Per la prima volta in quasi un decennio, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha rivisto le sue linee guida per la gestione delle patch aziendali.
Mentre l'iterazione precedente del 2013 si concentrava sull'aiutare le organizzazioni a implementare tecnologie di gestione delle patch, la nuova edizione è incentrata sullo sviluppo di strategie per la gestione delle patch.
Creata dal National Cybersecurity Center of Excellence (NCCoE) del NIST, la pubblicazione speciale NIST (SP) 800-40 Revision 4 "si basa sul presupposto che […] le organizzazioni trarrebbero vantaggio dal ripensamento della pianificazione della gestione delle patch che dalla loro tecnologia di gestione delle patch" .
Tuttavia, il NIST ha anche pubblicato una pubblicazione complementare che dimostra come gli strumenti commerciali possono supportare le imprese nell'attuazione della sua guida rivista.
"Semplificare e rendere operativo"
La nuova guida incentrata sulla strategia "discute i fattori comuni che influiscono sulla gestione delle patch aziendali e raccomanda di creare una strategia aziendale per semplificare e rendere operativa l'applicazione delle patch, migliorando al contempo la riduzione del rischio".
In tal modo, la guida si propone di colmare il "divario tra i proprietari di attività/missione e la gestione della sicurezza/tecnologia sul valore delle patch", secondo il NIST.
La pubblicazione complementare, NIST SP 1800-31 , è emersa da una collaborazione tra NCCoE e alcuni dei maggiori fornitori di tecnologie di sicurezza informatica.
Con contributi di artisti del calibro di Cisco , IBM e Microsoft , illustra come le tecnologie commerciali possono essere implementate per "implementare le capacità di inventario e patching di cui le organizzazioni hanno bisogno per gestire situazioni di patch sia di routine che di emergenza", nonché "implementare mitigazioni temporanee, isolamento metodi o altre alternative all'applicazione di patch”.
La guida raccomanda anche "pratiche di sicurezza per proteggere gli stessi sistemi di gestione delle patch".
