ius and bit

Oggi a Sharm El Sheikh, Egitto, è stato dato avvio al quarto  Meeting globale Internet Governance Forum.

L’agenda dell’evento è disponibile a questo link. E’ anche possibile seguire i lavori in live webcast e di seguito il channel 1 (ma ce ne sono 10 disponibili) sulla Main Session Room.

Divulgo, da fonte IGF Italia, le seguenti informazioni:

Continuando gli articoli dei giorni precedenti, di seguito l’ultima parte delle 10 buone prassi secondo ENISA.

6. Visitatori

Tutti i visitatori devono essere registrati e firmare all’arrivo e all’uscita.

Tutti i visitatori devono essere muniti di un badge di riconoscimento che deve essere indossato in ogni momento, mentre stanno visitando l’edificio aziendale-

Seguire i visitatori attorno all’edificio aziendale per tutto il tempo. Lasciare vagare i visitatori per l’ufficio non è sicuro.

7. Rapporti circa la perdita e/o danni ai dispositivi portatili aziendali e incidenti

Riferire di perdita e/o danni ai dispositivi portatili aziendali (ad esempio cellulari, PDA o drive USB) del reparto IT della propria organizzazione.

Rapporto su ogni dispositivo portatile aziendale trovato al dipartimento IT della vostra organizzazione.

Segnalare qualsiasi violazione della sicurezza e/o di incidenti, anche se non siete sicuri.

Relazione su eventuali attività sospette sulla workstation e sulla inaspettata indisponibilità di un’applicazione, se avete ricevuto alcun avviso in anticipo dal vostro dipartimento IT.

8. Proteggere le informazioni al di fuori dell’organizzazione

Quando si è al di fuori dell’organizzazione, assicurarsi di conservare le informazioni sensibili e le attrezzature in tutta sicurezza per tutto il tempo per evitare il furto o la perdita. In particolare quando si è in luoghi pubblici gestire le informazioni con cura.

Siate consapevoli del fatto che qualcuno possa ascoltare la conversazione. Non mettere a disposizione di tutti informazioni riservate della propria organizzazione.

Quando si viaggia o si lavoro da un luogo remoto proteggersi contro chi si può impadronire di codici e password.

9. Rispettare le politiche aziendali di sicurezza e le procedure

Rispettare le politiche di sicurezza e le procedure aziendali.

Garantire la riservatezza, l’integrità e la disponibilità dei dati.

Rispettare I principi legali, come diritti d’autore, proprietà intellettuale, privacy e licenze software.

Se vedi i colleghi che agiscono in violazione delle policy di sicurezza e delle procedure aziendali, informa immediatamente I responsabili.

10. Fornire un feedback per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza

fornire un riscontro per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza.

Proponi l’acquisto di software aggiuntivo, se necessario, per svolgere le attività.

porre domande o formulare suggerimenti per migliorare le soluzioni e le politiche di sicurezza.

Fonte: ENISA

Proseguo la pubblicazione del documento ENISA sulle 10 regole di buone prassi in ambito soprattutto aziendale. Di seguito le ulteriori regole:

3. Usare e-mail e Internet con attenzione

• non aprire e-mail ed allegati sconosciuti
• non fare clic sui link ipertestuali contenuti nelle e-mail sospette.
• inoltrare messaggi e-mail se opportuno. Pensa di eliminare la storia del messaggio prima di farlo.
• condividere documenti in formato PDF per garantire che i file non possono essere facilmente modificati.
• le informazioni riservate devono essere crittografate quando vengono inviate via e-mail.
• navigare in Internet con attenzione.
• non condividere le informazioni circa la tua organizzazione e i tuoi ruoli su siti di social networking.
• evitare di partecipare a blog in cui la vostra presenza e le vostre opinioni possono essere interpretati come quelli della vostra organizzazione.
• non scaricare documenti e materiale da parte di terzi non attendibili.
• non accedere, scaricare, archiviare o trasmettere qualsiasi materiale illegale o offensivo
• ricordate che la navigazione su Internet utilizzando la vostra workstation può essere tracciata

4. Uso di portatili aziendali: laptops, USB drives, cellulari e Blackberry

Laptops

• non installare o utilizzare software illegali e/o non autorizzati perché si compromettono i la sicurezza dei vostri dati e si viola la legge
• spegnere le connessioni wireless quando non necessario.
• collegare il vostro laptop alla rete della vostra organizzazione per aggiornare regolarmente i controlli di sicurezza
• fare il backup delle informazioni memorizzate nel laptop
• bloccare il vostro computer portatile quando si lascia la scrivania per andare a una riunione, se si fa una pausa e/o il pranzo
• non permettere ad altre persone di collegare i loro drive USB in un computer portatile, specialmente dives personali non sicuri
• non lasciare incustodito il vostro laptop.
• non lasciare il computer portatile in vista all’interno dell’auto

USB drive

• utilizzare un disco USB criptato
• limitare il numero di dati aziendali che si memorizzano sul drive USB, in particolare su drives personali non sicuri
• collega il drive USB al portachiavi/cordino per evitarne la perdita: la ridotta dimensione delle unità flash USB rende questi dispositivi più facili da perdere o essere rubati. Inoltre, la maggiore capacità di archiviazione aumenta la quantità di dati a potenziale rischio di accesso non autorizzato. Le unità flash USB di solito sono messi in borse, zaini, borse per laptop, giacche, tasche dei pantaloni o vengono lasciati incustoditi sulle workstation. Il numero di incidenti è aumentato di recente per drive USB persi, dimenticati, presi in prestito senza permesso o rubati
• invitare gli utenti a mettere il flash drive USB in modalità di sola lettura utilizzando l’interruttore fisico per evitare la trasmissione di virus: alcune unità flash USB includono un interruttore fisico per mettere l’unità in una modalità di sola lettura per evitare che il computer host scriva o modifichi i dati sul disco
• scansionare i flash drive USB, dopo la copia di file da una macchina sconosciuta e/o di non autorizzata per evitare trasmissione di virus
• prima di collegare il vostro disco USB nel computer di qualcun altro, eliminare tutti i file che non sono rilevanti per l’operazione da compiere
• informazioni di backup: siate in grado di recuperare i dati che risiedono su unità flash USB

Telefoni cellulari e BlackBerry

• spegnere le connessioni wireless (cioè Bluetooth e WLAN), quando non in uso. La tecnologia Bluetooth consente ai dispositivi elettronici di comunicare tra loro tramite un collegamento radio a corto raggio. Alcuni telefoni cellulari Bluetooth soffrono di bug software che portano alla pratica di Bluejacking e Bluesnarfing. Bluejacking è quando qualcuno invia un testo anonimo con la creazione di un messaggio per poi inviarlo a un altro cellulare Bluetooth attivato. Bluejacking può essere utilizzato per inviare messaggi indesiderati. Bluesnarfing viene utilizzato per copiare le informazioni personali, come ad esempio l’elenco dei contatti da un portatile all’altro.
• non lasciare il vostro cellulare o il Blackberry incustodito. In caso contrario, potrebbe portare alla perdita di dati

5. Gestire le informazioni con cura

• segnare qualsiasi documento con l’appropriato codice di classificazione
• proteggere i contenuti sensibili con una password per impedire a qualcuno la modifica o la loro eliminazione
• regola della scrivania pulita: non lasciare dati sensibili in giro. Smaltire con cura i documenti.
• non lasciare le informazioni sensibili in strutture per conferenze o sale riunioni comuni al fine di evitare la loro esposizione a chiunque utilizzi la stanza dopo di voi.
• stampa sicura: stampare, copiare e scansionare le informazioni solo se necessario. Ricordatevi di raccogliere il documento di output dalla stampante
• distruggere sempre i documenti contenenti informazioni sensibili e/o la dicitura “riservato”
• non conservare tutte le informazioni sul disco locale.
• assicurarsi che gli eventuali terzi che lavorano con voi abbiano firmato un accordo di non divulgazione prima di fornire tutte le informazioni sensibili

Pubblicherò l’ultima parte domani.

Fonte: ENISA

ENISA è l’acronimo di European Network and Information Security Agency e tra le varie attività svolte viene anche coordinata una Awareness Raising Community.

