Standard / Migliori pratiche

Standard / Best Practice

In Bureau Veritas Cybersecurity, ci sforziamo di rendere la sicurezza più tangibile, comprensibile e misurabile. Ecco perché utilizziamo il più possibile norme e standard internazionali.

Ciò consente di conoscere e confrontare il livello di sicurezza di un sistema e fornisce garanzie sulla profondità e l'ampiezza dei test. Bureau Veritas Cybersecurity collabora con diverse organizzazioni, come OWASP e Cyberveilig Nederland, per portare l'adozione di tali standard e framework ad un livello superiore.

Bureau Veritas Cybersecurity segue un approccio graduale per le sue valutazioni e applica le linee guida e gli standard comuni nel suo settore per effettuare le valutazioni (di applicazioni, infrastrutture o altro). Questi dipendono dallo scopo, dall'ambiente da valutare (architettura, piattaforma, applicazione, ecc.), dai requisiti del settore o dalle normative del Paese.

Alcuni esempi degli standard che utilizziamo:

• Application Security Validation Standard (ASVS) per le applicazioni (web);
• Pubblicazioni OWASP rilevanti, come la Top 10 e l'ASVS, supportate dalla OWASP Application Security Testing Guide;
• SANS-top 25: gli errori più comuni e più pericolosi nella realizzazione di un software;
• Linee guida CIS per le valutazioni dell'infrastruttura e della configurazione;
• Linee guida NIST pertinenti, ad esempio, sulla gestione delle password e delle chiavi;
• Linee guida di sicurezza ICT NCSC per le applicazioni web e linee guida di sicurezza ICT per la Transport Layer Security (TLS);
• Baseline Information Security Government (BIO);
• La Guida ai test OWASP versioni 3 e 4 con il foglio informativo sulla sicurezza dei servizi web OWASP, ove pertinente;
• M-ASVS per le applicazioni mobili (Mobile ASVS);
• Gli standard Logius per gli assessment DigiD;
• Metodologia STRIDE nella Modellazione delle minacce;
• OWASP Mobile Top 10;
• Informazioni aggiornate dai fornitori (di software) come Google, Apple, Amazon, Microsoft, eccetera.