Skip to main content
IT

Software security: come realizziamo applicazioni sicure e resilienti, in 6 step

Diego LoroProject Manager3 Ottobre 20246 min di lettura

Indice dei contenuti
  1. Cosa rende sicuro un sistema software
  2. Un percorso a 6 step per la software security

In Intesys, adottiamo un approccio security-first nei nostri progetti di sviluppo, ovvero integriamo la software security in tutto il percorso che va dalla definizione e dall’analisi dei requisiti alla progettazione dell’architettura, fino alla scrittura del codice, al testing, al rilascio e al monitoraggio costante. In questo modo, aiutiamo le aziende ad essere più competitive e resilienti nell’era del cyber risk.
In questo articolo approfondiamo la nostra visione e, soprattutto, esploriamo il percorso che affrontiamo insieme ai nostri clienti per realizzare sistemi software sicuri, capaci di reggere l’urto di molteplici minacce, interne e/o esterne all’organizzazione.

Cosa rende sicuro un sistema software

Le Linee Guida per lo Sviluppo di Software Sicuro (LGSSS) sono uno dei tool che ci permettono di costruire applicativi solidi e resilienti. Tuttavia, non bisogna pensare che il concetto di software sicuro riguardi unicamente la scrittura del codice, sia pur assistito da best practice di sicurezza.

LEGGI LE NOSTRE LINEE GUIDA

Nella nostra visione, infatti, un applicativo si può definire sicuro se è l’output finale di un insieme di processi, metodologie, tool, tecnologie e anche competenze che, all’interno di un unico progetto, operano in modo sinergico e orientato a 360 gradi verso la software security. In altri termini, la scrittura del codice non vive di vita propria, ed è una delle fasi finali di un processo che va indirizzato verso la sicurezza ad ogni livello e in ogni fase.

Un altro aspetto fondamentale, che premettiamo alla descrizione del processo, è la necessità di un impegno concreto (anche) da parte del cliente, ovvero di chi poi utilizzerà il codice. La sicurezza applicativa non può essere demandata unicamente a chi produce l’applicazione, nella fattispecie a Intesys, ma richiede uncommitment importante anche da parte del destinatario del codice. Questo non riguarda soltanto fasi specifiche come la definizione dei security requirements, che ovviamente è a carico dell’azienda, ma anche la gestione di attività sistemistiche che influenzano la sicurezza dell’applicativo e che sono di competenza del cliente, come per esempio l’aggiornamento dei server, la configurazione corretta dei firewall e molto altro.

Leggi il nostro documento metodologico di Sviluppo Software Sicuro:

SCARICA IL DOCUMENTO

Un percorso a 6 step per la software security

Il percorso verso un applicativo sicuro inizia, come detto, ben prima della scrittura del codice. Si tratta infatti di un percorso che affrontiamo con i nostri clienti e che tocca tematiche culturali, organizzative, tecniche e anche commerciali, in un impegno reciproco volto a garantire la sicurezza del software su cui si fonda il business.

1. Condivisione della cultura della sicurezza

Nella fase iniziale, sensibilizziamo i nostri interlocutori sull’importanza della software security e sulla necessità di un impegno condiviso verso la sicurezza del software. Spieghiamo le rispettive responsabilità, spesso evidenziando la necessità di introdurre delle figure specializzate, come i CISO o team dedicati, con compiti e responsabilità specifiche in ambito sicurezza.

2. Definizione dei security requirements

L’azienda, con il supporto di Intesys, definisce a questo punto i requisiti di sicurezza, tenendo conto del contesto operativo, delle normative cui è soggetta e della tipologia di applicazione che intende adottare. Questa fase presuppone una valutazione delle minacce esistenti e la definizione, insieme a Intesys, di quale sia la soglia di rischio accettabile. Omettendo questa fase, diventa pressoché impossibile comprendere quali misure di sicurezza vadano applicate nella fase successiva.

