Un recente articolo sulla rivista dell'Associazione ISACA cita una indagine di Gartner Group dalla quale emerge che la Sicurezza non è più nei primi 10 obiettivi di business ed è al sesto posto nelle priorità di investimento.

L'articolista, past president internazionale di ISACA, si domanda se questo atteggiamento è coerente con i nuovi pericoli che si affacciano in questo 21.esimo secolo, proprio quando le aziende (ed i consumatori che vi si riferiscono) dipendono sempre più dalle tecnologie dell'informazione. Ciò richiede sempre più l'integrazione di "differenti funzioni, in precedenza responsabili di specifici aspetti della sicurezza in una entità capace di riconoscere, prevenire e reagire a qualsiasi minaccia a livello corporate".

Forse, commenta l'articolista, le aziende hanno investito parecchio negli ultimi anni (SOX, DRP, ecc.) ed ora le priorità sono diventate altre. Da tempo, invece, ANSSAIF ed altre più importanti associazioni denunciano l'esigenza di un radicale cambiamento organizzativo, focalizzato sulla massimizzazione delle sinergie e fondato sulla consapevolezza e compartecipazione, (più orientato alla cultura della sicurezza e del controllo, diciamo noi di Impronta Digitale) ai fini di contrastare più efficacemente i nuovi pericoli legati ad una crescente criminalità favorita anche da una sempre maggiore ricerca del benessere a tutti i costi e da una sempre più debole percezione del livello di illegalità.

Vi è l'esigenza non solo di concentrare la responsabilità complessiva, ma di una compartecipazione di tutta l'Azienda nella protezione da qualsiasi minaccia (ad es. il redivivo Social Engineering...) che possa colpire la "filiera" dei processi e delle risorse aziendali (informative, immobiliari, umane, strumentali,..), tese queste a fornire i prodotti concordati al Cliente.

Bisogna anche riuscire a limitare i danni in presenza di crimini portati avanti da personale interno, o da eventi, naturali o provocati, di ampia estensione e di lunga durata, oppure non tipicamente legato all'informatica, quale ad esempio la carenza di liquidità.

Una domanda: quante aziende si sono preparate a disastri di lunga durata ? Gartner Group afferma che la maggior parte dei piani di business continuity prende in esame disastri che durino al massimo 7 giorni. Queste aziende si sono almeno poste la domanda "e se dovesse durare due settimane ? Che conseguenze avremmo ? Le potremmo accettare ?".

Tutto ciò richiede un mutamento di approccio, maggiore consapevolezza, chiarezza di ruoli, condivisione di obiettivi, un dialogo più chiaro ed allineato su obiettivi di business, l'attenzione ai segnali (leggi: la raccolta degli incidenti), la cura della leadership, una conoscenza non superficiale dei propri collaboratori, il rispetto delle persone e delle loro esigenze, e, per tutti, amore verso la propria azienda.

Il che si traduce anche nel preoccuparsi per la sua continuità operativa, per il livello di servizio offerto, per l'immagine sul mercato. Una indagine telefonica su 300 dipendenti di aziende ha rilevato che il 50% ha qualche attenzione per la sicurezza, ma ben il 75% è preoccupato per la sicurezza di casa sua! Ecco perchè è importante il dialogo, la comunicazione, eseguire simulazioni di eventi disastrosi, nonchè la continua verifica di efficacia dei piani, l'analisi dei rischi e delle vulnerabilità, con forti responsabilità nelle strutture operative e di business.

Cosa fare per prima cosa.

Il primo intervento deve essere sulle strutture specializzate in tema di Sicurezza (logica, fisica, business continuity, ecc.) e nel chiarire ruoli e responsabilità per la protezione degli assets e della continuità di servizio, domandandoci se, ad esempio, strutture quali il Risk Management o la Direzione del Personale, sono efficacemente preparate e coinvolte in tema di mitigazione del rischio.

Worm Storm

L'attacco del worm Storm prosegue, e si conferma come uno degli worm più persistenti degli ultimi anni. Come riportato da Network World (www.networkworld.com), Storm continua ad evolvere aggiungendo nuove minacce (in particolare un rootkit) ed incrementando la propria pericolosità. Per quanto, come scrive Network World, il rootkit installato da Storm è relativamente "vecchio", e quindi rilevabile da alcuni software di sicurezza, non è un problema da sottovalutare.

Attenzione, quindi, a trattare i messaggi di posta elettronica "sospetti" con la massima cura.

