LA GUIDA COMPLETA

Gestione dei requisiti, adattare lo sviluppo software al contesto: ecco come

L’identificazione, l’analisi e la valutazione non completano lo sviluppo dei requisiti di sicurezza: può capitare di doverli anche cambiare perché nel frattempo è variato il contesto d’uso. La guida per gestirli correttamente

18 Set 2018
S
Alessandro Sinibaldi

Esperto di sicurezza cibernetica presso il CERT-PA AgID

L’obiettivo principale nello sviluppo di un sistema completo è rappresentato certamente dai requisiti di sicurezza.  Una volta che un requisito è stato sviluppato, e quindi ha passato le sotto fasi di elicitazione, analisi, specifica e validazione, può accadere che possa cambiare perché magari qualcosa nel contesto di business, tecnologico, risorse umane ecc. è variato.

I cambiamenti ai requisiti sono inevitabili durante il ciclo di vita di un’architettura (software, di sicurezza, di dati, di rete ecc.) e così è necessario fare uso di un processo di Change Management.

Le modifiche proposte devono essere opportunamente vagliate, approvate e quindi implementate. È importante studiarne l’impatto, misurare il rischio introdotto dalle modifiche richieste e fare un’opportuna analisi costi-benefici.

Tutto ciò deve essere, ovviamente, opportunamente documentato.

Gestione dei requisiti: ecco come documentare le modifiche

Una Change Request (CR) o anche Request for Change (RFC) è un documento di dettaglio in cui si richiede una modifica alle specifiche.

WHITEPAPER
6 elementi da considerare per un sistema telefonico in cloud adatto alla tua azienda enterprise
Cloud
Risorse Umane/Organizzazione

La RFC viene, generalmente, presentata con alcuni attributi, come la priorità e un tipo o categoria, ad es. richiesta di modifica software, hardware, architetturale e così via.

La RFC, corredata di un’analisi di impatto sul sistema e di uno studio di fattibilità, viene sottoposta a un Change Manager, che la discute di concerto con la Change Advisory Board, per l’approvazione.

La modifica, a questo punto, se approvata, deve essere schedulata per la messa in opera.

Dopo ciò, il sistema, ormai dotato del cambiamento richiesto, deve essere monitorato per verificare un eventuale impatto negativo nell’ambiente in esercizio con un conseguente rollback della modifica effettuata.

Tra le funzionalità previste dal sistema di change management ci dovrebbero essere:

  • possibilità di gestire/modificare la priorità della RFC
  • possibilità di modificare il tipo della RFC
  • possibilità di gestire nell’applicativo varie tipologie di utenti
  • realizzazione di workflow di approvazione ad hoc
  • possibilità di allegare alla RFC la documentazione a corredo
  • gestire lo storico dei cambiamenti

Change Management: chi partecipa alla modifica dei requisiti di sicurezza

Le figure coinvolte nel processo di change management sono:

  • il Change Initiator, colui che inserisce la RFC
  • il Change Manager, che gestisce le attività di change management e riunisce e prepara il lavoro per la CAB
  • il Change Advisory Board (CAB), che è un gruppo di persone coinvolte nell’ambito IT operations e che valuta, approva e rifiuta una RFC
  • il Change Owner, è nominato dal Change Manager ed ha la responsabilità operativa del cambiamento

Il processo di Change Management

I software da utilizzare per la gestione dei requisiti di sicurezza

Passiamo ora a vedere gli strumenti software per la gestione dei requisiti. Ne esistono molti, sia commerciali che open source. Liste sufficientemente complete possono essere trovate qui e qui.

Più che fare una review, quello che ci interessa di più, in questa sede, è vederne le caratteristiche salienti.

Un Requirements Management System (RMS) ha come scopo quello di fornire un framework strutturato ad hoc per la gestione dei requisiti. In particolare, deve includere il versioning, la tracciabilità (in forward mode e backward mode), il change management, workflow di approvazione, la modellazione di use case a supporto dei requisiti, la collaboration tra gli stakeholder e la possibilità di aggiungere a corredo documentazione e note varie.

Come abbiamo detto in precedenza, i requisiti si esprimono in forma gerarchica:

  • Stakeholder requirement: un requisito che esprime gli obiettivi di uno specifico stakeholder per il sistema da realizzare e i principi e i vincoli che saranno alla base del disegno architetturale
  • System requirement: un requisito che esprime funzionalità, caratteristiche o qualità che il sistema deve esibire per soddisfare gli stakeholder requirements
  • Sub-system requirement: un requisito che esprime funzionalità, caratteristiche o qualità che il sottosistema deve esibire per soddisfare i system requirements
  • Design requirement: un requisito che esprime come il prodotto e/o il processo di installazione, sviluppo, costruzione o testing deve essere progettato, dati i vincoli, per soddisfare i Sub-system requirements
  • Specifiche: documento che specifica i requisiti sul prodotto e/o il processo di installazione, sviluppo, costruzione o testing

Forma gerarchica dei requisiti

Visto che la qualità è misurata come l’aderenza ai requisiti, un RMS deve essere fortemente integrato con il sistema di gestione della qualità e, in particolare, con il testing e con il sistema di bug tracking che misura il discostamento dai requisiti.  Va osservato che, quando si parla di sicurezza, i requisiti non sono sempre espressi in forma affermativa, del tipo cioè “il sistema deve…”, ma ve n’è uno che si esprime in forma sicuramente negativa e cioè” il sistema non deve esporre funzionalità indesiderate”. Un attacco che sfrutta una backdoor o la SQL Injection o l’escalation di privilegi, tanto per fare alcuni esempi, sicuramente sfrutta un aspetto del sistema che, nella maggior parte dei casi, lo sviluppatore non aveva previsto e certamente non voleva.

Il compito di un architetto è quello di immaginarsi come far funzionare un sistema. Il suo lavoro si concentra, quindi, sulle funzionalità che il sistema deve esporre ai suoi utilizzatori.

Il compito di un architetto della sicurezza, invece, è quello di capire come non far funzionare un sistema, cioè scoprire tutte quelle modalità attraverso le quali è possibile ottenere un comportamento non voluto, che può andare dalla rilevazione di un malfunzionamento alla scoperta di una funzionalità nascosta, come una backdoor, a una funzionalità legittima che viene usata in modo illegittimo, come una form web che viene utilizzata per condurre un attacco di SQL Injection.

Il processo di testing ha lo scopo di ridurre il rischio che un sistema funzioni in modo diverso rispetto alle sue specifiche ad un livello considerato accettabile.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5