******************************************************
IT SERVICE MANAGEMENT NEWS
– NOVEMBRE 2021
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Stato delle norme ISO/IEC 270xx
02- NCSC Rapporto semestrale 2021/1 (ex Melani)
03- ENISA Threat Landscape 2021
04- Ghosting e orbiting e social network
05- Articolo sulla valutazione dei rischi di sicurezza delle informazioni e di
privacy
06- Mia presentazione sullo stato delle certificazioni GDPR
07- Privacy: articolo sull'uso di Google e i trasferimenti extra SEE
******************************************************
01- Stato delle norme
ISO/IEC 270xx
Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di gestione
per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il 27 ottobre
quello del WG 5 (privacy). Gli incontri del WG 1 sono durati pochi giorni
perché molti incontri di scrittura degli standard si sono tenuti da remoto nei
mesi precedenti.
Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe
quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme
alle correzioni del 2017, in una bozza finale per avere la pubblicazione della
ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in
autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare
le molte questioni sollevate negli anni, tra cui quella della necessità della
dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno
aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che,
viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017;
la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC
27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo
"Guidance to machinery manufacturers for consideration of related
IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si
prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a
inizio 2023.
Per il WG 5 ho
seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC
27006-1 per gli organismi di certificazione che svolgono audit e rilasciano
certificazioni secondo la ISO/IEC 27701 (Privacy information management
system); si sono analizzate le proposte per aggiornare l'attuale edizione;
nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema
di calcolo delle giornate di audit per il quale si è costituito un gruppo ad
hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di
Churchill: "il calcolo basato sul numero di persone addette è il peggiore
esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si
prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information
deletion", che è stata pubblicata a ottobre e ha visto il contributo di
un'editor italiana.
******************************************************
02- NCSC Rapporto
semestrale 2021/1 (ex Melani)
Segnalo il rapporto semestrale di NCSC (ex Melani):
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.
Come al solito è molto interessante e descrive gli incidenti più significativi
registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione,
ma include anche suggerimenti per le contromisure.
Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT
o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha
pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato
(non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando
capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di
una raccolta periodica, come dimostra anche il successo del rapporto Clusit).
Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo
è un peccato.
******************************************************
03- ENISA Threat Landscape
2021
ENISA ha pubblicato il Threat Landscape 2021, la loro analisi delle minacce e tendenze
di sicurezza:
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.
Fortunatamente hanno abbandonato il modello dell'anno scorso, ossia la
suddivisione in numerose pubblicazione, e il tutto è in un malloppo di 116
pagine. Nell'executive summary sono citate le questioni principali, poi
approfondite in 8 capitoli, ciascuno dedicato a macro-categorie di minacce
informatiche (ransomware, malware, cryptojacking, email, minacce ai dati,
minacce all'integrità e disponibilità, disinformazione, minacce non
volontarie).
Alcune categorie sono forse troppo generiche, ma troppo dettaglio porterebbe
forse troppa confusione.
Ringrazio Savino Menna della Clusit community for security.
******************************************************
04- Ghosting e orbiting e
social network
Segnalo l’articolo "Peggio del ghosting c'è solo l'orbiting" e
riguarda alcune pratiche sui social network:
- https://www.siamomine.com/peggio-del-ghosting-ce-solo-lorbiting/.
Mi rendo conto che questo argomento è un po' fuori tema rispetto a
"qualità, sicurezza delle informazioni e gestione dei servizi IT", ma
ci è vicino e vale la pena conoscerlo.
L'articolo è stato segnalato dalla newsletter di DFA (www.perfezionisti.it).
******************************************************
05- Articolo sulla
valutazione dei rischi di sicurezza delle informazioni e di privacy
Monica Perego ha scritto un articolo dal titolo "La valutazione dei rischi
a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della
Norma ISO/IEC 27701:2019":
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.
Monica scrive sempre cose utili e da un punto di vista interessante.
E mi cita! Ne sono onorato.
******************************************************
06- Mia presentazione
sullo stato delle certificazioni GDPR
Il 13 novembre ho tenuto una breve presentazione con gli Idraulici della
privacy dal titolo "Certificazioni e codici di condotta GDPR: come si sta
procedendo?":
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.
Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho
potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose
che non avevo considerato.
******************************************************
07- Privacy: articolo
sull'uso di Google e i trasferimenti extra SEE
Segnalo questo articolo dal titolo "Google Workspace: l'azienda che lo usa
sarà davvero in regola con il Gdpr?":
- https://www.federprivacy.org/informazione/punto-di-vista/google-workspace-l-azienda-che-lo-usa-sara-davvero-in-regola-con-il-gdpr.
La risposta è, in estrema sintesi: non proprio e bisogna anche stare molto
attenti.
Su questa questione avevo già accennato in precedenza, commentando le
raccomandazioni dell'EDPB sui trasferimenti all'estero:
- http://blog.cesaregallotti.it/2021/07/privacy-e-edpb-raccomandazioni-per-i_3.html.
In quell'occasione dicevo che EDPB fornisce un elenco delle cose da valutare
prima di iniziare un trasferimento extra SEE, ma è molto difficile affrontare
quel tipo di analisi e, in sostanza, le PMI (e anche molte grandi) dovrebbero
evitare ogni trasferimento, a meno di decidere di "sbagliare in
compagnia" e continuare a usare Google e compagnia (e verificare se poi
verranno sanzionati i primi sfortunati).
Mi permetto di osservare che in Europa non mi sembra ci siano fornitori capaci
di contrastare i giganti made in USA e questo è un peccato.
******************************************************
EONL