hit counter
Le "17 perle" della Security Governance - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Le "17 perle" della Security Governance

Le "17 perle" della Security Governance

  • Comments 6
  • Likes

Chi di voi non ha seguito il mio consiglio e caparbiamente ha voluto seguire la mia sessione "Security Governance" agli scorsi due eventi del Microsoft Security Day, si è sorbito la sintesi di tante mie esperienze sul campo da consulente di sicurezza impegnato nel fare security assessment sui grandi clienti italiani. Per poter condividere tali considerazioni in sola mezz'ora di sessione ho dovuto trovare il modo di condensarle e renderle immediate e illuminanti, capaci almeno di far riflettere chi opera nell'ambito del Security Management su quali siano le situazioni che meritano di essere indirizzate nella gestione della sicurezza in azienda. In entrambi i casi i riscontri che ho ricevuto sono stati ottimi ! Speravo di dire cose utili ma non pensavo che fossero percepite come così incredibilmente utili! Dal momento che le slide dell'evento Technet saranno pubblicate in modo non immediato, e tenendo conto che ho avuto modo di riproporre lo stesso argomento all'evento Security Excellence Day organizzato da NSEC, dove ho potuto migliorare le slide con giusto qualche dettaglio in più, ho pensato utile mettere a disposizione di tutti questa recente presentazione powerpoint, a beneficio di coloro che me l'hanno chiesto e di chi non ha potuto seguire la sessione.

Aggiornamento del 10 luglio 2007: il video della sessione e le relative slide sono disponibili sul sito Technet IT's Showtime! 

Vi riporto le 17 considerazioni che ho denominato "perle", non avendo l'arroganza di poterle considerare "leggi", piuttosto nella speranza che possano essere considerate dei consigli preziosi:

 

Organizational Security

  1. La sicurezza si fa seriamente o è un optional in azienda?
     
    Security Management: gruppo esplicito di sicurezza e posizione nell'organigramma
  2. Serve pensare e scrivere le Security Policy ?
     
    Security Policy: loro necessità ed efficacia
  3. Sappiamo cosa difendere  ?
    Asset/Data Inventory and Classification
  4. Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
    Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete

Operational Security

  1. Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
    Security Risk Management: processo di analisi e gestione del rischio
  2. Siamo preparati ai disastri ?
    Disaster Recovery/Business Continuity: presenza di questi processi ausiliari
  3. A quanti e a chi stiamo dando le chiavi di casa ?
    Security Delegation & Duty Separation: gestione dei gruppi privilegiati
  4. La sicurezza è pensata nativamente nei progetti ?
    Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza
  5. Sappiamo cosa sta succedendo in tempo reale ?
    Security Monitoring:  ... e necessità del reporting direzionale
  6. Sappiamo far rispettare le regole ?
    Security Auditing: sua necessità ed efficacia
  7. Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
    Security Incident Response: sua necessità ed efficacia

Defense In-Depth Technology Security Controls

  1. Conosci e controlli adeguatamente il tuo perimetro ?
    Perimeter/Network Security: "dematerializzazione" del perimetro di rete
  2. Quanti scrupoli ti fai nel fare security patching urgente ?
    Host Security: approccio al security patch management
  3. Quanto è semplice controllare la configurazione di sicurezza ?
    Host Security: considerazioni sul security hardening
  4. Sei sicuro della sicurezza del TUO codice ?
    Application Security: necessità e urgenza dei processi di secure code development
  5. Lo sai che i dati e le informazioni sono il tuo tesoro ?
    Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection
  6. Stiamo coordinando la sicurezza logica con quella fisica ?
    Physical Security: sua necessità e coordinamento con la sicurezza logica

 

Mi piacerebbe che ne seguisse un confronto costruttivo, magari segnalando aspetti tralasciati da questi 17 punti ma che meritano di far parte di questa lista. Da parte mia conto di parlarne ancora diffusamente, riservando in futuro un post per ognuno di essi, almeno per ampliare un attimo gli spunti fugaci delle slide che trovate qui (cliccate sul titolo del post, trovate l'allegato in fondo, dopo i tag): enjoy your reading !

Attachment: Microsoft-Le 17 perle della Security Governance-Feliciano Intini.pdf
Comments
  • <p>Delle &quot;17 perle&quot; di cui vi ho appena detto, quella che ha suscitato maggiori domande di approfondimento nei 3 eventi in cui ho avuto modo di parlarne &#232; stata appunto la 15a: Sei sicuro della sicurezza del TUO codice ? Il concetto di fondo che ho espresso</p>

  • <p>Vista l'eccitazione del momento sul lancio di iPhone, ho cominciato a cercare informazioni sugli aspetti di sicurezza (...ovviamente!) nella speranza che un prodotto cos&#236; nuovo potesse portare delle innovazioni in questo campo, ma mi sono dovuto fermare</p>

  • <p>Post originale: Le &quot;17 perle&quot; della Security Governance dove trovate le slide aggiornate in allegato.</p>

  • <p>... il modo &#232;: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni</p>

  • <p>Non lo faccio (solo) per farmi bello ... ;-), ma in questi giorni ho letto qualche articolo che conferma</p>

  • <p>Alla fine di agosto &#232; nato un blog di Microsoft mooolto interessante per i veri appassionati di sicurezza</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment