Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità

******************************************************
IT SERVICE MANAGEMENT NEWS – OTTOBRE 2021
******************************************************

Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Novità sulla futura ISO/IEC 27001
02- OWASP Top 10:2021
03- DL 139 (Capienze) e la cosiddetta abolizione della privacy
04- Commenti privacy sul D.L. greenpass 127/2021

Nota: in questo mese tutti pensano al green pass e sono emerse poche cose significative. O sbaglio?

******************************************************
01- Novità sulla futura ISO/IEC 27001

Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti, visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC 27002 e quelli dell'Annex A della ISO/IEC 27001.

La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.

Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.

I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.

Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.

Nei prossimi mesi cercherò di pubblicare una mia personale tabella di conversione.

******************************************************
02- OWASP Top 10:2021

Segnalo che è stata pubblicata la nuova versione delle 10 vulnerabilità applicative più importanti secondo OWASP:
- https://owasp.org/Top10/.

La precedente era del 2017.

Purtroppo non trovo una versione in pdf da poter studiare in formato cartaceo. L'analsii è decisamente molto tecnica e, quindi, sarò grato a chi mi segnalerà articoli di appronfondimento di questa versione.

******************************************************
03- DL 139 (Capienze) e la cosiddetta abolizione della privacy

Non sono un legale, ma in questi giorni ho letto articoli quanto meno allarmistici in merito al DL 139 (decreto "Capienze"). Segnalo questo perché ha il pregio di riassumere le modifiche al Codice privacy (grazie a Biagio Lammoglia degli Idraulici della privacy):
- https://www.linkedin.com/feed/update/urn:li:activity:6852161770073673728/.

Leggendo questo riassunto non capivo cosa c'era da preoccuparsi. Pensavo fossi io quello che non capiva. Però anche Manlio Cammarata, che di privacy ci capisce, sembra avere avuto il mio stesso pensiero. Ma lui lo scrive meglio e con più cognizione di causa:
- https://www.interlex.it/privacyesicurezza/decreto139.html.

Se sbaglio, almeno non sono da solo.

******************************************************
04- Commenti privacy sul D.L. greenpass 127/2021

Come è noto, evito di scrivere di COVID e penso di averne già scritto troppo.

Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.

La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).

******************************************************
EONL