Impegno: più di 60 produttori si impegnano a diventare “Safe by Design”.

Lascia un commento / Di /

L’agenzia statunitense per la sicurezza informatica CISA intensifica i suoi sforzi per migliorare gli standard di sicurezza dei software aziendali: lancia un impegno volontario “Secure by Design Pledge” per i produttori. Le aziende che sottoscrivono l’impegno devono adottare misure per avvicinare i propri prodotti a questo obiettivo entro 12 mesi dalla firma. Tuttavia, non vi è alcun effetto giuridicamente vincolante.

annuncio

Finora, 68 aziende hanno assunto questo impegno volontario, inclusi i giganti del settore cloud come Amazon Web Services, Cloudflare e Google. Nel frattempo, Meta, la società madre di Apple e Facebook, ha brillato per la sua assenza. Diverse altre aziende firmatarie, come Microsoft, FortiNet, Cisco e Ivanti, hanno recentemente riscontrato gravi problemi di sicurezza e hanno dovuto affrontare dure parole e misure punitive da parte della CISA.

Ora non possono essere solo chiacchiere. Entro un anno dalla firma dell’impegno, ciascuna azienda dovrà attuare misure in sette ambiti. Egli dovrebbe:

  1. Implementare l'autenticazione a più fattori in modo più intensivo,
  2. Sostituisci le password standard come “admin/password” con alternative sicure,
  3. Ridurre l'esposizione ad almeno una classe di vulnerabilità, come l'SQL injection, nell'intera famiglia di prodotti,
  4. Un miglioramento significativo nel modo in cui i clienti installano le patch di sicurezza,
  5. Stabilire un regolamento per la pubblicazione delle vulnerabilità (Vulnerability Disclosure Policy, VDP),
  6. Mappa rapidamente le vulnerabilità pubblicate utilizzando l'ID CVE e i relativi metadati
  7. Facilitare la raccolta di informazioni dopo un incidente di sicurezza, ad esempio attraverso i log.

SU Pagina del progetto Per il Secure Design Pledge, CISA fornisce esempi di misure che le aziende possono utilizzare per migliorare i propri sforzi in materia di sicurezza. Invita inoltre i firmatari a documentare pubblicamente i propri progressi.

READ  Firefox tiene traccia degli utenti senza che chiedano chi è online

La US Cybersecurity Commission fornisce ampie linee guida sul principio della “sicurezza fin dalla progettazione”, ad esempio su come contenere le SQL injection e i buchi di directory traversal.


(Kaku)

Alla home page

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto