Sistemi di Gestione della Sicurezza delle Informazioni, Iso 27001 Informazioni e aggiornamenti per le norme Bs7799, Iso 17799, Basilea 2 Operational Risk, Sistemi di Gestione della Sicurezza delle Informazioni, Codice Privacy d.lgs 196/03 e IT Security, Consulenza e Audit
Iso 27001, Sistemi di Gestione della Sicurezza delle informazioni Sistemi Iso 27001 per la Sicurezza delle Informazioni
Aggiornamenti e novità sulla sicurezza dei sistemi informativi e delle informazioni
Aggiornamenti per i Sistemi di Gestione della Sicurezza delle Informazioni Iso 27001
Sistemi di Gestione della Sicurezza delle Informazioni
Aggiornamenti e novità sulla sicurezza dei sistemi informativi e della gestione della sicurezza delle informazioni
Informazioni e aggiornamenti per le norme Iso 27001, Iso 17799, Basilea 2 Operational Risk, Sicurezza delle Informazioni, Codice Privacy d.lgs 196/03 e IT Security, Consulenza e Audit
Archivio 2006
Aggiornamenti e novità sui Sistemi di Gestione della Sicurezza delle Informazioni

Martedì, 31 ottobre 2006
Nuovo attacco di Phishing tramite SMS (Fonte: ANSSAIF)

CyberCrime

Abbiamo appreso che una nuova truffa avviene tramite SMS ed è indirizzata ai Clienti che hanno chiesto di essere avvisati, con tale mezzo, di una spesa avvenuta con la propria carta di credito.

La nuova frode avviene in questo modo.

Al correntista perviene un SMS che notifica la presenza di problemi e invita a connettersi (un possibile testo è il seguente: "Attenzione, chiami il numero 0Y-XXXXXXX per verificare la transazione effettuata con carta di credito al fine di evitarne usi fraudolenti"). Una volta ottenuti i dati della carta dal Cliente (che era il fine ultimo del criminale!), la comunicazione telefonica cade o la sua prosecuzione viene rimandata ad un altro momento ("guasti tecnici", una delle motivazioni). Il cellulare riceverà poi un SMS (questa volta vero) dal quale risulterà che è stata fatta una spesa consistente!

La raccomandazione è sempre la stessa: non fornire mai i dati personali, anche se sembra che la richiesta pervenga da una fonte certa! Non dare per esatti i riferimenti del richiedente!

La buona norma, da ricordare ai nostri Clienti, è quella di essere loro a contattare - in questi casi - la banca o la Società che gestisce la carta di credito e chiedere conferma della veridicità della richiesta.

(ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria. Per ulteriori approfondimenti: www.anssaif.it)





Lunedì, 2 Ottobre 2006
L'Indagine CSI / FBI 2006 (Fonte: ANSSAIF)

E' stata recentemente trasmessa la Web Conference nella quale sono stati illustrati, a grandi linee, i risultati della nota indagine condotta dal Computer Security Institute.

Il dato che risalta di più è quello relativo alle perdite economiche subite dalle aziende del campione (615 aziende; quelle di intermediazione finanziaria rappresentano il 17% del totale; le aziende medio - grandi sono il 64%).

Infatti, il totale di quest'anno (268.000 US $) è in linea con i dati dell'anno scorso, ma di gran lunga meno di quanto emerse nel 2001 (3 milioni di $) e nel 2002 (circa 2 mil.$).

Apparirebbe quindi esserci una contrapposizione fra una generale percezione di aumento nelle perdite subite a causa di crimini informatici, e le risultanze di questa indagine, che è nota per la sua serietà. A titolo di curiosità, citiamo un'altra indagine americana, che aveva stimato, una perdita economica complessiva per "security incidents" di quasi 31,7 mil.di dollari nel 2005.

Il danno più elevato lo aveva segnalato sotto la voce "Viruses", con 12 milioni di $.
Per completezza informativa, bisogna citare alcune perplessità che abbiamo recepito sul sistema di rilevazione adottato. L'indagine CSI / FBI mette invece in luce un crollo netto nei danni subiti e nell'incidenza della maggior parte delle tipologie di attacco.

Ad esempio, gli attacchi di virus (trojans, worms) che erano stati segnalati nel 2001 da oltre il 90% del campione, nel 2006 è stato indicato da poco più del 60% delle aziende.

Se è vero che le "difese" sono nel frattempo aumentate e che è cresciuta la sensibilità a questo problema, è altresì vero, come risulta dall'indagine, che vi sono ancora aziende prive di sistemi di difesa adeguati (antivirus, firewalls, intrusion detection systems, ecc.).

Ma non solo. Se osserviamo altri indicatori, notiamo che esistono ancora delle "resistenze" ad un rafforzamento delle misure di sicurezza; infatti, il dato relativo agli investimenti in Sicurezza è ancora basso (solo il 40% delle aziende dedica oltre il 2% del budget dell'ICT alla Sicurezza) e ben il 5% degli intervistati ha dichiarato di non applicare alcun sistema finalizzato alla verifica di efficacia delle misure di Sicurezza (è come dire: "..che me ne importa se non sono protetto": l'importante è non saperlo!).

Sembrerebbe quindi che il mercato americano presenti ancora delle elevate debolezze in ampi settori economici. Sorge quindi il dubbio che la "fotografia" del CSI sia inficiata o dal fatto che in questo ultimo periodo gli attacchi "virali" non siano stati così feroci come in passato, oppure dalla volontà di nascondere gli attacchi subiti (paura della cattiva pubblicità?). A riprova che la seconda motivazione potrebbe essere la più attendibile, possiamo citare le risposte date alla domanda: "quali azioni sono state adottate dopo una intrusione sul computer negli ultimi 12 mesi?".

Solo il 35% (circa 100 aziende) ha dichiarato di avere presentato una denuncia. Ma, ancora più interessante, a questa domanda ben 300 aziende su 615 non hanno risposto!

(ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria. Per ulteriori approfondimenti: www.anssaif.it)





Venerdì, 29 settembre 2006
IT Outsourcing: Best Practice e Auditing (Fonte: Clusit).

Sono terminati i lavori del Gruppo di Ricerca AIEA "L'OUTSOURCING IT: BEST PRACTICE E AUDITING".

A conclusione delle attività, è stato pubblicato un documento nel quale sono raccolte "alcune best practice pertinenti alla professione dell'IS Auditor quando essa sia esercitata per la revisione di realtà nelle quali il Sistema Informativo, o anche la sola gestione dell'infrastruttura IT, siano stati esternalizzati".

Riportiamo, di seguito, parte della prefazione del documento.

«Nel corso della ricerca ed in questo documento abbiamo scelto di evidenziare quegli aspetti che sono emersi dall'esperienza e dalla sensibilità dei componenti del gruppo di lavoro, aspetti che sono stati volutamente privilegiati rispetto alla consuetudine che, in un ambito come questo, ne vorrebbe invece vedere l'esposizione limitata al minimo.

Questo lavoro è stato svolto in collaborazione da AIEA e CLUSIT con l'intento di approfondire, come già evidenziato, sia le tematiche proprie dell'attività di Auditing che le tematiche relative alla sicurezza in particolare nella gestione del contratto.

Pertanto una particolare attenzione è stata posta agli aspetti legali/contrattuali e agli aspetti della sicurezza, senza i quali risulta difficile una efficace gestione dei rischi di un processo di outsourcing.»

Il documento è per il momento riservato ai soci AIEA e ai soci CLUSIT. A breve sarà anche organizzato, su tale argomento, un convegno/seminario a cura di AIEA e CLUSIT.





Martedì, 26 settembre 2006
Fonte: The Iso 17799 / ISO 27001 Newsletter

BS7799-1 became ISO 17799. Then, BS7799-2 emerged, to evolve into ISO 27001. Now: BS7799-3 has been born.

It is titled "Information security management systems - Part 3: Guidelines for information security risk management", and is intended to provide guidance and support for the implementation of ISO27001. It is mooted that it too will eventually become an ISO standard: ISO 27005.

Risk management of course is part and parcel of information security, and also of the security standards. That BSI should introduce a standard embracing it is therefore no surprise.


INFORMATION SECURITY NEWS
==========================

1) The creators of the Zotob worm, which disrupted networks at a number of media outlets, have been jailed in Morocco for between one and two years. The worm is estimated to have caused $400 million in damages.

2) AT&T have admitted that the personal information of about 19,000 customers has been accessed by hackers via the company's online store. The company is working with the law enforcement agencies to track down the perpetrators.

3) Telecom provider Verizon is also in the news, having admitted that an employee accidentally sent an email attachment containing information on about 5,000 customers to 1,800 of its customers.

4) A study of prosecutions by the US Dept of Justice has revealed that corporations attacked by cybercriminals over the last few years lost an average of $3 million per case.