La AR Community è un gruppo internazionale di cui fanno parte gratuitamente esperti che hanno interesse ad impegnarsi nella sensibilizzazione alle tematiche della sicurezza. Sono membro di questa AR-C e partecipo alle attività che vengono proposte.

Recentemente, nel mese di luglio di quest’anno, è stato pubblicato un documento che costituisce una buona guida come best practice in materia di security. Ritengo utile, anche nell’ottica dell’awareness raising, di divulgare queste 10 regole a step. Pertanto, adesso indicherò soltanto la prima parte che riguarda i punti 1 e 2.

1. Uso delle password

La password è l’equivalente della serratura della tua casa su Internet. Le password sono la migliore defence e attraverso un buon uso delle password si potrà tenere al sicuro l’identità e le informazioni riservate e sensibili.

Usare una password forte

• La password del tuo computer è la chiave per accdere a tutte le informazioni — entrambe aziendali e personali — che hai registrato sul tuo computer e sugli account online. Usare una password forte per proteggere i tuoi dati: usare almeno otto caratteri; combinare lettere (maiuscole e minuscole), numeri e simboli. Maggiore è la varietà di caratteri che hai nella tua password, più è difficile da indovinare. Non usare informazioni personali – nome, il nome del bambino, la data di nascita, ecc – che qualcuno potrebbe già conoscere o ottenere facilmente e cercare di evitare parole comuni: alcuni hacker utilizzano programmi che provano ogni parola nel dizionario.

Cambiare regolarmente la password

• Se credete che il vostro sistema sia stato compromesso modificate le password immediatamente.

Tenere la password segreta

• La tua password è unica e non deve essere condivisa con nessuno.
• Laddove possibile, cerca di imparare le tue password a memoria. C’è una strategia per memorizzarle.
• Se scrivi le tue password in basso, stai attento a dove vengono memorizzate. Non lasciare trccia delle tue password da nessuna parte.

Usare password differenti

• Utilizzare password diverse per ogni account online al quale si accede (o almeno una serie di password). Se si utilizza la stessa password per più account, chi effettua l’attacco ed ottiene l’accesso a un conto sarà in grado di accedere a tutti i vostri conti.

2. Proteggere il computer

• Bloccare il desktop quando si lascia la scrivania per andare a una riunione, durante una pausa e/o per il pranzo.
• Non permettere ad altre persone di collegare i loro drive USB al computer, specialmente drives personali non sicuri.
• Non installare o utilizzare software illegali e/o software non autorizzati se si stanno compromettendo i dati di sicurezza e violando la legge. E’ possibile aprire le vulnerabilità della rete della propria organizzazione.
• Non collegare qualsiasi disco personale, lettore musicale e/o unità USB al computer.
• Non collegare il vostro laptop personale alla rete della vostra organizzazione in quanto potrebbero contenere virus o malware.

Fine prima parte.

Si discute molto di sicurezza per i minori su Internet e numerose sono anche le iniziative a riguardo. Con la newsletter di ieri il Garante per la privacy ha fatto riferimento alla Raccomandazione n. 1882 rivolta agli Stati membri del Consiglio d’Europa ed ai Parlamenti nazionali adottata il 28 settembre 2009 dall’Assemblea Parlamentare del Consiglio d’Europa. L’intervento del Garante contenuto nella newsletter, a mio modesto avviso, va inteso come un ulteriore monito rivolto a tutti al fine di garantire sempre più i minori che, costituendo la “digital generation”, vivono utilizzando con maggiore intensità e facilità gli strumenti delle nuove tecnologie come Internet e dispositivi mobili.

Probabilmente, l’intervento del Garante non è anomalo, posto che viene pubblicato proprio alla vigilia della conferenza mondiale che si terrà a Madrid dal 4 al 6 novembre prossimi e all’esito della quale verrà adottata proprio una risoluzione sui social network di valenza mondiale. Non va neppure trascurato il ruolo che ha assunto il Garante e cioè quello di interventista in situazioni in cui spesso manca una normativa ad hoc.

