Pagina iniziale Navigazione Contenuto Contatti Sitemap Cerca
HomeSuggerimenti per le PMIGestione delle patch nelle PMI

Gestione delle patch nelle PMI

Gli aggior­na­menti sono un metodo effi­cace per gestire le falle nella sicu­rezza dei sistemi digi­tali com­plessi. Una buona gestione delle patch per­mette di instal­larli senza dif­fi­coltà anche nelle PMI.

Punti prin­ci­pali:

  • Dedi­cate rego­lar­mente alla manu­ten­zione dei sistemi fasce orarie non coin­ci­denti con la produzione.
  • Otte­nete gli aggior­na­menti della sicu­rezza solo da fonti attendibili.
  • Veri­fi­cate l’efficacia e gli «effetti col­la­te­rali» degli aggior­na­menti prima di instal­larli sui sistemi produttivi.
  • Sta­bi­lite un piano per la distri­bu­zione degli aggior­na­menti sui vostri sistemi.
  • Tenete pronto un backup aggior­nato e un piano di fall­back per l’eventualità che l’aggior­na­mento non fun­zioni a dovere.
  • Docu­men­tate i lavori di manu­ten­zione ese­guiti sui sistemi.

Aggior­na­menti della sicurezza

Lo svi­luppo dei sistemi infor­ma­tici è sempre più incal­zante, con un aumento costante delle fun­zioni delle appli­ca­zioni e la ten­denza ad abbre­viare i cicli di vita di hard­ware e soft­ware. I pro­dut­tori pun­tano a tenere il passo distri­buendo le loro novità in tempi brevi mediante aggior­na­menti (update).

Nel con­testo delle PMI è pos­si­bile pro­ce­dere in un certo senso con i piedi di piombo, non essendo sempre pos­si­bile appli­care effi­cien­te­mente al pro­cesso ope­ra­tivo ogni sin­gola novità. Una grande ecce­zione in questo senso è costi­tuita dagli aggior­na­menti della sicu­rezza, che andreb­bero instal­lati il prima possibile.

Ogni sistema com­plesso pre­senta errori o punti deboli nascosti che nella mag­gior parte dei casi sfug­gono inno­cua­mente all’attenzione per lungo tempo. Una volta sco­perti, tut­tavia, diven­tano falle da valu­tare con atten­zione (in infor­ma­tica ven­gono chia­mate vul­ne­ra­bi­lità) e mar­cano l’inizio di una corsa contro il tempo.

Da un lato, infatti, gli hacker ini­ziano a cer­care modi per sfrut­tarle queste falle per i loro scopi e svi­lup­pare i cosid­detti exploit. Se ci riu­scis­sero, potreb­bero ad esempio acce­dere senza auto­riz­za­zione a sistemi e dati.

Allo stesso tempo, i pro­dut­tori si danno da fare per risol­vere i pro­blemi nel minor tempo pos­si­bile mediante aggior­na­menti della sicu­rezza o patch, ini­bendo così even­tuali exploit nuovi o già diffusi.

La gestione delle patch

Come regola gene­rale, gli aggior­na­menti della sicu­rezza andreb­bero quindi instal­lati con la mag­giore rapi­dità e capil­la­rità pos­si­bile. In una posta­zione di lavoro pri­vata e indi­vi­duale l’operazione è sem­plice, ma in una PMI le dif­fi­coltà non sono poche. Ecco perché si rende neces­saria una pro­ce­dura ordi­nata inse­rita in un appo­sito processo.

Per l’installazione degli aggior­na­menti della sicu­rezza è neces­sario seguire questi passaggi:

  • iden­ti­fi­ca­zione dei sistemi inte­res­sati e dei rela­tivi aggiornamenti;
  • otte­ni­mento degli aggior­na­menti della sicu­rezza da una fonte atten­di­bile, anche e in par­ti­co­lare per i sistemi privi di accesso diretto a Internet;
  • veri­fica pre­li­mi­nare, su sistemi non cri­tici, dell’efficacia e degli «effetti col­la­te­rali» degli aggiornamenti;
  • distri­bu­zione degli aggior­na­menti in base al tipo di sistema e pia­ni­fi­ca­zione dell’installazione al di fuori degli orari di produzione;
  • per i sistemi cri­tici: pia­ni­fi­ca­zione di solu­zioni di ripiego tem­po­ranee e sce­nari di fallback;
  • docu­men­ta­zione delle modi­fiche apportate.

