• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Red Hat AI Validated Models inaugura una nuova era di ottimizzazione dell’AI
    • Nasce Var Group Iberia: nuova sede in Andorra e 30 milioni di fatturato nella penisola
    • Lo streaming dei dati abilita l’innovazione dei prodotti AI
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Posizione Primo Piano»Cultura alla sicurezza: come si costruisce?

    Cultura alla sicurezza: come si costruisce?

    By Redazione LineaEDP02/08/20185 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il post di Mark Schwartz, Enterprise Strategist in Amazon Web Services

    A cura di Mark Schwartz, Enterprise Strategist in Amazon Web Services

    Lasciare la sicurezza in mano a un team di specialisti che monitora i rischi per l’azienda e li controlla attraverso policy restrittive non è più sufficiente. Non basta controllare i confini del network aziendale tramite firewall, o semplicemente implementare set di controllo specifici in un framework di conformità. La sicurezza non è più un ingrediente segreto aggiunto al piatto poco prima di servirlo. Al contrario, è diventata un problema di tutti, un atto di preparazione degli ingredienti prima di aggiungerli al piatto. La sua gestione è diventata una questione strategica per l’azienda. E la strada per andare avanti è quella di costruire una cultura della sicurezza, una consapevolezza dei rischi e del loro controllo, un insieme di norme e pratiche in linea con l’obiettivo di mantenere l’azienda sicura. È importante quindi creare una vera e propria cultura, invece di rispondere in modo reattivo a minacce specifiche man mano che le si incontra.

    I sistemi IT sono posti costantemente sotto attacco da strumenti malevoli che cercano un modo facile di entrare. Per non parlare delle minacce persistenti di talentuosi hacker di professione, disposti a investire tempo e denaro per fare breccia negli obiettivi che hanno selezionato. Eppure, le minacce non arrivano solo da qui: i sistemi IT possono anche essere ostacolati da dati sbagliati, picchi di utilizzo improvvisi, casi limite non testati che spesso coinvolgono operazioni concorrenti, failure a cascata e problemi di velocità che si moltiplicano. Inoltre, per garantire performance sicure i sistemi devono essere scalabili, resilienti, disponibili, testati, performanti e devono poter tollerare input inaspettati.

    La sicurezza è un tipo di qualità. Ed è meno dispendioso implementarla fin da subito piuttosto che pagare le conseguenze di doverla aggiungere dopo.

    Così come la qualità non è sinonimo di velocità, non lo è neanche la sicurezza. Allo stesso modo, la maggior parte degli exploit potrebbe essere fermata da semplici norme di sicurezza: esiste infatti una serie molto piccola di punti deboli che portano alla stragrande maggioranza delle intrusioni. Molti software ne incorporano altri di terze parti, soprattutto open source, ma usano versioni vecchie di cui si conoscono le vulnerabilità. In questo caso non ci sono scuse: sono infatti disponibili tool per identificare tali problematiche ed esistono suite di regressione automatica per gli aggiornamenti.

    Se si chiede a qualsiasi CISO qual è la sua più grande paura, probabilmente le risposte saranno due: credenziali compromesse e impossibilità di fare gli aggiornamenti abbastanza spesso. Se a queste si aggiungono le principali vulnerabilità delle applicazioni, si ottiene la maggior parte delle intrusioni. Tuttavia, oggi esistono buone abitudini che forniscono modi non dispendiosi di evitare tali problemi senza rallentare l’intero processo o appesantire gli utenti: la sicurezza non è solo “roba da nerd”. 

    Il miglior modello di approccio alla sicurezza orientato alla cultura è quello del movimento Rugged (Solido) Software, o Rugged DevOps, che consiglia di costruire un software sicuro e resiliente semplicemente perché è la cosa giusta da fare.

    I loro principi si riferiscono allo sviluppo di codici e software, ma si possono applicare all’intera azienda. Un’organizzazione che guardi alle minacce alla sicurezza e alla resilienza come a un costo extra, a un peso, a qualcosa di superfluo, di cui solo gli specialisti si devono preoccupare, o che non ci pensi affatto non potrà mai essere solida. Una simile azienda compie un’ingiustizia nei confronti dei suoi clienti (i cui dati sono a rischio), di sé stessa (che dovrà affrontare costi in più e danni alla propria reputazione) e degli investitori (i cui investimenti perderanno valore). E se si parla di agenzie governative, i danni potrebbero coinvolgere la nazione e i suoi cittadini.

    In cosa dovrebbe consistere la cultura della sicurezza?

    Ecco i principi di un’organizzazione solida, secondo The Rugged Handbook [1]:

    • Obiettivo. L’azienda comprende di essere costantemente sotto attacco (siano essi attacchi voluti o accidentali) e lo prende in considerazione in ogni cosa che fa.
    • Educazione alla sicurezza. L’azienda dà valore alla sicurezza (dal punto di vista tecnico o non, a seconda dei ruoli) e si tiene aggiornata sull’evoluzione delle minacce, ascolta i consigli degli specialisti e cerca di comprendere le regole e le policy di sicurezza.
    • Norme comportamentali. Mettere in pratica e promuovere buone norme comportamentali fa parte del voler fare le cose nel modo giusto. Non si condividono le password, gli account degli utenti, né si lasciano informazioni sensibili sulla scrivania quando si torna a casa la sera.
    • Miglioramento continuo. Nel caso accada che vengano lasciate informazioni sensibili sulla scrivania la sera, è bene ascoltare chi lo fa notare per non farlo più.
    • Approccio zero-difetti. Quando si parla di sicurezza, non si accettano vulnerabilità: se si scopre un problema, lo si risolve immediatamente senza sottovalutarne nessuno.
    • Strumenti riutilizzabili. Tenere un approccio strategico alla sicurezza significa organizzare i sistemi IT e impostare strumenti e processi condivisibili e ripetibili.
    • Team Unificati. Tutte le divisioni dell’azienda collaborano per rendere la sicurezza forte e i sistemi resilienti.
    • Test. I sistemi vengono testati rigorosamente (principalmente con test automatici) non solo mentre vengono sviluppati, ma anche quando sono in produzione. È necessario testare scenari di failure e la capacità di farvi fronte. 
    • Modellare le minacce. È necessario pensare come un hacker, prevedere possibili strade che potrebbero intraprendere per sconfiggere i controlli e condurre test per essere sicuri che poi non ci riescano.
    • Revisioni paritarie. Ogni specialista dovrebbe pensare non solo a possibili difetti nel suo lavoro, ma anche a possibili vulnerabilità alla sicurezza. Il codice dovrebbe essere sempre rivisto da un collega, il quale dovrebbe anche lui cercare possibili vulnerabilità.

     

    [1] The Rugged Handbook, https://www.ruggedsoftware.org/wp-content/uploads/2013/11/Rugged-Handbook-v7.pdf.

    Amazon Web Services sicurezza The Rugged Handbook
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Nasce Var Group Iberia: nuova sede in Andorra e 30 milioni di fatturato nella penisola

    23/05/2025

    Dell Technologies per progettare data center più moderni

    22/05/2025

    Portworx e Red Hat per promuovere risparmi e semplicità operativa

    22/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Lo streaming dei dati abilita l’innovazione dei prodotti AI

    22/05/2025

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.