Sto riprendendo in mano le Misure Minime dopo tempo in cui hanno fatto un po’di polvere sulla scrivania. Voci portare dal vento dicevano che forse ne usciva una seconda release?
E’ davvero prevista? Meglio aspettare la seconda release?
Ciao Andrea, non so se uscirà una v2
Secondo me sono esagerate già in versione 1… per noi la collaborazione, la condivisione… è un sogno… siti come Slack, Messenger, DropBox, Google Drive (tutti strumenti usati e richiesti dal Team Digitale) sono BLOCCATI dalle rete interna, compresa l’installazione degli agent. Ora anche l’anteprima dei file, delle email…tutto bloccato.
Mi sembra che sia tutt’altro che una apertura verso il WEB, ma una chiusura in noi stessi…
E ho letto che… L’adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza, del dirigente allo scopo designato.
La versione 2 avrebbe dovuto essere una semplificazione da quello che ho capito per le piccole PAL, per le quali era chiaro che fosse impossibile l’atturazione.
La security di per sè a volte comporta chiusura, ma non può essere una limitazione al livello di cui parli tu (gdrive, slack …). Perlome non credo sia questo che intendono Agid e TD.
Personalmente ho trovato estremamente limitativa l’estrapolazione dal SANS 20 del 2015 di solo 8 CSC, eludendo ad es l’WIFI etc…faccio presente che esiste già la versione del 2016 sempre del SANS 20, consiglio vivamente di applicarla in toto, a prescindere dalle direttive Agid.
La Sicurezza é un’approccio mentale, non un compitino…
Concordo sull’aspetto teorico, ma poi ci si scontra con la pratica = non ci sono i soldi o non c’è la mentalità o non c’ una priorità. Per cui un dataset minimo va comunque fatto, anche solo per chi deve iniziare da qualche parte.
Io le ho trovate molto utili, migliorabili, ma sicuramente utili nelle PAL.
Comunque personalmente ritengo le Misure Minime di Sicurezza del CERT-PA uno sforzo notevole nel panorama italiano del “non dobbiamo fare nulla perché noi siamo sicuri”. Tanto di cappello che hanno preso come base i CSC.
Il lavoro di “potatura” mi sembra un eccellente adattamento alla pochezza del nostro approccio in sicurezza. E purtroppo non solo sicurezza informatica visto quello che è successo a Genova. Manca la cultura del controllo. Le cose si fanno e poi nessuno controlla perché non paghi qualcuno in caso di errore, ovviamente.
Dal SANS 20, la CircolareAgID_170418_n_2_2017_Mis_minime_sicurezza_ICT_PA-GU-103-050517 CIRCOLARE 18 aprile 2017 , n. 2/2017 , ne ha estrapolati solo 8, come già scritto.
Comunque rimango della mia opinione, del resto le motivazioni sono ben scritte nella introduzione alle Misure Minime (che si chiamano minime apposta). Certamente rispettare tutti i 20 CSC sarebbe più che auspicabile, ma per far meglio alla fine non si fa bene. Troppe volte visto…
Chi ha scritto le Misure Minime conosce bene la PA e le ritrosie e le difficoltà che ci sono nell’irregimentare certe attività. Figuriamoci nelle PAL dove ci sono anche problemi di budget e personale.
Che io sappia no, credo anche che l’assenza di un esperto di Cybersecurity dopo che se ne è andato Gianluca Varisco stia rallentando la questione.
Le idee che conoscevo erano indirizzate verso generare una versione 2.
La versione 2 doveva semplificare alcune parti perchè le piccole PAL
non sono in grado nemmeno di fare la parte base della versione 1.
Del resto la cloudizzazione potrebbe migliorare la sicurezza by-design.