I 20 controlli per un'efficace difesa informatica

Sulla newsletter Sans NewsByte del 13 gennaio si trova la notizia che il Governo UK ha rilasciato un documento dal titolo "20 critical controls for effective cyber defence".
- http://www.cpni.gov.uk/advice/infosec/Critical-controls/

Questo sono a loro volta un riassunto dei "20 Critical Security Controls - Version 3.1" dello stesso SANS. Meglio leggere questi, con riportate molte linee guida in più (come la mancanza del controllo può essere sfruttata per un attacco, come realizzare il controllo, come misurarne l'efficacia, procedure e strumenti per realizzare il controllo, quali test condurre).
- https://www.sans.org/critical-security-controls/

Per gli appassionati di metriche, anche perché spinti dal requisito della ISO/IEC 27001, segnalo che la bozza ora in circolazione richiede, in modo più generico dell'attuale versione del 2005, di "misurare l'efficacia del Piano di Trattamento del rischio". Chissà cosa ci riserverà la versione finale?