Iso 17799: The World Wide Phenomenon
=================================

Our source list for recent purchases of the standard always proves to be a popular talking point. The most recent thousand or so is as follows:

Argentina 3 - Australia 19 - Austria 7
Barbados 1 - Belgium 14 - Bermuda 2 - Bosnia and Herzegovina 2 - Brasil 11
Canada 101 - Cayman Islands 1 - Chile 5 - China 8 - Colombia 11 - Costa Rica 1 - Croatia 1 - Cyprus 3
Denmark 15
Egypt 6 - Estonia 1
France 14
Germany 51 - Gibraltar 1 - Greece 5 - Guatemala 1
Hong Kong 11 - Hungary 5
Iceland 2 - India 14 - Indonesia 3 - Ireland 27 - Israel 3 - Italy 31
Jamaica 3 - Japan 9 - Jordan 1
Korea 2
Lebanon 1 - Luxembourg 2
Malaysia 9 - Malta 2 - Mexico 19
Netherlands 32 - New Zealand 7 - Norway 19
Panama 1 - Peru 1 - Philippines 3 - Poland 4 - Portugal 4
R.O.C. 2 - ROMANIA 2 - Russia 6
Saudi Arabia 7 - Singapore 16 - Slovak Republic 1 - Slovenia 2 - South Africa 11 - Spain 24 - Sultanate of Oman 1 - Sweden 12 - Switzerland 43
Taiwan 4 - Thailand 1 - Tunisia 1 - Turkey 4
UK 341 - United Arab Emirates 7 - USA 492
Venezuela 1





Giovedì, 30 marzo 2006
Privacy: operatori telefonici e call center

Dal Garante chiarimenti in materia di servizi telefonici, call center, trasparenza dei ruoli tra operatori e dealer di telefonia. Per effetto del c.d. “Milleproroghe” gli obblighi scattano dal 31 maggio 2006, data entro la quale gli operatori dovranno anche comunicare le conformi misure adottate.

I contenuti erano ampiamente prevedibili, come deduzioni dirette e su alcuni punti mere esplicitazioni del disposto del Codice. Quanto all'emanazione era attesa, precisamente perchè, nel persistente quadro di aggressività sul market sharing, un approach di prima battuta complessivamente minimalista alla gestione della sicurezza da parte dell'industry aveva lasciato porte aperte alle pratiche elusive o peggio di alcuni player. Pratiche non rubricabili come incidenti di percorso e comunque non sufficientemente contrastate, stante la pletora di ricorsi (fondati) al Garante.

Le principali novità riguardano:

• la nota questione dei servizi non richiesti in dipendenza di contratti di adesione (modifiche, estensioni) impropri, erronei, fraudolenti: schede, segreterie, cps e adsl affibbiati d'ufficio, supporti cartacei carenti o fasulli, ecc.
• la identificazione del cliente e la preventiva raccolta del consenso per ogni nuovo servizio, con un massimo stabilito di schede per cliente, grosso modo profilato in consumer o business, rispettivamente di 4 e 7, dopodichè il contratto dovrà essere in forma scritta
• conseguentemente l'obbligo di individuare e gestire le posizioni multischede/multiservizio
• la sicurezza nelle attività dei call center in quanto ambienti "cross border" tra operatori e dealer: l'outsourcing di processi non ben determinati, tracciabili e controllati non deve (più) determinare zone grigie di interposizione, opacità e rischio, e in definitiva agevolare prassi "figlie di nessuno" lesive dei diritti, non sicure o fraudolente
• la chiarezza dei ruoli privacy tra operatori e dealer, che deve trovare rispecchiamento nelle carte previste dal Codice e tra carte e realtà: esatta individuazione dei processi esternalizzati, tecnologie, organizzazione (ricordando che in fatto di titolarità riveste un ruolo peculiare la potestà decisionale sotto il profilo della sicurezza)
• gli obblighi di acquisire la preventiva disponibilità del potenziale cliente a ricevere le proposte e di fornire d'iniziativa le informazioni dovute per legge agli interessati, fra le quali figura, anche se finora nessuno sembra farci caso, l'identità del dealer come responsabile e/o titolare di trattamento, non un nome di battesimo + la ragione sociale di qualcun altro: "Telecom", "Infostrada" ecc.
• obbligo di fornire a richiesta dettagliate informazioni sulla fonte dei dati posseduti e la destinazione dei dati acquisiti, sulle modalità di trattamento, sui terzi coinvolti ecc.
• obblighi di loggare ciascuna transazione di dealing per esecutore (senza violare la legge 300!) e di attivare senza indugio le procedure interne di tutela dei diritti: ricerca, comunicazione, rettifica, blocco, cancellazione, loggando quanto meno l'input iniziale (richiesta dell'interessato), nonchè gratuità di tali procedure se motivate.

