Politica di Gestione delle vulnerabilità e delle patch

La Politica di Gestione delle vulnerabilità e delle patch (P19) definisce l’approccio strutturato richiesto per identificare, classificare, porre in atto azioni di rimedio e monitorare le vulnerabilità tecniche e i difetti software all’interno di tutti gli asset governati dal Sistema di gestione della sicurezza delle informazioni (SGSI) dell’organizzazione. Il suo obiettivo principale è ridurre l’esposizione al rischio derivante da lacune non affrontate, garantendo un processo coordinato per la valutazione delle vulnerabilità, la prioritizzazione, le azioni di rimedio e il tracciamento della conformità, adattato alle priorità operative e al contesto normativo rilevante per l’organizzazione. La politica si applica a livello aziendale a tutti i sistemi informativi, applicazioni, infrastruttura di rete, firmware, risorse cloud, API, endpoint, server, infrastruttura virtuale e piattaforme di terze parti, indipendentemente dall’ambiente di hosting. Vincolante sia per i team interni sia per i fornitori di servizi esterni, impone un approccio completo al ciclo di vita, a partire da scansioni di vulnerabilità e attività di discovery regolari, passando per il punteggio di rischio e l’acquisizione delle patch, fino al deployment tempestivo, alla Gestione delle eccezioni, al monitoraggio e alla reportistica. Un’enfasi particolare è posta sulle scansioni autenticate e adeguate al rischio a intervalli definiti, in particolare per gli asset esposti a Internet o di alto valore, con procedure associate per l’onboarding di nuovi sistemi e il mantenimento della conformità lungo il loro ciclo di vita. Ruoli e responsabilità sono delineati con precisione per favorire l’accountability. Il Responsabile della sicurezza delle informazioni (CISO) è titolare dell’integrazione della politica e dell’allineamento al rischio; i responsabili della Gestione delle vulnerabilità supervisionano l’erogazione operativa; i proprietari del sistema e i proprietari delle applicazioni sono incaricati di applicare le azioni di rimedio e validare la stabilità del sistema; le operazioni IT eseguono le modifiche entro finestre stabilite; e gli analisti di sicurezza mantengono la vigilanza tramite monitoraggio e rilevamento delle minacce continui e valutazioni del rischio aggiornate. Sono previsti requisiti formali per i fornitori terzi, affinché i sistemi esterni rispettino gli stessi Accordi sul livello di servizio (SLA) per le patch, con audit periodici e controlli sui loro processi di Gestione delle patch. Un quadro di governance, inclusi un Registro di Gestione delle vulnerabilità mantenuto centralmente e SLA basati sul rischio, sostiene la politica. Il sistema impone l’urgenza delle patch in base alla gravità (come determinata dal punteggio CVSS), alla criticità dell’asset e all’esposizione, integrandosi con la Politica di gestione dei cambiamenti per tracciabilità e stabilità. Protocolli dettagliati per le eccezioni stabiliscono requisiti per approvazione formale, controlli compensativi, cadenza di riesame, limiti temporali per i rischi critici e tracciamento obbligatorio nei registri del SGSI designati. L’applicazione della politica si basa su monitoraggio continuo della conformità, reportistica sullo stato ed escalation strutturata. La politica richiede inoltre audit, indagini retrospettive dopo incidenti e un solido protocollo di riesame/aggiornamento per garantire l’allineamento continuo con obblighi normativi in evoluzione, cambiamenti tecnologici e threat intelligence di rilievo. È direttamente collegata a politiche fondamentali, quali Politica per la sicurezza delle informazioni, Gestione delle modifiche, gestione del rischio, gestione degli asset, Politica di registrazione e monitoraggio e Politica di risposta agli incidenti (P30), per garantire una copertura end-to-end.