Application Security Governance



Похожие документы
Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

Associazione Italiana Information Systems Auditors

MANDATO DI AUDIT DI GRUPPO

XXVII Convegno Nazionale AIEA

Audit & Sicurezza Informatica. Linee di servizio

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

1- Corso di IT Strategy

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Configuration Management

L impatto della 263 sull IT

Approfondimento. Controllo Interno

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

Politica per la Sicurezza

Ciclo di vita dimensionale

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del progetto

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Banche e Sicurezza 2015

VALUTAZIONE DEL LIVELLO DI SICUREZZA

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Esternalizzazione della Funzione Compliance

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

La certificazione CISM

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Esperienze di analisi del rischio in proggeti di Information Security

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Ciclo di vita del software

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

L outsourcing nei processi di Marketing & Sales

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

Sistema Gestione dei Rischi

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Modello dei controlli di secondo e terzo livello

Corso di Amministrazione di Sistema Parte I ITIL 1

Catalogo Corsi. Aggiornato il 16/09/2013

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Intervento: Autore: LA GESTIONE DELLE COMPETENZE DEGLI AUDITOR SECONDO LA NUOVA NORMA ISO/IEC 17021: Ing. Valerio Paoletti

ITIL. Introduzione. Mariosa Pietro

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Sicurezza, Rischio e Business Continuity Quali sinergie?

IL PERFORMANCE MANAGEMENT

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management

MANDATO INTERNAL AUDIT

Direzione Centrale Sistemi Informativi

EA 03 Prospetto economico degli oneri complessivi 1

Lorenzo Di Giorgio, PMP PMI-RMP Prince2

LA REVISIONE DELLA ISO 14001:2015

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

La Gestionale Ambientale in Enel

Gruppo di ricerca AIEA Roma Il valore del Penetration Test dal punto di vista dell auditor. Roma, 28 Settembre 2005

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

IS Governance. Francesco Clabot Consulenza di processo.

Valorizzazione della professionalità di SW Quality Assurance

Il Risk Management Integrato in eni

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software

Policy sulla Gestione delle Informazioni

The approach to the application security in the cloud space

Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia. ABB Group September 29, 2010 Slide 1

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Una modalità operativa per la Quality Assurance

Controllo Interno. Aree Territoriali. RUO Sviluppo Organizzativo e Pianificazione

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Piano di gestione della qualità

Solvency II: Gli orientamenti dell Autorità di Vigilanza

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Catalogo corsi di formazione

Corso di Qualificazione per. Auditor Interni. dei. Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 24 ORE

Progetto di Information Security

2 Giornata sul G Cloud Introduzione

OPERAZIONI M&A NEL SETTORE DEL REAL ESTATE: QUALI SOLUZIONI?

Valutazione dei rischi

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Транскрипт:

Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1

AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza applicativa HP Application Security Tracking and Audit Tool Benefici 2

PROBLEMATICHE DI SICUREZZA APPLICATIVA Mancanza di requisiti di sicurezza durante la fase di progettazione, sviluppo e di revisione delle applicazioni. In genere non vengono opportunamante considerati i requisiti di sicurezza. Questo ha impatto sia in termini di costi di gestione complessiva sia in termini di definizione delle priorita di sviluppo. La percezione comune e quella di affrontare le problematiche di sicurezza applicativa utilizzando prodotti e procedure specifiche per la sicurezza. Cio rafforza la concezione che i requisiti di sicurezza sono out-of-scope rispetto al problema della progettazione e implementazione. Difetti di implementazione e di progettazione, conosciuti e sconosciuti, incrementano in modo significativo il rischio di utlizzo improprio delle applicazioni. I relativi security bulletins sono solo l evidenza di un problema molto piu grave. Per esperienza interna HP le vulnerabilita riscontrate con metodi tradizionali sono circa il 5% delle vulnerabilita totali. Le legislazioni e normative vigenti (Basilea II, PCI, Privacy, ) richiedono l aumento del livello di attenzione sulle problematiche della sicurezza. Attualmente il tentativo di rispondere adeguatamente a tali requisiti ha impatto su tutto il ciclo di vita della applicazioni sia in termini di definizione dei requisiti di sicurezza, di sviluppo e di test. 3 2009 HP Security & Risk Management Practice

APPLICATION SECURITY GOVERNANCE Il processo di Application Security Governance ha lo scopo di guidare, coordinare e suggerire le azioni necessarie a garantire la la gestione della sicurezza applicativa. Security Guideline Internal Policy & Standard Software Development Life Cycle Vincoli contrattuali ( Security Controls ) Internal External 4

