In questo post, gli istruttori di DevelopIntelligence Frank Rietta e Vikas Rewani discutono delle priorita della sicurezza informatica. Cio implica pratiche di sviluppo software sicure, nonche pianificazione e formazione interfunzionali sulla sicurezza.
“Spedisci il software ora.” Questo e il mandato di molte C-suite.
Sfortunatamente, la ricerca di essere i primi sul mercato con nuovi prodotti e funzionalita a volte porta le organizzazioni a tagliare gli angoli nel processo di sviluppo del software. Di conseguenza, le aziende rilasciano troppo spesso funzionalita senza test di sicurezza approfonditi. Nonostante l’aumento delle minacce informatiche, molti proprietari di progetti considerano la sicurezza un requisito a bassa priorita. Non stanziano budget e risorse sufficienti per soddisfare le esigenze di sicurezza.
In genere, le startup devono produrre entrate rapidamente per attrarre e trattenere gli investitori. Tuttavia, questa mentalita incentrata sulla velocita puo persistere man mano che un’azienda cresce. Ad esempio, stai incentivando il tuo team a portare rapidamente i prodotti nelle mani dei clienti?
Budget e orari limitati possono indurre le aziende a dare la priorita a campanelli e fischietti “visibili” rispetto a funzionalita di sicurezza “invisibili”. Puoi vedere questa distorsione nel controllo di qualita e nella pratica dei test automatizzati. Spesso, un piano di test si concentra su cio che l’utente dovrebbe essere in grado di fare, al contrario di cio che potrebbe fare nello scenario peggiore. Cosa succede se qualcuno abusa del software inserendo dati non validi o intenzionalmente dannosi?
E tempo di abbattere i silos.
La struttura e il silo di una grande organizzazione aziendale possono vanificare gli sforzi per la sicurezza. Ad esempio, la sicurezza vive spesso sotto l’ombrello dell’IT, mentre lo sviluppo del software fa parte della ricerca e sviluppo.
Inoltre, le organizzazioni possono utilizzare una combinazione di risorse tecniche – interne, esternalizzate, onshore e offshore – tutte riferite a persone diverse, che hanno obiettivi aziendali diversi.
Per una sicurezza ottimale, i team di sicurezza e sviluppo di un’organizzazione devono collaborare a stretto contatto. “La sicurezza non puo raggiungere il suo obiettivo senza coinvolgere coloro che possono effettivamente modificare il codice”, spiega Frank Rietta, che insegna Threat Modeling, Secure Coding e Security Project Management con DevelopIntelligence. “Se la ricerca e lo sviluppo vede il gruppo di sicurezza come “estraneo” o “paranoico” e va in produzione ignorando di fatto la sicurezza, l’azienda non riuscira a ridurre il rischio organizzativo”.
Inoltre, una strategia di sicurezza completa richiede la collaborazione tra tutti i reparti di un’organizzazione. Le risorse umane, il servizio clienti e altre aree possono essere punti di ingresso per gli attacchi informatici.
La protezione di sistemi e prodotti richiede un approccio interdisciplinare.
“Ogni dominio, organizzazione, dipartimento e team ha esigenze di sicurezza specifiche”, osserva Vikas Rewani, che conduce i corsi DevelopIntelligence in Threat Modeling, OWASP Top 10 Vulnerabilities e Security Architecture. “Sebbene vi siano alcuni punti in comune tra i gruppi, e importante considerare i seguenti argomenti durante la progettazione della strategia di sicurezza”. I dettagli per ogni argomento spesso variano in base all’organizzazione e persino al dipartimento:
- Requisiti normativi
- Requisiti di conformita
- Requisiti di rete/infrastruttura
- Requisiti di sicurezza fisica
- Sicurezza delle informazioni/dati
- Requisiti di eliminazione e backup dei dati
- Requisiti di sicurezza web
I team di sviluppo software devono pianificare la sicurezza durante la fase dei requisiti del ciclo di vita dello sviluppo software (SDLC). Cosi come e importante avere il controllo qualita al tavolo quando si definiscono i requisiti software, si desidera che un esperto di sicurezza sia coinvolto al piano terra di ogni progetto software. Per ogni requisito (o storia dell’utente), il team dovrebbe chiedersi: “Qual e la cosa peggiore che potrebbe accadere?” Quindi, devono assicurarsi che i criteri di accettazione rispondano allo scenario peggiore.
