Risorse sulle 17 perle della Security Governance
Post originale: Le "17 perle" della Security Governance dove trovate le slide aggiornate in allegato.
Video della sessione al Microsoft Technet Security Day del 7 giugno 2007.
Ogni considerazione verrà aggiornata nel tempo con i link alle risorse utili per l'approfondimento:
Organizational Security
- La sicurezza si fa seriamente o è un optional in azienda?
– Security Management: gruppo esplicito di sicurezza e posizione nell'organigramma
- Serve pensare e scrivere le Security Policy ?
– Security Policy: loro necessità ed efficacia
- Sappiamo cosa difendere ?
– Asset/Data Inventory and Classification
- Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
– Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete
Operational Security
- Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
– Security Risk Management: processo di analisi e gestione del rischio
- Siamo preparati ai disastri ?
– Disaster Recovery/Business Continuity: presenza di questi processi ausiliari
- A quanti e a chi stiamo dando le chiavi di casa ?
– Security Delegation & Duty Separation: gestione dei gruppi privilegiati
- La sicurezza è pensata nativamente nei progetti ?
– Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza
- Sappiamo cosa sta succedendo in tempo reale ?
– Security Monitoring: ... e necessità del reporting direzionale
- Sappiamo far rispettare le regole ?
– Security Auditing: sua necessità ed efficacia
- Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
– Security Incident Response: sua necessità ed efficacia
Defense In-Depth Technology Security Controls
- Conosci e controlli adeguatamente il tuo perimetro ?
– Perimeter/Network Security: "dematerializzazione" del perimetro di rete
- Quanti scrupoli ti fai nel fare security patching urgente ?
– Host Security: approccio al security patch management
- Quanto è semplice controllare la configurazione di sicurezza ?
– Host Security: considerazioni sul security hardening
- Sei sicuro della sicurezza del TUO codice ?
– Application Security: necessità e urgenza dei processi di secure code development
- Lo sai che i dati e le informazioni sono il tuo tesoro ?
– Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection
- Stiamo coordinando la sicurezza logica con quella fisica ?
– Physical Security: sua necessità e coordinamento con la sicurezza logica