The approach to the application security in the cloud space

Documenti analoghi
La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

1- Corso di IT Strategy

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Direzione Centrale Sistemi Informativi

La platea dopo la lettura del titolo del mio intervento

Application Security Governance

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

La ISA nasce nel Servizi DIGITAL SOLUTION

Progetto AURELIA: la via verso il miglioramento dei processi IT

Audit & Sicurezza Informatica. Linee di servizio

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

CloudComputing: scenari di mercato, trend e opportunità

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

PROFILO AZIENDALE 2011

Politica per la Sicurezza

Copyright IKS srl

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Zerouno IBM IT Maintenance

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Cloud Service Broker

ITIL. Introduzione. Mariosa Pietro

Iniziativa : "Sessione di Studio" a Roma

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

La certificazione CISM

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

Associazione Italiana Information Systems Auditors

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

CLOUD COMPUTING introduzione all'ict as a service. Giuseppe Scalici (AICQ Sicilia - Nucleo Open Source)

Catalogo Corsi. Aggiornato il 16/09/2013

Introduzione al Cloud Computing

Esternalizzazione della Funzione Compliance

IVU Global Service S.r.l. (gruppo IVU S.p.A.)

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric. del 5 luglio Monitoring e Billing in OCP

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Sicurezza informatica in azienda: solo un problema di costi?

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

Stefano Mainetti Fondazione Politecnico di Milano

CSA Italy: "Portabilità, interoperabilità e sicurezza applicativa nel cloud"

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo?

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Gartner Group definisce il Cloud

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply

Internet Security Systems Stefano Volpi

Siamo quello che ti serve

MANDATO DI AUDIT DI GRUPPO

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

Sicurezza delle informazioni

ITIL cos'è e di cosa tratta

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

MERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE

Iniziativa: "Sessione di Studio" a Milano

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Security & Compliance Governance

L iniziativa Cloud DT

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Fattori critici di successo

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Processi di Gestione dei Sistemi ICT

Data Center Telecom Italia

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Catalogo corsi di formazione

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Enterprise Cloud Computing Report

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Banche e Sicurezza 2015

Presentazione aziendale. soluzioni, servizi, consulenza

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

Corso Base ITIL V3 2008

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Information Systems Audit and Control Association

Transcript:

Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

>> Introduzione Accenture Service Line La Service Line di Accenture supporta i clienti sulle tematiche di sicurezza informatica grazie ad un team di 1800 professionisti nel mondo Service Line Offerings Team di di 1800 professionisti nel mondo > 100 in in Italia > 180 in in IDC (India Delivery Center) Personale certificato con i i principali standard di di mercato CISSP, CISA, ISO27001, SANS, BS25999, etc CSSLP (Certified Secure Software Lifecycle Professional) Esperienze di di progetto su tutte le le principali tematiche dell IT Competenze di di prodotto diversificate sui prodotti leader di di mercato e su altri tool di di application security Delivery Center per gestione in in outsourcing di di attività di di Asset Italia, India, Praga Metodologie, framework e strumenti sviluppati dai team di di Accenture Principali Alliance Strategy & Analysis Design & Build Principali Clienti Manage & Operate Accenture Identity & Access Management Services Accenture Application & Infrastructure Services Accenture Information Protection Services Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 2

>> Contesto Cloud Space: Punti di attenzione L adozione di un modello cloud-based richiede attente considerazioni techologiche e operative SLA Governance Legal Compliance Open Source Open Standards Cloud Computing SaaS, PaaS & IaaS Portability Integration Interoperability Sustainability Privacy Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 3

>> Contesto Percezione della sicurezza legata al cloud Quali sono le principali preoccupazioni quando si acquistano servizi cloudbased? Cloud Computing Survey 2009, World Economic Forum and Accenture Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 4

>>Application nei modelli di servizi cloud-based Modelli di erogazione di servizi cloud e gestione della sicurezza applicativa Custom and COTS applications Development and operations platform Operating system and virtual machine Hardware and facilities Custom and COTS applications Development and operations platform Operating system and virtual machine Hardware and facilities Custom and COTS applications Development and operations platform Operating system and virtual machine Hardware and facilities SaaS PaaS IaaS Un PaaS cloud provider offre un ambiente per il design, sviluppo, test, deploy, e Un IaaS cloud provider considera Tipicamente il cliente controlla poco o supporto delle applicazioni custom l applicazione del cliente come una nulla delle applicazioni fornite. L application security in questo caso black box. L intero stack applicazione Il provider di SaaS è il maggiore riguarda fondamentalmente la sicurezza e piattaforma di run time è gestito dal responsabile della sicurezza applicativa della piattaforma stessa ( runtime engine) e cliente cosi come la sicurezza la sicurezza delle applicazioni deployate applicativa sulla piattaforma PaaS Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 5

>>Application nei modelli di servizi cloud-based Analisi di Mercato Rischi legati alle vulnerabilità applicative Dall analisi del mercato emerge un forte squilibrio fra target degli attacchi e gli investimenti delle aziende a protezione degli stessi. Applicazioni Web Analisi di Mercato % Attacchi % Spesa 10 % 75 % 25 % 90 % <<, l 80% delle aziende dovranno affrontare problemi di sicurezza applicativa e, di conseguenza, dovranno provvedere identificando ruoli adeguati nei team di sviluppo e di test per garantire che la sicurezza sia introdotta e gestita anche a livello applicativo>> (1) Infrastruttura tecnologica Frodi interne ed esterne, accesso e/o modifica di dati riservati da personale dipendente, terze parti, clienti, attacchi da rete internet, etc Interruzione del business blocco dei servizi, blocco dei sistemi, cancellazione dei dati, etc Responsabilità legali penali (utilizzo di facilities e sistemi aziendali per frodi e azioni illecite verso terzi, distribuzione di malware a terze parti e clienti, etc) Responsabilità legali sanzioni (privacy, azioni di rivalsa, etc) Perdita di immagine (divulgazione sui media di avvenuti attacchi e di vulnerabilità dei servizi) Rischi Principali (1) Fonte: Gartner Group Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 6

>>Application nei modelli di servizi cloud-based Trend su Application La maggior parte delle aziende sta affrontando problemi di sicurezza applicativa e, di conseguenza, deve provvedere ad identificare ruoli adeguati nei team di sviluppo e di test per garantire che la sicurezza sia introdotta e gestita anche a livello applicativo. Driver Tecnologici Aumento della complessità delle architetture applicative e perdita di un perimetro che divide l area trusted da quella untrusted Alti costi delle eventuali remediation del software prodotto Aumento delle minacce focalizzate sugli applicativi e conseguente aumento del rischio Driver di Business Rischio di frodi Rischio di perdita di informazioni riservate Rischio di perdita di reputazione in caso di compromissione di applicativi contenenti dati riservati Driver Normativi Conformità PCI e diversi provvedimenti del Garante Il 92% delle vulnerabilità identificate sono nelle applicazioni, non nella rete (fonte NIST) Il costo di remediation degli errori incrementa in base alla fase in cui è individuato (fonte NIST) Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 7

>>Application nei modelli di servizi cloud-based Enterprise Application Secure SDLC BEFORE Attività di sicurezza effettuate dopo la fase di deploy. AFTER Attività di sicurezza integrate all interno del SDLC. Applicativi Web Custom Plan Design Build Deploy Rischio elevato e alto costo di gestione delle vulnerabilità Applicativi Web Apps, Web e software Custom Custom Software Software Software Packages and e Librerie Libraries Componenti Open Source Open Components Source Applicativi Legacy Applications Legacy Componenti Open Source e di terze parti Software Package Software Software Package e Librarie Open Componenti Open Source Open Components Source Deploy Rischio elevato e alto costo di gestione delle vulnerabilità Plan Design Build Deploy Gestione della sicurezza applicativa durante l esercizio Applicativi Legacy Alto costo di revisione del codice e di gestione delle vulnerabilità Data eand Application Risk Assessment Integrated Design Coding convention e analisi statica del codice Source code scanning automatizzati Penetration Test Applicativi Strategie di remediation Attività di Threat modeling e Risk Assessment finalizzate alla definizione dei requisiti di sicurezza Definizione dei Design Pattern in base ai requisiti di sicurezza individuati Definizione coding convention e attività di verifica dell effettiva implementazione dei requisiti di sicurezza Attività di verifica del livello di sicurezza degli applicativi negli ambienti di esercizio, verifica della corretta integrazione con i servizi di sicurezza infrastrutturali Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 8

