jump to navigation

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
trackback

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

Annunci

Commenti»

No comments yet — be the first.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: