******************************************************
IT SERVICE MANAGEMENT NEWS
– MAGGIO 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Valutazione con il Framework nazionale per la cybersecurity e la data
protection
02- Le password più comuni del 2021
03- Newsletter di NCSC di metà 2022
04- Aggiornamento su NIST SP 800-161 sulla supply chain
05- CNIL dichiara illegali i Google Analytics
******************************************************
01- Valutazione con il
Framework nazionale per la cybersecurity e la data protection
Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione della
"Metodologia per il cybersecurity assessment con il Framework Nazionale
per la Cybersecurity e la Data Protection" del settembre 2021:
- https://www.cybersecurityframework.it/.
Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato
come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la
classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il
18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit,
GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.
Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.
E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori
(in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le
ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).
Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle
PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del
Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di
Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche
linea qualche dettaglio in più, oltre a dare il livello di priorità.
Di base la contestualizzazione aggiunge le colonne priorità e maturità agli
elementi del core in modo da indicare quali sono quelle auspicate per un certo
ambito (o profilo). In questo modo, alcune sottocategorie non vengono più
considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni
sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non
questa idea).
Per quanto riguarda il "il cybersecurity assessment", non ho studiato
bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto),
dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data
una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi
elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.
L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la
complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la
maturità, creando ulteriori sovrapposizioni probabilmente evitabili.
******************************************************
02- Le password più comuni
del 2021
Stefano Ramacciotti mi ha segnalato questo sito con le password più comuni del
2021:
- https://nordpass.com/it/most-common-passwords-list/.
Il bello è che è possibile analizzarle anche per ogni Paese e non solo per gli
USA come spesso accade.
******************************************************
03- Newsletter di NCSC di
metà 2022
Segnalo, come sempre, la newsletter del Centro nazionale per la cibersicurezza
NCSC della Confederazione svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-2.html.
Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben
strutturato.
Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi sembra
affrontata al solito livello a cui mi avevano abituato.
******************************************************
04- Aggiornamento su NIST
SP 800-161 sulla supply chain
Il NIST ha pubblicato la SP 800-161r1 (aggiornamento della SP 800-161) con
titolo " Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.
Ne avevo già parlato criticamente in occasione dell'uscita della prima versione
(https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final).
Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che sia
comunque troppo prolisso.
******************************************************
05- CNIL dichiara illegali
i Google Analytics
Il CNIL, su reclamo dell'associazione noyb, ha in sostanza dichiarato illegale
l'uso dei Google Analytics:
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.
Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai
servizi di intelligence degli USA.
Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa
notizia.
Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics
(anche se io non saprei come fare dal mio blog). Temo però che la stessa
decisione possa applicarsi alle altre soluzioni Google (penso all'email e al
file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più
difficile cambiare. Spero di leggere interpretazioni e casi di studio
interessanti.
******************************************************
EONL