Skip to main content
IT

Condividere la “cultura” della Sicurezza del Software

Ilario GavioliIT expert e General Manager Intesys26 Gennaio 20236 min di lettura

Indice dei contenuti
  1. Sviluppo di Software Sicuro e GDPR Compliant
  2. Cosa si intende per Sicurezza del Software (e cosa tenere in considerazione)
  3. Risorse Creative Commons per il Secure Software: il nostro contributo

L’impegno di Intesys nel rispettare gli standard di Sviluppo del Software Sicuro e l’approccio che adotta sono racchiusi nel documento Sviluppo di Software Sicuro e GDPR Compliant, che riassume le pratiche e le metodologie adottate dai suoi team. Un documento che garantisce il livello di servizio offerto, ma che allo stesso tempo rappresenta, secondo noi, una risorsa preziosa che abbiamo scelto di mettere in condivisione nella forma di Creative Commons, in modo che possa contribuire alla cultura della sicurezza, nello spirito di condivisione e di sostenibilità che ci contraddistingue.

Sviluppo di Software Sicuro e GDPR Compliant

In un periodo altamente esposto ai cyberischi, la sicurezza informatica e la protezione del dato sono tematiche quantomai attuali e delicate. Secondo il Rapporto Clusit 2022, nell’ultimo semestre dell’anno trascorso gli attacchi informatici sono cresciuti del 8.4% rispetto al primo semestre 2021. Per questo abbiamo deciso di definire un processo che codifica la metodologia di sviluppo di software sicuri adottato nei progetti (Secure Software Lifecycle).

Nel documento Sviluppo di Software Sicuro e GDPR Compliant abbiamo raccolto l’insieme di pratiche e di metodologie che i nostri team adottano nei progetti, che applicano le regole di sviluppo sicuro che rispettano:

Lo standard ISO 27001

Il regolamento 2016/679 del Parlamento europeo (GDPR)

Lo standard OWASP (Open Web Application Security Project)

Questo approccio definisce i requisiti, le misure e i controlli di sicurezza che consideriamo e applichiamo nei processi sviluppo e manutenzione delle applicazioni software, assicurando così ai nostri clienti i più alti standard di sicurezza per i prodotti che verranno rilasciati e fornendo al contempo ai developer stessi di sviluppare in sicurezza.

Cosa si intende per Sicurezza del Software (e cosa tenere in considerazione)

Un software “è sicuro” in relazione alle minacce che sono identificate per le funzioni previste, al livello di rischio calcolato per le singole minacce e alle misure di sicurezza poste in essere per mitigare i livelli di rischio associati alle minacce.

Durante le fasi di analisi della sicurezza applicativa di una architettura di sistema (da definire o in fase di rivisitazione) è necessaria l’attuazione di pratiche di progettazione sicura attraverso l’individuazione di requisiti di sicurezza e contromisure, attraverso un approccio di Defense in Depth dell’applicazione.

Security & Privacy by Design

La nostra metodologica Design to Deliver punta a coniugare tutte le esigenze tecnologiche e di business, dall’analisi arriva all’implementazione coprendo “full stack” l’intera filiera di sviluppo software.

Nel nostro approccio sono considerati fin dalla progettazione (appunto “by design”) sia gli aspetti di Security, cioè i presupposti di Riservatezza, Integrità e Disponibilità del dato, sia i più mirati aspetti di Privacy, che pongono l’accento alla protezione dei dati personali come previsto dal GDPR (quali diritto all’oblio, trasportabilità, etc.).

Minacce

L’individuazione e la modellazione delle minacce relative alla sicurezza informatica vengono effettuate seguendo il modello STRIDE.

Per un approfondimento sulle pratiche e sulla nostra metodologia di sviluppo incentrata sulla sicurezza del software:

COME SVILUPPARE UN SOFTWARE SICURO

Analisi e calcolo del livello di rischio

Il livello di rischio viene calcolato sulla base della composizione di Probabilità del concretizzarsi del rischio e Impatto – su sicurezza e su GDPR – a cui vengono assegnati un valore che si combinano secondo la seguente tabella.

Piano dei test

Abbiamo definito un processo di Software Quality Assurance (SQA) con l’obiettivo di assicurare che il processo di sviluppo software sia monitorato e sia compliant con lo standard ISO27001 e il GDPR: prima del rilascio, il software viene testato e analizzato, a partire dal codice statico fino ai test funzionali.

Continuous security

Una volta ultimato e rilasciato il software, la tematica della sicurezza non è conclusa. Una metodologia per lo sviluppo di codice “sicuro” deve includere monitoraggio, controlli e azioni durante la vita in produzione del software. In ottica di un processo di Continuous Security e in accordo con il documento dell’AGID “Linee guida per l’adozione di un ciclo di sviluppo di software sicuro” il nostro processo prevede analisi e valutazioni dei rischi e delle vulnerabilità.

Risorse Creative Commons per il Secure Software: il nostro contributo

Intesys è un’azienda fortemente orientata alla sostenibilità e alla condivisione delle informazioni e da sempre sposa il concetto di sviluppo sostenibile come motore di business, sostenuto dalle Nazioni Unite.

L’organizzazione che presiede alle licenze Creative Commons prende ispirazione da questo approccio “open source”, contribuendo a salvaguardare i diritti universali e fondamentali di accesso alla conoscenza, alla scienza, alla tecnologia, alla cultura e all’istruzione. Per questo motivo abbiamo scelto di divulgare con licenza Creative Commons – fin dal primo momento in cui è stato formalizzato – il nostro documento metodologico sullo sviluppo del software sicuro: un atto significativo per liberare la conoscenza, condividendo best practice e risorse con chi potrà farne buon uso.

Licenze Creative Commons

Creative Commons è un’organizzazione internazionale senza scopo di lucro che stabilisce le regole di utilizzo “copyleft” di licenze permissive, strumenti che i titolari dei diritti d’autore e dei diritti connessi possono utilizzare per consentire ad altri di condividere, riutilizzare e remixare legalmente le proprie opere; il rilascio di materiale con una delle sei licenze CC chiarisce agli utenti cosa possono o non possono fare.

Le sei diverse licenze sono il frutto della combinazione di quattro clausole:

Clicca sull’immagine per ingrandire.

Il nostro contributo allo sviluppo di una cultura del software sicuro e alla condivisione delle best practice è il documento Sviluppo di Software Sicuro e GDPR Compliant, che potete scaricare ed è liberamente condivisibile con Obbligo di Attribuzione, senza modifiche e senza fini commerciali.

SCARICA IL DOCUMENTO
3.7/5.0 Article rating
3 Reviews
Cosa ne pensi dell'articolo?
  1. Amazing
  2. Good
  3. Bad
  4. Meh
  5. Pff

Tags:

Ilario Gavioli

Ilario Gavioli

IT expert e General Manager Intesys

Dal 1995, Ilario predispone la strategia e identifica le tecnologie su cui focalizzare le attività in funzione dei piani di business delle aziende.

Articoli correlati

IT

Packaged Business Capabilities, la svolta per integrare un sistema di gestione documentale

Nicola Dal Pozzo
Nicola Dal Pozzo18 Aprile 2024
gestione email provider e generazione documenti pdf IT

Gestire le email e la generazione di documenti con funzionalità componibili

Enrico Costanzi
Enrico Costanzi11 Aprile 2024
IT

Legacy e mainframe modernization: gestire alti volumi di chiamate con una soluzione event-driven

Paolo Quaglia
Paolo Quaglia7 Marzo 2024
NEWSLETTER