Non se ne parla mai abbastanza, ma aggiornamenti e patch sono e devono essere una parte integrante della governance. Per quanto i vendor si sforzino nel rilasciare soluzioni stabili e sicure, infatti, l’evoluzione tecnologica incalzante e la sofisticazione delle minacce impatta sullo sviluppo di software e applicazioni: da un lato rendendole soluzioni estremamente dinamiche e in costante divenire, dall’altro potenziali elementi di destabilizzazione della business continuity aziendale.
Inoltre, con l’avvento della smartizzazione che sta coinvolgendo una pluralità di dispositivi (nativamente pensati per il mondo consumer e oggi diventati indispensabili per la produttività individuale in azienda), il problema di una gestione presidiata della mobility anche lato software e sistemi operativi è ancora più stringato.
Che si tratti di programmi o di applicazioni mobile, esistono delle routine nei processi di adeguamento che implicano delle best pratice, soprattutto a supporto della sicurezza. Formalizzare le procedure e i tempi per aggiornamenti e patch garantisce migliori e più veloci risultati, preservando la business continuity aziendale da rallentamenti, anomalie e, soprattutto, vulnerabilità.
Aggiornamenti e patch: le differenze
Mentre gli aggiornamenti di software e sistemi operativi potenziano le funzionalità e migliorano le prestazioni, le patch sono strategiche perché risolvonono o più difetti (bug) a livello di sistema. Dal punto di vista aziendale le differenze non sono sostanziali. La gestione delle patch è invece un fondamentale per la sicurezza, in quanto il cybercrime è proprio sui bug che costruisce le sue minacce più insidiose.
Risolvere e processare anch equesto aspetto della governance è quanto mai strategico. Per formalizzare e velocizzare tempi e modalità di rilascio, definendo al contempo i responsabili delle attività, gli esperti suggeriscono di introdurre in azienda l’uso di UPMS (Unified Update/Patch Management System) che va ben oltre il semplice rilascio delle patch all’interno del network.
Come e perché mettere a sistema il patch management
Il tempo impiegato per la distribuzione effettiva delle patch dovrebbe essere ridotto al minimo per concentrare le risorse disponibili sull’identificazione, la classificazione e la risoluzione dei problemi. A seconda della dimensione di un’azienda, infatti, questo tipo di attività può assorbire risorse, richiedendo personale dedicato o procedure di workflow consacrate a tamponare le emergenze di sicurezza.
Per assicurare l’integrità e la sicurezza della rete informatica, le patch devono essere gestite in modo efficiente, che si tratti di aziende di piccole dimensioni o di grandi. Centralizzare la gestione delle patch, inoltre, consente di stabilire una base di sicurezza per l’intera rete, agevolando sensibilmente la loro implementazione.
È vero che la realizzazione delle patch funge da stimolo per alcuni hacker che, messi al corrente di una risoluzione a un bug, la prendono come una sfida e si attivano per bypassare anche i rimedi, intercettando a che livello è stato progettato l’intervento. Attraverso soluzioni di reverse engineering dei file di patch, ad esempio, i cybercriminali possono ottenere le informazioni necessarie a progettare un attacco efficace. Questo porta ulteriore pressione agli amministratori che devono programmare gli interventi con una metodologia corroborata da una serie di passaggi, come indicato nel grafico sottostante:
Normative e best practice: la compliance all’estero
Per molte aziende la gestione delle patch rientra una più ampia gamma di contromisure adottate nell’ambito della sicurezza delle informazioni. A supporto esistono normative precise in merito come, ad esempio, la ISO / IEC 27002: 2005. Adattato da molti organismi di normalizzazione nazionali, si tratta di una normativa che stabilisce le linee guida per tutti gli aspetti della gestione e dell’organizzazione delle informazioni e presenta alcuni standard che aiutano a impostare un sistema di gestione della sicurezza delle informazioni completo. L’Information Security Forum’s Standard of Good Practice è un’altra pietra miliare delle best practice di sicurezza. A queste si aggiunge la ISO 15408-1: 2009, nota anche come CC (Common Criteria) per la validazione delle tecnologie per la sicurezza informatica, offrendo un buon quadro di riferimento per specificare, implementare e testare i requisiti necessari a garantire la sicurezza.
A livello più pratico, le agenzie governative di diversi Paesi hanno pubblicato i propri standard e le best practice in materia di gestione delle patch, rilasciando documenti di riferimentoi specifici per i diversi settori di mercato in cui operano tradizionalmente le aziende. Le imprese private negli Stati Uniti, per esempio, possono consultare il National Institute of Standards and Technology’s Guide to Enterprise Patch Management Technologies (SP 800-40 Rev. 3 Draft).
Gli infrastructure provider, le organizzazioni federali, l’industria pesante e l’industria militare sono supportate dalla National Cyber Security Division del Dipartimento Homeland Security che già nel 2008 aveva pubblicato un documento intitolato Recommended Practice for Patch Management of Control Systems.
Nel Regno Unito, invece, il centro per la protezione delle infrastrutture nazionali fornisce una Guida per la gestione delle patch. In Germania, l’Ufficio Federale per la Sicurezza Informatica (BSI) fornisce consulenza alle piccole imprese e grandi imprese, come parte di una più ampia consulenza a supporto della gestione del cambiamento.
Large enterprise versus PMI
La clientela business è molto più esigente dell’utenza domestica e richiede maggiore controllo e condivisione su come e quando le patch vengano installate. Utilizzare meccanismi di aggiornamento standard per ciascun prodotto installato non aiuta la governance dei sistemi. Capita spesso che su alcune macchine girino versioni applicative diverse, da cui uno stato di eterogeneità e di anarchia ben noto a chi si occupa di IT.
Una gestione centralizzata favorisce il presidio dell’installato e agevola il responsabile dei sistemi informativi, riducendo l’impatto sulla business continuity legata agli stand by per gli interventi di patch management ma anche mitigando i pericoli per la sicurezza aziendale. Certo è che i sistemi di rete aziendali non sono tutti uguali e la gestione delle patch deve essere adeguata in funzione delle dimensioni di un’organizzazione e dei ruoili che hanno i client all’interno della rete. Una clusterizzazione delle macchine a seconda della profilazione degli utenti e della tipologia di software installati, costituisce un ottimo sistema per inventariare una volta per tutte l’installato potendo poi stabilire meglio tempi e modi per gli interventi di patch management.
Uno dei limiti endimici delle Pmi è la scarsità di risorse umane ed economiche che, in linea teorica, non mette come priorità alta investimenti in sistemi strutturati di gestione delle patch. Conoscendo questo limite, è proprio questo il motivo per cui i cybercriminali prendono di mira più facilmente le piccole organizzazioni. Indipendentemente dalla tipologia aziendale, i responsabili della sicurezza, devono alzare la soglia di attenzione e trovare il modo di ottimizzare il patch management attraverso la definizione di un approccio strutturato, veloce e a bassa richiesta di risorse.