[GW Question 3] Data owner, data custodian, e MAC
Se io mi iscrivo a Facebook e accetto I loro termini e condizioni, FB è accountable per I miei dati e quindi è il data owner. Se la sicurezza del sistema è delegata ad un’azienda terza, questa rappresenta il data custodian, è corretto? Anche il GDPR mette enfasi nel non poter spostare l’accountability su una terza parte quando tu come FB scrivi I termini della privacy, e quindi le definizioni tornano. Confermi?
Nel MAC = mandatory access control, si dice che l’owner definisce I livelli di sicurezza a discrezione, per ogni singolo oggetto. Questo è un concetto applicabile solo all’interno di un’azienda, o è estendibile all’esempio di sopra? Faccio fatica a collegare I concetti in un contesto più ampio.

[GW Question 4] Differenza tra chosen plaintext attack e chosen ciphertext attack? In entrambi si parla di avere plain e ciphertext di messaggi specifici. Inoltre, nel libro non si parla di avere l’algoritmo. Si ha oppure no?

[GW Question 5] Il senso concettuale dei ring per dare più o meno privilege /acesso alle risorse alle applicazioni mi risulta chiaro, quello che non capisco è come combinare il concetto con un Sistema operativo in layers. Nel senso: se un applicazione deve passare per l’OS che gestirà per l’applicazione stessa le risorse, l’I/O, etc, che senso ha allora un ring? Mi sembrano 2 modelli paralleli ed alternativi l’uno all’altro

[GW Question 6] Vedete una reale differenza tra configuration management e hardening? Credo le due definizioni si sovrappongano parecchio. Forse l’hardening è un caso specifico di configuration management?

[GW Question 7] IPSec. in riferimento alla domanda 74 della simulazione d’esame, non capisco perché solo il transport mode offra e2e encryption. La condizione per averla è che I router nel mezzo non debbano decifrare e incapsulare nuovamente, e sembrerebbe che il payload dentro ESP possa restare incapsulato e cifrato in entrambi I modi? Cosa mi sfugge?

[GW Question 8] Nel dominio 1, faccio fatica a categorizzare I vari tipi di documenti/standard proposti per categorie.

Vedo:

- Security architecture frameworks: per visualizzare ad alto livello tutti I processi all’interno di un’azienda ed usare quella chiarezza per valutarne poi I rischi

- Risk management: applicazione dei principi di rischio in un contesto di costo opportunità, con output finale, l’applicazione o meno di controlli

- Process management: per esempio il CMMI, per ottimizzare il mio processo di sviluppo

- Standards usati dagli auditor

Hanno senso? Vedo tuttavia un overlapping, per esempio: attuando la job rotation (process) stai riducendo il rischio che licenziando un impiegato, il processo “sw development” rallenti molto (risk). Oppure: se uno standard è usato da un auditor, avrà un suo scopo che cade nelle altre categorie.

Un’immagine come questa dalle tue slide per esempio mi confonde parecchio, perché comprende vari elementi diversi:

[GW Question 9] System owner vs data custodian: leggendo la definizione di system owner, sembra che a lei spetti il processare dati di più applicazioni, che compongono un Sistema appunto. Quali sono le differenze principali con un data custodian, che anche deve processare i dati e implementare quanto prescritto dal data owner?