Impegno: più di 60 produttori si impegnano a diventare “Safe by Design”.

Lascia un commento / Di /

L’agenzia statunitense per la sicurezza informatica CISA intensifica i suoi sforzi per migliorare gli standard di sicurezza dei software aziendali: lancia un impegno volontario “Secure by Design Pledge” per i produttori. Le aziende che sottoscrivono l’impegno devono adottare misure per avvicinare i propri prodotti a questo obiettivo entro 12 mesi dalla firma. Tuttavia, non vi è alcun effetto giuridicamente vincolante.

annuncio

Finora, 68 aziende hanno assunto questo impegno volontario, inclusi i giganti del settore cloud come Amazon Web Services, Cloudflare e Google. Nel frattempo, Meta, la società madre di Apple e Facebook, ha brillato per la sua assenza. Diverse altre aziende firmatarie, come Microsoft, FortiNet, Cisco e Ivanti, hanno recentemente riscontrato gravi problemi di sicurezza e hanno dovuto affrontare dure parole e misure punitive da parte della CISA.

Ora non possono essere solo chiacchiere. Entro un anno dalla firma dell’impegno, ciascuna azienda dovrà attuare misure in sette ambiti. Egli dovrebbe:

  1. Implementare l'autenticazione a più fattori in modo più intensivo,
  2. Sostituisci le password standard come “admin/password” con alternative sicure,
  3. Ridurre l'esposizione ad almeno una classe di vulnerabilità, come l'SQL injection, nell'intera famiglia di prodotti,
  4. Un miglioramento significativo nel modo in cui i clienti installano le patch di sicurezza,
  5. Stabilire un regolamento per la pubblicazione delle vulnerabilità (Vulnerability Disclosure Policy, VDP),
  6. Mappa rapidamente le vulnerabilità pubblicate utilizzando l'ID CVE e i relativi metadati
  7. Facilitare la raccolta di informazioni dopo un incidente di sicurezza, ad esempio attraverso i log.

SU Pagina del progetto Per il Secure Design Pledge, CISA fornisce esempi di misure che le aziende possono utilizzare per migliorare i propri sforzi in materia di sicurezza. Invita inoltre i firmatari a documentare pubblicamente i propri progressi.

READ  Come evitare l'infezione da coronavirus toccando il telefono

La US Cybersecurity Commission fornisce ampie linee guida sul principio della “sicurezza fin dalla progettazione”, ad esempio su come contenere le SQL injection e i buchi di directory traversal.


(Kaku)

Alla home page

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto