Controllo 15:
Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
L’ultimo controllo chiude il cerchio richiamando il #controllo1, sulla mappatura dei dispositivi e del software in essi installato. La programmazione di aggiornamento o sostituzione dovrebbe avvenire in modo preordinato e non, come avviene molto spesso, in urgenza. Avere dei sistemi operativi obsoleti (come ad esempio Windows 10 o peggio in alcuni casi ancora Windows 7) per cui la casa produttrice non rilascia più gli aggiornamenti dovuti, può risultare molto rischioso
per i sistemi aziendali, poiché può rivelarsi sostanzialmente la breccia virtuale da cui possono passare serie minacce alla rete aziendale.
Vulnerabilità e software aggiornati
La prevenzione degli incidenti di sicurezza parte dall’applicazione di buone pratiche per la messa in sicurezza dei sistemi informativi e dei computer, siano essi personali o aziendali. Su tutti i dispositivi è presente software, sotto forma di applicazioni e sistemi operativi, che deve essere aggiornato costantemente nel tempo per sanare vulnerabilità note. Le vulnerabilità sono rappresentate da difetti ed errori, involontariamente inseriti nel software dal produttore durante la sua realizzazione. Questi rappresentano dei punti deboli sfruttabili da criminali per compromettere il funzionamento dei sistemi o accedere illecitamente a informazioni e dati aziendali. All’identificazione di una vulnerabilità in un software segue normalmente il rilascio di un aggiornamento da parte del produttore. L’applicazione dell’aggiornamento risolve la vulnerabilità e impedisce che la stessa possa essere sfruttata da cyber-criminali per future intrusioni.
Per tutti i motivi sopra citati è opportuno pertanto che:
– l’azienda disponga delle licenze per il software impiegato in modo da poter accedere agli aggiornamenti offerti dal produttore in maniera tempestiva;
– laddove possibile e ragionevole sia configurato l’aggiornamento automatico del software. Questo, in particolare, per i personal computer utilizzati dai dipendenti, che rappresentano spesso uno tra i bersagli più semplici da compromettere;
– su tutti i sistemi sui quali non sia possibile un aggiornamento automatico, è opportuno che venga predisposto un processo di acquisizione delle patch, identificazione di quelle critiche e la loro successiva applicazione. La tempestività di questo processo è un fattore determinante, dato che nuove vulnerabilità possono essere sfruttate dagli attaccanti nel giro di poche ore dal momento del loro annuncio pubblico;
– sia pianificata la dismissione del software non più supportato dal produttore e la sua sostituzione con prodotti per i quali gli aggiornamenti vengano garantiti.
Gli 0-day (zero-day)
Laddove l’aggiornamento non fosse possibile (per motivi di continuità del servizio, economici, o altro) è necessario accettare il rischio residuo, possibilmente documentandolo, ed eventualmente porre in essere opportune azioni di mitigazione (es. isolamento o distacco dalla rete del software non sicuro).
Non si può escludere che i sistemi possano essere compromessi o violati anche nel caso di applicazione degli aggiornamenti. Questo potrebbe, ad esempio, accadere nel caso in cui una vulnerabilità fosse nota a cyber-criminali prima del rilascio del relativo aggiornamento da parte del produttore del software. In questo caso, la vulnerabilità prende il nome di 0-day, e risulta particolarmente pericolosa, proprio per l’assenza di una chiara strategia di protezione. In questi casi (relativamente rari) si possono adottare temporaneamente delle misure di mitigazione e contenimento, in attesa del rilascio di un aggiornamento che risolva la vulnerabilità.
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
#10 – Formazione e consapevolezza
Controllo 10: Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc...). I vertici...
#14 – Prevenzione e mitigazione
Controllo 14: In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. Sono sicuro che in caso di malfunzionamenti del sistema, perdita o...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.