Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

GDPR e aggiornamento dei sistemi informatici

securityIl GDPR è molto chiaro nel riportare che, nella messa in sicurezza dell'infrastruttura informatica, un ruolo molto importante è giocato dall'aggiornamento dei software e dei devices; questo significa tenerli sempre allineati con le ultime patch di sicurezza rilasciate.
Esiste però un duplice problema: da un lato bisogna avere un piano interno di aggiornamento a cui attenersi (fondamentalmente per non dimenticarsi di aggiornare), dall'altro si deve verificare sempre che i prodotti informatici in uso siano ancora "coperti" dal supporto della casa madre.
Quando un prodotto raggiunge quello che viene definito "End-of-Life", ovvero il fine supporto, continuerà regolarmente a funzionare, ma non verrà più aggiornato; non venendo più prodotti aggiornamenti che garantiscano la correzione dei problemi di sicurezza, il prodotto non potrà essere più usato in azienda se si vuole rimanere compliance al GDPR.
Il discorso è abbastanza evidente se parliamo di sistemi operativi di PC e Servers: molte aziende hanno infatti avviato un piano di sostituzione di Windows 7 e Windows Server 2008R2 (che doveva già essere stato terminato entro il 14 Gennaio 2020, a dirla tutta); meno chiaro se invece parliamo di software applicativi o, ancora peggio, di devices.
Ad esempio molte aziende continuano ad utilizzare Microsoft Office 2010 (il cui supporto è scaduto il 13 ottobre 2020), o versioni obsolete di SQL Server...
Per quanto riguarda i devices, è di fondamentale importanza verificare, ad esempio, l'End-of-life del proprio firewall: è proprio di questi giorni la notizia che alcuni dati relativi a PCM, Roma Capitale, e altre istituzioni italiane sono stati trovati sulle darknet. Sembrerebbe che i dati siano stati trafugati utilizzando un BUG (CVE-2018-13379) sulle VPN dei Firewall della Fortinet. Tale bug era stato già corretto da una patch rilasciata nel 2019, ma a quanto pare nei casi delle aziende violate o non si era provveduto all'installazione della patch, o si stavano utilizzando dei modelli End-of-life, per cui la patch non è stata prodotta.
Ricordate che se aveste bisogno di consulenza riguardo lo stato di sicurezza della vostra infrastruttura, potete contattarci mandandoci una mail attraverso il nostro sito.

Pin It

Tags: end of life, supporto, patch, aggiornamento, GDPR