O.W.A.S.P. e sicurezza applicativa

Premesse

Protected by Copyscape
Aggiornato giugno 2022

Tutte le applicazioni software, ed in particolare quelle web, sono soggette a potenziali rischi di essere hackerate tramite diverse strategie. I rischi di tali intrusioni sono gravi e possono andare dal furto di informazioni a veri e propri danni inferti all’organizzazione che le usa. Il sottoscritto segue ed ha in grande considerazione l’importanza della sicurezza informatica ma questo non è un blog che approfondisce queste tematiche.

Lascio ad altri esperti del settore come Pierguido Iezzi, Nicola Vanin e Alessandro Parisi portare avanti la ricerca in tal senso.

Avevo già accennato ad OWASP in questo articolo, qui mi preme segnalare che senza sicurezza informatica e senza buone pratiche per garantirla ogni beneficio da tecnologie come le soluzioni CAFM, BMS, IA e IoT rischia di essere vanificato dai rischi.

Cos’è OWASP

OWASP è l’acronimo di Open Web Application Security Project®, ed è, come recita il suo sito istituzionale, una Fondazione no-profit che lavora per migliorare la sicurezza del software. Attraverso progetti di software open-source gestiti dalla comunità, centinaia di capitoli locali in tutto il mondo, decine di migliaia di membri e conferenze educative e formative di primo piano, la OWASP Foundation è la fonte per gli sviluppatori e i tecnologi per la sicurezza del web.

L’OWASP Application Security Project

Lo scorso 15 maggio (2022) il team di leadership di OWASP ASVS ha reso noti gli obiettivi e la roadmap della versione 5.0 del programma di punta di OWASP.

L’obiettivo principale del progetto OWASP Application Security Verification Standard (ASVS) è quello di normalizzare la copertura e il livello di affidabilità disponibili sul mercato quando si tratta di eseguire la verifica della sicurezza delle applicazioni Web utilizzando uno standard aperto e utilizzabile a livello commerciale.

Stabilire uno standard consente di disporre di una base per la verifica dei controlli di sicurezza delle applicazioni, nonché di tutti i controlli sull’ambiente che ospita le applicazioni. Questo standard può essere utilizzato per stabilire un livello di fiducia nella sicurezza delle applicazioni Web. I requisiti sono stati sviluppati con i seguenti obiettivi:

  • Uso come metrica– in tal senso questo standard fornisce agli sviluppatori e alle software house una base di riferimento con cui valutare il grado di fiducia che può essere riposto nelle loro applicazioni Web;
  • Uso come guida – con questo focus, sono messe a disposizioni opportune indicazioni agli sviluppatori su cosa possono inserire nei controlli di sicurezza per soddisfare i requisiti di sicurezza delle applicazioni.
  • Uso in fase di selezione: quando si tratta di scegliere, meglio poter sapere a priori la qualità del software. A riguardo OWASP fornisce una base per specificare i requisiti contrattuali di verifica della sicurezza delle applicazioni .

La OWASP TOP10 dei rischi

La OWASP Top 10 è un documento standard di sensibilizzazione per gli sviluppatori sulla classifica dei principali rischi per la sicurezza delle applicazioni web. Grazie alla valutazione della frequenza delle varie tipologie di rischi questa classifica rappresenta un ottimo strumento di verifica dei rischi più critici per la sicurezza delle applicazioni web.

Proprio per la diffusione con cui la OWASP Foundation condivide le informazioni e la consapevolezza dei rischi, questa Top 10 è riconosciuta a livello mondiale come il primo passo verso una verifica della qualità del proprio codice in termini di sicurezza.

Le aziende più serie dimostrano la loro attenzione effettiva al tema sicurezza confrontando le proprie applicazioni con i rischi esposti da questo documento e per ridurre al minimo questi rischi. L’utilizzo della Top 10 di OWASP è infatti un primo passo efficace per cambiare la cultura dello sviluppo per produrre costantemente codice più sicuro.

La sicurezza informatica nel Facility Management

Anche l’ambito delle applicazioni per il Facility Management deve garantire una adeguata protezione dei dati gestiti. In particolare esistono molteplici contesti in cui le informazioni degli edifici rivestono carattere di importanza strategica (vedi edifici militari, amministrativi, civili e di ricerca strategica).

L’uso di software ben progettati e sicuri by design consentono di minimizzare i rischi di accessi non consentiti o peggio di attacchi alle informazioni patrimoniali gestite.

Citiamo di seguito tre contesti che possono subire dei danni da una applicazione non sicura:

Rischi per la privacy

Lo scorso 20 maggio, in occasione dell’evento Tech Law dal titolo “Artificial Intelligence & Big Data,  Luigi Carrozzi, dell’Autorità Garante Protezione Dati Personali ha esplicitamente detto:

“Il problema della cibersecurity e in generale della sicurezza è un argomento fondamentale. Nell’ambito del regolamento generale sulla protezione dei dati ormai la sicurezza è diventato un principio: ai fini di proteggere e di salvaguardare i diritti e le libertà fondamentali di tutti noi è fondamentale anche avere un buon assetto di sicurezza”

Un tale pronunciamento rende evidente che ci si aspetta una generale attenzione preventiva alla protezione dei dati e a tal riguardo le applicazioni devono essere sicure (per i dati personali) by design.

Le applicazioni di Facility Management sono in generale applicazioni tecniche usate da un ristretto numero di utenti e in ambito Business-to-Business. Tuttavia in certi contesti (quali quello ospedaliero o legale) possono contenere informazioni sensibili di una o più persone. Questo ad esempio per servizi di facchinaggio o di manutenzione, se vengono raccolte ed esplicitate informazioni delle persone coinvolte (come dati sanitari/medici, etc.).

Rischi per la riservatezza dei dati spaziali

Nessuno può più contare i film d’azione (i vari Mission Impossible, Ocean Eleven) o di spionaggio (la serie degli 007) nei quali per pianificare un’intervento si fanno uso delle planimetrie dell’edificio in cui agire. Il Sistema Informativo per il Facility Management è spesso il contenitore di questi dati e come tale va protetto da tentativi di furto di informazioni sensibili.

Disporre di planimetri aggiornate e poter studiare la disposizione dei sistemi antintrusione e di sicurezza costituisce un vantaggio notevole per chi pianifica un’accesso fisico a certi ambienti.

E’ proprio proteggendo le applicazioni da queste minacce che si garantisce un adeguato layer di protezione oltre a quelli dati da personale di security e da sistemi antintrusione.

Rischi di interruzione del servizio

Anche i sistemi a supporto delle attività di Facility Management possono rivestire in certi contesti un importante presidio di continuità del servizio. Come tali, il rischio di un attacco che renda impossibile usarli (ad esempio con cancellazione o corruzione dei dati registrati) costituisce un pericolo serio che va assolutamente preso in considerazione.

Un call center che assista il personale in situazioni di pericolo o di problemi seri (ad es. indisponibilità della climatizzazione in una sala operatoria) che non possa raccogliere la chiamata possono sfociare in responsabilità penali.

Conclusioni

Considerare la sicurezza applicativa è una priorità per qualsiasi soluzione software. Come avevo accennato anche nell’articolo sulla scelta della soluzione di Facility Management, questi criteri sono fondamentali per assicurarsi di lavorare in sicurezza. Se hai bisogno di un supporto decisionale puoi contattarmi qui.