>> Approccio Accenture Introduzione di attività di application security nel ciclo di vita del SW PM & PMO ANALYSIS DESIGN BUILD requirement TEST DEPLOY design coding testing MENT Processi di sicurezza complementari Secure Deploy OPERATION Governance & Operation requirement design Insieme di attività volte alla definizione dei requisiti di sicurezza da implementare nelle fasi successive Sulla base dei requisiti precedentemente definiti e delle best practice di sicurezza vengono definiti i design pattern di riferimento, threat modeling e design review testing Secure Deploy Attività e strumenti volti all individuazione di problematiche relative alla security: checklist, analisi statica del codice, security assessment, Dynamic Analysis, security test cases Verifica della corretta integrazione dei servizi di sicurezza dell ambiente di produzione con gli applicativi, della presenza di eventuali vulnerabilità e rimediation delle stesse coding Attività volte a definire le coding convention di sicurezza per i linguaggi di programmazione utilizzati al fine di guidare il programmatore nella stesura sicura del software Governance & Operation Definizione di una strategia di sicurezza applicativa, di ruoli e responsabilità, di processi di gestione, di policy, di metriche, di KPI e di un modello di rating Processi di sicurezza complementari Insieme di processi di sicurezza complementari al SDLC che mirano a rendere sicuri gli ambienti PM & PMO Attività di PM e PMO tra cui coordinamento e gestione risorse e progetto interno, SAL, coordinamento e gestione vendor Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 9

>> Approccio Accenture Le dimensioni della realtà aziendale La sicurezza dell SDLC coinvolge potenzialmente l intero parco applicativo comprendendo applicazioni nuove o esistenti, sviluppi interni o affidati a fornitori esterni, infrastrutture interne o esterne, applicazioni custom o package. Realizzare sistemi sicuri Realizzare sistemi sicuri partendo dalla fase di partendo dalla fase di requisiti requisiti Ridurre il rischio informatico Ridurre il rischio informatico dei sistemi dei sistemi Systems built from scratch Outsourced systems Definire policy di sicurezza Definire policy di sicurezza applicativa per sviluppi applicativa per sviluppi esterni esterni Ottenere da fornitori esterni l allineamento Ottenere da fornitori con le policy esterni e standard l allineamento aziendali con le policy e standard aziendali Non introdurre nuove vulnerabilità Non introdurre di sicurezza nuove vulnerabilità di sicurezza Allineare l infrastruttura esistente Allineare con l infrastruttura le policy di sicurezza esistente aziendali con le policy di sicurezza aziendali Ridurre il rischio informatico dei Ridurre sistemi il rischio informatico dei sistemi New developments on Existent applications Code in production Identificare la corretta soluzione Identificare per la la corretta gestione delle soluzione vulnerabilità per la gestione esistenti delle vulnerabilità esistenti Dimostrare la sostenibilità economica Dimostrare su la larga sostenibilità scala delle economica soluzioni su di larga sicurezza scala applicativa delle soluzioni proposte di sicurezza applicativa proposte Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 10

>> Approccio Accenture Piano di training Una delle componenti fondamentali di un progetto di Secure SDLC è il piano di formazione di tutti gli attori coinvolti nel ciclo di vita del software. La formazione dovrà avere uno scopo ed un livello di dettaglio adeguato al ruolo delle persone. Tipologia Descrizione Argomenti Target Awareness Technical Awareness Secure Architecture Design Secure Coding Formazione generica finalizzata alla comprensione dei principali concetti di sicurezza. Formazione finalizzata all individuazione dei requisiti tecnologici minimi necessari a garantire le proprietà di sicurezza degli applicativi e alla progettazione delle specifiche tecniche nel rispetto dei requisiti. Formazione finalizzata a definire architetture applicative per garantire un adeguato livello di sicurezza. Formazione indirizzata agli sviluppatori al fine di produrre codice sicuro. Confidenzialità, Integrità, Disponibilità Autenticazione, Autorizzazione, Accounting Classificazione delle Informazioni e Data Privacy Overview su Leggi, Standard e Best Practices Incidenti di sicurezza Minacce, vulnerabilità, livello di rischio Problematiche applicative Standard di sicurezza (PCI, ISO 27001) Leggi e decreti (D. Lgs. n.196/2003) Secure Design Threat modeling attack tree Tecnologie/architetture di sicurezza specifiche del framework (ad esempio Java ) Vulnerabilità Applicative Secure Programming Strumenti di Static Code Analyzer Tutti i dipendenti Tutti i dipendenti IT Designer Resp. Sviluppo Sviluppatori Resp. Sviluppo Secure Audit Formazione per la realizzazione delle verifiche al fine di valutare il livello di sicurezza degli applicativi. Vulnerabilità applicative Secure Testing Remediation Auditor Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 11

Q&A Manuel Allara Technology - Accenture Viale del Tintoretto 200 Rome Italy 0039-334-6418892 manuel.allara@accenture.com Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 12

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back