Chi di voi non ha seguito il mio consiglio e caparbiamente ha voluto seguire la mia sessione "Security Governance" agli scorsi due eventi del Microsoft Security Day, si è sorbito la sintesi di tante mie esperienze sul campo da consulente di sicurezza impegnato nel fare security assessment sui grandi clienti italiani. Per poter condividere tali considerazioni in sola mezz'ora di sessione ho dovuto trovare il modo di condensarle e renderle immediate e illuminanti, capaci almeno di far riflettere chi opera nell'ambito del Security Management su quali siano le situazioni che meritano di essere indirizzate nella gestione della sicurezza in azienda. In entrambi i casi i riscontri che ho ricevuto sono stati ottimi ! Speravo di dire cose utili ma non pensavo che fossero percepite come così incredibilmente utili! Dal momento che le slide dell'evento Technet saranno pubblicate in modo non immediato, e tenendo conto che ho avuto modo di riproporre lo stesso argomento all'evento Security Excellence Day organizzato da NSEC, dove ho potuto migliorare le slide con giusto qualche dettaglio in più, ho pensato utile mettere a disposizione di tutti questa recente presentazione powerpoint, a beneficio di coloro che me l'hanno chiesto e di chi non ha potuto seguire la sessione.

Aggiornamento del 10 luglio 2007: il video della sessione e le relative slide sono disponibili sul sito Technet IT's Showtime! 

Vi riporto le 17 considerazioni che ho denominato "perle", non avendo l'arroganza di poterle considerare "leggi", piuttosto nella speranza che possano essere considerate dei consigli preziosi:

Organizational Security

1. La sicurezza si fa seriamente o è un optional in azienda?
    – Security Management: gruppo esplicito di sicurezza e posizione nell'organigramma
2. Serve pensare e scrivere le Security Policy ?
   –  Security Policy: loro necessità ed efficacia
3. Sappiamo cosa difendere  ?
   – Asset/Data Inventory and Classification
4. Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
   – Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete

Operational Security

5. Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
   – Security Risk Management: processo di analisi e gestione del rischio
6. Siamo preparati ai disastri ?
   – Disaster Recovery/Business Continuity: presenza di questi processi ausiliari
7. A quanti e a chi stiamo dando le chiavi di casa ?
   – Security Delegation & Duty Separation: gestione dei gruppi privilegiati
8. La sicurezza è pensata nativamente nei progetti ?
   – Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza
9. Sappiamo cosa sta succedendo in tempo reale ?
   – Security Monitoring:  ... e necessità del reporting direzionale
10. Sappiamo far rispettare le regole ?
    – Security Auditing: sua necessità ed efficacia
11. Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
    – Security Incident Response: sua necessità ed efficacia

Defense In-Depth Technology Security Controls

12. Conosci e controlli adeguatamente il tuo perimetro ?
    – Perimeter/Network Security: "dematerializzazione" del perimetro di rete
13. Quanti scrupoli ti fai nel fare security patching urgente ?
    – Host Security: approccio al security patch management
14. Quanto è semplice controllare la configurazione di sicurezza ?
    – Host Security: considerazioni sul security hardening
15. Sei sicuro della sicurezza del TUO codice ?
    – Application Security: necessità e urgenza dei processi di secure code development
16. Lo sai che i dati e le informazioni sono il tuo tesoro ?
    – Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection
17. Stiamo coordinando la sicurezza logica con quella fisica ?
    – Physical Security: sua necessità e coordinamento con la sicurezza logica

Mi piacerebbe che ne seguisse un confronto costruttivo, magari segnalando aspetti tralasciati da questi 17 punti ma che meritano di far parte di questa lista. Da parte mia conto di parlarne ancora diffusamente, riservando in futuro un post per ognuno di essi, almeno per ampliare un attimo gli spunti fugaci delle slide che trovate qui (cliccate sul titolo del post, trovate l'allegato in fondo, dopo i tag): enjoy your reading !