******************************************************
IT SERVICE MANAGEMENT NEWS
– FEBBRAIO 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution
4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti
con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team
Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Pubblicata la ISO/IEC 27002:2022
02- Pubblicato "Sicurezza delle informazioni - Edizione 2022" in
italiano e in inglese
03- ISO/SAE 21434 Road vehicles - Cybersecurity
engineering
04- Qualificazione dei servizi cloud delle PA
05- Direttiva e regolamento RED (sui dispositivi radio)
06- Nuove regole per la conservazione dei documenti
07- Programma di bug bounty (un esempio)
08- Campagna #Cyberscams sulle truffe digitali
09- Campagna di sensibilizzazione "I Navigati"
10- Privacy: EDPB e i requisiti di certificazione CARPA
******************************************************
01- Pubblicata la ISO/IEC
27002:2022
Ho già scritto sulla "futura" ISO/IEC 27002:2022. Ora non è più
futura, ma attuale:
- https://www.iso.org/standard/75652.html.
Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune
ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti
troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata,
eccetera. Però penso che questa edizione sia notevolmente interessante e degna
di essere letta.
******************************************************
02- Pubblicato
"Sicurezza delle informazioni - Edizione 2022" in italiano e in
inglese
Finalmente sono riuscito a pubblicare la nuova edizione di "Sicurezza
delle informazioni", aggiornata con i controlli della ISO/IEC 27002:2022 e
non solo (anzi... spero di non essere smentito in futuro sulle date di
pubblicazione delle ISO/IEC 27001 e 27002, perché se no dovrò correggere!).
Ho colto l'occasione per inserire ulteriori aggiornamenti sulle tecnologie
(citando IoT, OT, intelligenza artificiale,
eccetera), sulle minacce e gli accreditamenti. Inoltre, Stefano Ramacciotti ha
aggiornato l'appendice sui Common Criteria e sulle FIPS
140.
Per questa edizione ho avuto un revisore d'eccezione: Monica Perego. Ma non
sempre ho seguito i suoi suggerimenti e quindi eventuali errori sono miei.
La pagina di presentazione dell'edizione in italiano (consigliata, perché è
l'originale, mentre l'inglese è una traduzione):
- http://blog.cesaregallotti.it/p/blog-page.html.
La pagina di presentazione dell'edizione in inglese:
- https://blog.cesaregallotti.it/p/blog-page_20.html.
Attenzione che la copertina è quella con i Giganti della Sila (alberi). Non
comprate, quindi, l'edizione con il Perito Moreno (ghiacciaio).
******************************************************
03- ISO/SAE 21434 Road vehicles - Cybersecurity engineering
Franco Vincenzo Ferrari del DNV mi ha segnalato la pubblicazione della ISO/SAE
21434:2021 Road vehicles - Cybersecurity
engineering:
- https://www.iso.org/standard/70918.html.
Mi ha segnalato anche un articolo:
- https://www.cybersecurity360.it/soluzioni-aziendali/iso-sae-21434-il-nuovo-standard-di-cyber-security-in-ambito-automotive-correlazioni-e-limiti/.
Lo standard non riporta suggerimenti tecnici sulle misure da attuare, ma su
tutto il resto: valutazione del rischio (che a sua volta richiama la ISO/IEC
18045), organizzazione, gestione dei progetti, gestione dei fornitori,
eccetera. Scelta condivisibile, vista la continua evoluzione della tecnologia.
******************************************************
04- Qualificazione dei
servizi cloud delle PA
Glauco Rampogna (un Idraulico della privacy) mi ha segnalato la pubblicazione
degli atti per qualificare i servizi cloud delle PA:
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.
Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è
leggermente fuorviante, visto che parla di classificazione, che si trova in
altri documenti, e non cita il cloud).
Un documento riguarda la predisposizione dell'elenco e della classificazione di
dati e di servizi delle PA e prevede un questionario. Non so come accedere al
questionario e immagino sia a disposizione solo delle PA.
Un altro documento riporta, nell'allegato A2, i "livelli minimi di
sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e
credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri
anche se non si erogano servizi cloud per le PA.
Nello stesso documento è presente un Allegato B2, con riportate le
"caratteristiche di qualità, sicurezza, performance, scalabilità,
interoperabilità e portabilità dei servizi cloud per la PA".
Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud
per la PA.
I documenti fanno spesso riferimento al "Regolamento", ossia al
""Regolamento recante i livelli minimi di sicurezza, capacità
elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali
per la PA e le caratteristiche di qualità, sicurezza, performance e
scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le
modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud
per la pubblica amministrazione". Il nome è in effetti un po' lungo e non
aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12
3065_725_1.html.
In esso sono riportati criteri di classificazione dei dati e dei servizi
digitali (articolo 3, comma 3). Li trovo interessanti perché, in sostanza,
prevedono una classificazione molto semplice in 3 livelli e non prevede
etichettatura. Mi viene da pensare che potrebbero essere usati come base di
partenza per la classificazione (e la non-etichettatura) anche dalle
organizzazioni non della PA.
Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che
non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di
miglioramento generale della sicurezza, vengano presto messi a disposizione in
un altro formato.
