Analisi sicurezza architettura software vs Best Practice
L’Assessment, su base volontaria, analizza l'architettura proposta per i progetti software evidenziando i gap di sicurezza rispetto alle Best Practice internazionali.
Questo tipo di assessment sull'architettura di progetti software è applicabile in ogni tipologia di organizzazione e, per l’individuazione dei requisiti da soddisfare, si appoggia non solo su principi chiave - come Ridondanza e Robustezza, Semplicità, Autoprotezione, Difesa in profondità - ma anche sulle norme di riferimento:
- norme e standard essenziali, interpretate con l'esperienza e la comprensione del business, come ad esempio il modello dei controlli del framework Cobit© 5;
- norme internazionali, come ad esempio la famiglia ISO 27000;
- architettura di riferimento specifica, richiesta dal fornitore.
Gli obiettivi di un'Analisi sicurezza dell'architettura software rispetto alle Best Practice
Tra i principali obiettivi dell’attività di verifica dell'architettura software rispetto alle Best Practice della sicurezza risultano:- revisione di terza parte dei possibili difetti dell’architettura del software nel contrastare le vulnerabilità;
- verifica della capacità dell’architettura del software di supportare le esigenze di business richieste in termini di sicurezza senza appesantire le performance;
- verifica di eventuali falle nella sicurezza dell’architettura software.
All'inizio del programma di assessment, DNV analizza l'architettura in base alle Best Practice della sicurezza applicabili ai campi di Architettura software del prodotto, Architettura del sistema, Architettura di rete ed evidenzia i gap da colmare rispetto ai seguenti requisiti:
- sicurezza integrata nell'architettura software;
- robustezza delle soluzioni proposte;
- componenti facenti parte dell'architettura software.
I vantaggi di un'Analisi sicurezza dell'architettura software rispetto alle Best Practice
I vantaggi ottenibili dalle organizzazioni sono:- il bilanciamento dei requisiti funzionali, di qualità e di sicurezza;
- la comunicazione delle soluzioni individuate tra le varie parti interessate;
- un’analisi astratta e di terza parte del sistema, culminante nella stesura di un Report con le possibili debolezze riscontrate.