Tornando alla raccomandazione del Consiglio d’Europa, non può sottacersi la tendenza degli Organi europei volta ad assumere posizioni univoche su tematiche quanto mai attuali. Infatti, al di là dei documenti già noti a settembre il Comitato Economico e Sociale Europeo (EESC) ha pubblicato l’opinione “Impact of social networking websites“ con evidenti riferimenti a security & safety nonché ai rischi connessi con la privacy. Inoltre, la Commissaria V. Reding lo scorso 23 ottobre in occasione del seminario EDPS-ENISA Seminar ‘Responding to Data Breaches’ ha dichiarato, fra l’altro,

My vision is that security and data protection in the Information Society must be based on a comprehensive risk assessment and on management approaches, which take into account all hazards and threats, whether they come from cyber-attacks, from natural disruptions, or any other source.

La citata Raccomandazione, poi, fa riferimento ad uno dei punti cruciali del programma della Commissione europea in questo ambito: il Safer Internet Programme (al quale, peraltro, collaboro per il nodo italiano). Di recente ho partecipato all’evento annuale “Safer Internet Forum 2009″ che quest’anno ha riservato integralmente proprio ai minori una delle sessioni.

Si tratta indubbiamente di un tema non semplice. Gli aspetti connessi con la sicurezza per i minori su Internet sono molteplici così come le soluzioni. Difatti, gli attori in gioco sono numerosi, ma questi i nuclei più importanti: minori, genitori e famiglie,  scuola ed insegnanti. Non credo che esista una soluzione; ritengo che si debba lavorare su più fronti. E’ necessaria una poderosa campagna di sensibilizzazione, awareness raising, rivolta ai citati nuclei più importanti. In questi giorni si è avviato l’Easy Tour che, nell’ambito del progetto Safer Internet, contribuisce proprio a sensibilizzare, attraverso un bus itinerante per l’Italia, studenti, genitori ed insegnanti. Un ruolo primario, comunque è sempre quello dei genitori che dovrebbero indicare ai figli quali sono i rischi di un uso improprio o poco consapevole della rete Internet. La rete Internet è una risorsa straordinaria, tanto che ha modificato la nostra vita nel corso degli ultimi anni, ma è opportuno un approccio consapevole per sfruttarne al meglio le enormi risorse.

Oggi la Commissione europea ha presentato la Comunicazione dalla Commissione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale Europeo, al Comitato delle Regioni dal titolo “A public-private partnership on the Future Internet“. Si tratta di una strana coincidenza, considerato che questo documento viene pubblicato alla vigilia dell’anniversario di Internet con l’antesignana ARPANET. Difatti, oggi si celebrano i 40 anni della nascita di ARPANET e quindi di Internet.

Ritornando al documento della Commissione, comunque, come si legge dal comunicato stampa si tratta di

una strategia paneuropea per l’innovazione basata su internet che dovrà veder nascere in tutta Europa la collaborazione tra governi e differenti settori industriali. La strategia ha l’obiettivo di migliorare le infrastrutture fondamentali della nostra economia e della nostra società per renderle in grado di trattare enormi quantità di dati nel loro funzionamento quotidiano. Il traffico di dati via internet registra già oggi una crescita del 60% all’anno.

Ciò dimostra come la Commissione europea prosegue diritto per il suo cammino verso lo sviluppo delle nuove tecnologie con riguardo soprattutto ad Internet ed alle risorse connesse con il web. In particolare, è evidente l’attenzione verso i nuovi paradigmi della rete come l’Internet of Things (IoT). Difatti, proprio nel documento su menzionato, si legge:

Making Europe a leading region in Future Internet technologies and applications requires a coherent approach to leverage the multiple ongoing efforts at European level and in the Member States. The European Union has taken several steps within a wider policy approach on the internet, for example, to drive the deployment of innovative internet technologies such as IPv63 and to create a favourable environment for the emergence of the ‘Internet of Things’ (IoT), while at the same time supporting the founding governance principles of the internet: the end-to-end principle, openness and interoperability. It is essential to reap the early benefits of long-term research investments, with short to medium-term innovation initiatives that can make for the emergence of novel industrial and service providers in Europe.

La Commissione, pertanto, individua tre vettori tra loro connessi:

• rafforzare gli investimenti sulla ricerca in modo da avere un alto effetto leva sugli investimenti privati;
• fare leva sulle iniziative degli Stati membri;
• realizzare una partnership pubblico-privato con stakeholders dell’industria.

