: L'innovazione per le PMI al centro dell'evento del prossimo 24 febbraio 2026 | Lainate (Milano) | La Pista
Sicurezza informatica, perchè è fondamentale fare gli aggiornamenti
Redazione Channelcity Checché se ne dica i sistemi che non vengono aggiornati regolarmente sono più vulnerabili ai cyberattacchi. Una interessante analisi di Stormshield.
La rapida diffusione del ransomware WannaCry illustra perfettamente i rischi posti da postazioni di lavoro non patchate. Migliaia di aziende e organizzazioni sono state colpite e lo spettro di WannaCry sembra riemergere a intervalli regolari. Nel 2020 infatti è stata scoperta un’altra grande vulnerabilità nei sistemi operativi Windows: SMBGhost. Si tratta di una vulnerabilità che sfrutta lo stesso protocollo utilizzato da WannaCry – con conseguenze potenzialmente catastrofiche.
Una difficile convergenza tra sicurezza informatica e processi aziendali
Gli aggiornamenti sono doppiamente impegnativi: da un lato, occorre mantenere un elevato livello di sicurezza, dall’altro, è necessario tener conto delle esigenze operative dell’organizzazione in questione. Sebbene la ragion d’essere degli update è proprio quella di rimuovere bug e vulnerabilità, a volte anch’essi presentano la loro parte di limitazioni. Ad esempio, nei settori industriale e OT, la distribuzione degli aggiornamenti può avere effetti avversi come prolungate interruzioni della produzione. A causa dell’entità del potenziale impatto, i cicli di manutenzione devono quindi essere preparati e pianificati con molta attenzione. Anche negli ambiti che esulano dai meri ambienti operativi e industriali, alcuni aggiornamenti possono influire su funzionalità e prestazioni di alcune applicazioni, limitare la disponibilità di un sito web o la produttività degli utenti per un certo periodo di tempo. Considerando tutti questi aspetti, il tema dell’aggiornamento appare tanto complesso quanto paradossale.
Quindi, perché fare gli aggiornamenti?
In effetti il tema ha rilevanza strategica ed è molto dibattuto. Prima di distribuire gli eventuali aggiornamenti, si dovrebbe determinare in base alle esigenze operative dell’azienda se il roll-out è fattibile. Taluni aggiornamenti possono infatti essere estremamente complessi o addirittura, in alcuni casi, non conducibili. Il controllo e la pianificazione anticipata sono quindi due fattori importanti ai fini della riduzione di potenziali interruzioni dei servizi.
Ad esempio, l’aggiornamento automatico delle postazioni di lavoro impiegate per tradizionali compiti d’ufficio è un’attività che in ambienti OT critici non può funzionare: idealmente, per evitare gli effetti indesiderati dell’aggiornamento, si dovrebbero effettuare test in ambienti di prova: alcuni update possono rendere una data applicazione incompatibile con sistemi operativi più datati, per cui l’aggiornamento non può essere eseguito.
Ci sono anche vecchie applicazioni aziendali essenziali, che girano solo su sistemi operativi obsoleti. In questo caso, i fornitori devono aiutare le aziende ad implementare gli aggiornamenti trovando insieme il modo di ridurre al minimo e, ove necessario, impedire ai sistemi interessati di comunicare in rete fino a quando l’applicazione non potrà essere aggiornata, poiché la mancata installazione di aggiornamenti rende i sistemi IT estremamente vulnerabili ai cyberattacchi.
Alberto Brera, Country Manager Italia, Stormshield
Promuovere la “cultura dell’aggiornamento”
Sebbene l’importanza degli aggiornamenti sia sempre più percepita e accettata, le organizzazioni fanno ancora fatica a comprendere chiaramente i pericoli derivanti dal mancato aggiornamento. Troppi credono ancora di non essere sufficientemente interessanti per i cybercriminali o ritengono le proprie infrastrutture scevre dal rischio di un attacco informatico, specie in ambito OT, dove la “cybercultura” non è ancora sufficientemente diffusa.
L’educazione e l’evangelizzazione da parte dei fornitori e dei produttori di dispositivi sono quindi essenziali per aumentare la percezione del rischio nelle aziende. Per facilitare questo processo potrebbe essere utile condividere e comunicare esempi concreti e casi reali in cui sono state sfruttate vulnerabilità. Oltre ad un’ampia condivisione di queste informazioni, i fornitori dovrebbero anche supportare il processo di applicazione degli update e fornire informazioni accurate sui nuovi aggiornamenti. Ciò guiderà i clienti, che saranno in grado di identificare chiaramente se si tratta di un bug fix o di una patch di sicurezza.
A volte il produttore dovrà presentare i rischi e quindi giustificare gli aggiornamenti proposti per incoraggiare le aziende. Il cliente, infatti, sarà sempre tentato di dare priorità alla continuità della produzione rispetto a qualsiasi altra cosa. L’implementazione degli aggiornamenti e le relative procedure (frequenza di aggiornamento, decisione di attivare o meno gli aggiornamenti automatici, ecc.) sono di responsabilità del personale IT: solo loro, e non il singolo utente, sono nella posizione migliore per valutare i potenziali problemi causati dagli aggiornamenti e per gestire correttamente il roll-out di un aggiornamento a livello aziendale. Di conseguenza, i responsabili IT svolgono anche un ruolo primario nella promozione di una “cultura dell’aggiornamento” essenziale nelle aziende che puntano su ambienti operativi, hardware e applicazioni sicure.
Per saperne di più: www.stormshield.com/it/
Una difficile convergenza tra sicurezza informatica e processi aziendali
Gli aggiornamenti sono doppiamente impegnativi: da un lato, occorre mantenere un elevato livello di sicurezza, dall’altro, è necessario tener conto delle esigenze operative dell’organizzazione in questione. Sebbene la ragion d’essere degli update è proprio quella di rimuovere bug e vulnerabilità, a volte anch’essi presentano la loro parte di limitazioni. Ad esempio, nei settori industriale e OT, la distribuzione degli aggiornamenti può avere effetti avversi come prolungate interruzioni della produzione. A causa dell’entità del potenziale impatto, i cicli di manutenzione devono quindi essere preparati e pianificati con molta attenzione. Anche negli ambiti che esulano dai meri ambienti operativi e industriali, alcuni aggiornamenti possono influire su funzionalità e prestazioni di alcune applicazioni, limitare la disponibilità di un sito web o la produttività degli utenti per un certo periodo di tempo. Considerando tutti questi aspetti, il tema dell’aggiornamento appare tanto complesso quanto paradossale.
Quindi, perché fare gli aggiornamenti?
In effetti il tema ha rilevanza strategica ed è molto dibattuto. Prima di distribuire gli eventuali aggiornamenti, si dovrebbe determinare in base alle esigenze operative dell’azienda se il roll-out è fattibile. Taluni aggiornamenti possono infatti essere estremamente complessi o addirittura, in alcuni casi, non conducibili. Il controllo e la pianificazione anticipata sono quindi due fattori importanti ai fini della riduzione di potenziali interruzioni dei servizi.
Ad esempio, l’aggiornamento automatico delle postazioni di lavoro impiegate per tradizionali compiti d’ufficio è un’attività che in ambienti OT critici non può funzionare: idealmente, per evitare gli effetti indesiderati dell’aggiornamento, si dovrebbero effettuare test in ambienti di prova: alcuni update possono rendere una data applicazione incompatibile con sistemi operativi più datati, per cui l’aggiornamento non può essere eseguito.
Ci sono anche vecchie applicazioni aziendali essenziali, che girano solo su sistemi operativi obsoleti. In questo caso, i fornitori devono aiutare le aziende ad implementare gli aggiornamenti trovando insieme il modo di ridurre al minimo e, ove necessario, impedire ai sistemi interessati di comunicare in rete fino a quando l’applicazione non potrà essere aggiornata, poiché la mancata installazione di aggiornamenti rende i sistemi IT estremamente vulnerabili ai cyberattacchi.
Alberto Brera, Country Manager Italia, StormshieldPromuovere la “cultura dell’aggiornamento”
Sebbene l’importanza degli aggiornamenti sia sempre più percepita e accettata, le organizzazioni fanno ancora fatica a comprendere chiaramente i pericoli derivanti dal mancato aggiornamento. Troppi credono ancora di non essere sufficientemente interessanti per i cybercriminali o ritengono le proprie infrastrutture scevre dal rischio di un attacco informatico, specie in ambito OT, dove la “cybercultura” non è ancora sufficientemente diffusa.
L’educazione e l’evangelizzazione da parte dei fornitori e dei produttori di dispositivi sono quindi essenziali per aumentare la percezione del rischio nelle aziende. Per facilitare questo processo potrebbe essere utile condividere e comunicare esempi concreti e casi reali in cui sono state sfruttate vulnerabilità. Oltre ad un’ampia condivisione di queste informazioni, i fornitori dovrebbero anche supportare il processo di applicazione degli update e fornire informazioni accurate sui nuovi aggiornamenti. Ciò guiderà i clienti, che saranno in grado di identificare chiaramente se si tratta di un bug fix o di una patch di sicurezza.
A volte il produttore dovrà presentare i rischi e quindi giustificare gli aggiornamenti proposti per incoraggiare le aziende. Il cliente, infatti, sarà sempre tentato di dare priorità alla continuità della produzione rispetto a qualsiasi altra cosa. L’implementazione degli aggiornamenti e le relative procedure (frequenza di aggiornamento, decisione di attivare o meno gli aggiornamenti automatici, ecc.) sono di responsabilità del personale IT: solo loro, e non il singolo utente, sono nella posizione migliore per valutare i potenziali problemi causati dagli aggiornamenti e per gestire correttamente il roll-out di un aggiornamento a livello aziendale. Di conseguenza, i responsabili IT svolgono anche un ruolo primario nella promozione di una “cultura dell’aggiornamento” essenziale nelle aziende che puntano su ambienti operativi, hardware e applicazioni sicure.
Per saperne di più: www.stormshield.com/it/
Rimani sempre aggiornato, seguici su Google News!
Seguici
Abbonati alla rivista ChannelCity Magazine e ricevi la tua copia.
Notizie correlate
Speciali Tutti gli speciali
Speciale
Speciale
Calendario Tutto
Feb 04
Diventa Partner Elastic: Opportunità e Vantaggi per il tuo Business
Feb 04
OPEN DAY | Dalla tecnologia alla sostenibilità: le soluzioni Epson per il tuo business - Napoli
Feb 04
Più Produttività, meno Task manuali con Atera!
Feb 04
LIVE WEBINAR ADOBE | Acrobat Studio: PDF Spaces e nuove integrazioni per il lavoro creativo quotidiano
Feb 04
Soluzioni Cloud Integrate: Parallels RAS e AWS per Workspace Sicuri e Scalabili
Feb 05
LIVE WEBINAR | Open by Design, Sovereign by Choice: strategie pratiche per la Sovranità Digitale con SUSE
Feb 05
Dropbox: la soluzione giusta per i tuoi clienti, la leva giusta per il tuo business
Feb 06
Webinar : Cyber Unit: Acronis & Nutanix
Feb 09
Ready Informatica Formazione | Training DataCore SANSymphony per ottenere la certificazione DCIE
Magazine Tutti i numeri
G11 Media Networks
ChannelCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
