GDPR e Cybersecurity By Design

by

Lo scorso 7 Febbraio CAST Italia ha dedicato una giornata ai temi GDPR e Cybersecurity in occasione di un evento nel quale è emerso un aspetto significativo in ambito Software Security:

“L’approccio alla sicurezza ‘by design’ nel software è oggi l’unico percorribile per garantire la sicurezza di business digitali ed in trasformazione. Le nuove minacce informatiche e le normative GDPR rendono indispensabile l’uso di strumenti e pratiche avanzate per la mitigazione del rischio negli ambienti complessi. Dati, tecnologie e modelli di un percorso non semplice, quanto inevitabile, da affrontare.” –  Piero Todorovich, giornalista della testata ZeroUno

Una recente indagine del CAST Research Labs ha rilevato infatti che lo sviluppo applicativo conta per il 50% nei problemi di sicurezza del software; la restante parte dipende dal passaggio dei dati tra i diversi strati applicativi, ossia dalla vulnerabilità delle interfacce e delle sincronizzazioni tra le diverse componenti software. Così ha spiegato Olivier Bonsignour, EVP of Product Development in CAST, nel corso dell’evento, aggiungendo come il livello di rischio non risulti inferiore nelle applicazioni “piccole”, scritte con poche righe di codice, rispetto a quelle più grandi (è ipotizzato un differente livello di cura messo dagli sviluppatori nella realizzazione) e di come siano significativamente più rischiose le applicazioni in ambiente .NET rispetto a quelle di tecnologia Java.

La proposta d’indirizzare la sicurezza applicativa “by design”, attraverso anche Static Application Security Testing (SAST), analizzando il codice, fornendo le opportune raccomandazioni ai team leaders, verificando l’architettura dell’applicazione ed identificando le violazioni alle practice standard, rappresenta di fatto la possibilità di costituire un workflow di governance delle azioni mirate ad indirizzare ed informare gli sviluppatori.

La Sicurezza Applicativa nel GDPR

Contestualizzando il tutto in ottica GDPR, Michele Slocovich, Solution Design Director di CAST e docente di Computer Science all’Università Bocconi, ha sottolineato l’enfasi posta in essere dalla regolamentazione sulla protezione dei dati, in contrapposizione con l’attenzione mostrata precedentemente per i soli aspetti di privacy.

“Con il GDPR c’è un cambio di scenario. Il legislatore prende atto che i dati sensibili si possono estendere alle informazioni comportamentali ed economiche del consumatore e le pratiche di sicurezza, altrettanto difficili da definire, devono essere proporzionate al livello di rischio. Il legislatore ha inoltre imposto un cambio culturale alle aziende, imponendo la trasparenza sugli incidenti, laddove in precedenza si preferiva occultare la polvere sotto il tappeto.”

Uno scenario che vede pesare maggiormente i rischi associati alla vulnerabilità delle applicazioni e che trova nella CAST Application Intelligence Platform una soluzione di assessment sfruttabile in ambito GDPR:

“In grado di analizzare applicazioni d’ogni tipo, fornendo l’inventario automatizzato di come sono trattati i dati sensibili. E permettendo quindi, ai team IT di scoprire interazioni sconosciute, processi dimenticati o che operano in violazione delle policy.”

L’analisi dell’architettura delle applicazioni da una parte e della mappa delle transazioni dall’altra, non solo aiuta a individuare elementi utili alla compliance GDPR, ma accresce la visibilità dei team IT sui fronti della sicurezza e del risk management.

“Il cambiamento culturale associato al GDPR va nella direzione di rendere più sicura l’intera catena IT, dallo sviluppo al procurement software – spiega Slocovich – ottenendo più trasparenza su come applicazioni e dati si collegano ai processi aziendali.”

Un approccio che unisce i problemi normativi e di sicurezza creati dall’abbattimento, per scopi di flessibilità e di business, delle tradizionali protezioni perimetrali e quindi con l’esposizione di applicazioni che non erano pensate per gli attuali contesti d’uso. 
Get the Pulse Newsletter  Sign up for the latest Software Intelligence news Subscribe Now <>
Open source is part of almost every software capability we use today. At the  very least libraries, frameworks or databases that get used in mission critical  IT systems. In some cases entire systems being build on top of open source  foundations. Since we have been benchmarking IT software for years, we thought  we would set our sights on some of the most commonly used open source software  (OSS) projects. Software Intelligence Report <> Papers
In our 29-criteria evaluation of the static application security testing (SAST)  market, we identified the 10 most significant vendors — CAST, CA Veracode,  Checkmarx, IBM, Micro Focus, Parasoft, Rogue Wave Software, SiteLock,  SonarSource, and Synopsys — and researched, analyzed, and scored them. This  report shows how each measures up and helps security professionals make the  right choice. Forrester Wave: Static Application Security Testing, Q4 2017  Analyst Paper
This study by CAST reveals potential reasons for poor software quality that  puts businesses at risk, including clashes with management and little  understanding of system architecture. What Motivates Today’s Top Performing  Developers Survey
Martina Fiore Marketing Manager
Marketing Manager with a demonstrated experience in the information technology and services industry. Skilled in Editing, Marketing Content production, Email Marketing, Customer Relationship Management (CRM), Lead Management, Marketing for IT Company and Business Development.
Load more reviews
Thank you for the review! Your review must be approved first
Rating
New code

You've already submitted a review for this item

|