Costruito in modo sicuro, certificato e affidabile: Il quadro di sicurezza di Proemion

Abbiamo standard di codifica completi che vanno oltre la OWASP Top 10 e coprono un'ampia gamma di linee guida per la codifica sicura. Questi standard (allineati al controllo dello sviluppo sicuro di ISO 27001) sono integrati nel nostro processo di sviluppo: il codice non può essere unito e rilasciato se non è conforme. L'analisi statica automatizzata incentrata sulla sicurezza e le revisioni manuali del codice fanno rispettare queste regole, impedendo che i punti deboli più comuni entrino nella nostra base di codice.

Manteniamo un rigoroso processo di revisione tra pari per tutte le modifiche al codice. Ingegneri esperti ("gatekeeper") eseguono revisioni del codice incentrate sulla sicurezza per ogni modifica, verificando l'aderenza ai nostri standard di codifica sicura e identificando potenziali vulnerabilità. Questo principio dei quattro occhi assicura che la sicurezza non sia responsabilità di una singola persona, ma una mentalità condivisa da tutto il team di sviluppo.

La nostra catena di fornitura del software è strettamente monitorata. Utilizziamo fonti affidabili per le librerie di terze parti e monitoriamo continuamente i componenti open-source per individuare eventuali vulnerabilità. Ad esempio, la nostra piattaforma di controllo dei sorgenti ci segnala automaticamente le vulnerabilità note nelle dipendenze e agiamo tempestivamente in base alla gravità. Inoltre, esaminiamo il codice dei nuovi moduli di terze parti prima dell'uso, ne valutiamo la sicurezza e li integriamo solo se soddisfano i nostri criteri.

La sicurezza fa parte della nostra "definizione di fatto" per ogni funzionalità. Integriamo i casi di test di unità e sicurezza nella pipeline di integrazione continua. Quando viene risolto un bug o una vulnerabilità, aggiungiamo test di regressione per evitare che si ripeta. Inoltre, testiamo le nostre applicazioni in varie fasi del processo di sviluppo, compresi test automatici approfonditi durante la compilazione e gli ambienti di staging, oltre a test manuali.

Le distribuzioni sono gestite tramite codice e automazione per eliminare gli errori umani e garantire la coerenza. Distribuiamo le nostre applicazioni in ambienti protetti configurati tramite Infrastructure-as-Code e moduli di sicurezza di base. Ogni ambiente (staging, produzione) viene fornito con configurazioni sicure (ad esempio, accesso con il minimo privilegio, impostazioni del sistema operativo rinforzate) che aderiscono alle best practice del settore. Tutte le modifiche all'infrastruttura cloud o al firmware dei dispositivi sono sottoposte alla revisione della gestione delle modifiche e le nostre pipeline automatizzate includono controlli di sicurezza prima della promozione in produzione.

I dati archiviati nei nostri database e endpoint in-the-cloud sono crittografati a riposo per evitare l'esposizione in caso di perdita fisica o accesso non autorizzato. I nostri database in-the-cloud, l'archiviazione dei file e i backup utilizzano la crittografia AES-256, con chiavi gestite da servizi di gestione delle chiavi protetti. I computer portatili e i dispositivi mobili utilizzati dal personale Proemion sono dotati di crittografia full-disk. Seguiamo le linee guida del settore (tra cui NIST SP 800-57) per la forza delle chiavi crittografiche e le frequenze di rotazione. Ad esempio, i dati dei clienti a riposo sono protetti con AES-256 o versioni successive e le chiavi di crittografia vengono ruotate regolarmente. Le password non vengono mai memorizzate in chiaro; utilizziamo un forte hashing unidirezionale in conformità con la nostra politica di crittografia.

Le chiavi crittografiche e i segreti sono gestiti con grande attenzione. Le chiavi private (per i server, i dispositivi, la firma dei codici, ecc.) sono conservate in caveau sicuri o in moduli di sicurezza hardware, con controlli di accesso rigorosi (limitati al personale autorizzato e che richiedono l'autenticazione a più fattori). L'accesso alle chiavi è concesso sulla base del minimo privilegio, in linea con la nostra politica di controllo degli accessi. Per le chiavi particolarmente critiche, come le chiavi offline utilizzate per firmare il firmware del dispositivo, utilizziamo un processo di conoscenza separata e di doppio controllo (per maggiori dettagli, vedere Sicurezza del dispositivo e del firmware). Tutto l'utilizzo delle chiavi viene registrato e monitorato per rilevare eventuali accessi non autorizzati. Garantiamo inoltre una generazione sicura delle chiavi con generatori di numeri casuali di alta qualità e non inseriamo mai i segreti nel codice o nel firmware.