“Ricorda, un team di sicurezza non puo avere successo se manca la cooperazione degli altri team. Nelle grandi organizzazioni, i silos e gli interessi in competizione tra coloro che hanno autorita di bilancio possono portare a politiche aziendali improduttive e lasciare le organizzazioni a rischio”. — Frank Rietta
Tutti gli sviluppatori di software devono diventare esperti di sicurezza.
Dare priorita alla sicurezza informatica e un requisito fondamentale non funzionale in tutti gli sforzi di sviluppo. E molto piu facile integrare la sicurezza all’inizio di un progetto che correggere una vulnerabilita dopo che un prodotto e gia nelle mani dei clienti o, peggio, dopo che si e verificata una violazione.
“Gli sviluppatori devono essere in grado di anticipare potenziali vulnerabilita e minacce alla sicurezza”, spiega Vikas Rewani. “Quindi, devono creare il software tenendo presenti queste considerazioni sulla sicurezza”.
Tutti i dipendenti hanno un ruolo nella sicurezza, non solo i professionisti della tecnologia.
Inoltre, l’intera organizzazione ha bisogno di una conoscenza di base del panorama della sicurezza generale. “Dare priorita alla sicurezza e responsabilita di ogni dipendente”, afferma Vikas Rewani. Pertanto, e necessario eseguire un controllo del polso in ogni reparto per valutare la consapevolezza e l’attenzione dei membri del team sui problemi di sicurezza. “I membri del team sanno quali problemi cercare e perche sono importanti?” lui chiede. “Guardano abbastanza spesso e nei posti giusti? E, cosa piu importante, se un membro del team rileva un problema, la persona conosce i passaggi per rispondere?”
Un piano di formazione completo sulla sicurezza comprende tutti gli argomenti di cui sopra, personalizzato per dipartimento. La formazione deve anche evidenziare le migliori pratiche di sicurezza relative al settore e al dominio. Tutti i dipendenti devono comprendere l’importanza della sicurezza e le conseguenze di ignorarla.
Incorpora la modellazione delle minacce nelle tue pratiche di sicurezza.
La modellazione delle minacce fornisce una buona comprensione al team di sicurezza di come possono verificarsi gli attacchi. In breve, il processo di modellazione delle minacce include l’identificazione di potenziali superfici di attacco, confini di fiducia, risorse, punti di accesso e minacce. Quindi, il team di sicurezza deve dare la priorita a queste minacce e proteggere i punti di ingresso della superficie di attacco.
Le organizzazioni piu grandi hanno una superficie di attacco piu ampia, il che significa piu potenziali minacce. Le metodologie e i framework di modellazione delle minacce mancano di automazione e richiedono sforzi manuali oltre a una vigilanza costante.
Dare priorita alla sicurezza informatica richiede il supporto della C-suite.
Una volta, molte organizzazioni si sono concentrate su firewall e altri prodotti di sicurezza per proteggere le proprie risorse di dati. La maggior parte degli attacchi informatici, tuttavia, avviene a causa di errori umani e processi aziendali interrotti invece di strumenti inadeguati. Quindi, dotare la tua azienda di piu strumenti di sicurezza non fornira la protezione di cui hai bisogno. Gli umani ben addestrati sono il fulcro della tua difesa. La priorita della sicurezza informatica riguarda in definitiva persone, processi e tecnologia (in quest’ordine).