(Autore: Mauro Cicognini)


Campioni del mondo ma perdenti nel quotidiano

Un incidente informatico al Tribunale di Genova riporta alla cruda realtà: vinciamo i campionati del mondo di security ma non difendiamo le risorse preziose che abbiamo attorno a noi.

L'ho detto su Nova100, si dice "intrusione di hacker" ma ho l'impressione che sia un "semplice" worm che si diffonde per la mancanza di regole minime di sicurezza, per mancanza di formazione di chi usa i sistemi, per mancanza di consapevolezza dell'importanza che ha la difesa dei sistemi informativi per la nostra vita di tutti i giorni. Cosa mi fa dire che non penso si tratti di una intrusione di hacker ? Perchè ho grande rispetto dei "nemici", se fossero stati hacker, che sono si dei banditi ma sono bravi, preparati, intelligenti, determinati, il sistema sarebbe stato devastato.

(Autore: Gigi Tagliapietra)


Email di phishing: la situazione attuale.

Lo spamming sta aumentando l'intensità dei suoi picchi (anche di nove volte in raffronto al precedente), la tipologia di email è la stessa da mesi, tranne, come vedremo, che per il phishing.

Ad oggi, le email di spamming si possono dividere nelle seguenti categorie:

- phishing (tese ad ottenere le credenziali di accesso al proprio conto on line);
- vendita di prodotti (medicinali, orologi, ecc.);
- scommesse;
- suggerimenti (es: investimenti in azioni, interventi per migliorare le "prestazioni", opportunitГ di lavoro, ecc.);
- richieste di contatto (ragazza russa sola, erede unico di un'ingente fortuna, ecc.);
- vincite alla lotteria;
- saluti (biglietti augurali, messaggi vocali, ecc.).

A volte le email pervengono ad ondate successive. In alcuni casi, inondano con centinaia o migliaia di email i domini di una determinata Azienda o Ente, in modo da provocare un forte rallentamento nella ricezione della posta e riempire le caselle, se non prontamente svuotate.

Anche quelle di phishing, una volta più discrete, ora arrivano a gruppi e, molto spesso, con il risultato che il ricevente nemmeno le legge, e le cancella tutte in un colpo solo. Infatti, risultano pervenire da quattro o cinque banche diverse, come se tutti avessero più rapporti di conto on line con così tante banche!

Possiamo raggruppare le email di phishing in base alla tipologia di messaggio che viene inviato, vuoi positivo (ad esempio, per prevenire atti criminali o quale premio), o negativo (ad esempio, perchè l'utente ha sbagliato più di tre volte l'immissione della password).

Vediamo le diverse tipologie:

POSITIVI:
la banca o Ente emittente la carta di credito è attento alla sicurezza; con la email inviata chiede la verifica dei dati per l'accesso online, oppure per attivare un rapporto di conto (in alcuni casi la email dice che il codice dispositivo arriverà via posta, ma per attivarlo bisogna digitare le credenziali, e quindi il codice dispositivo!
Ciò è interessante, in quanto sembra che con queste email i criminali puntino a clienti con qualche problema di comprensione o fortemente distratti, e tutto ciò fa riflettere sulla reale composizione dell'universo degli utilizzatori di funzionalità offerte dal mondo finanziario e sulla possibile percentuale di utenti con ridotte capacità critiche); un addebito sul conto è andato a buon fine; se il Cliente ha qualche rimostranza, acceda al conto digitando le note credenziali (è ovvio che, nella mente dell'ignoto criminale, il Cliente sprovveduto accede subito per vedere di che si tratta!); il Cliente è stato premiato per la sua fedeltà all'accesso online: per ottenere la vincita (da 350 a 500 euro a seconda dell'Azienda) si deve accedere al conto digitando le credenziali, ovviamente!

NEGATIVI:
la banca o Ente è intervenuto bloccando il conto; ciò per una di queste cause: tentativi di accesso che hanno provocato il blocco della password, accesso da un indirizzo del Cliente diverso da quello solitamente utilizzato (in questo caso si nota una incongruenza: l'accesso è bloccato, ma si chiede comunque al Cliente di digitare le credenziali per accedere!); un accredito è stato bloccato, in quanto vi sono delle irregolarità; il Cliente acceda al conto per correggere tali difformità.

Ciò che fa piacere osservare, è sia come le Aziende - tramite l'Autorità Giudiziaria - intervengano immediatamente per bloccare gli indirizzi Internet forniti dalle email di phishing, sia sulla efficacia dei più recenti software prodotti per difendere i computer (antiphishing, antispamming, personal firewall, ecc.).

