******************************************************
IT SERVICE MANAGEMENT NEWS – FEBBRAIO 2023
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.
******************************************************
Indice
00- Security summit Milano (14-16 marzo)
01- Regole di transizione alla ISO/IEC 27001:2022
02- NIST Cybersecurity Framework 2.0 in lavorazione
03- Gli elementi difficili per gestire la sicurezza delle informazioni
04- Libro "Sicurezza Informatica - Spunti ed Approfondimenti"
05- Tecniche di infezione basate sull'uso di social network
06- Numero degli utenti UE per i servizi digitali
07- Dispositivi (e smartphone) a scuola
08- ISO 31700 (privacy by design): mio brevissimo articolo di presentazione
09- Ancora su privacy e Google Analytics
10- Rapporto EDPB sui cookie banner
******************************************************
00- Security summit Milano (14-16 marzo)
Sarò al Security summit di Milano che si terrà dal 14 al 16 marzo 2023:
- https://securitysummit.it/eventi/milano-2023/info.
Forse parteciperò a una sessione, ma per certo sarò presente, anche se non sempre, per l'associazione DFA (www.perfezionisti.it). Dovremmo avere un roll up in modo da avere un punto di riferimento per salutarci. Anche chi non è di DFA è invitato a passare e salutarmi.
******************************************************
01- Regole di transizione alla ISO/IEC 27001:2022
Accredia ha approvato il 25 gennaio 2023 la circolare con le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla ISO/IEC 27001:2022:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.
Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".
******************************************************
02- NIST Cybersecurity Framework 2.0 in lavorazione
Da Crypto-gram del 15 febbraio, segnalo che sono iniziati i lavori per l'aggiornamento del NIST Cybersecurity Framework:
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.
Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).
E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.
******************************************************
03- Gli elementi difficili per gestire la sicurezza delle informazioni
Martedì 24 gennaio ho presentato, per i Cyber Security Angels, "Gli elementi difficili per gestire la sicurezza delle informazioni". Le slide sono qui:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.
Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.
Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.
******************************************************
04- Libro "Sicurezza Informatica - Spunti ed Approfondimenti"
Segnalo che è liberamente scaricabile il libro "Sicurezza Informatica – Spunti ed Approfondimenti" di Andrea Pasquinucci:
- https://www.ictsecuritymagazine.com/pubblicazioni/.
Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.
******************************************************
05- Tecniche di infezione basate sull'uso di social network
Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini) dal titolo "Tecniche di infezione basate sull'uso di social network":
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.
Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.
E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.
******************************************************
06- Numero degli utenti UE per i servizi digitali
Mi sono imbattuto (grazie inizialmente a Project:IN Avvocati) in questa notizia "Digital Services Act: Commission provides guidance for online platforms and search engines on publication of user numbers in the EU":
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.
Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).
Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.
******************************************************
07- Dispositivi (e smartphone) a scuola
Mi rendo conto che sono leggermente fuori tema, però il discorso sugli "smartphone a scuola" introduce molti elementi importanti anche per chi si occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.
Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.
Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.
Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.
Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.
******************************************************
08- ISO 31700 (privacy by design): mio brevissimo articolo di presentazione
Segnalo questo mio brevissimo articolo dal titolo "Privacy by design: requisiti e casi d'uso della norma ISO 31700":
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.
L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".
******************************************************
09- Ancora su privacy e Google Analytics
La storia dei Google Analytics ormai è vecchia, ma un cliente in questi giorni mi ha chiesto chiarimenti e, proprio proprio a proposito, Guido Scorza dell'Autorità Garante Privacy mi ha fatto il piacere di pubblicare un articolo dal titolo "Google Analytics, Scorza: Ecco cosa devono sapere le aziende":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.
******************************************************
10- Rapporto EDPB sui cookie banner
Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.
Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.
******************************************************
EONL