Guida alla tecnologia

Guida alla sicurezza IT continua

Sicurezza informatica e IT devono muoversi insieme lungo un percorso di continuità e integrazione. Come si raggiungono questi obiettivi? Abbiamo qualche suggerimento, ma non si tratta di passaggi distinti né lineari. Puoi immaginarli piuttosto come una serie di ingranaggi collegati tra loro: quando uno gira, lo fanno anche gli altri, così che ogni componente del piano di sicurezza si muove in sincronia.

Security guide diagram

Progettazione

La sicurezza nasce da un piano

Progetta flussi di lavoro che consentono ai team di adottare processi collaborativi e trasparenti per definire la sicurezza e la sua implementazione nel ciclo di vita dell'IT. Con tecnologie in ambienti altamente connessi, come il cloud, è necessario porre particolare attenzione, poiché buona parte del controllo potrebbe essere nelle mani di terze parti.

Di seguito sono indicati alcuni aspetti da valutare con il team: che tipo di controlli e processi di sicurezza sono necessari nell'ambiente in uso? Come avviene la collaborazione con i fornitori? Come vengono comunicate le decisioni più importanti tra i team?

Design phase of security

Fai il primo passo:

  • Definisci i controlli e i requisiti di sicurezza
  • Sviluppa processi di sicurezza in modo collaborativo
  • Mantieni i team aggiornati sugli standard di sicurezza
  • Predisponi metodi di comunicazione trasparenti che, in caso di emergenza, consentano di applicare simultaneamente le soluzioni di sicurezza all'intero ciclo di vita dell'IT
  • Scegli fornitori di fiducia e chiarisci le loro responsabilità

Creazione

Creare la sicurezza con l'automazione

DevOps usa l'automazione per ottenere cicli di feedback continuo in tutte le fasi del ciclo di vita dell'applicazione. Nella fase di creazione della sicurezza, l'approccio vale anche se la tua non è un'azienda DevOps. L'automazione dei controlli e dei processi di sicurezza offre numerosi vantaggi: previene la duplicazione e riduce l'errore umano, offre un dashboard centralizzato per il processo decisionale e accelera il processo di individuazione e reazione alle minacce. È possibile usare l'automazione anche per creare attività di controllo della sicurezza, che impediscano automaticamente il deployment nel caso in cui un controllo di sicurezza abbia esito negativo.

Possono esserci ovviamente falsi allarmi e minacce interne. L'automazione va gestita affinché si adatti alle esigenze dei team. Mano a mano che la sicurezza viene integrata nell'infrastruttura, nelle applicazioni e nei processi, occorre verificare che siano stati predisposti i controlli idonei a impedire accessi e modifiche non autorizzate. Usa la crittografia ogni volta che è possibile.

Build phase of security

Fai il primo passo:

  • Automatizza e integra i test di sicurezza nei processi di creazione e deployment
  • Usa attività di controllo della sicurezza che attivino azioni adeguate, mirate ad avviare o a prevenire il deployment
  • Usa algoritmi e interfacce crittografiche
  • Scegli un'infrastruttura dotata di funzionalità di registrazione e monitoraggio

Esecuzione

Esecuzione su piattaforme avanzate di sicurezza

I modelli di sicurezza tradizionali basati su procedure manuali non sono più compatibili con le esigenze di sicurezza delle nuove tecnologie distribuite, come il cloud. Queste tecnologie, così come gli strumenti e i processi che le supportano, si affidano in gran parte all'automazione. È bene che l'infrastruttura preveda piattaforme avanzate di protezione e sicurezza comuni a tutti gli ambienti, indipendentemente dal fatto che siano fisici, virtuali, di cloud privato o pubblico.

Run phase of security

Fai il primo passo:

  • Automatizza e integra i test di sicurezza nei processi di creazione e deployment
  • Le piattaforme dell'infrastruttura devono essere integrate, utilizzabili e coerenti in tutta l'architettura, nonché adattabili a una vasta gamma di processi

Gestione

Gestione della configurazione, degli utenti degli accessi

È fondamentale investire in strumenti di gestione che consentano di automatizzare auditing, correzioni e modifiche alla configurazione della sicurezza. Assegnare i ruoli in anticipo e in modo funzionale alle specifiche esigenze di sicurezza aziendale contribuisce alla resilienza della sicurezza dell'ambiente. I privilegi vanno assegnati solo a chi ne ha necessità per svolgere il proprio lavoro. È probabilmente ciò che accade quando nuovo personale entra a far parte dell'azienda, ma i dati utente vanno aggiornati periodicamente, soprattutto se il personale lascia il lavoro.

Sono stati predisposti strumenti capaci di analizzare e mitigare un incidente? Come verrà usata l'automazione per l'implementazione, l'auditing e la correzione automatica delle policy di sicurezza e conformità normativa tra i carichi di lavoro?

Manage phase of security

Fai il primo passo:

  • Conserva un catalogo aggiornato delle risorse e monitora l'accesso e l'utilizzo
  • Distribuisci una soluzione di gestione capace di implementare la sicurezza proattiva continua, che copra l'intera infrastruttura: fisica, virtuale, di cloud privato e pubblico
  • Gestisci in modo attivo gli utenti e gli accessi con un dashboard che consenta di tener traccia di tutti i componenti del ciclo di vita dell'IT
  • Definisci profili di sicurezza dotati dei controlli di sicurezza necessari
  • Automatizza la conformità a questi profili di sicurezza
  • Verifica di disporre dell'infrastruttura e della sicurezza in forma di codice. Questo aspetto ti consente di avere un'infrastruttura ripetibile, condivisibile e verificabile, oltre a facilitare l'auditing di conformità.

Adattamento

Adattarsi a un panorama in costante cambiamento

I cambiamenti nel panorama della sicurezza sono repentini. Va pertanto pianificata una revisione regolare, di pari passo ai cambiamenti dei requisiti di governance e auditing. È indispensabile sapere dove cercare gli avvisi e le raccomandazioni di sicurezza e usare tali informazioni per agire di conseguenza. Tuttavia, anche con i piani di sicurezza migliori, vengono scoperti regolarmente nuovi sistemi di attacco. Una risposta rapida a una minaccia alla sicurezza è di primaria importanza e poter contare su un partner che ti guida tra le patch, le correzioni e i ripristini è fondamentale per un'azienda sempre in pista.

Adapt phase of security

Fai il primo passo:

  • Usa l'analisi e l'automazione per promuovere l'adattamento: rivedi, aggiorna e correggi seguendo i mutamenti degli scenari
  • Cambiano i ruoli e le responsabilità: modifica di conseguenza le impostazioni di accesso
  • Mantieni il passo con i requisiti di auditing e governance
  • Rivedi e aggiorna policy e governance di pari passo ai cambiamenti del panorama

Risorse di sicurezza

Sviluppatori

Programma Red Hat Developer

Scopri la programmazione sicura con il programma Red Hat Developer

Formazione

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Gestisci i rischi di sicurezza e contribuisci a rispettare i requisiti di conformità con le tecnologie di sicurezza Red Hat.

Supporto

Technical Account Management

Un consulente tecnico a tua disposizione per valutare insieme i rischi ed eseguire i controlli di supportabilità.

Scopri di più sull'approccio di Red Hat alla sicurezza