In conclusione, ci sembra che, per le ragioni di cui sopra, la situazione phishing, a tre anni dal suo manifestarsi, appaia oramai avere un lento declino nell'area dell'efficacia. Una preoccupazione, invece, ci assilla. Come scritto diversi mesi fa, e riportato anche dalla stampa specializzata, non si assiste da tempo ad un attacco virus massiccio. Aumentano invece gli spyware ed i malware, ossia, programmi atti a catturare le informazioni digitate sul computer ovvero a dirottare su siti criminali gli utenti. Appare pertanto esserci una stretta correlazione fra i due fenomeni. Infatti, qualora vi fosse un massiccio attacco di virus teso a boccare le comunicazioni o a distruggere il contenuto dei computer, gli utenti interverrebbero con tempestività e senza tentennamenti nel migliorare le difese dei computer.

Il consiglio, quindi, che ci sentiamo di dare, è chiaramente quello di adottare misure periodiche quali le seguenti: - sensibilizzare gli utenti ed i Clienti sui possibili rischi nei quali possono incorrere se: non aggiornano il software a protezione del computer utilizzato; evitano di accedere a siti non conosciuti; non scaricano musiche o filmati o foto da siti sconosciuti;
- intensificare i controlli sui computer, specialmente alla ricerca di spyware; possibilmente eseguire la scansione del pc tramite un antivirus o software diverso da quello dell'antivirus attivo sul computer;
- mettersi in allarme in caso di attività insolita del computer (da non confondere con l'aggiornamento in background del software di sistema).

(Autore: Luca Bechelli - Fonte: ANSSAIF e COMPUTERWORLD)

Come ogni anno, il CLUSIF ha presentato un rapporto sugli eventi più significativi che hanno caratterizzato l'anno precedente, in materia di cybercrime. La presentazione è disponibile in lingua francese (prossimamente anche in inglese) sul sito del CLUSIF.

Il rapporto di quest'anno è particolarmente interessante, ricco di riferimenti e di documentazione.

Tra gli argomenti emergenti:

1. Mondes virtuels : l'appeal du gain
2. Perturber, d'estabiliser…

- Attaques en reputation
- Le hacking pour focaliser l'attention ?
- Espionnage industriel
- Reseaux sociaux, opportunites de malveillance/renseignement

3. Sophistication des attaques
4. Enjeux malveillants sur le e-Commerce

- Fraude aux cartes bancaires via Internet
- Escroqueries via les sites d'enchontres

5. Evocation de faits marquants

- Cyber-guerre - Estonie
- Cyber-attaques chinoises
- Enjeux de securité sur les infrastructures SCADA

Nella calza della befana, carbone per i call center. Lo annuncia il Garante della Privacy in un comunicato del 28 dicembre 2006, che ha la concisione di un ultimatum a mezzo stampa.

Con un provvedimento di carattere generale del febbraio 2006 (vedi marzo 2006) il Garante aveva emanato disposizioni con effetto da maggio 2006, volte a contrastare pratiche elusive, o peggio, principalmente relative a:

•  trasparenza dei soggetti che a vario titolo trattano i dati nell'ambito del telemarketing esternalizzato;
•  identificazione esatta di ruoli e responsabilitа verso il consumatore;
•  chiarezza nelle finalità commerciale del contatto telefonico, in ordine alla acquisizione lecita di dati e di contratti;
•  obblighi di previa dichiarazione delle fonti dei dati utilizzati per il contatto, dell'essenzialità o meno dei dati richiesti al consumatore, dei diritti del consumatore in quanto interessato;
•  obblighi di previa acquisizione del consenso a ricevere le proposte contrattuali;
•  management dei dati ai fini dell'effettiva possibilità di esercitare i diritti dell'interessato (conoscenza dell'esistenza, rettifica, cancellazione);
•  management dei dati ai fini della pattuizione scritta di contratti eccedenti determinati parametri numerici;

Come rilevato a suo tempo, salvo che per l'ultimo dei punti precedenti, il provvedimento si limitava a una "spiega" del disposto già abbastanza esplicito della norma.

In sostanza: un sollecito bonario a smetterla di far finta di nulla rivolto a quei tanti o pochi player un pò troppo aggressivi e/o disinvolti nel mettere a profitto l'onda di piena del telemarketing, ma formalmente indirizzato a tutti.

Gli esiti sembrano al Garante così deludenti da convincerlo a scendere dichiaratamente sul terreno operativo con proprie iniziative dirette e puntuali, sempre fatti salvi ulteriori provvedimenti regolamentari necessari o opportuni.

