Infosec & Quality newsletter ITA (Giugno 2024).
******************************************************
Indice
01- Sicurezza: Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"
02- Mio articolo sull'uso del non digitale per la sicurezza
03- Certificazioni: Transizione alla ISO/IEC 27006-1:2024
04- Documento APG sui cambiamenti climatici nella ISO 9001
05- Tribunale di Milano: Modello 231 "efficace"
06- Garante privacy e conservazione email e metadati 03
07- Gli uomini possono fare tutto
******************************************************
01- Sicurezza: Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"
Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.
Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".
Insomma: nulla di troppo nuovo, ma:
mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);
il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.
******************************************************
02- Mio articolo sull'uso del non digitale per la sicurezza
Su Digeat è uscito un mio articolo dal titolo "I documenti “non digitali” come argine per la sicurezza": https://digeat.info/.
Il titolo dice già molto e, se vi interessa, buona lettura.
******************************************************
03- Certificazioni: Transizione alla ISO/IEC 27006-1:2024
La ISO/IEC 27006-1 è stata aggiornata nel 2024 e gli organismi di certificazione che certificano ISO/IEC 27001 devono adattarsi. IAF ha pubblicato le linee guida e i termini per adeguarsi: https://iaf.nu/en/news/iaf-publishes-md-for-transition-to-iso-iec-27006-12024/.
Tutto ciò non riguarda le organizzazioni che si certificano.
Grazie a Franco Vincenzo Ferrari per la segnalazione.
******************************************************
04- Documento APG sui cambiamenti climatici nella ISO 9001
Il ISO 9001 Auditing Practices Group ha pubblicato il documento "Guidance on: Auditing Climate Change issues in ISO 9001": https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.
Ricordo che il APG è un gruppo informale composto di persone che partecipano ai lavori di redazione della ISO 9001. Il loro parere non è vincolante né deve essere accettato ciecamente. E' però frutto di riflessione di persone preparate e quindi vale la pena considerarlo.
******************************************************
05- Tribunale di Milano: Modello 231 "efficace"
Tribunale di Milano: Modello 231 "efficace"
Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.
Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.
Lettura interessante.
******************************************************
06- Garante privacy e conservazione email e metadati 03
Il Garante privacy ha pubblicato l'aggiornamento del tanto discusso Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277.
Per il momento mi sembra di capire che abbia chiarito che i "metadati" da cancellare sono i log dei mail server relativi all'invio e ricezione dei messaggi. Inoltre ha stabilito che il tempo di conservazione consigliato è di 21 giorni.
Per il resto, aspetto pazientemente articoli e commenti di persone più attente di me.
Grazie a Pippo Alverone per averlo segnalato agli Idraulici della privacy.
Grazie a Christian Bernieri (un altro Idraulico della privacy) per aver messo a disposizione un confronto tra il precedente e l'attuale documento: https://drive.google.com/file/d/1pVaPeBjedyomY_buaAzFznyNH2MH0-Fo/.
******************************************************
07- Gli uomini possono fare tutto
Le scuole dovevano finire il 7 giugno e io mi ero preso tutta la giornata libera. Con i compagni del piccolo, tradizionalmente, il pomeriggio dell'ultimo giorno di scuola organizzavamo una merenda al parco.
Causa elezioni, la scuola è finita il 6 ed è scattato il dibattito se anticipare anche la merenda sull'erba. Abbiamo votato per non anticipare 11 contro 8. Meno male: avrei avuto difficoltà a spostare l'audit interno fissato per il 6.
Nota di colore: la merenda è iniziata alle 16.30 ed è finita... ehm ehm ehm... alle 23.30 (ed è stata in quell'occasione che ho avuto il disegno che introduce questo numero).
*****************************************************