Classifichiamo i dati in categorie (ad esempio, pubblici, interni, riservati) e applichiamo controlli adeguati a ciascuna classificazione. I dati personali e le altre informazioni riservate vengono gestiti in conformità al GDPR e alle altre normative sulla privacy. Riduciamo al minimo la raccolta di dati personali nella nostra piattaforma telematica; quando tali dati sono necessari (ad esempio, i dettagli dell'account utente), li pseudonimizziamo o li rendiamo anonimi, ove possibile. A livello interno, i dipendenti vengono istruiti sulla corretta gestione dei dati, ad esempio evitando di trasferire dati sensibili su canali non sicuri e di utilizzare archivi criptati approvati dall'azienda per i file riservati.

In linea con l'etica della "data protection by design", conserviamo i dati solo per il tempo necessario a raggiungere il loro scopo o a soddisfare i requisiti legali. Disponiamo di processi per smaltire o anonimizzare in modo sicuro i dati non più necessari. Tutti i supporti di memorizzazione che contengono dati riservati vengono cancellati o distrutti in modo sicuro prima della dismissione. Seguiamo un programma di conservazione dei dati documentato e la nostra politica di gestione dei dati ci consente di soddisfare sia le esigenze aziendali che gli obblighi di conformità.

Tutti i server (istanze EC2, container o funzioni serverless) vengono lanciati da immagini e configurazioni protette. Aggiorniamo regolarmente le immagini di base e automatizziamo l'applicazione di impostazioni sicure (ad esempio, disabilitando le porte inutilizzate e applicando le configurazioni dei benchmark CIS). I servizi cloud come i database, le cache e i bucket di archiviazione sono configurati tenendo conto della sicurezza: crittografia a riposo attivata, politiche di accesso rigorose e nessun accesso pubblico se non strettamente necessario. L'accesso amministrativo ai sistemi cloud richiede l'autenticazione a più fattori (MFA) ed è strettamente controllato tramite i ruoli di AWS Identity and Access Management (IAM). Utilizziamo anche strumenti di scansione automatica della configurazione per rilevare configurazioni errate o deviazioni dalla nostra linea di sicurezza, allineandoci ai controlli ISO per la gestione sicura della configurazione.

Manteniamo un controllo rigoroso sull'accesso alle risorse del cloud. Ogni utente e servizio del nostro ambiente cloud opera con un'identità dedicata e con autorizzazioni personalizzate. Evitiamo le credenziali statiche a lunga durata utilizzando ruoli IAM e token temporanei, ove possibile. L'autenticazione a più fattori è obbligatoria per tutti gli accessi alla console e alla VPN. Le azioni amministrative negli account cloud sono limitate a un numero ristretto di tecnici e tutti gli accessi vengono registrati. Rivediamo e ridimensioniamo periodicamente le autorizzazioni per garantire che nessun utente o sistema abbia più accesso del necessario (supportando i controlli di least privilege e di gestione delle identità ISO Annex A).

La nostra piattaforma cloud è costantemente monitorata. Aggreghiamo i registri di tutti i sistemi critici, compresi i registri di audit, i registri dei flussi di rete, i registri del sistema operativo e i registri delle applicazioni, in un sistema centralizzato di Security Information and Event Management (SIEM). Gli eventi rilevanti per la sicurezza (ad esempio, fallimenti dell'autenticazione, modifiche della configurazione, traffico di rete anomalo) attivano avvisi che il nostro team di sicurezza deve esaminare. Utilizziamo AWS CloudTrail e AWS Config per registrare e valutare le azioni nel nostro ambiente. Inoltre, utilizziamo il rilevamento delle intrusioni e il monitoraggio dell'integrità dei file sui sistemi chiave per cogliere eventuali segni di compromissione. Il nostro team operativo integra anche i feed delle informazioni sulle minacce, in modo da essere al corrente delle minacce emergenti (come le vulnerabilità zero-day o i cyberattacchi attivi) e poter rafforzare in modo proattivo le difese o applicare patch, in linea con il nuovo controllo dell'Allegato A sulle informazioni sulle minacce.

L'alta disponibilità e la continuità sono integrate nella nostra architettura cloud. Distribuiamo i servizi critici in più zone di disponibilità per resistere alle interruzioni dei centri dati. I dati vengono regolarmente sottoposti a backup (crittografati) per prevenire guasti catastrofici nella regione del cloud. Eseguiamo periodicamente esercitazioni di ripristino per verificare che i backup possano essere ripristinati e i sistemi ricostruiti entro i nostri obiettivi di tempo di ripristino. In caso di interruzione del servizio, i nostri team operativi e di risposta agli incidenti dispongono di un manuale per mitigare rapidamente l'impatto e tenere informati i clienti. (La continuità operativa è discussa in una sezione successiva, ma vale la pena notare che la nostra configurazione cloud è progettata per essere resiliente di default).

Le nostre operazioni nel cloud seguono un modello DevSecOps, in cui la sicurezza è integrata nel flusso di lavoro. Le modifiche all'infrastruttura (come la modifica delle regole di rete o l'implementazione di un nuovo servizio) vengono sottoposte a revisione del codice e a test automatizzati, proprio come il codice dell'applicazione. Utilizziamo modelli di infrastruttura come codice, il che significa che le configurazioni dell'ambiente sono controllate dalla versione e verificabili. Prima di applicare le modifiche, eseguiamo controlli automatici dei criteri (ad esempio, "questa modifica apre porte che non dovrebbero essere aperte?", "le impostazioni di crittografia sono abilitate?"). Solo dopo aver superato questi controlli e approvazioni, le modifiche vengono applicate, in genere automaticamente. In questo modo si riduce la possibilità che un errore umano causi una falla nella sicurezza e si garantisce la tracciabilità di ogni modifica dell'infrastruttura.

Gli accordi con i fornitori di Proemion includono disposizioni specifiche per la sicurezza e la protezione dei dati. Per qualsiasi fornitore che abbia accesso ai nostri dati o sistemi, richiediamo contrattualmente che segua pratiche di sicurezza e regimi di conformità adeguati. Ad esempio, i fornitori di cloud e software devono mantenere le certificazioni pertinenti (come ISO 27001 o PCI-DSS, se applicabile) e notificarci eventuali violazioni o modifiche della loro posizione. Includiamo anche clausole di riservatezza e di trattamento dei dati (spesso allineate al GDPR e ai nostri standard di privacy) per garantire che le terze parti proteggano i dati allo stesso livello di noi.

Le relazioni con le terze parti non sono "set and forget". Verifichiamo regolarmente le prestazioni e la sicurezza dei fornitori chiave. Ciò può includere la revisione dei loro rapporti di audit aggiornati annualmente e il monitoraggio dei loro annunci per eventuali incidenti o vulnerabilità (ad esempio, se il nostro fornitore di cloud pubblica un avviso di sicurezza, verifichiamo che il nostro ambiente non sia interessato o applichiamo le patch necessarie). Per i fornitori critici, manteniamo dei punti di contatto e organizziamo riunioni periodiche per discutere di questioni di sicurezza. Teniamo anche traccia dei rinnovi dei contratti per rivalutare il rischio e aggiornare i termini, se necessario. In queste revisioni vengono presi in considerazione i rischi nuovi e in evoluzione (come gli attacchi alla catena di fornitura o i cambiamenti nell'attività di un fornitore).

Quando ci integriamo con API o hardware di terzi (ad esempio, i sistemi di un cliente o la piattaforma di un partner), garantiamo interazioni sicure. Ciò potrebbe comportare l'utilizzo di VPN o di canali sicuri dedicati per le integrazioni di sistema, la gestione delle chiavi di autenticazione API con ambiti e rotazioni adeguati e la verifica dell'integrazione per individuare eventuali lacune nella sicurezza. Trattiamo la condivisione dei dati in uscita con la stessa cura con cui trattiamo i dati interni, assicurandoci che siano crittografati in transito e limitati al minimo indispensabile. Se un partner ha bisogno di accedere ai nostri sistemi (ad esempio, per scopi di assistenza), forniamo account dedicati con autorizzazioni limitate e consentiamo una registrazione dettagliata delle sue attività.

I nostri prodotti includono inevitabilmente componenti di terze parti e open-source. Selezioniamo con cura questi componenti, privilegiando librerie ben curate e ampiamente affidabili. Tutti i software e i firmware di terze parti inclusi nelle nostre soluzioni sono catalogati. Monitoriamo i feed di vulnerabilità (come i database CVE) per individuare eventuali problemi in questi componenti e li aggiorniamo tempestivamente o li applichiamo attraverso il nostro processo di gestione delle patch. Inoltre, la nostra politica di sviluppo sicuro include linee guida per gli sviluppatori che valutano i componenti open-source (ad esempio, controllando la firma del codice, verificando le checksum e controllando le licenze) prima di includerli. Regolando ciò che entra nel nostro software, riduciamo il rischio di vulnerabilità nascoste o di codice dannoso proveniente da fonti terze.