Trat­tan­dosi di un pro­cesso che avviene in forma con­ti­nua­tiva, è con­si­glia­bile inse­rire in calen­dario la manu­ten­zione dei sistemi con una perio­di­cità rego­lare e fissa. Ciò con­sen­tirà di accu­mu­lare, testare e pre­di­sporre gli aggior­na­menti della sicu­rezza per un certo periodo di tempo, posti­ci­pan­done comunque l’installazione alla data prevista.

Le pro­ce­dure di gestione delle patch con­si­stono nell’ottenere, testare e instal­lare gli aggior­na­menti soft­ware al fine di risol­vere le vul­ne­ra­bi­lità di sistemi ope­ra­tivi e applicazioni.

Per saperne di più

L’iden­ti­fi­ca­zione dei sistemi inte­res­sati e dei rela­tivi aggior­na­menti dipende da nume­rosi fat­tori. In primo luogo l’hardware, per il quale occorre tenere aggior­nati in par­ti­co­lare il firm­ware e i driver. A seguire il sistema ope­ra­tivo e i pro­grammi instal­lati, per i quali va costan­te­mente veri­fi­cata la dispo­ni­bi­lità di aggiornamenti.

Per i sistemi dotati di accesso diretto a Internet esi­stono solu­zioni di con­trollo auto­ma­tiz­zate che sti­lano perio­di­ca­mente un inven­tario dell’hardware e del soft­ware e cer­cano online gli aggior­na­menti dispo­ni­bili. Nelle PMI questi pro­grammi dovreb­bero svol­gere al mas­simo una fun­zione di sup­porto: sono for­te­mente scon­si­gliate le instal­la­zioni di aggior­na­menti non pre­si­diate e con­trol­late da un tecnico.

Anche l’otte­ni­mento degli aggior­na­menti della sicu­rezza può essere un’attività sen­si­bile, perché non sempre gli aggior­na­menti più facili da tro­vare in Internet sono «ori­gi­nali»: vi è infatti il rischio che il pre­sunto aggior­na­mento della sicu­rezza installi invece nel sistema l’exploit. Ove pos­si­bile, biso­gne­rebbe quindi affi­darsi uni­ca­mente ai canali di distri­bu­zione uffi­ciali dei produttori.

Prima di instal­lare un aggior­na­mento su un sistema pro­dut­tivo o addi­rit­tura cri­tico, assi­cu­ra­tevi che sia com­pa­ti­bile con il sistema in que­stione e il con­testo d’uso. L’ideale sarebbe veri­fi­care l’efficacia e gli «effetti col­la­te­rali» (cioè con­se­guenze poten­zial­mente inde­si­de­rate) degli aggior­na­menti in un ambiente iso­lato e non pro­dut­tivo, anche se nelle PMI spesso non è possibile.

Tut­tavia, è con­si­glia­bile distri­buire gli aggior­na­menti per cate­gorie di sistema, comin­ciando ad esempio con quelli meno cri­tici. Solo dopo aver atteso un certo periodo di osser­va­zione ed ese­guito alcuni test si potrà pro­ce­dere con gli altri sistemi.

All’installazione degli aggior­na­menti, in par­ti­co­lare nei sistemi cri­tici, andreb­bero riser­vate fasce orarie suf­fi­cienti non coin­ci­denti con la pro­du­zione. Non biso­gne­rebbe dimen­ti­care di pre­pa­rarsi con backup e solu­zioni di ripiego in caso di fall­back all’eventualità che l’aggior­na­mento non si installi correttamente.

Le azioni ese­guite nel pro­cesso di aggior­na­mento andreb­bero anno­tate in modo com­pren­si­bile in appo­sita docu­men­ta­zione che offri­rebbe indi­ca­zioni sulla causa di even­tuali pro­blemi riscon­trati successivamente.

Potrebbero interessarvi anche queste pagine:

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corso di for­ma­zione di base

Sco­prite i rischi posti da Internet e come con sem­plici ope­ra­zioni vi potete pro­teg­gere e usare l’e-banking in modo sicuro.

mag­giori informazioni

Corso online Mobile Ban­king / Payment

Impa­rate a cono­scere Mobile Ban­king e Mobile Pay­ment e come uti­liz­zare tali app in modo sicuro.

mag­giori informazioni

Corso online per minori di 30 anni

Impara a usare lo smart­phone in modo sicuro. Oltre alle basi, ti mostre­remo cosa c’è da sapere su social media, cloud, Mobile Ban­king e Mobile Payment.

mag­giori informazioni

Corso per le PMI

La vostra azienda è suf­fi­cien­te­mente sicura? Sco­prite come raf­for­zare la sicu­rezza delle infor­ma­zioni nella vostra azienda.

mag­giori informazioni