Dunque: enumerazione pro-memoria delle più recenti sanzioni comminate in materia; conferma dei già noti accordi di collaborazione con la Guardia di Finanza, con la notizia dell'avviamento di propria iniziativa delle ispezioni; precisazione a futura memoria che, ove dalle ispezioni emergessero violazioni o altri illeciti (specie quando sia registrata la volontà del consumatore di non essere più disturbato con offerte commerciali indesiderate) le sanzioni adottate potranno comprendere misure di divieto del trattamento dei dati personali.

Il metodo incrementale del Garante pone i player di fronte all'applicazione di sistemi che dovrebbero essere già implementati, testati e funzionanti, ma che evidentemente non lo sono. E' accademico a questo punto chiedersi il perchè. Ciascun operatore o rivenditore, comunque, dovrebbe ormai conoscere la propria posizione nella matrice qualitа-prezzo / prudenza-aggressività e sapere con ragionevole approssimazione cosa aspettarsi.

Problemi inattesi possono invece nascere dall'impatto concomitante dei provvedimenti di authority diverse. E' il caso dell' Allegato A alla Delibera 664/06 CONS del Garante delle Telecomunicazioni, anch'esso con effetto da gennaio 2007, recante disposizioni a tutela dell'utenza nei contratti a distanza. Il provvedimento, la cui fonte di riferimento è il Codice del Consumatore, prevede tra l'altro:

› l'obbligo di fornire di iniziativa informazioni ulteriori (rispetto alle informazioni obbligatorie a tutela della privacy), al principio e in determinati casi al termine del contatto telefonico;

› l'obbligo di fornire nel corso del contatto gli estremi della pratica aperta e il recapito dell'operatore, in caso di manifesta volontà del consumatore di concludere il contratto;

› obblighi generali di chiarezza dello scopo commerciale (= stop ai falsi concorsi) e di buona fede, valutati alla stregua delle esigenze di protezione delle categorie di consumatori particolarmente vulnerabili;

› la facoltà di comprovare l'acquisizione del necessario consenso informato, mediante la registrazione integrale della conversazione telefonica, se consentita dall'utente, e così di stipulare mediante spedizione del contratto incluso contemporanea all'attivazione del servizio; ovvero l'obbligo di acquisire il consenso mediante modulo che l'utente deve ricevere prima o al più tardi contemporaneamente all'attivazione del servizio.


Sebbene le sanzioni stabilite per l'inosservanza del provvedimento (vedi) siano sempre in capo all'operatore, la disciplina andrà con ogni evidenza a impattare tanto sulle procedure dei dealer, che sui patti operatori-dealer e le eventuali controversie in dipendenza dei patti, che sulle tecnologie e le operation dei dealer, in particolare nel caso in cui si decida di implementare processi di registrazione delle conversazioni.

CyberCrime

Abbiamo appreso che una nuova truffa avviene tramite SMS ed è indirizzata ai Clienti che hanno chiesto di essere avvisati, con tale mezzo, di una spesa avvenuta con la propria carta di credito.

La nuova frode avviene in questo modo.

Al correntista perviene un SMS che notifica la presenza di problemi e invita a connettersi (un possibile testo è il seguente: "Attenzione, chiami il numero 0Y-XXXXXXX per verificare la transazione effettuata con carta di credito al fine di evitarne usi fraudolenti"). Una volta ottenuti i dati della carta dal Cliente (che era il fine ultimo del criminale!), la comunicazione telefonica cade o la sua prosecuzione viene rimandata ad un altro momento ("guasti tecnici", una delle motivazioni). Il cellulare riceverа poi un SMS (questa volta vero) dal quale risulterа che è stata fatta una spesa consistente!

La raccomandazione è sempre la stessa: non fornire mai i dati personali, anche se sembra che la richiesta pervenga da una fonte certa! Non dare per esatti i riferimenti del richiedente!

La buona norma, da ricordare ai nostri Clienti, è quella di essere loro a contattare - in questi casi - la banca o la Società che gestisce la carta di credito e chiedere conferma della veridicità della richiesta.

(ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria. Per ulteriori approfondimenti: www.anssaif.it)

E' stata recentemente trasmessa la Web Conference nella quale sono stati illustrati, a grandi linee, i risultati della nota indagine condotta dal Computer Security Institute.

Il dato che risalta di più è quello relativo alle perdite economiche subite dalle aziende del campione (615 aziende; quelle di intermediazione finanziaria rappresentano il 17% del totale; le aziende medio - grandi sono il 64%).

Infatti, il totale di quest'anno (268.000 US $) è in linea con i dati dell'anno scorso, ma di gran lunga meno di quanto emerse nel 2001 (3 milioni di $) e nel 2002 (circa 2 mil.$).

