Lavoro come appaltatore nel campo della sicurezza IS. Sono stato assunto dal mio attuale cliente per progettare e applicare una metodologia per garantire che i rischi per la sicurezza siano valutati e affrontati in tutti i progetti IT. Oltre a questo incarico, il mio cliente mi ha chiesto ieri quale fosse la mia conoscenza del concetto di Security by Design (SbD), se pensavo che fosse applicato nella sua organizzazione e in che modo la mia missione ha contribuito a questo. Onestamente ho risposto che mentre avevo una comprensione di base di ciò che è SbD, non mi sentivo a mio agio dandogli una risposta definitiva sul posto e che avrei esaminato.
Che ho fatto. Ma sembra piuttosto difficile trovare una definizione concreta di SbD. La mia impressione è che sia - in pratica, so che dietro queste parole c'è un concetto reale e importante - usato principalmente come argomento di marketing alla moda che le persone mettono nelle loro presentazioni per compiacere la direzione. Ma ci sono criteri concreti per valutare se un progetto / organizzazione applica il concetto di SbD? O è solo l'idea di prendere in considerazione i problemi di sicurezza in ogni aspetto del lavoro, e lasciare che uno decida come applicare questo?