Security by design significa progettazione dei prodotti orientata a limitare, fin dalla prima fase di creazione, le possibili vulnerabilità del sistema. Si tratta di un approccio innovativo che tocca da vicino i grandi temi della Trasformazione Digitale, Internet of Things (IoT) in primis, e va a inscriversi all’interno di una corretta gestione della sicurezza informatica. Ma di cosa parliamo esattamente? Analizziamolo in quest’articolo, attraverso spunti teorici, normativi e, perché no, anche un po’ pratici.
Con l’espressione security by design si intende un approccio per lo sviluppo software e hardware che cerca di mettere i sistemi in sicurezza rispetto ad attacchi e vulnerabilità impreviste, attraverso misure come il monitoraggio continuo, l’utilizzo di credenziali e l’aderenza a pratiche di programmazione migliori.
Si tratta di un approccio rivoluzionario, che capovolge completamente il punto di vista con cui si affronta un nuovo progetto: se di solito la sicurezza è un problema che si valuta a lavoro finito, con questa metodologia la questione security viene invece presa in considerazione subito, sin dalle fondamenta del progetto. Questo cambio di prospettiva è fondamentale, poiché permette di mettere in campo strategie più efficaci, sviluppate in fase di progettazione, permettendo quindi di identificare le soluzioni migliori, adattando, se necessario, lo sviluppo ai parametri di sicurezza.
Recentemente, il concetto di digital security by design ha ricevuto un’importante spinta dall’introduzione del GDPR, il regolamento europeo sulla protezione dei dati personali in vigore dal 25 maggio 2018.
Il regolamento ha radicalmente rovesciato la filosofia delle precedenti norme in materia di protezione dati e privacy, trasferendo di fatto la disciplina del trattamento dati da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema basato su un’alta responsabilizzazione sostanziale del Data Controller, a cui è richiesta (tra le altre cose) la capacità di prevenire (e non solo di correggere) gli errori (il cosiddetto principio di accountability).
Il GDPR ha inoltre introdotto un nuovo approccio metodologico completamente riskbased che considera la tutela dei dati personali un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti. Nell’art. 5 del GDPR, infatti, non solo si individua nel Titolare del trattamento il soggetto responsabile di garantire il rispetto dei principi applicabili al trattamento di dati personali ma si stabilisce che il medesimo debba essere altresì “in grado di comprovarlo”.
Sarà necessario, per esempio, essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati una violazione dei dati personali, di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla privacy «by design».
I principi di privacy e security design valgono in qualsiasi contesto, ma hanno implicazioni maggiori nell’ambito dei dispositivi connessi e dei sensori che rendono “intelligenti” le nostre case, le auto, gli impianti di videosorveglianza, gli smartphone ed i wearable.
I rischi connessi alle security dei dispositivi IoT sono evidenti. La raccolta di dati massiva, permessa dai dispositivi dell’Internet of Things, oltre ad ampliare la possibilità di riduzione della privacy degli utenti, apre le porte a nuovi potenziali punti di attacco, legati ai sistemi di raccolta dei dati e alle piattaforme di controllo dei device. Per questo il tema della security by design assume un ruolo fondamentale.
L’Internet of Things, per la sua pervasività in differenti settori di impresa, ha portato svariati manufacturer ad inserire nella propria offerta progressivamente prodotti intelligenti per cogliere, ed anticipare, le nuove richieste dei consumatori.
Spesso però mancano le competenze necessarie al disegno delle corrette misure di sicurezza, che richiedono, dopo il lancio dei prodotti, il richiamo o la creazione di update, con un grande esborso economico da parte dei produttori. Diviene quindi necessario, durante la progettazione, simulare attacchi per esplorare e comprendere potenziali vulnerabilità insite nei prodotti stessi, tramite Vulnerability Assessment e Penetration Test.
Vuoi comprendere a fondo le opportunità dell’Internet of Things per la tua azienda?
