.

HOME / CONSULENZA

Security by design: progettazione sicura di prodotto e processo

Oggi la sicurezza informatica passa anche dalla progettazione di software pensato fin dall’inizio per essere sicuro. Questa disciplina, nota come Security By design, prevede regole e procedure precise per la creazione di servizi, applicazioni e prodotti realizzati in un’ottica di sicurezza informatica. CryptoNel Labs, forte della sua esperienza nella progettazione di software sicuro, può guidare i propri clienti nell’adozione dei principi di Security by Design.

Security by design è un concetto base dell’ingegneria del software: definisce un software progettato espressamente per essere sicuro, anticipando e minimizzando a priori gli impatti delle vulnerabilità che potrà manifestare in produzione.

CryptoNet Labs guida i propri clienti nell’adattare il principio di “Security by Design” nei loro servizi, applicazioni e/o prodotti, affiancandoli nelle fasi di progettazione, realizzazione e implementazione.
Accanto a questo principio, favoriamo anche l’adozione del meno conosciuto principio della Security by Default, che applica accorgimenti analoghi al campo dell’archiviazione, il trattamento e la protezione dei dati

Questi principi, declinati poi sugli aspetti di Privacy by Design e by Default, aiutano inoltre nella realizzazione di servizi, applicazioni o prodotti che siano rispondenti alle esigenze normative, in particolare la conformità al GDPR.

Come funziona la progettazione in ottica Security By Design

Come abbiamo accennato, si tratta di un ramo della software security che prevede criteri di progettazione specifici per prevenire e prevedere potenziali debolezze e ridurre le possibilità di attacco informatico all’interno di un software, già in fase di progettazione.
Si tratta principalmente di un approccio sistematico che prevede l’inserimento di controlli, verifiche e audit di sicurezza durante le fasi di progettazione e realizzazione di software e servizi. Al contrario, un approccio tradizionale alla sicurezza, prevede di verificare falle e dobolezze in retrosppettiva, cioè al termine del processo.

Oggi più che mai, progettare prodotti e servizi in ottica di Security By Design è indispensabile per tutte le aziende che progettano software e servizi, per uso interno o per la distribuzione.
L’impatto di questo tipo di progettazione sui cicli produttivi infatti è molto inferiore rispetto alle potenziali conseguenze di un attacco informatico andato a segno a causa di una debolezza. Anche nel caso in cui questa venga identificata senza danni infatti, il tempo e le risorse richieste per un nuovo deployment possono superare ampiamente quelli richiesti da una progettazione sicura fin dalle fondamenta del progetto.

Come avviene il security design

A partire delle caratteristiche dell’oggetto o del sistema da sviluppare, gli esperti di CryptoNet Labs:

  • effettuano la valutazione dei rischi informatici e definiscono i requisiti di sicurezza;
  • studiano la superficie di attacco disponibile, modellano le minacce applicabili agli asset coinvolti (threat modeling) e cercano le possibili criticità (abuse case);
  • analizzano le vulnerabilità a livello architetturale ed implementativo;
  • individuano le conseguenze e gli impatti di possibili vulnerabilità in produzione;
  • indicano le contromisure, sia di natura organizzativo-procedurale sia di natura tecnologica, per minimizzare i rischi;
  • effettuano i security test necessari, sia in modalità black box che white box (per i servizi di Vulnerability Assessment, Penetration Test e Binary Code Review).

L’obiettivo finale è innalzare e validare il livello di sicurezza dell’applicazione, del servizio o dello specifico prodotto, prima che sia rilasciato e prima che le eventuali debolezze diventino critiche per il mercato o per gli utenti.

Chi ne può beneficiare

I servizi di consulenza per implementare la progettazione in ottica Security By Design sono utili a qualsiasi azienda che voglia proporre servizi, applicazioni e prodotti in condizioni ottimali di sicurezza, minimizzando il rischio di potenziali danni finanziari e di immagine. E ottimizzando i costi.