Gli attacchi degli hacker alle applicazioni aziendali, come database e software, rappresentano una crescente minaccia per le imprese. Per aiutarle ad affrontare questa sfida, Verizon Business ha recentemente introdotto Application Security Program, un nuovo programma completo che adotta un approccio risk-based per proteggere i dati critici contenuti nelle applicazioni.
Immediatamente disponibile negli Stati Uniti e in numerosi altri paesi in tutto il mondo, il programma aiuta le grandi aziende clienti a comprendere meglio e identificare le potenziali minacce per la sicurezza delle applicazioni e mettere in atto le misure appropriate per proteggerle.
I clienti hanno inoltre la possibilità di conseguire la Verizon Cybertrust Application Certification, che attesta che le procedure, i criteri e i controlli da loro adottati per la protezione delle informazioni sono conformi a un rigoroso set di standard.
“Le aziende si trovano spesso in una situazione molto difficile per quanto riguarda le applicazioni,” ha dichiarato Kerry Bailey, Senior Vice President of Global Services di Verizon Business. “Le imprese devono adottare nuove applicazioni per svolgere le proprie attività quotidiane e mantenere la competitività, tuttavia l’attenzione tende a essere concentrata sulla funzionalità e l’efficienza, invece che sulla sicurezza. Se si implementa un’applicazione senza valutare preventivamente le implicazioni per la sicurezza, il prezzo da pagare può essere molto alto.”
Come indicato dal Verizon Business “2009 Data Breach Investigations Report“, gli hacker spesso riescono a violare la protezione e compromettere sistemi aziendali e dati riservati attraverso applicazioni scarsamente protette. Dei 285 milioni di record compromessi in seguito alle 90 violazioni confermate nel 2008 e analizzate nel report, il 79% è stato compromesso tramite applicazioni Web.
Oltre a far registrare un incremento del numero e del successo degli attacchi, questi ultimi stanno diventando sempre più sofisticati. Ad aggravare ulteriormente il trend di crescita è il fatto che il tradizionale ciclo di sviluppo del software spesso non tiene conto della sicurezza, cosa che rende le imprese ancora più vulnerabili alle violazioni. Inoltre, risolvere i problemi delle applicazioni vulnerabili può essere impegnativo, costoso e dispendioso in termini di tempo.
Bailey ha aggiunto: “Verizon offre una soluzione completa, in grado di soddisfare tutte le esigenze delle imprese in termini di protezione delle applicazioni. Utilizzando un profilo di rischio specifico per ogni cliente, possiamo aiutare l’azienda a identificare le applicazioni ad alta priorità, e i dati vulnerabili di importanza critica in esse contenuti, prima che un intruso abbia la possibilità di sfruttare le applicazioni e danneggiare l’organizzazione.”
Un approccio a tre livelli
Verizon Application Security Program comprende tre livelli: Baseline, Assess e Certify. I clienti aderiscono al programma al primo livello, quindi possono proseguire raggiungendo il secondo e il terzo livello, sulla base di requisiti di business specifici. Per contenere i rischi per la sicurezza, le nuove applicazioni possono essere controllate prima del deployment.
“Verizon Application Security Program affronta un’area importante ma spesso sottovalutata dalle imprese: la protezione delle applicazioni di importanza critica per le operazioni di business”, ha dichiarato Amy DeCarlo, Analista dei servizi IT gestiti di Current Analysis. “Questo programma consente di esaminare più a fondo le applicazioni aziendali per assicurare che non siano solo disponibili ma anche protette. Con un aumento del numero di attacchi diretti al livello applicativo, questo tipo di attenzione per la sicurezza delle applicazioni è essenziale.”
Al primo livello del programma, gli specialisti della sicurezza di Verizon conducono una valutazione iniziale dei rischi delle applicazioni, che consiste in un’analisi e una revisione del ciclo di sviluppo software delle applicazioni. Verizon determina il tipo di dati utilizzati da specifiche applicazioni, un elemento critico per determinare il livello di rischio di ogni applicazione, e inoltre identifica le applicazioni che presentano i maggiori rischi per l’organizzazione.
Il secondo livello si concentra sulle applicazioni ad alto rischio. Verizon svolge un’analisi su larga scala per valutare la criticità e la gravità dell’impatto per l’organizzazione nel caso in cui queste risorse venissero utilizzate per un attacco. Le tipiche attività di valutazione includono analisi della vulnerabilità delle applicazioni, test di penetrazione e revisioni della sicurezza del codice sorgente.
Il terzo livello offre ai clienti la possibilità di ottenere la prestigiosa certificazione Verizon Cybertrust Application Certification, che attesta che le procedure, i criteri e i controlli di un’organizzazione per la sicurezza delle informazioni sono stati esaminati, misurati e convalidati rispetto a un rigoroso set di standard di sicurezza definito da Verizon. La certificazione è rigorosa e il rinnovo richiede una ricertificazione a cadenza annuale.
Le organizzazioni certificate possono utilizzare il logo Verizon Cybertrust con i propri partner e clienti attuali e potenziali per dimostrare la grande attenzione che dedicano alla protezione delle informazioni.
I clienti possono scegliere di eliminare autonomamente le vulnerabilità identificate tramite Application Security Program o di affidare la risoluzione dei problemi a Verizon Business. Verizon Business offre un’ampia gamma di servizi per prevenire, rilevare e rispondere alle vulnerabilità, inclusi formazione per lo sviluppo di applicazioni sicure, gestione dell’identità e dell’accesso e disaster recovery.
