Implementare la sicurezza delle applicazioni

h4: Sorvegliare le applicazioni e le interfacce e risolvere i problemi durante il funzionamento

Gli informatici e le informatiche sorvegliano le applicazioni e le interfacce, prendono misure al fine di mantenere la stabilità e risolvono, se necessario, i problemi che insorgono durante il funzionamento: per la sorveglianza o il monitoraggio di un’applicazione, definiscono dapprima tutto ciò che deve essere registrato (metriche) e configurano i sistemi di conseguenza (profondità di log [log depth], punti di misura). Integrano nell’applicazione misure al fine di rilevare rapidamente gli usi abusivi e le minacce. Effettuano il monitoraggio a intervalli regolari e verificano lo stato dell’applicazione sulla base delle informazioni registrate. Se necessario, procedono a un’analisi, p. es. in caso di messaggio di errore trasmesso dal cliente o dal sistema. Per circoscrivere il problema, riproducono l’errore. In tal modo, adottano un approccio analitico e danno prova di rigore e pazienza. Una volta circoscritto il problema, definiscono le misure correttive, le implementano e verificano che l’applicazione torni a uno stato stabile.

g3: Valutare e documentare la sicurezza delle applicazioni e delle interfacce

Gli informatici e le informatiche valutano la sicurezza delle applicazioni e delle interfacce e documentano i loro risultati: chiariscono dapprima le questioni di sicurezza relative all’ambiente di sistema, p. es. quali sono le interfacce esistenti, chi sono gli utenti dell’applicazione, quali altri sistemi accedono all’applicazione, quale è la necessità di protezione dei dati rispettivamente dell’applicazione (disponibilità, confidenzialità, affidabilità, integrità), quali direttive interne o prescrizioni legali devono essere rispettate. Sulla base del loro esame, deducono i rischi a cui possono essere esposte l’applicazione e le sue interfacce. Al riguardo, adottano un approccio prospettivo e mettono in evidenza i metodi di minacce e le manipolazioni possibili provenienti dall’esterno. Discutono in squadra i risultati della loro analisi e ne traggono le misure appropriate.

g5: Implementare le applicazioni e le interfacce secondo il concetto rispettando le esigenze di sicurezza

Sulla base delle esigenze definite e delle bozze/dei modelli sviluppati, gli informatici e le informatiche implementano le applicazioni e le interfacce. Si può trattare di nuove applicazioni o di un’estensione apportata a un’applicazione esistente: mettono dapprima in atto un ambiente di sviluppo e di esecuzione appropriato. Il concetto di realizzazione prestabilito e le direttive aziendali servono da base a questa tappa. Passano poi alla programmazione del back-end e del front-end secondo le esigenze definite. A tal fine, utilizzano i linguaggi di programmazione dati e strumenti di sviluppo. Testano regolarmente l’implementazione al fine di rilevare errori e li correggono (debug). Vegliano a rispettare sistematicamente le disposizioni regolamentari.

g6: Verificare la qualità e la sicurezza delle applicazioni e delle interfacce

Gli informatici e le informatiche verificano la qualità e la sicurezza delle applicazioni e delle interfacce sulla base di concetti di test. Garantiscono in tal modo che le applicazioni siano implementate conformemente alle esigenze e gli errori soppressi, e che l’applicazione sarà convalidata per la messa in produzione: stabiliscono dapprima un concetto di test in cui descrivono l’ambiente di test dell’applicazione con le indicazioni pertinenti (p. es. sistema, attore, dati, utenti, autorizzazioni). Definiscono poi i tipi di test che saranno utilizzati (p. es. unit test, test di accettazione degli utenti, test di integrazione, test di carico/performance o test di sicurezza). Su questa base, determinano i mezzi di test appropriati. Descrivono poi i casi di test (test case) in relazione ai casi d’uso (use case) e alle esigenze. In tal modo, adottano diversi angoli di approccio (p. es. valori limite, situazioni di errore). Si assicurano che i casi di test definiti siano completi e coprano le esigenze funzionali e non funzionali. Infine, eseguono i test, annotano i risultati e sottopongono i difetti rilevati a correzione.