Se un incidente di sicurezza coinvolge o è causato da un fornitore di servizi terzo, lavoriamo a stretto contatto con tale fornitore per risolverlo. Il nostro piano di risposta agli incidenti prevede di contattare il fornitore, di scambiare le informazioni necessarie e di assicurarci che prenda le misure adeguate da parte sua. Conserviamo la documentazione dei contatti di terzi per le emergenze. Dopo l'incidente, potremmo rivalutare l'idoneità del fornitore o richiedere azioni correttive se non ha rispettato le aspettative.

Per i sistemi critici, Proemion definisce obiettivi di tempo di ripristino (RTO) e obiettivi di punto di ripristino (RPO) appropriati per guidare la pianificazione del ripristino e della resilienza. Questi obiettivi stabiliscono le tempistiche accettabili per il ripristino del servizio e le aspettative di recupero dei dati in base alle valutazioni dell'impatto aziendale e del rischio. Gli obiettivi di ripristino sono rivisti e approvati attraverso processi di gestione stabiliti e sono progettati per soddisfare i requisiti contrattuali, normativi e operativi applicabili. Le misure tecniche e organizzative sono implementate per supportare questi obiettivi e vengono riviste periodicamente per garantirne l'efficacia.

Disponiamo di un piano di ripristino tecnico documentato che descrive in dettaglio le modalità di ripristino di ciascun sistema in vari scenari di disastro. Ad esempio, se un'intera regione AWS va in tilt, disponiamo di procedure per avviare i nostri servizi in una regione alternativa utilizzando i dati di backup e gli script infrastructure-as-code. Se l'implementazione di un software ha un impatto grave sul sistema, possiamo eseguire il rollback a uno stato già noto. Il nostro piano di DR viene regolarmente testato in parte e nel suo complesso. Conduciamo esercitazioni (almeno una volta all'anno) che simulano un'interruzione importante. Durante queste esercitazioni, il team si esercita a ripristinare i dati dai backup, a passare a sistemi ridondanti e a verificare l'integrità dei dati. Qualsiasi lacuna individuata viene affrontata tempestivamente.

Ove possibile, evitiamo i singoli punti di guasto. I nostri sistemi chiave funzionano in configurazione ridondante: server multipli, percorsi di rete ridondanti, alimentazione di riserva negli uffici, ecc. Abbiamo processi di failover per i componenti critici (ad esempio, se un servizio si guasta, può subentrare uno standby). Il backup dei dati è continuo e i backup sono archiviati fuori sede e crittografati. Utilizziamo anche funzioni cloud, come gli snapshot dei database, per garantire che i dati rimangano al sicuro anche se una singola posizione è compromessa. La combinazione di queste misure garantisce che molti piccoli incidenti (come guasti al server o perdita di connettività) vengano gestiti in modo trasparente, senza tempi di inattività.

In caso di interruzione significativa, abbiamo una chiara catena di comando e un piano di comunicazione. Il nostro Incident Response Team, che comprende membri della sicurezza, dell'IT, di DevOps e dell'assistenza, funge da squadra di pronto intervento. Si riunisce rapidamente (virtualmente, se necessario) per valutare la situazione e avviare le azioni di risposta. Disponiamo di modelli di comunicazione predefiniti per informare i clienti, i partner e gli stakeholder interni, garantendo la diffusione di informazioni tempestive e accurate. Diamo priorità alla sicurezza (in caso di incidenti fisici) e alla protezione dei dati durante qualsiasi evento di continuità. Dopo l'incidente, conduciamo una retrospettiva per imparare e migliorare (che confluisce nel nostro BCMS e nel nostro processo di gestione dei rischi per la sicurezza).

La continuità aziendale non è un progetto una tantum, ma un impegno costante. Aggiorniamo i nostri piani di continuità e ripristino ogni volta che si verificano cambiamenti significativi nel nostro ambiente, ad esempio se adottiamo una nuova tecnologia o se le nostre priorità aziendali cambiano. Il personale riceve regolarmente una formazione sulle procedure di emergenza. Il nostro obiettivo è che, in caso di disastro, ogni membro del team conosca il proprio ruolo e che le fasi di ripristino siano state provate. Inoltre, allineandoci a standard come l'ISO 22301, ci assicuriamo che il nostro approccio copra non solo il ripristino dell'IT, ma anche aspetti aziendali più ampi (sedi di lavoro alternative, comunicazione, ecc.).