OBIETTIVI Consentire la valutazione sistematica ed il controllo del livello di sicurezza delle applicazioni. Garantire di conformità a standard, normative e Best Practice Definire una metodologia di analisi atta a supportare il processo di sicurezza applicativa dellle applicazioni, all'interno del più ampio processo di gestione del ciclo di vita del software o di ognuna delle sue fasi (Design, Build, Acceptance testing, Roll-out). Validare/Certificare le applicazioni che abbiamo il livello di sicurezza definito durante la fase di accettazione Introduzione di metriche di valutazione dei fornitori interni ed esterni Gestione del rischio Facilitare la formazione del personale sulle tematiche di sicurezza applicativa. Storicizzazione dei risultati allo scopo di monitorare le evoluzioni e gestire il rischio associat Introduzione chekpoint di sicurezza nel processo di gestione del ciclo di vita del software (SDLC) (Design, Build, Acceptance testing, Roll-out). 5 2009 HP Security & Risk Management Practice

N Vulner abilità i mmediatel y i mmediatel y i mmediatel y 15 i mmediatel y 10 To be resolved immediately To 5 be resolved immediately 3 1 Next update Next update i mmediatel y i mmediatel y Next update Next update Next Release Next update Next update Next Release Next Release Desiderate State Alta Media Bassa No go live go live con riser va go live condizionato Criticità MODELLO DI RIFERIMENTO Risk Analysis Attività (1) Periodical Review (2) Req. For Change (3) New Application Threat Analysis Security Support Security Profile Fasi Medium High Low New (3) Existing Application (1)&(2) (1), (2) & (3) Security Policy Security Requirements SDLC Process SDLC Process Security Architecture Security Guideline Requirements Design Build QA/System Test Security Support & Training Code review Vulnerability Assessment Self Assessment Self Correction Security Support & Training Validation/ Certification D B V A NO YE S NO 6 Production Acceptance Matrix

ASTA (APPLICATION SECURITY TRACKING AND AUDIT TOOL) ASTA è un tool web disegnato e sviluppato internamente ad HP per assistere lo sviluppo e la creazione di applicazioni garantendo il livello di sicurezza definito. L adozione di tale strumento contribuisce ad aumentare significativamente il livello di consapevolezza della sicurezza, di conformità alle policy e alle normative, tracciandone lo stato di conformità e storicizzando i risultati. Componenti: Threat Analysis, Application Security Review On-demand Web Application Security Scan 7

ASTA THREAT ANALYSIS ASTA Threat Analysis: E utilizzata in fase di design di un applicazione per condurre un analisi delle minacce ( self-help risk analysis ) è uno strumento di analisi dei rischi basato su un semplice sistema esperto che fornisce consigli di sicurezza a progettisti e architetti relativamente a requisiti di sicurezza dettati dalle policy. Collezione le informazioni specifiche dell applicazione Assegna le priorità all applicazione, relativamente ai dati trattatti, al valore monetario dell applicazione,... Individua i controlli di sicurezza previsti,... 8

ES: ASTA (THREAT ANALYSIS REPORT) Al termine dell analisi viene generato un report con il livello di rischio dell applicazione, con l elenco delle policy di sicurezza non ripettate ed i consigli per rendere l applicazione policy compliance. 9

ASTA APPLICATION SECURITY REVIEW/ON DEMAND ASTA Application Security Review è uno strumento utilizzato durante la fase di test per permettere una revisione di sicurezza dell applicazione prima dello spostamento in produzione. In base al livello di rischio assegnato all applicazione, prevede tre approcci diversi: Security profile Basso self assessment Security profile Medio ingaggio di una risorsa BISM Security profile Alto: ingaggio del gruppo IT Security ASTA On Demand e utilizzato durante la fase di costruzione e/o test. Fornisce un servizio per il controllo delle vulnerabilità dell applicazione. 10

CONCLUSIONI 11

SHIFTING THE FOCUS FROM CODE TO ARCHITECTURE Test Security In Approach Applications developed with high rate of latent security vulnerabilities Thousands of vulnerabilities reported per year (NVD); many more undetected Catch vulnerabilities with code scanners, security code analysis, penetration testing, etc. Design Security In Analyze security requirements gaps Analyze architectural security resiliency to coding errors Avoid introduction of many vulnerabilities Prioritize security testing efforts Latent vulnerabilities Latent security vulnerabilities High security assurance FUTURE 12

BENEFICI CASE STUDY (*) Reduce Cost 50% riduzione costi di attività esterne di security assessment ( pen test) 60% riduzione COF ( Cost Of Fixing) a regime 40% riduzione costi legati ad attività di audit e conformità (PCI, Garante Privacy) Rduzione rischi legati alla diminuizione del interruzione dei servizi verso i clienti Attuazione del processo di gestione del rischio Mitigate Risk Riduzione del numero di defect e del tempo per completare gli auditing. 13 * Based on ROI study on an HP client experience

BACK 14 14

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back