Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza



Documenti analoghi
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Politica per la Sicurezza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

ISO 9001:2015 e ISO 14001:2015

Audit & Sicurezza Informatica. Linee di servizio

Esperienze di analisi del rischio in proggeti di Information Security

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Ciclo di vita dimensionale

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Gestione dei Progetti ( )

Piano di gestione della qualità

Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

La cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali

Sistema di gestione della Responsabilità Sociale

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

Azienda Sanitaria Firenze

SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA STANDARD DI PRODOTTO PIANO DI QUALITA' DI PROGETTO

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

VULNERABILITY ASSESSMENT E PENETRATION TEST

5.1.1 Politica per la sicurezza delle informazioni

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Associazione Italiana Information Systems Auditors

Cyber security forum. Centro InfoSapienza Roberto Messa. Roberto Messa Centro Infosapienza

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Procedure di lavoro in ambienti confinati Livello specialistico

REGOLAMENTO PER IL COMITATO TECNICO DI CERTIFICAZIONE

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Come prepararsi all Audit

Contributo di INAIL alla diffusione dell adozione di un SGSL. INAIL-DR Toscana-CONTARP

Dr. Giovanni MACORETTA Tecnico della Prevenzione nell Ambiente e nei Luoghi di Lavoro Dipartimento di Sanità Pubblica

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Procedura di gestione delle verifiche ispettive interne < PQ 03 >

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

CAPIAMO IL "LINGUAGGIO" DELLA norma UNI EN ISO serie 9000

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

La normativa sul riuso del software nella P. A. e l esperienza Toscana

CERTIFICAZIONE DELLE AZIENDE AI SENSI DEI REGOLAMENTI EUROPEI 303/2008 E 304/2008 I & F BUREAU VERITAS ITALIA

S.A.C. Società Aeroporto Catania S.p.A.

ISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

AUDITOR D.Lgs 231/01. Seminario ACIQ SICEV Sessione di Aggiornamento Dedicata ai Registri SICEV SICEP. Milano 28 Settembre 2012.

ILMS. Integrated Learning Management System

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Certificazione di qualità

InFormAL. Sistema informativo public domain per la gestione delle attività formative nelle Amministrazioni Locali

lcertificare il Sistema di Gestione per la Qualità Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

Il Processo di Valutazione dei Rischi nel Contesto Organizzativo delineato dal D.lgs.n 81/08 e smi

Prevenzione e protezione incendi nelle attività industriali

Ciclo di vita del software

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

GLI AUDIT GCP. Valentine Sforza Quality Management Associates. XI CONGRESSO NAZIONALE SSFA Roma, 6-7 marzo 2008 ARGOMENTI TRATTATI

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

La Qualità il Controllo ed il Collaudo della macchina utensile. Dr. Giacomo Gelmi

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Progetto di Information Security

La certificazione CISM

CENTRO FORMAZIONE REGIONALE

Sistema di Gestione Integrato Ambiente e Sicurezza GESTIONE FORNITORI

EUROPEAN PROJECT MANAGEMENT QUALIFICATION - epmq. Fundamentals. Syllabus

PROCEDURA OPERATIVA PER LA GESTIONE DELLO SVILUPPO DEL SOFTWARE BM-33T

Configuration Management

Strumenti per la gestione della configurazione del software

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

Cos è. Insieme di: struttura organizzativa (equipe di qualità + capo progetto) responsabilità. procedure. procedimenti. risorse

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Presentazione del Corso

La progettazione centrata sull utente nei bandi di gara

PIANO DI LAVORO ANNUALE DELLA DISCIPLINA Gestione Progetto Organizzazione d'impresa Classi QUINTE A.S

La Certificazione degli Energy Manager come punto qualificante della Nuova Normativa

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

Applicazione della norma ISO 9001:2008 al Sistema Gestione per la Qualità del Gruppo Ricerca Fusione. Claudio Nardi Frascati 24 novembre 2009

ƒ Gli standard e la gestione documentale

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

REGIONE LIGURIA Assessorato alle Politiche attive del lavoro e dell occupazione, Politiche dell immigrazione e dell emigrazione, Trasporti

Le fattispecie di riuso

Sistema di Gestione della Sicurezza CLAUDIO SOAVE

Intervento: Autore: LA GESTIONE DELLE COMPETENZE DEGLI AUDITOR SECONDO LA NUOVA NORMA ISO/IEC 17021: Ing. Valerio Paoletti