******************************************************
05- Direttiva e
regolamento RED (sui dispositivi radio)
Alessandro Cosenza di BTicino mi ha segnalato il nuovo Regolamento delegato
(UE) 2022/30 che rende obbligatori, dal 1 agosto 2024, alcuni requisiti dei
dispositivi radio:
- https://eur-lex.europa.eu/eli/reg_del/2022/30/oj.
I requisiti devono quindi assicurare che:
- non danneggiano la rete o il suo funzionamento, né abusano delle risorse della
rete arrecando quindi un deterioramento inaccettabile del servizio;
- contengono elementi di salvaguardia per garantire la protezione dei dati
personali e della vita privata dell'utente e dell'abbonato;
- supportano caratteristiche speciali che consentano di tutelarsi dalle frodi.
Per questi punti, nell'ambito di ETSI, CEN e CENELEC, si sta ragionando sulla
possibilità di creare standard tecnici, al momento non esistenti.
******************************************************
06- Nuove regole per la conservazione
dei documenti
Alessandro Cosenza di BTicino mi ha segnalato questo articolo relativo alla
conservazione dei documenti:
- https://www.dirittodellinformatica.it/ict/gennaio-2022-3-nuovi-adempimenti-obbligatori-per-le-aziende.html.
L'articolo parla anche dei cookie e della transizione digitale, ma il punto che
più ha attirato la mia attenzione è il secondo: "La figura del Responsabile
della conservazione digitale: Obbligatorio per tutte le aziende".
In effetti si tratta di un punto che inizialmente non avevo considerato. Mi
pare anche che le organizzazioni debbano avere un proprio manuale della
conservazione. Mi pare, in sostanza, che questo sarà ottemperato o con un
responsabile interno che, in sostanza, recepisce le indicazioni del
conservatore (inteso come fornitore) o indicando come responsabile una persona
del conservatore stesso. Insomma... nulla di sconvolgente, a parte il fatto che
si tratta di altri adempimenti non utilissimi.
******************************************************
07- Programma di bug bounty (un esempio)
Pierluigi Stefli di Datapro mi ha segnalato questa pagina web di un programma
di bug bounty promosso da una società di prodotti di smart energy:
- https://www.solaredge.com/it/cyber-security-policy.
In breve, questa società chiede di segnalarle vulnerabilità sui suoi sistemi e
fornisce una ricompensa a certe condizioni (p.e. tempo per correggere gli
errori prima della divulgazione).
Pierluigi me l'ha segnalata perché è la prima che vede così strutturata. E, a
mia volta, la segnalo perché è la prima volta che ne vedo una così strutturata.
******************************************************
08- Campagna #Cyberscams sulle
truffe digitali
Franco Vincenzo Ferrari di DNV mi ha segnalato l'iniziativa #Cybersams. Si tratta della diffusione di materiale di
sensibilizzazione e di formazione sulle truffe online. Mi sembra molto
interessante.
Il materiale in italiano l'ho trovato sul sito CERTFin:
- https://www.certfin.it/educational/cyberscams/.
La campagna ha però diffusione europea e segnalo quindi il sito di Eurpol, dove ci sono i poster nelle lingue della UE:
- https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/take-control-of-your-digital-life-don%E2%80%99t-be-victim-of-cyber-scams.
******************************************************
09- Campagna di
sensibilizzazione "I Navigati"
Avevo segnalato la campagna #cyberscams (http://blog.cesaregallotti.it/2022/01/campagna-cyberscams-sulle-truffe.html)
promossa, tra gli altri, da CERTFin e sono stato
notato... Quindi Mario Trinchera di CERTFin mi ha scritto una gentilissima segnalandomi la
campagna "I Navigati":
- https://inavigati.certfin.it/.
E' piuttosto interessante perché suddivisa in 8 video molto brevi e simpatici.
Si tratta sicuramente di materiale di base, ma ben fatto e utile.
******************************************************
10- Privacy: EDPB e i
requisiti di certificazione CARPA
Franco Ferrari mi ha segnalato il fatto che EDPB ha emesso l'Opinion 1/2022 sui
"certification criteria"
GDPR - CARPA e la decisione del Garante lussemburghese:
- https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.
E' evidente che è molto importante perché è un ulteriore passo verso lo schema
di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto
"un numero di cambiamenti" (vedere soprattutto quelli elencati dal
punto 2.4 in poi) e quindi dovremo aspettare ulteriormente.
Più semplice è la notizia:
- https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.
Non mi è chiaro perché
"The present certification is not a certification according to article
46(2)(f) of the GDPR meant for international transfers".
Leggendo l'Opinion, poi, si
vede che viene richiesto l'uso delle norme ISAE 3000 che non conosco. Però,
curiosamente, il parere dice che non fanno parte dei "certification
criteria" e non mi convince. Infatti la certificazione
"secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla
mai di "certification criteria",
ma di "certification requirements"
e questa è una cosa che può creare confusione. Inoltre penso che si debba
indagare anche il funzionamento dello "schema di certificazione", se
no si rischiano derive e interpretazioni non controllate.
******************************************************
EONL