******************************************************
IT SERVICE MANAGEMENT NEWS – NOVEMBRE 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.
******************************************************
Indice
01- Nuova ISO/IEC 27001:2022: articoli e presentazioni
02- Nuova ISO/IEC 27005:2022 (information security risk management): articoli e presentazioni
03- ISO survey 2021
04- Digital service act (DSA) - pubblicazione e un articolo
05- Data governance act (DGA)
06- Pubblicato il rapporto semestrale di NCSC sulla sicurezza informatica
07- Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS
08- Raccomandazioni del CISA per la sicurezza di Microsoft 365
09- Servizi online, necessario l'https
******************************************************
01- Nuova ISO/IEC 27001:2022: articoli e presentazioni
Giovanni Sadun oggi mi ha dato la notizia per primo. La ISO/IEC 27001:2022 è stata pubblicata a fine ottobre 2022:
- https://www.iso.org/standard/82875.html.
Per leggere dei cambiamenti, segnalo l'articolo scritto da me e Fabio Guasconi dal titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.
Glauco Rampogna (grazie!) mi ha segnalato anche questa presentazione dove il testo precedente e quello nuovo sono messi a confronto:
- https://www.linkedin.com/posts/andreyprozorov_new-iso-270012022-activity-6990611587405369344-2ncm.
Sulle conclusioni di questa presentazione ho invece molte perplessità: a parte i punti 1 e 2, che sono fuori discussione, gli altri punti richiamano procedure o strumenti non necessari e non le registrazioni, che invece sono necessarie (riesame di direzione, obiettivi, eccetera).
******************************************************
02- Nuova ISO/IEC 27005:2022 (information security risk management): articoli e presentazioni
La ISO/IEC 27005:2022 è stata pubblicata:
- https://www.iso.org/standard/80585.html.
Questa norma tratta della gestione del rischio relativo la sicurezza delle informazioni.
Essa è stata cambiata in modo significativo per introdurre l'approccio "event-based", a fianco di quello tradizionale "asset-based" (alla fine si tratta della stessa cosa, ma viene meno l'idea di un'analisi per singolo asset).
Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta di una norma "di transizione". Il suo valore, a mio parere, è soprattutto quello di superare un approccio, peraltro non condiviso da altre discipline (che io raccomando sempre di analizzare con interesse) e che era nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.
Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
******************************************************
03- ISO survey 2021
E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.
Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).
******************************************************
04- Digital service act (DSA) - pubblicazione e un articolo
Chiara Ponti, Idraulica della privacy, mi ha segnalato la pubblicazione del Regolamento europeo 2022/2065, noto come Digital service act (DSA):
- http://data.europa.eu/eli/reg/2022/2065/oj.
Esso modifica, tra gli altri, la Direttiva e-commerce (2000/31/CE, recepita in Italia con il D.Lgs. 70 del 2003).
Chiara Ponti mi ha dato i suoi appunti sugli aspetti che lei ritiene più importanti. Spero di non sbagliare e li diffondo:
- nuovi obblighi di trasparenza per la pubblicità mirata basata su profilazione degli utenti;
- introduzione di misure mirate alla tutela di minori e soggetti fragili (il tragico caso inglese Molly Russel - 14enne suicida a seguito di abbuffata di post negativi autolesionisti ecc, ha fatto purtroppo scuola);
- divieto di utilizzare tecniche ingannevoli per manipolare o influenzare le scelte degli utenti (c.d. dark pattern);
- obbligo di rapida rimozione di contenuti illeciti;
- obbligo per gli e-commerce e i marketplace di assicurare agli utenti l'acquisto di prodotti o servizi sicuri, verificando l'identità dei commercianti e l'affidabilità delle informazioni fornite;
- introduzione della figura del "responsabile della conformità" ("compliance officer": era ora!), un soggetto nominato dai fornitori di servizi online che avrà il compito di monitorare l'osservanza del Regolamento.
Grazie Chiara!
PS: entrerà in vigore il 17 febbraio 2024 (grazie a Davide Foresti per quest'ultima informazione).
PPS: anche questo articolo è utile per capire alcuni aspetti del DSA:
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.
******************************************************
05- Data governance act (DGA)
A giugno 2022, in Gazzetta europea è stato pubblicato il Data governance act (Regolamento UE 2022/868). Segnalo quindi il comunicato stmpa del Consiglio dell'UE:
- https://www.consilium.europa.eu/it/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/.
La notizia me l'ha data Chiara Ponti, Idraulica della privacy che ringrazio. Chiara ha scritto a sua volta un articolo interessante:
- https://www.zerounoweb.it/cio-innovation/open-innovation/data-governance-act-che-cose-e-quali-novita-introduce/.
In sostanza, il DGA riguarda il trasferimento di dati "che potrebbero essere protetti dalla legislazione in materia di protezione dei dati, dalla proprietà intellettuale oppure contenere segreti commerciali o altre informazioni commerciali sensibili". Si tratta di regole per:
- la condivisione di dati detenuti da enti pubblici (e che devono garantire opportune misure di sicurezza);
- la condivisione di dati tra imprese e singoli (attraverso servizi di intermediazione che a loro volto devono rispettare specifiche regole);
- messa a disposizione di dati per il bene comune (altruismo dei dati per il bene comune; le organizzazioni che li usano devono rispettare specifici codici di condotta).
Sono previsti meccanismi di certificazione per i fornitori di servizi di intermediazione e le organizzazioni per l'altruismo dei dati.
A dirla tutta, non ho capito esattamente i casi d'uso di questo regolamento, ma ho fiducia che, prima o poi, ce la farò.
******************************************************
06- Pubblicato il rapporto semestrale di NCSC sulla sicurezza informatica
Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.
In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.
******************************************************
07- Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS
Dal SANS Newsbites apprendo che CISA FBI MS-ISAC hanno pubblicato la guida "Understanding and Responding to Distributed Denial-of-Service Attacks":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.
Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".
Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.
******************************************************
08- Raccomandazioni del CISA per la sicurezza di Microsoft 365
Dal SANS Newsbyte segnalo che il CISA ha pubblicato la bozza delle "M365 Minimum Viable Secure Configuration Baseline":
- https://www.cisa.gov/scuba.
La guida è per Microsoft Defender for Office 365, Microsoft Azure Active Directory, Microsoft Exchange Online, OneDrive for Business, Power BI, Power Platform, SharePoint Online, Teams.
******************************************************
09- Servizi online, necessario l'https
Il Garante ha sanzionato un'azienda perché usava il protocollo http e non https (per cifrare le trasmissioni) per l'accesso all'area riservata, usata per visualizzare lo storico delle bollette di un fornitore di servizi idrici:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9817058.
Anche il mio sito, con solo pagine statiche, usa https!
******************************************************
EONL