Risorse sulle 17 perle della Security Governance

Post originale: Le “17 perle” della Security Governance dove trovate le slide aggiornate in allegato.

Video della sessione al Microsoft Technet Security Day del 7 giugno 2007.

Ogni considerazione verrà aggiornata nel tempo con i link alle risorse utili per l’approfondimento:

Organizational Security

1. La sicurezza si fa seriamente o è un optional in azienda?
    – Security Management: gruppo esplicito di sicurezza e posizione nell’organigramma


2. Serve pensare e scrivere le Security Policy ?
   –  Security Policy: loro necessità ed efficacia

• Firms urged to educate staff on ICT policies

3. Sappiamo cosa difendere  ?
   – Asset/Data Inventory and Classification


4. Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare ?
   – Third-party relationships: la sicurezza nei rapporti con partner che accedono alla nostra rete

• Third Parties Fumble Data Handoffs

Operational Security

5. Con quale criterio acquistiamo/adottiamo le contromisure di difesa ?
   – Security Risk Management: processo di analisi e gestione del rischio


6. Siamo preparati ai disastri ?
   – Disaster Recovery/Business Continuity: presenza di questi processi ausiliari


7. A quanti e a chi stiamo dando le chiavi di casa ?
   – Security Delegation & Duty Separation: gestione dei gruppi privilegiati


8. La sicurezza è pensata nativamente nei progetti ?
   – Security By Design: validazione dei progetti rispetto ai requisiti di sicurezza


9. Sappiamo cosa sta succedendo in tempo reale ?
   – Security Monitoring:  … e necessità del reporting direzionale


10. Sappiamo far rispettare le regole ?
    – Security Auditing: sua necessità ed efficacia


11. Sappiamo reagire in modo ordinato e costruttivo ai problemi ?
    – Security Incident Response: sua necessità ed efficacia

Defense In-Depth Technology Security Controls

12. Conosci e controlli adeguatamente il tuo perimetro ?
    – Perimeter/Network Security: “dematerializzazione” del perimetro di rete


13. Quanti scrupoli ti fai nel fare security patching urgente ?
    – Host Security: approccio al security patch management


14. Quanto è semplice controllare la configurazione di sicurezza ?
    – Host Security: considerazioni sul security hardening


15. Sei sicuro della sicurezza del TUO codice ?
    – Application Security: necessità e urgenza dei processi di secure code development




• L’SDL e l’importanza della sicurezza applicativa


• Sei sicuro della sicurezza del TUO codice ?


• Study: Largest vendors account for fewer software flaws

16. Lo sai che i dati e le informazioni sono il tuo tesoro ?
    – Data Security & Privacy: necessità ed efficacia delle tecnologie di data protection


17. Stiamo coordinando la sicurezza logica con quella fisica ?
    – Physical Security: sua necessità e coordinamento con la sicurezza logica