Risorse sulle 17 perle della Security Governance


 


    Post originale: Le “17 perle” della Security Governance dove trovate le slide aggiornate in allegato.


    Video della sessione al Microsoft Technet Security Day del 7 giugno 2007.


     


    Ogni considerazione verrà aggiornata nel tempo con i link alle risorse utili per l’approfondimento:


     


    Organizational Security



    1. La sicurezza si fa seriamente o è un optional in azienda?
       
      Security Management: gruppo esplicito di sicurezza e posizione nell’organigramma

    2. Serve pensare e scrivere le Security Policy ?
       
      Security Policy: loro necessità ed efficacia



    1. Sappiamo cosa difendere  ?
      Asset/Data Inventory and Classification

    2. Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
      Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete


    Operational Security



    1. Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
      Security Risk Management: processo di analisi e gestione del rischio

    2. Siamo preparati ai disastri ?
      Disaster Recovery/Business Continuity: presenza di questi processi ausiliari

    3. A quanti e a chi stiamo dando le chiavi di casa ?
      Security Delegation & Duty Separation: gestione dei gruppi privilegiati

    4. La sicurezza è pensata nativamente nei progetti ?
      Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza

    5. Sappiamo cosa sta succedendo in tempo reale ?
      Security Monitoring:  … e necessità del reporting direzionale

    6. Sappiamo far rispettare le regole ?
      Security Auditing: sua necessità ed efficacia

    7. Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
      Security Incident Response: sua necessità ed efficacia

    Defense In-Depth Technology Security Controls



    1. Conosci e controlli adeguatamente il tuo perimetro ?
      Perimeter/Network Security: “dematerializzazione” del perimetro di rete

    2. Quanti scrupoli ti fai nel fare security patching urgente ?
      Host Security: approccio al security patch management

    3. Quanto è semplice controllare la configurazione di sicurezza ?
      Host Security: considerazioni sul security hardening

    4. Sei sicuro della sicurezza del TUO codice ?
      Application Security: necessità e urgenza dei processi di secure code development



    1. Lo sai che i dati e le informazioni sono il tuo tesoro ?
      Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection

    2. Stiamo coordinando la sicurezza logica con quella fisica ?
      Physical Security: sua necessità e coordinamento con la sicurezza logica

Comments (4)

  1. Anonymous says:

    … il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni

  2. Anonymous says:

    Non lo faccio (solo) per farmi bello … ;-), ma in questi giorni ho letto qualche articolo che conferma

  3. Anonymous says:

    Il report SANS Top-20 è storicamente una delle più importanti risorse nelle mani del professionista di

  4. Anonymous says:

    Non so quanti di voi siano già a conoscenza di questo tool, e quanti abbiano avuto già modo