I DIECI PRINCIPI

PRINCIPIO DI INVENTARIO • “Conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, quali sono le minacce a questi asset, quali le vulnerabilità e quali i rischi a cui si è sottoposti.

PRINCIPIO DI ATTRIBUZIONE • Significa attribuire responsabilità chiare, gestire il logging e il monitoring degli eventi, gestire le autorizzazioni in modo corretto ma anche gestire i flussi di dati (cosa va a chi) e gestire le operazioni sui dati.

PRINCIPIO DELLA PERVASIVITÀ • Significa usare metodologie, standard e best practices, sviluppare policy, promuovere la security awareness, gestire tutto il ciclo di vita degli asset, presidiare i progetti, fare audit regolari.

PRINCIPIO DELLA RIDONDANZA • Tutto ciò che ha Valore deve avere una copia o un possibile sostituto che significa infrastrutture ridondate, backup, assenza di Single Point of Failure (anche nel senso di competenze e responsabilità) ma anche uso dell’autenticazione multifattore dove necessario.

PRINCIPIO DEL MINIMO • “Con il poco si gode, con il molto si tribola”. Alcuni esempi: ridurre la superficie di attacco, seguire i criteri del minimo privilegio e del need to know, usare catene di comando accorciate, semplificare i processi.

PRINCIPIO DEL MIGLIORAMENTO CONTINUO • Si può e si deve sempre fare di meglio che significa prevedere il cambiamento, aggiornare continuamente le competenze, monitorare l’evoluzione del contesto di sicurezza, fare assessment con regolarità.

PRINCIPIO DELL’AUTOMATIZZAZIONE • Significa ridurre le attività manuali e promuovere la digitalizzazione, usare indicatori oggettivi, misurare l’efficienza e l’efficacia dei processi.

PRINCIPIO DELLA TEMPORALITÀ • Significa imparare a lavorare per priorità, tenersi al passo con aggiornamenti e patch, correlare gli eventi, posizionare gli allarmi in modo appropriato, pianificare le azioni, gestire i colli di bottiglia che portano ritardi e il lavoro in emergenza.

PRINCIPIO DELLA DIVERSITÀ • Significa usare il pensiero laterale, mettersi dal punto di vista di un attaccante, elicitare i requisiti tenendo conto di tutti gli stakeholder, usare prodotti di nicchia e diversi tra loro, promuovere il pensiero critico nel team e valorizzare le differenze culturali.

PRINCIPIO DELLA SEPARAZIONE • Significa usare la Separation of duties, dividere asset con esigenze di sicurezza diverse, segmentare l’infrastruttura, creare profili applicativi diversi.