3. Risk Assessment con metodologia STRIDE

Definiti i requisiti, eseguiamo in Intesys un risk assessment utilizzando la metodologia STRIDE per identificare e classificare le potenziali minacce alla sicurezza della (futura) applicazione. Utilizzando una matrice impatto-probabilità, siamo in grado di quantificare il rischio relativo a ciascuna minaccia.

Consulta il documento di Assessment per Sviluppo Software Sicuro:

SCARICA IL DOCUMENTO

4. Analisi tecnica per la software security

Al risk assessment segue poi una fase di analisi tecnica il cui obiettivo è progettare una soluzione che rispetti i requisiti di sicurezza e tenga fede ai principi di security by design e security by default secondo le Linee Guida per lo Sviluppo di Software Sicuro (LGSSS). Ogni decisione tecnica viene valutata attentamente per assicurare che la sicurezza sia parte integrante della soluzione finale e che tutte le misure necessarie vengano effettivamente incluse nel progetto.

5. Secure Software Lifecycle

A questo punto si entra nella fase di sviluppo sicuro dell’applicativo. In Intesys, il nostro obiettivo è integrare la sicurezza in tutto il ciclo di vita del software, e per raggiungerlo possiamo contare su un ecosistema sinergico di competenze, processi e strumenti.

Oltre a disporre di tutte le professionalità necessarie, con ruoli e responsabilità ben definite, abbiamo sviluppato dei processi ad hoc per standardizzare il più possibile i progetti software (gestione del progetto, sviluppo della documentazione, gestione del ciclo di vita…) e ci basiamo su metodologie e best practice riconosciute, tra cui l’impiego di librerie sicure e di pattern di progettazione consolidati. In questa fase applichiamo al codice le nostre Linee Guida per lo Sviluppo del Software Sicuro, adottiamo misure sistemistiche volte a rafforzare la sicurezza dell’infrastruttura e integriamo nelle pipeline di sviluppo dei tool di sicurezza come quelli di analisi statica del codice e quelli utili a identificare vulnerabilità nelle librerie di terze parti.

6. Controllo continuo della sicurezza

Infine, non bisogna dimenticare che la sicurezza è un processo in evoluzione, che non si conclude con il rilascio dell’applicativo. In Intesys ci impegniamo a fornire ai nostri clienti report costanti e dettagliati, ma soprattutto ad effettuare verifiche regolari delle vulnerabilità e a predisporre soluzioni tempestive, applicando patch e implementando ogni misura necessaria per garantire la protezione continua del software, e di conseguenza del business dei nostri clienti.
Logo Intesys bianco
SOFTWARE SICURO

Scopri come sviluppiamo
soluzioni a prova di cyberischio

SCOPRI DI PIÙ
3.7/5.0 Article rating
3 Reviews
Cosa ne pensi dell'articolo?
  1. Amazing
  2. Good
  3. Bad
  4. Meh
  5. Pff

Tags:

Diego Loro

Diego Loro

Project Manager

Entrato in Intesys nel 2021, mi occupo di Project Management e Service Management. Prima di Intesys, dopo la laurea in ingegneria ho lavorato per 15 anni nel settore IT come Senior Java Developer, Software Architect e Project Manager di progettualità ad alto contenuto tecnologico.

Articoli correlati

email_transazionali IT Email transazionali: perché adottare la nostra Packaged Business Capability per gestirle al meglio

Email transazionali: perché adottare la nostra Packaged Business Capability per gestirle al meglio

Marco Dalla Riva
Marco Dalla Riva26 Settembre 2024
software_sicuro IT Software sicuro: la nostra visione e le linee guida che adottiamo in ogni progetto

Software sicuro: la nostra visione e le linee guida che adottiamo in ogni progetto

Ilario Gavioli
Ilario Gavioli12 Settembre 2024
vantaggi_composable_architecture IT I vantaggi delle Composable Architecture nella gestione documentale: 3 casi d’uso

I vantaggi delle Composable Architecture nella gestione documentale: 3 casi d’uso

Nicola Dal Pozzo
Nicola Dal Pozzo5 Settembre 2024
NEWSLETTER