In sintesi: 1) focus sul rispetto dei diritti, 2) mediante la gestione efficace della sicurezza.

Sui diritti la sostanza è che la legge e specificamente l'articolato sui diritti dell'interessato si applica anche nel telemarketing di telefonia, nè si vede cos'altro avrebbe potuto decidere il Garante. Il peso sarà ripartito su operatori (tecnologie di retrieving e sorting sicuramente già possedute, si tratterà forse di introdurre funzionalità "go" di ultima istanza e di ingegnerizzare la gestione dei soprannumerari) e dealer (disclaimer, organizzazione e istruzione del personale, sistemi di scoraggio e tracciamento delle transazioni: cose invece in molti casi ancora da fare, poi da mantenere). L'obbligo di identificazione potrebbe scatenare la caccia alle informazioni contrattuali come per altre utilities (elettricità, gas) e nella vendita di telefonia porta a porta, ma operatori e dealer multicliente dovrebbero già essere attrezzati contro il trading fraudolento di dati. La registrazione obbligatoria delle richieste degli interessati sembra suggerire una gestione centralizzata in fase iniziale e per i piccoli call center; negli altri casi (operatori, call center multisede) o successivamente una gestione distribuita a ticketing adeguatamente “blindata”; a ogni modo si tratta ormai di testare la procedura adottata ed eventualmente modificare o dettagliare opportunamente.

Quanto alla sicurezza è esplicito il richiamo al dovere di adottare e mantenere misure idonee e non solo le mms (misure minime di sicurezza), con doverosa sottolineatura dell'inversione dell'onere della prova del danno. La logica è top-down: operatori e dealer hanno distinta titolarità, ciascuno provvede al suo e ne risponde, pertanto il discrimine sui ruoli, i processi e i compiti attribuiti ai diversi soggetti deve essere non equivoco: ciò non è intuitivo in ambienti ove lavoratori interinali in forza al dealer acquisiscono dati da consumatori utilizzando formulari stabiliti dall'operatore per imputarli su macchine del dealer con programmi installati e gestiti dall'operatore. In più, incombe all'operatore nel proprio stesso interesse di esercitare il controllo sul dealer. Che una integrazione contrattuale o lettera di prescrizioni una tantum come da Codice (che intanto si deve fare) e/o la raccolta-custodia di checklist autocertificate siano strumenti efficaci è lecito dubitare: fino ad oggi no di sicuro. Ma siamo agli esordi, si comincia dall'abolizione del "nenti sacciu nenti vidi" via voip e del "management by passaparola" nella sicurezza dell'outsourcing, poi si vedrà come la metteranno gli operatori... sentiti i consumatori. E già evidente, però, che tra i player chi ha dato e dà peso alla sicurezza ha già oggi e manterrà un vantaggio competitivo. Nel complesso, dal Garante viene una spinta realistica ma non aggirabile verso l'adozione di sistemi di gestione della sicurezza credibili, tanto nell'ambito degli operatori che dei dealer: cioè verso le buone pratiche Iso 17799 (ora Iso Iec 27000) e lo standard BS 7799. Come volevasi dimostrare.



« Indietro




Sistemi di Gestione della Sicurezza delle Informazioni Iso 27001
Aggiornamenti e novità sulla sicurezza dei sistemi informativi e delle informazioni
Iso 27001 e Sistemi di Gestione della Sicurezza delle Informazioni
Informazioni e aggiornamenti per le norme Iso 27001, Iso 17799, Basilea 2 Operational Risk, Codice Privacy d.lgs 196/03 e IT Security, Sicurezza delle Informazioni, Consulenza e Audit
Impronta Digitale © 1994-2011
Via Crocefisso, 8 - 20122 Milano
PI 07117270962
Home   |   Consulenza   |  Formazione   |   Servizi IT   |   Recapiti
Informazioni e aggiornamenti per le norme Iso 27001, Iso 17799, Basilea 2 Operational Risk, Codice Privacy d.lgs 196/03 e IT Security
Informazioni e aggiornamento sulla IT Security, Consulenza e Audit
Informazioni e aggiornamenti per le norme Iso 27001, Iso 17799, Basilea 2 Operational Risk, Codice Privacy d.lgs 196/03 e IT Security, Consulenza e Audit
Informazioni e aggiornamenti per le norme Iso 27001, Iso 17799, Basilea 2 Operational Risk, Sicurezza delle Informazioni, Codice Privacy d.lgs 196/03 e IT Security