Partita la Secure by design iniziative: soluzioni di gestione accessi, test, valutazione del codice sorgente per fare security sin dalla fase di creazione delle applicazioni.
Ibm ha recentemente presentato a Orlando (Florida) software e servizi per aiutare le aziende a incorporare la sicurezza nella progettazione iniziale delle loro applicazioni, anziché inserirla a posteriori, ossia quando è più oneroso apportare le correzioni.
Gli annunci fatti comprendono diverse proposte, in grado di aiutare le aziende ad abbassare i costi e ridurre i rischi.
Si parla, allora, di gestione degli accessi, con software in grado di fornire un accesso sicuro a server, applicazioni e ambienti attraverso i nuovi modelli di delivery dei servizi It, compreso il cloud; di test della sicurezza, con software per testare automaticamente il codice sorgente e identificare le vulnerabilità di sicurezza e conformità nelle prime fasi di sviluppo del software; di servizi di valutazione del codice sorgente: servizi che aiutano a valutare la sicurezza delle applicazioni, identificare le vulnerabilità e fornire raccomandazioni per azioni correttive; di framework di progettazione sicura: un blueprint collaudato per creare e sviluppare software sicuro.
L’elemento centrale nell’approccio di Ibm per affrontare le sfide di sicurezza è dunque uno spostamento dell’attenzione dalla protezione degli asset alla protezione dei servizi critici. L’iniziativa Secure by Design punta a incorporare la sicurezza nel tessuto dei servizi offerti, rendendola intrinseca rispetto ai processi di business, allo sviluppo dei prodotti e alle attività operative quotidiane.
Ibm lo fa con aggiornamenti per la famiglia Tivoli Access Manager, che aiuteranno le aziende a fornire servizi di autenticazione centralizzata, gestione delle politiche e controllo degli accessi tra diverse piattaforme di distribuzione dei servizi, quali cloud computing e Service oriented architecture (Soa), oltre ad ambienti complessi di portale ed applicazioni Web. Gli aggiornamenti possono contribuire a proteggere l’accesso ai dati critici in tutta l’organizzazione.
Forte della recente acquisizione di Ounce Labs, Ibm sta ulteriormente potenziando il suo portfolio introducendo AppScan Source Edition, un nuovo componente per la sicurezza e la conformità delle applicazioni Web. La nuova versione di AppScan fornisce una soluzione completa per correggere le vulnerabilità delle applicazioni prima che diventino operative, cioè quando è meno oneroso porre rimedio.
Per le aziende che non dispongono di competenze per la sicurezza delle applicazioni, o che preferiscono affidare all’esterno tali valutazioni, Ibm annuncia anche Application Source Code Security Assessment. I nuovi servizi sono progettati per aiutare i clienti a capire e migliorare la propria conformità normativa e a ridurre il rischio, fornendo una valutazione iniziale del codice sorgente delle applicazioni, per favorire l’incorporazione della sicurezza nel ciclo di vita di sviluppo del software.
Con questo nuovo servizio, i consulenti Ibm testeranno le applicazioni per i clienti, identificheranno le vulnerabilità per la sicurezza e forniranno raccomandazioni per la prioritizzazione e le misure di rimedio dettagliate per risolvere tali vulnerabilità. Le aziende potranno così acquisire una comprensione più rapida della sicurezza delle applicazioni testate.
Per il test continuo del codice sorgente, i clienti possono completare questo servizio con AppScan Source Edition per verifiche automatizzate regolari.
E per aiutare aziende e mondo accademico a implementare un approccio sicuro end-to-end alla fornitura dei prodotti, Ibm ha pubblicato di recente “Security in Development: The Ibm Secure Engineering Framework”. Il framework fornisce le best practice in tema di sicurezza che rappresentano sempre più un requisito fondamentale per lo sviluppo di prodotti ed applicazioni che girano nell’infrastruttura digitale mondiale. L’obiettivo del framework è consentire una maggiore collaborazione tra tutti gli attori del settore, gli enti normativi e le pubbliche amministrazioni di tutto il mondo al fine di perfezionare l’approccio delle organizzazioni alla sicurezza.