Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Come i CISO possono passare dalla sicurezza delle applicazioni alla sicurezza dei prodotti
I team di sicurezza del prodotto stanno diventando più popolari per l'approccio approfondito alla sicurezza che adottano rispetto ai team AppSec. Ma c’è di più, e include la creazione di una cultura attenta alla sicurezza.
Sia che la si chiami sicurezza shift-left, sicurezza integrata o sicurezza fin dalla progettazione, oggi le aziende lungimiranti comprendono che devono considerare la sicurezza durante l'intero ciclo di vita non solo delle singole applicazioni ma del prodotto aziendale che desiderano. supporto. A tale scopo, un numero crescente di aziende utilizza team e responsabili della sicurezza del prodotto come strumento per attuare questo cambiamento.
La sicurezza del prodotto espande la portata della tradizionale sicurezza delle applicazioni ben oltre i test e nell'ambito del patrocinio, della collaborazione tra gruppi aziendali, del design thinking, della modellazione delle minacce, della pianificazione dell'architettura e della vera gestione del rischio. "Partecipando attivamente a ogni fase del processo di sviluppo, il team di sicurezza del prodotto aiuta a incorporare considerazioni sulla sicurezza nella progettazione, nell'architettura, nella codifica, nel test e nel rilascio in produzione del software", afferma Chris Roeckl, chief product officer di Appdome. “Questo approccio proattivo costituisce un circolo virtuoso e riduce al minimo il rischio di vulnerabilità e garantisce che la sicurezza sia un aspetto integrante del prodotto finale”.
Se eseguita correttamente, la sicurezza del prodotto diventa una leva importante per mantenere le promesse fatte ormai da anni dai sostenitori di DevSecOps.
Sebbene la sicurezza delle applicazioni e la sicurezza dei prodotti condividano uno scopo unico, ovvero aiutare un'organizzazione a rilasciare e mantenere un software sicuro, il ruolo svolto da ciascuna funzione nel raggiungimento di questo obiettivo è diverso. "Appsec si concentra davvero su test, convalida e toolchain, mentre la sicurezza del prodotto comprende le regole aziendali dell'intero SDLC, comprese quelle parti umane e fragili dello sviluppo del software", spiega Michele Chubirka, sostenitore della sicurezza cloud dello staff di Google.
Inoltre, mentre il team di sicurezza delle applicazioni approfondisce ogni singola applicazione che ha il compito di rafforzare, la sicurezza del prodotto ha un quadro generale, uno sguardo end-to-end alla sicurezza dell'intero stack che aiuta a fornire un determinato prodotto. “La sicurezza del prodotto è un’estensione della sicurezza delle applicazioni. La sicurezza delle applicazioni si concentra sulla protezione del codice e della funzionalità di una singola applicazione software", afferma David Lindner, CISO di Contrast Security. “La sicurezza del prodotto adotta una visione olistica dell’intero prodotto tecnologico, considerando l’ambiente più ampio e i potenziali vettori di attacco che possono emergere dalle comunicazioni tra i vari componenti”.
Questo ambiente più ampio potrebbe includere numerose applicazioni contemporaneamente, componenti hardware e servizi associati. La sicurezza dei prodotti tiene conto del loro livello di sicurezza quando vengono distribuiti insieme.
Per alcune aziende la sicurezza del prodotto può concentrarsi esclusivamente sui clienti esterni, ma altre considerano che anche progetti interni come i sistemi finanziari back-end o le risorse umane critici rientrino nell'ambito della sicurezza del prodotto. In ogni caso, le prospettive relative alla sicurezza dei prodotti sono più onnicomprensive, spiega Sam Rehman, CISO presso EPAM Systems, un'azienda globale di sviluppo software. "Ciò comporta un ambito più ampio, che comprende controlli operativi e tecnici, l'ambiente generale, le identità dei clienti, nonché meccanismi per rilevare e rispondere a potenziali problemi nel servizio", afferma.
Un modo per considerare la differenza è immaginare le applicazioni come torte, afferma Christine Gadsby, vicepresidente della sicurezza dei prodotti per BlackBerry. La sicurezza dell'applicazione è simile all'esame di una singola torta per essere sicuri che sembri sicura e priva di contaminanti prima di servirla a qualcuno. Nel frattempo, la sicurezza del prodotto è il processo volto a migliorare il modo in cui il panificio produce le torte e gli strumenti che utilizza per garantire che ogni torta sia sicura e abbia un buon sapore. "La sicurezza del prodotto è più un approccio 'quadro generale': l'intero processo di cottura dall'inizio alla fine e la garanzia di adottare le azioni e i processi giusti in ogni fase per garantire che la torta abbia esattamente la composizione corretta, soddisfi le esigenze delicate e forse un pallet sensibile e rimane 'fresco' per tutta la sua vita", afferma. "Come organizzazione, un team di sicurezza del prodotto deve considerare la sicurezza di un intero elenco di prodotti o sistemi e di ciò che i clienti li utilizzano, il che può includere diversi 'ingredienti' o diverse torte."