******************************************************
IT SERVICE MANAGEMENT NEWS – OTTOBRE 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.
******************************************************
Indice
01- Stato degli standard ISO/IEC 270xx
02- Transizione alla ISO/IEC 27001:2022
03- Sito dell'ISO/IEC JTC 1 SC 27
04- Zero trust architecture
05- Mio articolo sulle competenze in ambito di sicurezza informatica
06- Mia presentazione "Spunti per lo sviluppo sicuro del software"
07- Tool di attacco e difesa (e di controllo delle autorizzazioni su Active Directory)
08- Compromissione di server con applicazioni OAuth
09- Come valutare un SOC
10- Cyber o ciber? e non solo
11- Privacy: Approvato il primo schema di certificazione europeo
12- Decreto trasparenza e privacy - Cirolare 19 del Ministero del lavoro
13- Privacy: Aggiornamento sull'accordo USA-UE per il trasferimento dei dati personali
******************************************************
01- Stato degli standard ISO/IEC 270xx
Il 4 e 5 ottobre 2022 si è tenuto il meeting semestrale del ISO/IEC JTC 1 SC 27 WG 1, il gruppo che si occupa della standardizzazione relativa ai sistemi di gestione per la sicurezza delle informazioni (ossia le norme della famiglia ISO/IEC 27000). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle informazioni: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il pregio di superare l'impostazione basata sul censimento degli asset, a mio parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la pubblicazione della nuova edizione per primavera 2023; non ha grandi novità, ma è stata aggiornata per poter mettere ordine anche nelle regole di accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017 (con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il settore dell'energia); sono in fase di aggiornamento per essere allineate alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011 nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.
Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27701: rimane in stato di CD (quindi con pubblicazione non prima di metà del 2024); gran parte della discussione, come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata a breve; non penso sia una norma importante, ma ho imparato molto partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in sostanza, per evitare una revisione completa, ma non ne raccomanderei l'acquisto perché si tratta di cose anche interessanti, ma la verità è che la norma dovrebbe essere completamente aggiornata considerando l'esperienza maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i fornitori di servizi cloud, importante perché richiesti da alcuni bandi di gara italiani: avviato un gruppo per proporre un adeguamento considerando la nuova ISO/IEC 27001.
******************************************************
02- Transizione alla ISO/IEC 27001:2022
La ISO/IEC 27001:2022 non è ancora pubblicata, ma sono disponibili i requisiti di IAF per la transizione:
- https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf
Segnalo che è stato recepito l'approccio dell'SC 27 per cui l'Annex A della ISO/IEC 27001 non è di requisiti. Pertanto è detto che "The impact of the changes in ISO/IEC 27001:2022 is limited".
La guida chiede di completare la transizione dei certificati entro 3 anni dall'uscita della ISO/IEC 27001.
******************************************************
03- Sito dell'ISO/IEC JTC 1 SC 27
Segnalo il sito dell'ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa di scrivere le norme di sicurezza delle informazioni e la privacy, tra cui ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, i Common criteria:
- https://committee.iso.org/home/jtc1sc27.
Alcune cose non sono recentissime, ma sono comunque interessanti. Segnalo in particolare il SC 27 Journal, il Volume 2, Issue 2 di luglio 2022, dedicato alla ISO/IEC 27002:2022. In esso c'è un interessantissimo articolo sulla storia di questa norma.
******************************************************
04- Zero trust architecture
Da un po' si sente parlare di Zero trust architecture o ZTA. Glauco Rampogna mi scrive "Una nuova buzzword è "Zero Trust"; in 2 soldini "non fidarti del device solo per il solo fatto di averlo nella tua rete". Per questo mi segnala la pagina del NCCOE, che sta producendo alcune guide:
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.
Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.
In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.
Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.
Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.
******************************************************
05- Mio articolo sulle competenze in ambito di sicurezza informatica
Ho scritto un articolo dal titolo "La cybersecurity e la ricerca delle competenze nel 2022". Si può leggere seguendo il link da questa pagina di lancio:
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.
Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).
******************************************************
06- Mia presentazione "Spunti per lo sviluppo sicuro del software"
Il 7 ottobre 2022, alla "AppSec and Cybersecurity Governance 2022" organizzata da ISACA Venice Chapter, OWASP Italia e Ca' Foscari University a Mestre, ho avuto l'opportunità di presentare alcune riflessioni su cosa non funziona nello sviluppo sicuro del software:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/20220-10-07-Slides-ISACA-Venice.pdf.
L'iniziativa è stata molto bella e ringrazio in particolare Alberto Elia Martin di ISACA Venice per avermi invitato (il programma della giornata è disponibile su https://sites.google.com/owasp.org/assg2022/) e i tanti colleghi che ho avuto modo di incontrare nuovamente o di conoscere di persona.
******************************************************
07- Tool di attacco e difesa (e di controllo delle autorizzazioni su Active Directory)
Dal SANS NewsBites del 11 ottobre, leggo la notizia "US HHS HC3 Presentation on Risks Posed by Legitimate Security Tools". Essa rimanda alla notizia su SC Magazine:
- https://www.scmagazine.com/analysis/risk-management/ongoing-abuse-of-legitimate-security-tools-pose-threat-to-healthcare-hc3-warns.
