GDPR – Ruoli, responsabilità e adempimenti utili e inutili

GDPR – Ruoli, responsabilità e adempimenti utili e inutili

Negli ultimi mesi, anche con l’approssimarsi della “scadenza GDPR” si è molto parlato di “nomine” e “designazioni”. Il 25 maggio è stato il “privacy spam day” per l’enorme numero di informative e nomine inviate spesso senza ragione da tante aziende, anche di primaria importanza (che avrebbero dovuto essere più attente, oltre che evitare di ridursi…

Sicurezza dei dispositivi mobili e BYOD

Sicurezza dei dispositivi mobili e BYOD

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. La ISO/IEC 27001 ha un controllo specifico per i dispositivi mobili, ma solo relativo alle regole sul loro uso. Non fa esplicito riferimento alle tecnologie disponibili per controllare le impostazioni di sicurezza…

Valutazione del rischio e PIA

Valutazione del rischio e PIA

Come è noto, il GDPR richiama la valutazione del rischio in due modi: valutazione del rischio per i diritti e le libertà delle persone fisiche per identificare misure tecniche e organizzative adeguate (in questo caso, il GDPR, seppure in modi diversi negli articoli 24, 25 e 32, prevede che questo rischio venga bilanciato con le…

Il principio di privacy-by-design per gestire gli adempimenti previsti dal GDPR

Il principio di privacy-by-design per gestire gli adempimenti previsti dal GDPR

Negli ultimi mesi si sono moltiplicati gli interventi sul GDPR. L’esperienza con norme dedicate ai sistemi di gestione (in particolare ISO 9001 e ISO/IEC 27001) può aiutare ad attuare alcuni requisiti in modo sì rigoroso, ma anche sostenibile nel tempo. È infatti evidente che molte guide, suggerendo soluzioni eccessivamente onerose, non tengono conto di come…

Continuità operativa: le definizioni fondamentali

Continuità operativa: le definizioni fondamentali

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. Qui si affrontano i termini fondamentali relativi alla continuità operativa, spesso oggetto di confusione. Non si forniscono metodi per pianificare e attuare la continuità. Nulla vieta di usare altri termini, ma è…

Sviluppo sicuro delle applicazioni: i test di sicurezza

Sviluppo sicuro delle applicazioni: i test di sicurezza

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. In due articoli precedenti si è trattato del processo di sviluppo e dei requisiti di sicurezza. Questo è dedicato ai test. Sui test di sicurezza in ambito applicativo è disponibile molta letteratura,…

Sviluppo sicuro delle applicazioni: il processo

Sviluppo sicuro delle applicazioni: il processo

Questo articolo prosegue la serie dedicata ai temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. Qui si prosegue a trattare lo sviluppo dei sistemi informatici, già introdotto dall’articolo “Sviluppo sicuro delle applicazioni: i requisiti”. In questo articolo si tratta del processo di sviluppo, affrontando il modello “a…

ISO/IEC 27018: Cloud e Privacy

ISO/IEC 27018: Cloud e Privacy

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. Nel 2014 è stata pubblicata la norma ISO/IEC 27018 dal titolo “Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”. Si…

Sviluppo sicuro delle applicazioni: i requisiti

Sviluppo sicuro delle applicazioni: i requisiti

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. Lo sviluppo sicuro è un argomento molto importante per la sicurezza. Spesso, purtroppo, gli sviluppatori dimostrano di non avere chiaro l’oggetto della domanda. Molte volte usano le raccomandazioni dell’OWASP Top ten vulnerabilities,…

Nuove specifiche NIST per le password

Nuove specifiche NIST per le password

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. A luglio 2017 il NIST ha pubblicato una nuova versione della SP 800-63B “Digital Identity Guidelines: Authentication and Lifecycle Management“. Il NIST è il National Institute for Standards and Technology è tra…