Apparirebbe quindi esserci una contrapposizione fra una generale percezione di aumento nelle perdite subite a causa di crimini informatici, e le risultanze di questa indagine, che è nota per la sua serietà. A titolo di curiosità, citiamo un'altra indagine americana, che aveva stimato, una perdita economica complessiva per "security incidents" di quasi 31,7 mil.di dollari nel 2005.

Il danno più elevato lo aveva segnalato sotto la voce "Viruses", con 12 milioni di $.
Per completezza informativa, bisogna citare alcune perplessità che abbiamo recepito sul sistema di rilevazione adottato. L'indagine CSI / FBI mette invece in luce un crollo netto nei danni subiti e nell'incidenza della maggior parte delle tipologie di attacco.

Ad esempio, gli attacchi di virus (trojans, worms) che erano stati segnalati nel 2001 da oltre il 90% del campione, nel 2006 è stato indicato da poco più del 60% delle aziende.

Se è vero che le "difese" sono nel frattempo aumentate e che è cresciuta la sensibilità a questo problema, è altresì vero, come risulta dall'indagine, che vi sono ancora aziende prive di sistemi di difesa adeguati (antivirus, firewalls, intrusion detection systems, ecc.).

Ma non solo. Se osserviamo altri indicatori, notiamo che esistono ancora delle "resistenze" ad un rafforzamento delle misure di sicurezza; infatti, il dato relativo agli investimenti in Sicurezza è ancora basso (solo il 40% delle aziende dedica oltre il 2% del budget dell'ICT alla Sicurezza) e ben il 5% degli intervistati ha dichiarato di non applicare alcun sistema finalizzato alla verifica di efficacia delle misure di Sicurezza (è come dire: "..che me ne importa se non sono protetto": l'importante è non saperlo!).

Sembrerebbe quindi che il mercato americano presenti ancora delle elevate debolezze in ampi settori economici. Sorge quindi il dubbio che la "fotografia" del CSI sia inficiata o dal fatto che in questo ultimo periodo gli attacchi "virali" non siano stati così feroci come in passato, oppure dalla volontà di nascondere gli attacchi subiti (paura della cattiva pubblicitа?). A riprova che la seconda motivazione potrebbe essere la più attendibile, possiamo citare le risposte date alla domanda: "quali azioni sono state adottate dopo una intrusione sul computer negli ultimi 12 mesi?".

Solo il 35% (circa 100 aziende) ha dichiarato di avere presentato una denuncia. Ma, ancora più interessante, a questa domanda ben 300 aziende su 615 non hanno risposto!

(ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria. Per ulteriori approfondimenti: www.anssaif.it)

Sono terminati i lavori del Gruppo di Ricerca AIEA "L'OUTSOURCING IT: BEST PRACTICE E AUDITING".

A conclusione delle attività, è stato pubblicato un documento nel quale sono raccolte "alcune best practice pertinenti alla professione dell'IS Auditor quando essa sia esercitata per la revisione di realtà nelle quali il Sistema Informativo, o anche la sola gestione dell'infrastruttura IT, siano stati esternalizzati".

Riportiamo, di seguito, parte della prefazione del documento.

«Nel corso della ricerca ed in questo documento abbiamo scelto di evidenziare quegli aspetti che sono emersi dall'esperienza e dalla sensibilità dei componenti del gruppo di lavoro, aspetti che sono stati volutamente privilegiati rispetto alla consuetudine che, in un ambito come questo, ne vorrebbe invece vedere l'esposizione limitata al minimo.

Questo lavoro è stato svolto in collaborazione da AIEA e CLUSIT con l'intento di approfondire, come già evidenziato, sia le tematiche proprie dell'attività di Auditing che le tematiche relative alla sicurezza in particolare nella gestione del contratto.

Pertanto una particolare attenzione è stata posta agli aspetti legali/contrattuali e agli aspetti della sicurezza, senza i quali risulta difficile una efficace gestione dei rischi di un processo di outsourcing.»

Il documento è per il momento riservato ai soci AIEA e ai soci CLUSIT. A breve sarà anche organizzato, su tale argomento, un convegno/seminario a cura di AIEA e CLUSIT.

BS7799-1 became ISO 17799. Then, BS7799-2 emerged, to evolve into ISO 27001. Now: BS7799-3 has been born.

It is titled "Information security management systems - Part 3: Guidelines for information security risk management", and is intended to provide guidance and support for the implementation of ISO27001. It is mooted that it too will eventually become an ISO standard: ISO 27005.

