Politica di divulgazione coordinata delle vulnerabilità

La Politica di divulgazione coordinata delle vulnerabilità (CVD), designata come P39, stabilisce un processo strutturato e formale per la ricezione, il trattamento e la divulgazione pubblica delle vulnerabilità nelle reti e nei sistemi informativi dell’organizzazione. Questa politica è stata sviluppata specificamente per colmare le lacune identificate nelle politiche precedenti in merito alla segnalazione e al coordinamento delle vulnerabilità rilevate esternamente, garantendo una conformità proattiva all’Articolo 21(2)(e) della Direttiva NIS2 nonché l’allineamento a norme internazionali, tra cui ISO/IEC 29147 e il Regolamento di esecuzione (UE) 2024/2690. Lo scopo di questa politica è duplice: facilitare la rilevazione e la risoluzione tempestive delle vulnerabilità di sicurezza sfruttando sia valutazioni interne sia input esterni, e creare percorsi chiari e sicuri per le parti esterne, come ricercatori di sicurezza, partner e clienti, per segnalare vulnerabilità. In particolare, la politica impone l’istituzione di un canale pubblico di segnalazione delle vulnerabilità, tipicamente un’e-mail di contatto per la sicurezza o un modulo web cifrato pubblicato sul sito web dell’organizzazione, che supporta una comunicazione sicura ed efficace con i segnalanti. Questa politica CVD descrive i compiti e la collaborazione richiesti tra tutte le parti coinvolte: il Vulnerability Response Team (VRT), responsabile del triage e del coordinamento delle azioni di rimedio e della divulgazione; i team IT e di sviluppo, che convalidano e affrontano gli aspetti tecnici delle vulnerabilità; i professionisti della comunicazione, che preparano avvisi per le parti interessate e per il pubblico; e gli stessi segnalanti esterni, che devono attenersi alle linee guida per la divulgazione responsabile. È importante sottolineare che la politica sancisce un principio di “safe harbor”: i ricercatori in buona fede che agiscono secondo le regole della politica sono protetti da azioni legali, favorendo una cultura cooperativa di gestione delle vulnerabilità. La politica è esplicita su livelli di servizio e controlli: le conferme di ricezione delle segnalazioni sono garantite entro 2 giorni lavorativi, la gravità viene sottoposta a triage tempestivamente e le vulnerabilità critiche attivano misure di mitigazione accelerate ed escalation alla direzione. Le tempistiche di divulgazione sono dichiarate (tipicamente entro 90 giorni o previo accordo reciproco) e gli avvisi pubblici sono coordinati per massimizzare la sicurezza, riconoscendo i segnalanti che acconsentono a essere nominati. La riservatezza delle vulnerabilità inviate e delle identità dei segnalanti è enfatizzata fino a quando non viene concordata una divulgazione pubblica coordinata. La governance del programma CVD è rigorosa. La politica viene riesaminata annualmente o dopo incidenti significativi, con requisiti di miglioramento continuo basati su riesami post-mortem. Le metriche vengono tracciate, i log mantenuti e sono previsti audit regolari per garantire trasparenza ed efficacia nel trattamento delle vulnerabilità in conformità alla politica e alle normative pertinenti. Questa politica non è adattata alle PMI (non è presente alcuna notazione PMI come “S”) e presuppone funzioni dedicate di sicurezza, sviluppo e comunicazione per il corretto funzionamento del CVD, tutte in linea con requisiti rigorosi per ISO/IEC 27001:2022 e direttive settoriali come NIS2.