Per realizzare questi obiettivi la Commissione intende impegnare un minimo di 200 milioni di euro per anno nell’ambito del programma FP7 ICT nel periodo 2011-2013. Tuttavia, nel documento della Commissione sono dettagliatamente indicate le altre iniziative con proposte di investimento di almeno 300 milioni di euro da impiegare sempre nell’ambito del programma FP7.

La tecnologia RFID e l’Internet of Things (della qual cosa mi sto occupando per gli aspetti di compliance) è uno dei temi più caldi ed attuali a livello internazionale.

Fonte: Europa

The internet of Things a phenomenon strictly coupled with RFID technologies (but not only). A real life in a virtual reality, virtual situations in the real life. What are the implications? Regarding the Internet of Things it has been founded a Council that is a thinkthank on the Internet of Things. The Council will launches in Brussels on 4/12/2009.

Privacy issues, security and safety issues, responsibility: these are some topics from a legal point of view that will be discussed during the meeting “Are you ready for the Internet of Things?”

A LIFT @ Home event, venue: IMAL.org

Any information here.

0930 : Opening by Rob van Kranenburg and Alexandra Deschamps-Sonsino

0945 : Lift @ Home by Nicolas Nova: existing networked objects and what they tell us about potential users and how designers/engineers thought about them

1000 – 1100 : Inspiration

• RFID Guardian with Melanie Rieback
• Pachube and Connected Environments, with Usman Haque
• Nearness, with Timo Arnall
• Mime, with Lorna Goulden
• Privacy Coach with Jaap Henk Hoepman
• Legal Issues in the Internet of Things, with Nicola Fabiano
• What I learned from the Violet experience with Rafi Haladjian: The problem with the Internet of Things, are the Things. “Or, how do you get to have open and intelligent artifacts and devices all around the place, without having to manufacture them, transporting them, distributing them (hardly very innovative). How do you creat proliferation, the Internet way, with atoms.”

1100 – 1230 Workshops (with input, questions and views by Gérald Santucci (Head of Unit, Networked Enterprise and Radio Frequency Identification, INFSO D4)

• IOT and the Home: business cases
• Interactive Role Playing workshop
• IOT as an accelarator of changes in organisations
• IOT in education: creating an MBA
• HC Systems and Self-care
• Tinker.it Homesense

More information on the workshops will be available soon.

1230 – 1400 Lunch

1400 – 1430 Inspiration

• Gaming, with Karim Amrani
• Urban Eyes, with Marcus Kirsch
• Awareness Technology, with Alan Munro
• TownToolKit, with Christian Nold
• A distributed physical network of humans through the city unveilling invisible and always mobile connections, with Natacha Roussel
• Social Implications of IoT, with Jim Kosem

1430 – 1630 Workshops continuation

1630 – 1730 Workshop leaders present the results. Short Q & A.

1730 – 1930 Dinner

2000-2200 Public evening program. Opening by Yves Bernard. With lectures, keynotes, interviews, short presentations of workshop results by workshopleaders. Speakers include Liam Bannon, Karim Amrani, Karmen Franinovic, Slava Kozlov on “New mindsets and personal/psychological skills we need to develop for the IoT”, Jo Caudron…

contact: info@theinternetofthings.eu

Registration is open.

Con questo comunicato stampa la Commissione ha annunciato la pubblicazione di un documento di riflessione della DG-INFSO e della DG-MARKT in ordine alla sfida costituita dalla creazione di un mercato unico del digitale a livello europeo per i contenuti creativi, come i libri, la musica, i film o i videogiochi.

Il documento di 22 pagine sembra interessante e si inserisce nell’ambito della consultazione pubblica che avrà scadenza il 5/1/2010.

Gli aspetti affrontati nel citato documento sono assolutamente interessanti anche per la presenza di commenti sulla posizione specifica dei consumatori.

Certamente si tratta di argomenti importanti specialmente per le questioni connesse con il copyright e con le licenze e questa non è la sede per approfondire. Tuttavia, il documento merita di essere letto.