capire e accettare fino in fondo.
******************************************************
EONL
|
|
||||||||
|
||||||||
|
|
||||||||
