FTC, gli esperti invitano le start-up a tenere bene in considerazione la sicurezza IT sin dagli inizi

Molti dei grandi produttori di software, circa una decina di anni fa, hanno sperimentato le amare conseguenze che possono produrre certi software di qualità non eccelsa, ed hanno in tal modo deciso di considerare l’aspetto della sicurezza come una precisa regola da seguire sin dalla fase iniziale dello sviluppo del prodotto. Alcuni di essi, a dir la verità, stanno ancora imparando dai propri errori. La Federal Trade Commission (FTC, Commissione Federale del Commercio) degli Stati Uniti, così come numerosi esperti di sicurezza IT, sperano vivamente che le attuali start-up specializzate nello sviluppo di software non ripercorrano il “doloroso” processo.

La FTC ha recentemente lanciato una nuova iniziativa dedicata alle start-up, denominata Start With Security, proprio con l’intento di aiutare queste ultime ad introdurre il concetto di sicurezza Internet non solo nei prodotti realizzati, ma anche a livello di effettiva cultura di sviluppo. Uno dei principali aspetti di tale progetto consiste nell’incoraggiare le imprese di piccole dimensioni a tenere ben presenti, sin dall’inizio del ciclo di sviluppo del prodotto, le esigenze legate alla sicurezza informatica; una simile strategia è stata peraltro già adottata da vendor di primaria importanza, quali Microsoft, Adobe, etc.

Si tratta di una regola la cui paternità non può essere attribuita ad una persona o ad una società in particolare. Nella maggior parte dei casi, il cambiamento di rotta di cui si sono resi protagonisti numerosi produttori di software è stato determinato dalla necessità di fornire una precisa e rapida risposta – tramite l’introduzione di apposite modifiche – sia ai ripetuti attacchi pubblici, sia al malcontento espresso dagli utenti riguardo ai prodotti via via rilasciati. In tal senso, l’esempio di Microsoft calza a pennello: una lunga serie di attacchi condotti tramite temibili worm di rete, preposti a sfruttare bug individuati nei prodotti della casa di Redmond, ha indotto il gigante del software a cambiare completamente l’approccio adottato, e ad occuparsi in maniera assidua del miglioramento dei propri prodotti a livello di sicurezza.

Nel corso di una tavola rotonda svoltasi nell’ambito di una conferenza organizzata giovedì scorso a San Francisco su iniziativa della FTC, Window Snyder – facente parte, a suo tempo, del team Microsoft che si occupa delle tematiche relative alla sicurezza dei prodotti sviluppati – ha fatto notare come tale cambiamento sia risultato incredibilmente difficoltoso per la corporation statunitense. “Le sofferenze provate ogni volta hanno rappresentato la vera motivazione del cambiamento di approccio deciso da Microsoft, – ha dichiarato l’esperta di sicurezza IT, attualmente Chief Security Officer (CSO) presso Fastly. – Non auguro a nessuno di percorrere lo stesso cammino”.

“La realizzazione di simili cambiamenti ha richiesto sforzi enormi da parte di Microsoft, – ha aggiunto Window Snyder. – Il cambiamento di rotta ha davvero rappresentato una grande sfida ed ha comportato costi elevati. Si tratta di un aspetto particolarmente importante, che non deve essere affrontato alla fine del processo di sviluppo del prodotto, bensì all’inizio dello stesso, ovvero nel momento più appropriato per risolvere le questioni di sicurezza”.

Coloro che hanno preso parte alla tavola rotonda allestita dalla FTC hanno ugualmente osservato come l’introduzione delle problematiche relative alla sicurezza IT nelle fasi iniziali dello sviluppo del software non solo semplifichi il compito del vendor dal punto di vista tecnico, ma consenta, allo stesso tempo, di realizzare notevoli risparmi in termini economici. “Quanto prima vi occupate dei temi della sicurezza, tanto minori si riveleranno in seguito le spese da sostenere; molto, molto minori, – ha affermato Devdatta Akhawe, security engineer presso Dropbox. – Potete quindi occuparvi di sicurezza sin dalle fasi iniziali, per poi essere privi di preoccupazioni, oppure condurre senza sosta, in seguito, una battaglia particolarmente costosa”.

È proprio questo il messaggio che gli esperti di sicurezza software, e molti altri ancora, cercano di trasmettere, ormai da tempo, e con vari livelli di riuscita, agli sviluppatori e ai team di progettazione. Numerose società di grandi dimensioni, non solo i produttori di software commerciali, tengono già nella dovuta considerazione la sicurezza del codice, e adottano pratiche di modellazione delle minacce Internet; oltre a ciò, si assiste al coinvolgimento sempre più frequente di tali imprese in progetti quali l’iniziativa BSIMM, un particolare modello di maturità riguardo alla sicurezza del software. Tuttavia, trasmettere l’importanza di tali tematiche alle persone non direttamente coinvolte nella sfera della sicurezza IT, si rivela compito arduo.

Secondo Frank Kim, Chief Information Security Officer (CISO) presso il SANS Institute, un aspetto di particolare importanza di un nuovo progetto deve riguardare la dimostrazione dei rischi e dei benefici connessi alla qualità del software. “Occorre argomentare bene il proprio punto di vista, – dichiara con convinzione l’esperto. – Non si può semplicemente dire: “In questa riga di codice si nasconde una vulnerabilità, sei un incapace”. Bisogna in pratica spiegare le possibili conseguenze di tale vulnerabilità in relazione ad una determinata applicazione, per conferire peso e concretezza a quanto si afferma”.

L’importanza delle problematiche inerenti alla sicurezza viene ugualmente riconosciuta dai funzionari che si collocano ai vertici della FTC, l’agenzia governativa statunitense responsabile della conduzione di indagini sull’attività delle imprese che non rispettano gli standard relativi a sicurezza e privacy, con facoltà di comminare eventuali sanzioni. “In un mondo in cui, ormai, tutto è connesso, prodotti e servizi non sicuri possono comportare gravi conseguenze, – ha dichiarato Edith Ramirez, presidentessa della Federal Trade Commission, nel suo intervento di apertura della conferenza sopra citata. – Adesso più che mai risulta evidente la necessità di garantire la sicurezza dei prodotti software che supportano la nostra vita digitale”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *