jump to navigation

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

Annunci

InfoWar o InfoGuerriglia? martedì 15 marzo 2011

Posted by andy in Information Security, Internet e società.
Tags: , , , ,
1 comment so far

Oggi al SecuritySummit ho seguito l’intervento di Bruce Schneier sul tema dell’InfoWar (detta anche CyberWarFare).

Uno degli aspetti su cui ha insistito parecchio è il fatto che non esiste ad oggi una definizione comunemente accettata di cosa sia l’InfoWar.

Mentre è consolidato il concetto di guerra tradizionale, tutti gli eventi degli ultimi anni che sono stati mediaticamente associati a guerre nel cyberspazio in realtà non sono distinguibili da attacchi fatti per le più svariate ragioni, principalmente politiche, idealistiche o economiche, ad enti ed organizzazioni commerciali o comunque non governative.

Mi sono quindi reso conto di una differenza sostanziale tra gli attacchi cosiddetti di InfoWar ed il tradizionale concetto di guerra.

La guerra, così come la intendiamo, nasce dalla volontà di qualcuno di impossessarsi, di assumere il controllo, sul territorio di qualcun altro, o sul proprio territorio, sostituendo il governo riconosciuto (il cosiddetto colpo di stato).

L’obiettivo è quindi quello di mutare un equilibrio, di sostituire un’autorità con un’altra, di trasferire il potere da un’entità ad un’altra.

Gli attacchi di InfoWar (così come sono stati identificati fino ad ora), in realtà sono molto più assimilabili alla guerriglia.

Gli attaccanti non sono chiaramente riconoscibili, né distinguibili dalla controparte.

Inoltre l’attaccante non può essere sconfitto secondo i canoni tradizionali, secondo cui una volta sopraffatti o eliminati i nemici, la guerra può considerarsi terminata.

Nella guerriglia non è possibile sapere se tutti i nemici siano stati presi, e per uno che viene preso, altri ne compaiono.

Inoltre la guerriglia non mira a sconfiggere il nemico (che di norma è l’attaccante), ma a sfiancarlo, fino a farlo desistere dai propri propositi.