UNI CEI Certificazione dei servizi energetici

Salute e Sicurezza dei Lavoratori nella filiera del riciclo della carta: il punto di vista dell ente di certificazione. Milano 18 novembre 2008

EA 03 Prospetto economico degli oneri complessivi 1

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

EUROPEAN COMMISSION DIRECTORATE-GENERAL ENERGY AND TRANSPORT

LA REVISIONE DELLA ISO 14001:2015

Allegato I al modello OT24

Questionario di valutazione: la preparazione di un istituzione

ALLEGATO 2D MODELLO DI OFFERTA TECNICA LOTTO 4

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

Transcript:

Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1

Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione della Sicurezza delle Informazioni Gap Analysis Definizione e Implementazione dell SGSI Indicatori di Sicurezza Analisi dei Rischi Piano di Trattamento dei Rischi PIANIFICARE Istituire il SGSI Processo di sviluppo sicuro del codice Certificazione di sicurezza Integrazione con strumenti crittografici MIGLIORARE Mantenere e migliorare il SGSI REALIZZARE Attuare e operare il SGSI CONTROLLARE Monitorare e riesaminare il SGSI Analisi di Vulnerabilità/Penetration Test Audit ISO 27001 Osservatorio Tecnologico 2

Il processo di sviluppo sicuro del codice Il processo di sviluppo sicuro del codice () è composto da un certo numero di azioni, alcune delle quali supportate da strumenti tecnologici, altre da procedure organizzative Penetration testing Il processo di non può essere pensato come una semplice aggiunta della sicurezza alla fine dello sviluppo del prodotto, subito prima o dopo (quanto dopo?) il rilascio 3

Penetration testing (1/2) Il Penetration Testing è la metodologia oggigiorno più applicata per quanto riguarda la verifica della sicurezza del software, in parte anche in quanto ha l interessante ( e pericolosa!) caratteristica di poter essere svolta al termine del ciclo di sviluppo. Sfortunatamente questo tipo di test però viene svolto da esperti esterni per una durata limitata di tempo e può identificare solamente le vulnerabilità evidenti e superficiali. Inoltre è troppo legato a fattori aleatori, quali la capacità del tester e la assoluta mancanza di metodologie di test universalmente accreditate. In generale questo tipo di testing viene di fatto svolto troppo tardi nel ciclo di sviluppo e non da che risultati superficiali: spesso il risultato di questi test è quello di creare una certificazione superficiale del prodotto. 4

Penetration testing (2/2) Penetration Testing: manuali o automatizzati? Possono (e devono) coesistere in un attività condotta in modo esaustivo Gli strumenti per Web Application sono ideali nell identificare vulnerabilità tecniche L esperienza e la capacità umane sono invece fondamentali per trovare vulnerabilità logiche e creare mis-use case Strumenti per penetration testing: open source o commerciali? E necessaria una combinazione equilibrata di personale esperto e formato e strumenti automatizzati, sia commerciali sia opensource I tool automatizzati aiutano un security tester ad effettuare in modo più rapido e maggiormente completo l assessment di una web application Il tool richiede la conoscenza dei suoi limiti e di come padroneggiarlo per essere proficuo Non sostituiscono l attività manuale e possono per ciò essere combinati con strumenti opensource In questo modo è possibile affrontare vulnerabilità tecniche o logiche, ridurre i falsi positivi/negativi e gestire l assessment di applicativi di grosse dimensioni 5

E quindi? 1 4 2 6 3 5 Il processo di vita del software e le attività di necessarie (fonte IEEE) 6

Ma se il software proviene da un fornitore esterno? Fornitura subordinata alla: (in fase di trattativa/capitolato) accettazione degli standard/linee guida adottati dal committente, che indirizzino specificamente il problema delle vulnerabilità del software e la progettazione di software sicuro certificazione dei profili degli esperti di sicurezza che verranno impiegati per validare il prodotto ed relativo codice sorgente (esperti interni o possibilmente in outsourcing) certificazione dei processi interni ed esterni di gestione del codice certificazione del processo di sviluppo seguito in particolare con riferimento alla gestione dei requisiti di sicurezza del codice tempistica di risoluzione delle falle di sicurezza (in fase di rilascio) Reportistica delle operazioni di testing sul software completo (condotti sia tramite risorse interne che in outsourcing) e relative contromisure adottate prima del rilascio finale 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back