Con l\u2019aumento degli attacchi cyber negli ultimi anni e lo sviluppo della criminalit\u00e0 informatica<\/strong>, in cui i casi di richiesta di riscatti si fanno sempre pi\u00f9 frequenti, la cybersecurity<\/strong> sta diventando un tema sempre pi\u00f9 urgente. Tra i diversi riferimenti disponibili in letteratura per costruire una metodologia per lo sviluppo di codice sicuro<\/a><\/strong>, troviamo:<\/p>\n Il GDPR non formalizza precise specifiche per lo sviluppo di software conformi al Regolamento, ma pone come capisaldi i principi di protezione dei dati fin dalla progettazione (Privacy by Design<\/strong>) e di protezione per impostazione predefinita (Privacy by Default<\/strong>). In generale possiamo quindi ritenere che le applicazioni software che trattano dati personali<\/strong> debbano essere progettate sulla base di principi e indicazioni ispirati alle pubblicazioni in materia di privacy<\/strong>.<\/p>\n Durante le fasi di analisi della sicurezza applicativa di un\u2019architettura di sistema (da definire o in fase di rivisitazione) \u00e8 necessario mettere in atto pratiche di progettazione sicura attraverso l\u2019individuazione di requisiti di sicurezza e contromisure, con un approccio di Defense in Depth<\/strong> dell\u2019applicazione.<\/p>\n Esiste davvero un sistema informatico sicuro<\/a>? In base a cosa arriviamo a definirlo tale?<\/em><\/p>\n Un software \u00e8 da considerare \u201csicuro\u201d in relazione a:<\/p>\n Il processo di individuazione e modellazione delle minacce relative alla sicurezza informatica viene definito Threat modeling<\/strong> ed \u00e8 fondamentale sia come misura proattiva in fase di design e sviluppo, sia come misura reattiva nel deploy del software.<\/p>\n Gli approcci di Threat modeling che possono essere adottati sono diversi, focalizzandosi sugli asset da difendere, sugli attacker o su uno specifico software. Una delle metodologie pi\u00f9 applicate \u00e8 il modello STRIDE<\/a>:<\/p>\n Il livello di rischio viene calcolato sulla base della composizione di Impatto<\/strong> e Probabilit\u00e0<\/strong>. Questo modello pu\u00f2 essere adottato per valutare le minacce all\u2019interno dei progetti di trasformazione digitale<\/a>: per esempio, nei nostri progetti seguiamo un approccio mutuato da OWASP<\/strong> per assegnare un valore (alto-medio-basso) alla probabilit\u00e0 che una minaccia venga sfruttata (exploited<\/em>) e un valore (alto-medio-basso) al relativo impatto.<\/p>\n Per garantire la sicurezza delle informazioni e la protezione dei dati personali, abbiamo raccolto un vasto insieme di misure di sicurezza<\/strong> suddivise nelle sei categorie di minacce modellate da STRIDE, identificando a priori quelle proporzionate a un livello di rischio basso e quelle proporzionate ai livelli di rischio medio e alto.<\/p>\n Per ogni nuovo progetto software e per ogni major release di software esistenti, effettuiamo una accurata analisi dei rischi attraverso una precisa metodologia, che prevede:<\/p>\n Il nostro approccio e le linee guida che adottiamo per lo sviluppo di software sicuro<\/a>\u00a0sono strutturati in modo da tenere conto della compliance con il GDPR<\/strong>, sia a livello di sicurezza dei dati personali che dei diritti degli interessati, e includono anche un processo di Software Quality Assurance (SQA)<\/strong> con l\u2019obiettivo di assicurare che il processo di sviluppo software sia monitorato e conforme con lo standard ISO 27001 e il GDPR. La metodologia che abbiamo standardizzato, figlia della nostra “cultura” della sicurezza del software<\/a><\/strong>, consente di:<\/p>\n
\nUn segnale importante \u00e8 arrivato a giugno 2021 con l\u2019istituzione dell\u2019Agenzia per la Cybersicurezza Nazionale<\/a>: la sicurezza cyber deve diventare una priorit\u00e0 per le aziende di tutte le dimensioni, a cominciare da quella dei software che utilizza.<\/p>\n\n
Leggi le nostre Linee Guida di Sviluppo Software Sicuro:<\/h4>\n[\/vc_column_text][vc_raw_html css=””]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[\/vc_raw_html][divider line_type=”No Line” custom_height=”10″][vc_column_text css=”” text_direction=”default”]\n
Definire la sicurezza di un software a partire dalle minacce<\/h2>\n
\n
\n
Consulta il nostro documento di Assessment per Sviluppo Software Sicuro:<\/h4>\n[\/vc_column_text][vc_raw_html css=””]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[\/vc_raw_html][divider line_type=”No Line” custom_height=”10″][vc_column_text css=”” text_direction=”default”]\n
Il metodo Intesys per lo sviluppo di un software sicuro<\/h2>\n
\n
\nPer testare automaticamente la qualit\u00e0 e il rispetto dei requisiti di sicurezza lungo tutto il processo di sviluppo, abbiamo standardizzato un sistema preciso e strutturato di software testing<\/a> e di analisi del codice<\/a> statico (ACS), affiancando alle scansioni effettuate in logica di continuous integration da ogni sviluppatore una scansione SonarQube<\/strong> per ogni merge in develop\/master da una pull request.<\/p>\n