Cosa significa che la sicurezza è un compito di tutti? E se ci dobbiamo pensare tutti, non rischiamo forse che non ci pensi più nessuno, facendo la fine del famoso cane con tanti padroni?

In effetti, dire che “la sicurezza è un compito di tutti” potrebbe sembrare un’affermazione generica o uno scaricabarile.

Tuttavia, questa frase è diventata un vero e proprio mantra per indicare un cambiamento significativo di mentalità e di approccio alla sicurezza informatica (come sempre prima si parte dalla cultura).

Ritesh Desai, General Manager di AWS Secrets Manager (https://aws.amazon.com/it/blogs/security/aws-security-profile-ritesh-desai-gm-aws-secrets-manager/), afferma: “La sicurezza informatica non è più un compito esclusivo del reparto IT o degli esperti di cybersecurity. Nelle organizzazioni moderne si promuove l’idea che la protezione sia una responsabilità condivisa da tutti.”

Ciò significa che ogni persona, dal dirigente al singolo developer, ha un ruolo attivo nella protezione dei sistemi e dei dati, ciascuno secondo la propria sfera di influenza e competenza. Adottare questo approccio implica investire in una formazione diffusa e fornire strumenti adeguati a ogni livello aziendale.

Bene, tutto molto interessante. Ma in pratica, cosa significa? Ecco alcune attività concrete che si possono adottare: – formazione periodica sul phishing per tutto il personale; – configurazione dei client di posta per identificare mittenti e domini sospetti; – adozione di strumenti e tecniche per la protezione e riservatezza dei dati aziendali; – implementazione obbligatoria dell’autenticazione multi-fattore; – applicazione del principio di Security by Design nei processi di sviluppo software; – container security scanning per ambienti containerizzati; – backup automatizzati con test periodici di ripristino; – gestione degli accessi secondo il principio del least privilege, sia per utenti che per processi automatici (per esempio, i developer non dovrebbero avere accesso diretto agli ambienti di produzione).

Action

Sembra tanto? In effetti, hai ragione, lo è!

Tuttavia i rischi legali e reputazionali sono troppo elevati per soprassedere su queste tematiche.

Qual è, secondo te, la cosa più utile che potresti fare nel tuo team da domani per la sicurezza?

Sharing is caring

Se conosci qualcuno che potrebbe trovare utile ricevere e-mail per migliorare l’organizzazione dei team di sviluppo software, DevOps e software engineering in generale inoltragli questo post! Qui può iscriversi e cominciare a ricevere subito!