sabato 16 ottobre 2010

Sicurezza delle applicazioni

Quasi sempre è difficile trovare correttamente documentati i requisiti di sicurezza delle applicazioni. Lungi il voler imporre il modello waterfall, ma troppe volte in fase di analisi non si sa "quali requisiti considerare". E' quindi improbabile che siano documentati in maniera coerente.

Alcuni standard (come la ISO/IEC 15408 "Common Criteria") presentano metodologie e specifiche molto dettagliate. La ISO/IEC 15408 è una norma divisa in 3 parti per un totale di circa 650 pagine. Sicuramente, in molte situazioni è troppo onerosa.

La metodologia OWASP (www.owasp.org) è invece orientata alle applicazioni e ai servizi web. E' comunque consigliabile la sua lettura anche a chi si occupa di altre tipologie di applicazioni.

Io mi sono permesso di elaborare un ulteriore elenco di requisiti da consierare, basati sui punti dell'allegato A della ISO/IEC 27001:
  • i requisiti legali applicabili
  • considerazioni sulla capacity (quanti utenti utilizzeranno l'applicazioni? quanto spazio disco sarà utilizzato? ...)
  • considerazioni sulla disponibilità
  • quali meccanismi crittografici per la connessione degli utenti e degli amministratori e come configurarli
  • quali meccanismi di sicurezza per la connessione dell'applicazione con altre applicazioni
  • quali meccanismi di identificazione e autenticazione per utenti e amministratori (userid e password? con quali regole di complessità, scadenza, modalità di modifica da parte degli utenti, ripristino, eccetera?)
  • quali meccanismi di autorizzazione per gli accessi ai dati (controllo accessi, gestione dei ruoli e profili utente)
  • quali meccanismi di log (login, logout, azioni degli utenti)
  • come validare gli input e gli output e avere la garanzia che i dati siano elaborati correttamente (anche in considerazione delle potenziali vulnerabilità)
  • come gestire il patching
  • gli impatti sui sistemi di backup e sul Business Continuity Management (impatti sui sistemi del sito di Disaster Recovery e sulle procedure di gestione degli incidenti)
  • gli impatti sul service desk (è necessario aggiornare gli operatori?)
  • gli impatti sulla configurazione dei firewall
  • gli impatti sui sistemi di monitoraggio e discovery (per esempio, se è necessario riconfigurarli)
  • il ruolo dei fornitori

Ovviamente l'elenco è migliorabile, ma da qualche parte bisogna iniziare (se avete idee...).
Pubblicato da alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)