Security by design: cos'è e perché bisogna tenerne conto

Chi opera nel settore IT in qualsiasi azienda ha ormai sentito parlare di “security by design”. Se finora qualcuno l’ha considerata una semplice locuzione per sottolineare l’importanza di prendere in considerazione gli aspetti di cyber security nella gestione delle infrastrutture digitali, si è sbagliato di grosso. Il concetto di security by design è qualcosa che va ben oltre una semplice dichiarazione di principio e rappresenta una vera rivoluzione sia a livello di processi, sia a livello di gestione della Information Technology.


Con la Security by Design gli ultimi saranno i primi

Nei processi di sviluppo e progettazione, la sicurezza informatica è sempre stata considerata come una sorta di “brutto anatroccolo”. La verifica di eventuali problemi di sicurezza, infatti, sono sempre stati relegati al termine dei processi. Nella migliore delle ipotesi la verifica veniva fatta al termine della progettazione o sviluppo. Nella peggiore, si lasciava al tempo il compito di far emergere eventuali problematiche. I risultati li abbiamo sotto gli occhi: trascurare la sicurezza in fase di sviluppo e progettazione, oltre ad aprire vere praterie agli attacchi dei pirati informatici ha innescato una continua rincorsa ad aggiornamenti e modifiche di software e dispositivi, con il continuo rischio di emersione di incompatibilità e una crescita esponenziale dei costi. L’avvento della logica legata alla security by design porterà (o dovrebbe portare) a un enorme salto di qualità che renderà molto più semplice la gestione dei servizi IT.


La security by design nell’IoT

Uno dei settori destinati a ottenere i maggiori vantaggi dalla logica della security by design è quello della cosiddetta “Internet of Things” (IoT), che negli ultimi anni ha pagato il prezzo più caro a causa della scarsa attenzione alla cyber security. I continui allarmi legati ai cyber attacchi rivolti ai dispositivi IoT (dai dispositivi casalinghi “smart” a quelli implementati in ambito industriale) sono infatti il frutto di una sciagurata corsa alla produzione che ha completamente trascurato l’aspetto della sicurezza. I primi casi di malware dedicati agli IoT, per esempio, hanno potuto sfruttare come vettore d’attacco l’uso di credenziali predefinite per l’accesso in remoto ai loro sistemi di controllo. I produttori, infatti, non si erano preoccupati di implementare un sistema che obbligasse gli utenti a modificarle e, in qualche caso, avevano addirittura inserito delle backdoor (teoricamente dedicate agli aggiornamenti in remoto) che consentivano di violare con estrema facilità i dispositivi. Solo in seguito, i cyber criminali si sono dovuti “accontentare” di sfruttare vulnerabilità più complesse da sfruttare, potendo in ogni caso fare affidamento su una superficie d’attacco estremamente ampia.

 

Security by Design e GDPR: a tutela della privacy 

Il regolamento europeo 2016/679, meglio conosciuto come GDPR, include un articolo, il numero 25, che contempla esplicitamente il riferimento al security by design, che nell’edizione italiana viene definito come segue: “Protezione dei dati fin dalla progettazione”. Una forma diretta, chiara, che pone in evidenza la necessità di progettare soluzioni, software e servizi che tutelino già a livello concettuale la privacy degli utenti.  

Gli accorgimenti e le best practice di sviluppo per raggiungere l’obiettivo del security by design consentono di proteggere il dato tout court. Occorre tenere a mente che la GDPR è un Regolamento e come tale pone obblighi precisi, che vanno soddisfatti per non incorrere in ammende che possono arrivare a 20 milioni di euro o al 4% del fatturato. In quest’ottica, il security by design diventa un passaggio obbligato per lo sviluppo di qualsiasi servizio che possa gestire delle informazioni personali. Uno stimolo molto efficace per aderire a questo modello. 


Security by Design: il software verso il DevSecOps

Che si tratti del firmware di un dispositivo IoT o di un software dedicato all’erogazione di servizi aziendali, quello che viene richiesto oggi è di applicare la logica della security by design attraverso l’adozione di un processo definito DevSecOps. Il neologismo vuole indicare come, oltre agli sviluppatori (Dev) e a chi si occupa della parte di operations (Ops) sia necessario coinvolgere da subito anche i responsabili dei test di sicurezza (Sec). La procedura, in pratica, prevede che i controlli di cyber security vengano effettuati già in corso di sviluppo del software, attraverso un continuo confronto tra sviluppatori e analisti. L’obiettivo è quello di raggiungere un migliore livello di sicurezza e ottimizzare il processo. Più in generale, però, il concetto di security by design si può applicare a qualsiasi ambito IT, per esempio (e soprattutto) quando si affronta la pianificazione di reti e servizi digitali. In questa declinazione, anche se non siamo di fronte a una vera e propria fase di sviluppo, la collaborazione con gli esperti di sicurezza consente di adottare da subito una strategia orientata alla protezione dei dati e all’integrità dei servizi. I vantaggi sono enormi. Oltre a consentire di implementare strumenti di protezione più efficaci, l’adozione della filosofia security by design abbatte infatti i costi per la sicurezza e riduce drasticamente il rischio di incidenti di security.

White Paper-Attacchi Informatici: IA e Big Data per una sicurezza a 360 gradi

Back to Blog