ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA
26 gennaio 2004
Newsletter CLUSIT
indice
1. NUOVI SOCI
2. INFOSECURITY 2004
3. Rapporto CLUSIF sul
cybercrime
4. ANSSAIF
5. Studio europeo sullo SPAM
6. Due soci fondatori del CLUSIT a Parigi
7.
Il primo seminario CISSP in Italia
8. EVENTI SICUREZZA
1. NUOVI SOCI
Durante l'ultimo mese hanno aderito al
CLUSIT le seguenti organizzazioni:
Adhersis Italia
(Cernusco S/N – MI), Eris Consulting (Firenze),
Hacking Team
(Milano), ITALTEL (Settimo Milanese – MI),
NTS ICT Group
(Roma), PRES (Rivoli), Secure Network (Agrate Brianza - MI),
S.I.A.P.A.
(Sant’Agata di Militello).
2.
INFOSECURITY 2004
Dall’ 11 al 13 febbraio
2004, alla Fiera di milano (Pad.8), si terrà la qualta edizione di
Infosecurity Italia, che quest’ anno darà spazio anche ad una nuova area
dedicata al Data Storage. Tutte le informazioni utili per visitare il salone
sono disponibili su www.infosecurity.it.
Il CLUSIT, partner
scientifico della manifestazione, ha contribuito all’ organizzazione di un
prestigioso programma di seminari e convegni:
(http://www.infosecurity.it/ita/docs/ConvegniWorkshop2004.pdf).
Tutto lo staff del CLUSIT sarà a disposizione dei visitatori allo stand
D05.
In particolare, durante i 3 giorni della manifestazione, alcuni esperti
saranno presenti allo stand e daranno informazioni e consulenze gratuite alle
aziende .
3.Rapporto CLUSIF sul cybercrime
Il CLUSIF ha presentato
nei giorni scorsi un interessante rapporto sulle principali attività di
cybercrime, rilevate nel corso del 2003. La presentazione del rapporto è
disponibile in francese: https://www.clusif.asso.fr/fr/production/ouvrages/pdf/PanoCrim2k3-fr.pdf.
4. ANSSAIF
Da un’iniziativa
personale di esperti della sicurezza ICT provenienti dal mondo
Economico-Finanziario ed Universitario, nasce l’Associazione Nazionale degli Specialisti di Sicurezza in
Aziende di Intermediazione Finanziaria (ANSSAIF).
L’obiettivo che ha
spinto alla costituzione dell’associazione, manifestatosi in maniera corale e
sincrona tra i fondatori, è la
conservazione e la condivisione del patrimonio di esperienze professionali
degli specialisti di sicurezza del settore.
Il percorso di
iniziative delineato dai programmi dell’associazione prevedrà:
-
la partecipazione alla maturazione, in tutte le sedi opportune, anche universitarie, della consapevolezza dei problemi connessi alla necessaria protezione dei beni informatici, dei dati e delle informazioni, per garantirne la riservatezza, l’integrità e la disponibilità;
-
la promozione di studi e ricerche nel campo della sicurezza ICT, curando altresì di individuare processi e momenti di integrazione della sicurezza logica e di quella fisica.
Per battezzare la nuova iniziativa, il
Consiglio Direttivo dell’ANSSAIF ha avviato un progetto dal titolo: “La sicurezza
ICT e Basilea 2: cosa ci dobbiamo aspettare da qui a tre anni?”.
Obiettivo del progetto è
quello di stimare il possibile impatto derivante dall’introduzione del nuovo
sistema di valutazione del rischio operativo, raffrontandolo anche con le
risultanze attese dalle banche, a seguito delle iniziative pianificate per il
2004.
I dati raccolti, tramite
autovalutazione da parte di un gruppo di banche campione, saranno
rappresentati a livello di media di sistema bancario e saranno discussi in un
convegno pianificato nel terzo
trimestre del 2004.
5. Studio europeo sullo SPAM
L’IViR (Institute for
Information Law) dell’Università di Amsterdam e Sybari Software, che ha
promosso l’iniziativa, hanno presentato i risultati preliminari di uno studio
sulla nuova Direttiva Europea ‘Electronic Communications and Privacy’,
entrata in vigore lo scorso 1 novembre.
I primi risultati dello
studio rivelano numerose aree grigie, sia per le imprese che per i governi,
riguardo all’interpretazione e all’implementazione di questa nuova legge. Ci
sono ambiguità che riguardano, ad esempio, i casi in cui le e-mail
commerciali possono essere inviate su una base ‘opt out’ e quando l’accordo
preliminare – ‘opt in’ – può essere dato.
Altre aree, non correttamente preparate
dalla Direttiva, includono la protezione dallo Spam di alcuni gruppi di
utilizzatori di e-mail in ambienti professionali, così come i free-lancers,
l’uso di comunicazioni elettroniche come ‘pop-up’s’, e la questione dello
Spam che si autopropaga.
Ecco alcuni dei punti evidenziati:
§
La legge nell’articolo 13 prevede il
cosidetto ‘opt-in’ - accordo preliminare - prima di consentire l’invio di
posta elettronica commerciale. Tuttavia, l'articolo 13,2 della nuova legge –
il quale dichiara che dove un indirizzo di posta elettronica è stato ottenuto
nel contesto della vendita di un prodotto o di un servizio, la trasmissione
di posta elettronica commerciale per prodotti o servizi relativi è consentita
- lascia aperta una notevole scappatoia per i rapporti esistenti con il
cliente, che potrebbe favorire determinati settori più di altri. Ci sono
inoltre varie ambiguità quanto a che cosa potrebbe essere considerato
"prodotti correlati".
§
E' poco chiaro se le comunicazioni
elettroniche come ‘pop-up’s’ siano coperte dalla Direttiva.
§
La protezione contro lo Spam di certi gruppi
di utenti di posta elettronica in un ambiente professionale, come i
free-lancers, è inoltre ambigua.
§
Il rapporto fra lo Spam che si diffonde
attraverso un virus e le disposizioni sulla sicurezza dell'Articolo 4 della
Direttiva, rimangono vaghi. L'Articolo 4 obbliga i fornitori a prendere
‘misure appropriate’ per proteggere la sicurezza delle proprie reti. Questo
potrebbe avere implicazioni importanti per la responsabilità dell'ISP.
§
Il significato esatto di "misure
appropriate" non è definito.
§
Poco aiuto è fornito quanto al meccanismo di
applicazione necessario per implementare effettivamente le nuove regole.
§
Una combinazione di legislazione, meccanismi
di applicazione, cooperazione internazionale, prevenzione attraverso la
formazione e soluzioni tecniche è cruciale nella lotta contro lo Spam.
§
L'efficacia della Direttiva per quanto
riguarda la riduzione dello Spam, dipende dalle scelte che gli Stati Membri
fanno nella trasposizione della Direttiva nelle proprie leggi nazionali.
§ Questa legislazione nazionale dovrebbe in primo luogo chiarire sia ai consumatori che alle aziende, i "do’s" e i "don'ts" nell'e-marketing, visto che la Direttiva lascia molto spazio per speculazione.
Questi sono solo i risultati preliminari. I
risultati finali saranno pubblicati nel mese di febbraio del 2004.
6. Due soci fondatori
del CLUSIT a Parigi
Dal 22 al 24 marzo
prossimi si terrà a Parigi EUROSEC 2004, una delle più prestigiose
manifestazioni europee nel settore della sicurezza informatica.
Due esperti italiani, l’Avv.
Andrea Monti e Raoul Chiesa, entrambi soci fondatori del CLUSIT, sono stati
selezionati dal Comitato scientifico della manifestazione per presentare le
loro proposte. I programmi delle conferenze sono disponibili in francese ed
inglese.
(http://www.xpconseil.com/eurosec2004/francais/programme2004.htm)
(http://www.xpconseil.com/eurosec2004/anglais/program2004.htm)
7.
Il
primo seminario CISSP in Italia
Facendo pervenire la domanda di partecipazione, scaricabile all'indirizzo www.clusit.it/isc2, entro il 7 di febbraio sarà possibile usufruire di condizioni particolarmente vantaggiose, oltre alle agevolazioni riservate ai soci Clusit.
8. EVENTI
SICUREZZA
(Tutti i dettagli sulle manifestazioni sono
disponibili sul sito clusit alla voce EVENTI)
27 gennaio 2004,
Milano
OLTRE LA PROTEZIONE, LA FIDUCIA: l'analisi del rischio come cardine per la progettazione e la gestione
consapevole della sicurezza, teoria e pratica
11-13 febbraio 2004,
Milano
INFOSECURITY Italia
2004
23-27 febbraio 2004,
Milano
Seminario di preparazione
all’esame CISSP
21-24 marzo 2004,
Zurigo
EuroCACS organizzato
dall’ ISACA
22-24 marzo 2004,
Paris
EUROSEC 2004
27 marzo 2004, Monza
(MI)
Esame di
certificazione CISSP