Si tratta di un elenco di strumenti che possono essere usati per aumentare il livello di sicurezza dei sistemi e della rete, ma anche per attaccarli. La lettura è piuttosto tecnica.
Mi sono incuriosito soprattutto ai tool per il controllo delle autorizzazioni su Active Directory (in particolare AccessEnum dei Sysinternals), attività sempre difficile da fare. Per questo ho trovato interessante l'articolo "Top 11 NTFS Permissions Tools for Smarter Administration" (sul sito web di uno dei tool raccomandati):
- https://blog.netwrix.com/2021/01/13/ntfs-permissions-tools/.
******************************************************
08- Compromissione di server con applicazioni OAuth
La notizia viene dal SANS NewsBites, che segnala un articolo dal titolo "Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps":
- https://www.darkreading.com/application-security/cyberattackers-compromise-microsoft-exchange-servers-malicious-oauth-apps.
Ancora una volta, per proteggersi bisogna: attivare il multi-factor authentication almeno per gli utenti privilegiati, politiche di controllo accesso condizionale (che la ISO/IEC 27001 chiama "gestione dinamica degli accessi"). Sono raccomandate altre pratiche come l'autenticazione anche del dispositivo, la limitazione temporale delle sessioni, l'attivazione di allarmi in caso di tentativi di accesso falliti.
Sono cose note e stranote a chi si occupa di sicurezza, ma spesso non applicate.
******************************************************
09- Come valutare un SOC
Ringrazio Luca Moroni di Via Virtuosa perché mi ha segnalato i webinar, in italiano, dei Cyber security angels.
Li ho ascoltati (non tutti, ovviamente) e segnalo in particolare quello intitolato "SoC QoS Ovvero elementi valutativi per un Security Operations Center":
- https://www.youtube.com/watch?v=ECB7lX6P49Q.
Mi sembra molto utile per capire come dovrebbe funzionare un SOC e anche perché i KPI, in sicurezza, vanno trattati con molta cautela.
******************************************************
10- Cyber o ciber? e non solo
Pierfrancesco Maistrello mi ha segnalato questo articolo sul sito dell'Accademia della crusca dal titolo "La cibersicurezza è importante. L'italiano pure":
- https://accademiadellacrusca.it/it/contenuti/gruppo-incipit-comunicato-n-16-la-cibersicurezza--importante-litaliano-pure/15345.
Richiama alcune mie riflessioni sull'uso incontrollato del termine ciber.
Pierfrancesco mi dice che l'ha trovato citato durante un convegno con il Garante privacy e l'Ispettorato nazionale del lavoro. Lo segnalo per completezza, ma ormai è passato:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9809806.
******************************************************
11- Privacy: Approvato il primo schema di certificazione europeo
Cado dalla sedia perché EDPB ha approvato il primo schema di certificazione (o, meglio, di sigillo europeo):
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en.
Il sito di Europrivacy è questo:
https://europrivacy.com/.
Confermo però la mia idea che uno schema così importante dovrebbe essere gestito da entità "pubbliche" e non da entità private, per quanto competenti e corrette. E così pure le specifiche dovrebbero essere oggetto di standardizzazione almeno europea.
Comunque è importante osservare che l'iniziativa ha avuto fin qui successo e dovrà essere presa come punto di riferimento.
******************************************************
12- Decreto trasparenza e privacy - Cirolare 19 del Ministero del lavoro
Del Decreto trasparenza e privacy scrissi a suo tempo:
http://blog.cesaregallotti.it/2022/08/decreto-trasparenza-e-privacy_23.html.
Ivo Trotti di Kantar mi ha segnalato la circolare 19 del 2022 del Ministero del lavoro che riporta alcuni chiarimenti:
-https://www.lavoro.gov.it/notizie/pagine/pubblicata-la-circolare-sulle-novita-introdotte-dal-dlgs-n104-2022-in-materia-di-condizioni-di-lavoro-trasparenti.aspx/.
Quella di interesse per la privacy è al punto 3. Riscrivendo un poco:
- l'informativa non deve riportare gli strumenti cui non consegua un'attività interamente automatizzata finalizzata ad una decisione datoriale; ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita;
- l'informativa deve includere i sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore (tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, ecc.).
******************************************************
13- Privacy: Aggiornamento sull'accordo USA-UE per il trasferimento dei dati personali
E' noto che USA e UE si stanno muovendo per arrivare a un nuovo accordo per il trasferimento dei dati personali. Insomma, un Safe Harbour 3.0 o un Privacy Shield 2.0.
Non è ancora stato definito completamente, ma si stanno facendo passi avanti.
Per capire meglio, penso che la newsletter di IN Avvocati sia ottimamente sintetica ed esaustiva:
https://www.linkedin.com/comm/pulse/40-arriva-un-nuovo-accordo-usa-ue-sui-dati-parte-speciale-
******************************************************
EONL