Risk management of course is part and parcel of information security, and also of the security standards. That BSI should introduce a standard embracing it is therefore no surprise. For further information Standard Direct BS7799


INFORMATION SECURITY NEWS
==========================

1) The creators of the Zotob worm, which disrupted networks at a number of media outlets, have been jailed in Morocco for between one and two years. The worm is estimated to have caused $400 million in damages.

2) AT&T have admitted that the personal information of about 19,000 customers has been accessed by hackers via the company's online store. The company is working with the law enforcement agencies to track down the perpetrators.

3) Telecom provider Verizon is also in the news, having admitted that an employee accidentally sent an email attachment containing information on about 5,000 customers to 1,800 of its customers.

4) A study of prosecutions by the US Dept of Justice has revealed that corporations attacked by cybercriminals over the last few years lost an average of $3 million per case.


Iso 17799: The World Wide Phenomenon
=================================

Our source list for recent purchases of the standard always proves to be a popular talking point. The most recent thousand or so is as follows:

Argentina 3 - Australia 19 - Austria 7
Barbados 1 - Belgium 14 - Bermuda 2 - Bosnia and Herzegovina 2 - Brasil 11
Canada 101 - Cayman Islands 1 - Chile 5 - China 8 - Colombia 11 - Costa Rica 1 - Croatia 1 - Cyprus 3
Denmark 15
Egypt 6 - Estonia 1
France 14
Germany 51 - Gibraltar 1 - Greece 5 - Guatemala 1
Hong Kong 11 - Hungary 5
Iceland 2 - India 14 - Indonesia 3 - Ireland 27 - Israel 3 - Italy 31
Jamaica 3 - Japan 9 - Jordan 1
Korea 2
Lebanon 1 - Luxembourg 2
Malaysia 9 - Malta 2 - Mexico 19
Netherlands 32 - New Zealand 7 - Norway 19
Panama 1 - Peru 1 - Philippines 3 - Poland 4 - Portugal 4
R.O.C. 2 - ROMANIA 2 - Russia 6
Saudi Arabia 7 - Singapore 16 - Slovak Republic 1 - Slovenia 2 - South Africa 11 - Spain 24 - Sultanate of Oman 1 - Sweden 12 - Switzerland 43
Taiwan 4 - Thailand 1 - Tunisia 1 - Turkey 4
UK 341 - United Arab Emirates 7 - USA 492
Venezuela 1

Dal Garante chiarimenti in materia di servizi telefonici, call center, trasparenza dei ruoli tra operatori e dealer di telefonia. Per effetto del c.d. “Milleproroghe” gli obblighi scattano dal 31 maggio 2006, data entro la quale gli operatori dovranno anche comunicare le conformi misure adottate.

I contenuti erano ampiamente prevedibili, come deduzioni dirette e su alcuni punti mere esplicitazioni del disposto del Codice. Quanto all'emanazione era attesa, precisamente perchè, nel persistente quadro di aggressività sul market sharing, un approach di prima battuta complessivamente minimalista alla gestione della sicurezza da parte dell'industry aveva lasciato porte aperte alle pratiche elusive o peggio di alcuni player. Pratiche non rubricabili come incidenti di percorso e comunque non sufficientemente contrastate, stante la pletora di ricorsi (fondati) al Garante.

Le principali novità riguardano:

• la nota questione dei servizi non richiesti in dipendenza di contratti di adesione (modifiche, estensioni) impropri, erronei, fraudolenti: schede, segreterie, cps e adsl affibbiati d'ufficio, supporti cartacei carenti o fasulli, ecc.
• la identificazione del cliente e la preventiva raccolta del consenso per ogni nuovo servizio, con un massimo stabilito di schede per cliente, grosso modo profilato in consumer o business, rispettivamente di 4 e 7, dopodichè il contratto dovrà essere in forma scritta
• conseguentemente l'obbligo di individuare e gestire le posizioni multischede/multiservizio
• la sicurezza nelle attività dei call center in quanto ambienti "cross border" tra operatori e dealer: l'outsourcing di processi non ben determinati, tracciabili e controllati non deve (più) determinare zone grigie di interposizione, opacità e rischio, e in definitiva agevolare prassi "figlie di nessuno" lesive dei diritti, non sicure o fraudolente
• la chiarezza dei ruoli privacy tra operatori e dealer, che deve trovare rispecchiamento nelle carte previste dal Codice e tra carte e realtà: esatta individuazione dei processi esternalizzati, tecnologie, organizzazione (ricordando che in fatto di titolarità riveste un ruolo peculiare la potestà decisionale sotto il profilo della sicurezza)
• gli obblighi di acquisire la preventiva disponibilità del potenziale cliente a ricevere le proposte e di fornire d'iniziativa le informazioni dovute per legge agli interessati, fra le quali figura, anche se finora nessuno sembra farci caso, l'identità del dealer come responsabile e/o titolare di trattamento, non un nome di battesimo + la ragione sociale di qualcun altro: "Telecom", "Infostrada" ecc.
• obbligo di fornire a richiesta dettagliate informazioni sulla fonte dei dati posseduti e la destinazione dei dati acquisiti, sulle modalità di trattamento, sui terzi coinvolti ecc.
• obblighi di loggare ciascuna transazione di dealing per esecutore (senza violare la legge 300!) e di attivare senza indugio le procedure interne di tutela dei diritti: ricerca, comunicazione, rettifica, blocco, cancellazione, loggando quanto meno l'input iniziale (richiesta dell'interessato), nonchè gratuità di tali procedure se motivate.

