Esperto di sicurezza: una figura da rivalutare in un team di sviluppo
Mercoledì 21 Aprile 2010 - 11:04
di Gabriele Romanato
Recentemente ho avuto dei problemi di sicurezza sul mio sito. Tutto questo mi ha portato a riflettere sul processo di sviluppo di un sito web e sul perchè oggi più che mai sia necessario affiancare la figura professionale di un esperto di sicurezza informatica a quelle già presenti all’interno di un team.
Con l’evolversi delle tipologie di attacco ai siti e con il rapido affermarsi di nuovi ceppi malware e, soprattutto, con la ovvia constatazione che il tema della sicurezza è qualcosa di estremamente complesso, affidare sempre la cura della sicurezza di un sito ad uno sviluppatore web (imponendogli così un doppio lavoro) si rivela spesso controproducente. Sia chiaro: è ovvio che uno sviluppatore web debba sapere come scrivere codice sicuro, ma è altrettanto vero che il campo della sicurezza è talmente vasto che spesso non basta conoscere alcune best practices per dirsi completamente al sicuro.
Ecco perché in un team di sviluppo dovrebbe essere presente un esperto di sicurezza come supervisore delle varie fasi di implementazione e, successivamente, come tester della reale affidabilità dell’applicazione o del sito. Spesso questi test non vengono eseguiti prima del rilascio, ma solo successivamente. Andrebbero invece divisi tra il prima e il dopo il rilascio, e, soprattutto, affidati ad una persona che conosce i dettagli tecnici dell’implementazione.
Affiancando questa figura professionale ad un team di sviluppo, a mio avviso si risparmierebbe molto tempo e, soprattutto, si eviterebbero errori di cui ci si potrebbe accorgere solo troppo tardi.
Categoria: Sicurezza, Lavoro | Permalink
Commenti
1
In effetti, in maniera “purtroppo” utopica sarebbe una figura sempre più necessaria, come reputo altrettanto importante e necessaria all’interno di un team di lavoro una figura esclusivamente dedicata ai test dei prodotti sviluppati.
# - postato da Daniele Tabacco - 21 Aprile 2010 - 12:39
2
Veramente credo che l’esperto in sicurezza sia sempre stato una figura fondamentale fin dagli albori delle reti se non dell’informatica stessa!
Solo per l’estrema faciloneria e superficialità che hanno sempre caratterizzato il mondo del web si è considerata la sicurezza un “di più” (mi ci metto in questa critica eh).Alla fine gli aspetti più importanti come sicurezza, interoperabilità e rispetto degli standard, accessibilità ecc. sono le cose più rare, tanto basta che “funziona”.
Ciò si abbina col fatto che già il conetto di team (divisione delle competenze/responsabilità) è anni luce lontano da come è organizzato il lavoro mediamente.
L’ironia sul cliente medio ignorante mi fa ridere.. ma anche piangere se penso che è il riflesso di una bassissima professionalità diffusa nel mondo produttivo.
# - postato da sundog - 21 Aprile 2010 - 16:05
3
è anche colpa dell’abuso di cms che vien fatto sul web. tanto pratici, tanto economici ma così tanto insicuri…