Indietro

Prossima

Passaggio 4 - Verifica

Completato

La fase di verifica è l'ultimo passaggio del processo di modellazione delle minacce e avviene spesso prima della distribuzione del sistema. Si tratta di garantire che siano soddisfatti i requisiti, che i presupposti siano convalidati e che i controlli di sicurezza siano attivi.

Obiettivi

• Verificare che il sistema soddisfi tutti i requisiti di sicurezza precedenti e nuovi
• Configurare provider di servizi cloud, sistema operativo e componenti per soddisfare i requisiti di sicurezza
• Assicurarsi che tutti i problemi vengano risolti con i controlli di sicurezza corretti
• Eseguire il sistema tramite la verifica manuale e automatizzata prima della distribuzione

Importante

Se non si completa questa fase, non sarà possibile verificare che gli interventi per la sicurezza siano stati completati correttamente.

Verificare i requisiti e impostare i valori predefiniti

Per iniziare, verificare che tutti i requisiti creati nella prima fase siano soddisfatti.

Esempi:

• Piani per la sicurezza della rete
• Implementazione della soluzione di gestione dei segreti
• Sistemi di registrazione e monitoraggio
• Controlli di identità e accesso

Assicurarsi quindi di modificare tutte le impostazioni di configurazione predefinite dal provider di servizi cloud, dal sistema operativo e dai componenti per soddisfare tutti i requisiti di sicurezza.

Esempi:

• Abilitare TDE (Transparent Data Encryption) del database SQL di Azure per proteggere i dati su disco
• Usare il controllo degli accessi in base al ruolo (RBAC) per assegnare autorizzazioni a utenti, gruppi e applicazioni
• Abilitare Windows Firewall per tutti i profili

È consigliabile risolvere tutti i problemi registrati nella soluzione di gestione dei bug. Verificare tutte le correzioni.

Eseguire la verifica

L'ultima parte prevede l'esecuzione di una verifica manuale e automatizzata. In Microsoft i sistemi sono soggetti a un processo di verifica prima della distribuzione. Il processo può includere scanner automatizzati, revisioni del codice e test di penetrazione. Il processo può essere applicato prima di ogni distribuzione o periodicamente, ad esempio ogni 6-12 mesi.

Se si risponde sì a una delle domande seguenti, è possibile avere cadenza di verifica più breve:

• Il sistema verrà usato esternamente?
• Gestisce dati riservati?
• Occorre assicurarsi della conformità alle normative?
• L'organizzazione richiede processi di sicurezza aggiuntivi, ad esempio implicazioni sulla privacy, rischi operativi o requisiti di sviluppo?

Verificare le conoscenze

1.

Che cosa avviene nella fase Verifica?

Si implementa l'elenco dei controlli di sicurezza applicabili che consente di ridurre o eliminare i rischi.

Il codice viene rivisto manualmente prima di eseguire il push nel ramo di staging per la distribuzione.

Il sistema viene verificato manualmente o automaticamente in relazione alle minacce generate in precedenza per verificare che i controlli di sicurezza abbiano ridotto o eliminato i rischi.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.

Continua