In sintesi: 1) focus sul rispetto dei diritti, 2) mediante la gestione efficace della sicurezza.

Sui diritti la sostanza è che la legge e specificamente l'articolato sui diritti dell'interessato si applica anche nel telemarketing di telefonia, nè si vede cos'altro avrebbe potuto decidere il Garante. Il peso sarà ripartito su operatori (tecnologie di retrieving e sorting sicuramente già possedute, si tratterà forse di introdurre funzionalità "go" di ultima istanza e di ingegnerizzare la gestione dei soprannumerari) e dealer (disclaimer, organizzazione e istruzione del personale, sistemi di scoraggio e tracciamento delle transazioni: cose invece in molti casi ancora da fare, poi da mantenere). L'obbligo di identificazione potrebbe scatenare la caccia alle informazioni contrattuali come per altre utilities (elettricitа, gas) e nella vendita di telefonia porta a porta, ma operatori e dealer multicliente dovrebbero già essere attrezzati contro il trading fraudolento di dati. La registrazione obbligatoria delle richieste degli interessati sembra suggerire una gestione centralizzata in fase iniziale e per i piccoli call center; negli altri casi (operatori, call center multisede) o successivamente una gestione distribuita a ticketing adeguatamente “blindata”; a ogni modo si tratta ormai di testare la procedura adottata ed eventualmente modificare o dettagliare opportunamente.

Quanto alla sicurezza è esplicito il richiamo al dovere di adottare e mantenere misure idonee e non solo le mms (misure minime di sicurezza), con doverosa sottolineatura dell'inversione dell'onere della prova del danno. La logica è top-down: operatori e dealer hanno distinta titolarità, ciascuno provvede al suo e ne risponde, pertanto il discrimine sui ruoli, i processi e i compiti attribuiti ai diversi soggetti deve essere non equivoco: ciò non è intuitivo in ambienti ove lavoratori interinali in forza al dealer acquisiscono dati da consumatori utilizzando formulari stabiliti dall'operatore per imputarli su macchine del dealer con programmi installati e gestiti dall'operatore. In più, incombe all'operatore nel proprio stesso interesse di esercitare il controllo sul dealer. Che una integrazione contrattuale o lettera di prescrizioni una tantum come da Codice (che intanto si deve fare) e/o la raccolta-custodia di checklist autocertificate siano strumenti efficaci è lecito dubitare: fino ad oggi no di sicuro. Ma siamo agli esordi, si comincia dall'abolizione del "nenti sacciu nenti vidi" via voip e del "management by passaparola" nella sicurezza dell'outsourcing, poi si vedrà come la metteranno gli operatori... sentiti i consumatori. E già evidente, però, che tra i player chi ha dato e dа peso alla sicurezza ha già oggi e manterrà un vantaggio competitivo. Nel complesso, dal Garante viene una spinta realistica ma non aggirabile verso l'adozione di sistemi di gestione della sicurezza credibili, tanto nell'ambito degli operatori che dei dealer: cioè verso le buone pratiche Iso 17799 (ora Iso Iec 27000) e lo standard BS 7799. Come volevasi dimostrare.

In seguito alle numerose richieste, Impronta Digitale propone i Knowledge Kit, set documentali guida per lo svolgimento interno degli adempimenti relativi alle misure minime di sicurezza del Codice Privacy.

Costo contenuto e set totalmente modulare sono le caratteristiche del kit, che deve ritenersi concepito per le esigenze basiche di imprese e soggetti di piccole dimensioni, non particolarmente complesse e che non trattano tipicamente rilevanti quantità di dati personali o dati sensibili.

Visitate la sezione Knowledge Kit contenente costi e modalità per l'utilizzo dei documenti.

Ci risiamo, ennesimo rinvio della scadenza dell'adeguamento Privacy. Inutile ripetere che il rinvio riguarda esclusivamente le nuove misure di sicurezza introdotte per la prima volta nel D.Lgs. 196/03 e non contenute nel DPR 318/99.

Il rinvio della redazione del DPS al 31 Marzo 2006 riguarda solo quelle aziende il cui obbligo non era giа previsto prima dell'introduzione del nuovo Codice Privacy.

Purtroppo stiamo notando che la proroga viene recepita da molte persone come proroga totale di tutto ciò che riguarda la Privacy, complice anche la cattiva informazione di molti consulenti che pensano che temporeggiando riusciranno ad attirare molti più clienti nella propria rete.

Fonte: Il Sole 24 Ore www.sole24ore.com

Aggiornamenti sul recepimento delle linee guida denominate Basilea 2

Il 28 settembre il Parlamento Europeo ha approvato la direttiva comunitaria sull'adeguatezza patrimoniale degli Istituti di Credito che recepisce sostanzialmente Basilea 2. E' un passo importante del lungo iter di recepimento del nuovo accordo. Tutto secondo copione, con l'obiettivo dichiarato di non rinviare l'approvazione di una materia delicata (gli stati membri dovranno recepire in legge la direttiva entro il 2007) per non penalizzare le banche europee.

Maggiori approfondimenti sul sito: www.basilea2.com

E' on-line il nuovo sito istituzionale della società.

La nuova pubblicazione contiene, tra l'altro, molti documenti di interesse per l'impresa, la presentazione degli applicativi software proprietari e informazioni legate al mondo dei Sistemi di Gestione della Sicurezza delle Informazioni ed alla comunicazione digitale

Dopo l'aggiornamento del giugno scorso, il British Standard 7799 (BS7799) potrà essere rinumerato nella serie ISO 27000. La nuova definizione è in fase di studio ma si articolerа come esposto di seguito:

– ISO 27001 sarà associato all'attuale BS7799:2-2002. Questa è la documentazione richiesta per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). La versione definitiva è attesa per la fine del 2005;

– ISO 27002 sarà associato all'attuale “code of practice” ISO 17799 (Security Techniques). Il cambiamento comunque non sarà imminente;

– ISO 27003 sarà il nuovo set dello standard che andrà a coprire l'area del Risk Management;

– ISO 27004 sarà lo standard definito per L'Information Security Management Metrics & Measurements come e quando misurare i controlli e i processi di un sistema ISMS. E' atteso per i primi mesi del 2007;

– ISO 27005 indicherà le linee guida per l'implementazione di un sistema ISMS ed è atteso per la metà del 2007.

Dopo le ultime proroghe del Garante al Decreto Legislativo 196/03 (Codice Privacy) rimane invariata la data ultima (31 dicembre 2005) per l'adozione delle Misure Minime di Sicurezza.

Ogni soggetto giuridico (aziende, associazioni, liberi professionisti, ecc.) DEVE aver redatto il Documento Programmatico sulla Sicurezza (DPS) e adottato i requisiti minimi richiesti dal Decreto entro il 2005.

I dati di settore indicano che il 60% delle aziende non ha ancora “potuto” adempiere alla legge e restano pertanto esposte alle (dure) sanzioni amministrative e penali.

Impronta Digitale ha un notevole knowledge ed una grande esperienza pratica sul tema, tali da consentire alle aziende di adeguarsi in tempi rapidi e con il minimo dispendio di denaro.

Qualora la vostra azienda non avesse ancora intrapreso il percorso di adeguamento e/o non disponga della la conoscenza per valutare se ciò che si è fatto sia sufficiente per adempiere alla legge, contattateci al più presto, vi forniremo un adeguato supporto e linee guida efficaci per evitare “sorprese”.

A completamento dell'applicativo Audit Box 1.0 (software appartenente alla suite applicativa per il Rischio Operativo Bancario - Basilea 2) viene rilasciato il modulo Audit Map 1.0, consolle di monitoraggio in tempo reale degli incidenti afferenti il rischio operativo bancario (regolamento Basilea 2).

Con la versione 1.0 ora Audit Box integra l'engine di workflow (certificazione e qualitа del dato) Floware di Plexus Recognition Bantec.

Relazione sul tema "Privacy e Sanità", con la partecipazione di strutture sanitarie pubbliche, private e14282 associazioni di volontariato.

Relazione sul tema "Privacy e Sanità", con la partecipazione di strutture sanitarie pubbliche e private.