1. Cosa si intende per conformità della gestione delle patch?

2. Perché è importante rispettare i requisiti di conformità per la gestione delle patch?

3. Rispettare i requisiti di conformità per la gestione delle patch utilizzando strumenti software

4. Blog

5. Risorse aggiuntive

Cosa si intende per conformità della gestione delle patch?

La gestione delle patch consiste nella scansione di computer, dispositivi mobili o altre macchine collegate in rete alla ricerca di aggiornamenti software da installare, noti come "patch", e nel distribuire le patch non appena sono disponibili. Le patch sono costituite da codice che viene inserito nel codice di un programma software esistente.

Poiché la mancata installazione delle patch può creare gravi violazioni della sicurezza, molte agenzie governative e associazioni di settore hanno imposto stringenti requisiti da rispettare per la gestione delle patch.

Le istituzioni governative, i servizi sanitari e i settori finanziari tendono ad avere le normative più severe. Tuttavia, molte aziende di diversi settori devono rispettare le normative governative, gli accordi sui livelli di servizio (SLA), le linee guida delle associazioni di settore e le politiche aziendali.

Alcune delle agenzie e delle leggi più importanti che impongono il rispetto delle norme in materia di gestione sicura delle patch sono:

• Standard di sicurezza dei dati per le carte di pagamento (PCI DSS)

• Legge sulla portabilità e la responsabilità delle assicurazioni sanitarie (HIPAA)

• Istituto nazionale per gli standard e la tecnologia (NIST)

• Regolamento generale sulla protezione dei dati dell'Unione Europea (GDPR)

• Consiglio federale per l'esame delle istituzioni finanziarie (FFIEC)

• Gramm-Leach-Bliley (GLBA)

• Sarbanes-Oxley (SOX)

• Legge sui diritti educativi e sulla privacy delle famiglie (FERPA)

Molte di queste agenzie richiedono l'implementazione di un processo di gestione delle patch affidabile e completamente documentato, che delinea le procedure in dettaglio. Le organizzazioni devono essere in grado di documentare il costante rispetto delle normative e di superare le verifiche periodiche. Il mancato rispetto delle norme in materia di gestione delle patch può comportare sanzioni legali per un'azienda. Ad esempio, il GDPR dell'Unione Europea può multare le organizzazioni non conformi fino a 20 milioni di euro (circa 22 milioni di dollari) o del quattro per cento del loro fatturato globale annuo.

Sempre più Stati, nazioni e organismi internazionali approvano leggi che impongono la protezione della privacy e altri requisiti alle aziende che operano nelle loro giurisdizioni. All'interno degli Stati Uniti, queste leggi possono persino differire da Stato a Stato, rendendo confusa l'applicabilità e la conformità.

Il rispetto di tutte le norme e i regolamenti è una sfida ancora più ardua per le piccole e medie imprese (PMI) con reparti IT limitati. I nuovi requisiti portano un numero sempre maggiore di queste aziende a doversi addentrare nel mondo della regolamentazione, dove devono navigare in un labirinto di leggi e regole espresse in un gergo legale confuso e talvolta vago. Le PMI possono avere difficoltà a capire quali sono i requisiti di gestione delle patch, se sono applicabili al loro caso e, in caso affermativo, come conformarsi ad essi.

Perché è importante rispettare i requisiti di conformità per la gestione delle patch?

Una corretta gestione delle patch può migliorare notevolmente la sicurezza di un'organizzazione, risolvendo le vulnerabilità del software e dei sistemi operativi. Ecco alcuni motivi per cui il rispetto dei requisiti sulla gestione delle patch è fondamentale:

• Sicurezza
  Le minacce informatiche sono diventate comuni, quindi gli enti normativi impongono alle aziende di applicare le patch più recenti per difendersi da queste minacce. Le violazioni della sicurezza di rete sono causate soprattutto dalla mancata applicazione delle patch nei sistemi operativi e in altre applicazioni. Questo mette a rischio preziose risorse informative, come la proprietà intellettuale e i dati sensibili dei clienti (cartelle cliniche, numeri di carte di credito, ecc.).

• Protezione da sanzioni
  Le multe per la mancata conformità alle normative statunitensi e internazionali, come l'Health Insurance Portability and Accountability Act (HIPAA) e il General Data Protection Regulation (GDPR), possono costare alle aziende migliaia o addirittura milioni di dollari. Una multa di 100.000 dollari può rappresentare una parte significativa dei profitti di una piccola azienda.

• Perdita di reputazione e responsabilità legale
  Le aziende possono perdere la fiducia dei loro clienti se questi ultimi scoprono che un'azienda non si è conformata alle normative. Secondo uno studio del Ponemon Institute, Il vero costo della conformità alle norme sulla protezione dei dati personali, “Le conseguenze di una mancata gestione dei rischi di conformità includono una perdita di fiducia che metter a rischio la fedeltà dei clienti e l'impossibilità di fornire servizi e prodotti, causando un calo dei ricavi". Inoltre, i clienti possono anche intraprendere azioni legali contro un'azienda per gravi violazioni della privacy, se gli hacker sono in grado di accedere a dati che potrebbero portare a furti di denaro o di identità.

• Produttività
  Gli arresti anomali del computer dovuti al software difettoso possono portare a una riduzione della produttività. L'installazione delle patch riduce il verificarsi di crash con conseguenti tempi di inattività, consentendo ai dipendenti di svolgere le proprie mansioni senza interruzioni. Le patch non riguardano sempre la correzione di bug. Possono anche includere nuove caratteristiche e funzionalità in grado di sfruttare le ultime innovazioni del software. I fornitori di software lavorano costantemente su nuove caratteristiche e funzionalità che vengono introdotte mediante patch. Il download e l'installazione di queste patch da parte dell'IT aiutano i dipendenti a lavorare meglio e in modo più intelligente.

• BYOD
  L'emergere del "bring your own device", o BYOD, ha aperto nuove opportunità per gli attacchi informatici. I dipendenti utilizzano sempre più spesso i loro dispositivi personali e quelli dell'ufficio in modo intercambiabile per svolgere il loro lavoro, il che richiede che anche i dispositivi personali siano protetti. Una buona gestione delle patch dovrebbe sempre installare le patch su tutti i dispositivi, indipendentemente dalla loro posizione fisica. Il rispetto delle norme in materia costituisce una difesa potente contro molte delle sfide legate all'uso dei dispositivi personali.

Rispettare i requisiti di conformità per la gestione delle patch utilizzando strumenti software

Nell'ultimo decennio sono state introdotte sul mercato diverse soluzioni software di gestione delle patch che possono aiutare le aziende a rispettare più facilmente le normative. I prodotti includono soluzioni di auditing e scansione della sicurezza, gestione delle minacce, controllo degli accessi, monitoraggio della rete e software di gestione delle patch per soddisfare tutte le diverse esigenze specifiche.

I servizi cloud forniscono strumenti integrati come opzioni di crittografia, sistemi di gestione dell'identità e dell'accesso (IAM), isolamento della rete virtuale e altri strumenti di sicurezza che aiutano a proteggere i dati personali come richiesto dalle normative sulla privacy. Se combinati con strumenti di gestione delle patch on-premises, il raggiungimento degli obiettivi di conformità normativa diventa più facile.

Come scegliere la giusta soluzione di gestione delle patch, visto il gran numero di strumenti oggi disponibili? Di seguito sono riportate alcune funzionalità che dovrebbero sempre essere presenti nel software di gestione delle patch per garantire il rispetto delle norme.

• Report specifici per i principali requisiti di conformità, oltre a report incentrati sull'utilizzo e la gestione degli account, sulle modifiche alle politiche e altro.

• Valutazione completa delle vulnerabilità con report di analisi dei risultati, indipendentemente dalla piattaforma, come richiesto da enti quali PCI e HIPAA.

• Raccolta, normalizzazione e consolidamento a più livelli dei dati di log per soddisfare le regole sulla conservazione e la disponibilità dei dati di log e sulla gestione delle patch imposte dagli enti normativi e dalle leggi più comuni.

• Report sullo stato di ogni aggiornamento e statistiche rilevanti sulle installazioni e gli aggiornamenti delle patch a scopi di audit.

• Funzionamento su diverse piattaforme e sistemi operativi, compresi i sistemi operativi Microsoft®, MAC OS X® e Linux®, Amazon Web Services (AWS), altre piattaforme cloud e applicazioni di terze parti.

• Scansione dell'intera rete per identificare le patch mancanti su tutti i diversi software.

• Possibilità di scaricare le patch direttamente dai siti dei fornitori.

• Efficienti procedure di test e distribuzione delle patch.

• Installazione semplice su tutti i dispositivi, come desktop, laptop e server.

Blog

Risorse aggiuntive