Mantenere aggiornato il censimento degli asset, identificare quali richiedono aggiornamenti, classificare le patch disponibili e dunque procedere a testarle prima della distribuzione comporta lo svolgimento di una serie di attività orientate a mantenere sicurezza e integrità degli ambienti IT.

Ecco, dunque, che la gestione delle patch (o patch management) è un processo fondamentale per la sicurezza cyber e, come tale, deve avere un carattere di normalità e non di eccezione. Niente approcci leggeri alla skip tutorial, insomma.

Possiamo dire che sia analogo al leg day in palestra: dispendioso in termini di tempo ed energie, ma assolutamente necessario ed imprescindibile per realizzare i risultati attesi.

Se non viene svolto in modo continuo, inoltre, aumenta l’esposizione dell’organizzazione agli attacchi informatici ed emerge in modo piuttosto lampante l’inadeguatezza delle misure predisposte allo stato dell’arte.

Cosa ben più grave delle note – o famigerate – gambe a fenicottero derivanti dalla scarsa concentrazione nell’allenare gli arti inferiori nel mondo del bodybuilding.

First think, then patch

Ragionare su come organizzare questo processo è indispensabile, sia per aumentarne l’efficacia installando tempestivamente le giuste patch sia per motivi di efficienza e non spendere un effort superiore ai benefici.

Ogni fase è importante, da quella preliminare di individuazione di quali risorse IT richiedano aggiornamenti di sicurezza e dove individuare gli stessi (motivo per cui è bene che il censimento sia aggiornato, altrimenti bisogna di volta in volta spendere il proprio Google-fu per fare ricerche) a quella successiva di verifica, documentazione e monitoraggio.

Ad esempio, l’ultimo Patch Tuesday per Windows 10 non è solo l’occasione per risolvere delle vulnerabilità, ma anche per verificare se ci si è preparati adeguatamente all’end-of-life del sistema operativo.

Il che non comporta preparare discorsi di commiato, ma preferire le opere di bene ovverosia mantenere la gestione di una sicurezza adeguata.

Non è sufficiente essere consapevoli ma aver pronto un piano d’azione, sia per non utilizzare un sistema che nel tempo diventerà sempre meno sicuro sia per evitare di dividere le proprie forze in controlli compensativi.

Beninteso: le patch non fanno miracoli, ma sono funzionali a risolvere vulnerabilità note. Non gestirle significa invece poter confidare solo in un miracolo.