- La sicurezza si fa seriamente o è un optional in azienda?
– Security Management: gruppo esplicito di sicurezza e posizione nell'organigramma - Serve pensare e scrivere le Security Policy ?
– Security Policy: loro necessità ed efficacia - Sappiamo cosa difendere ?
– Asset/Data Inventory and Classification - Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
– Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete - Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
– Security Risk Management: processo di analisi e gestione del rischio - Siamo preparati ai disastri ?
– Disaster Recovery/Business Continuity: presenza di questi processi ausiliari - A quanti e a chi stiamo dando le chiavi di casa ?
– Security Delegation & Duty Separation: gestione dei gruppi privilegiati - La sicurezza è pensata nativamente nei progetti ?
– Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza - Sappiamo cosa sta succedendo in tempo reale ?
– Security Monitoring: ... e necessità del reporting direzionale - Sappiamo far rispettare le regole ?
– Security Auditing: sua necessità ed efficacia - Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
– Security Incident Response: sua necessità ed efficacia - Conosci e controlli adeguatamente il tuo perimetro ?
– Perimeter/Network Security: "dematerializzazione" del perimetro di rete - Quanti scrupoli ti fai nel fare security patching urgente ?
– Host Security: approccio al security patch management - Quanto è semplice controllare la configurazione di sicurezza ?
– Host Security: considerazioni sul security hardening - Sei sicuro della sicurezza del TUO codice ?
– Application Security: necessità e urgenza dei processi di secure code development - Lo sai che i dati e le informazioni sono il tuo tesoro ?
– Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection - Stiamo coordinando la sicurezza logica con quella fisica ?
– Physical Security: sua necessità e coordinamento con la sicurezza logica
Post originale: Le "17 perle" della Security Governance dove trovate le slide aggiornate in allegato.
Video della sessione al Microsoft Technet Security Day del 7 giugno 2007.
Ogni considerazione verrà aggiornata nel tempo con i link alle risorse utili per l'approfondimento:
Organizational Security
Operational Security
Defense In-Depth Technology Security Controls
… il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni
Non lo faccio (solo) per farmi bello … ;-), ma in questi giorni ho letto qualche articolo che conferma
Il report SANS Top-20 è storicamente una delle più importanti risorse nelle mani del professionista di
Non so quanti di voi siano già a conoscenza di questo tool, e quanti abbiano avuto già modo