Passaggio 4 - Verifica
La fase di verifica è l'ultimo passaggio del processo di modellazione delle minacce e avviene spesso prima della distribuzione del sistema. Si tratta di garantire che siano soddisfatti i requisiti, che i presupposti siano convalidati e che i controlli di sicurezza siano attivi.
Obiettivi
- Verificare che il sistema soddisfi tutti i requisiti di sicurezza precedenti e nuovi
- Configurare provider di servizi cloud, sistema operativo e componenti per soddisfare i requisiti di sicurezza
- Assicurarsi che tutti i problemi vengano risolti con i controlli di sicurezza corretti
- Eseguire il sistema tramite la verifica manuale e automatizzata prima della distribuzione
Importante
Se non si completa questa fase, non sarà possibile verificare che gli interventi per la sicurezza siano stati completati correttamente.
Verificare i requisiti e impostare i valori predefiniti
Per iniziare, verificare che tutti i requisiti creati nella prima fase siano soddisfatti.
Esempi:
- Piani per la sicurezza della rete
- Implementazione della soluzione di gestione dei segreti
- Sistemi di registrazione e monitoraggio
- Controlli di identità e accesso
Assicurarsi quindi di modificare tutte le impostazioni di configurazione predefinite dal provider di servizi cloud, dal sistema operativo e dai componenti per soddisfare tutti i requisiti di sicurezza.
Esempi:
- Abilitare TDE (Transparent Data Encryption) del database SQL di Azure per proteggere i dati su disco
- Usare il controllo degli accessi in base al ruolo (RBAC) per assegnare autorizzazioni a utenti, gruppi e applicazioni
- Abilitare Windows Firewall per tutti i profili
È consigliabile risolvere tutti i problemi registrati nella soluzione di gestione dei bug. Verificare tutte le correzioni.
Eseguire la verifica
L'ultima parte prevede l'esecuzione di una verifica manuale e automatizzata. In Microsoft i sistemi sono soggetti a un processo di verifica prima della distribuzione. Il processo può includere scanner automatizzati, revisioni del codice e test di penetrazione. Il processo può essere applicato prima di ogni distribuzione o periodicamente, ad esempio ogni 6-12 mesi.
Se si risponde sì a una delle domande seguenti, è possibile avere cadenza di verifica più breve:
- Il sistema verrà usato esternamente?
- Gestisce dati riservati?
- Occorre assicurarsi della conformità alle normative?
- L'organizzazione richiede processi di sicurezza aggiuntivi, ad esempio implicazioni sulla privacy, rischi operativi o requisiti di sviluppo?