Noi vogliamo dotarci di un software per la gestione delle vulnerabilità.
Abbiamo anche ottenuto finanziamenti relativi agli “spazi finanziari” citati nel documento linkato, dove però si parla in a-ter di “investimenti… relativi a sviluppo software …”, per poi citare “interventi finalizzati all’attuazione delle restanti azioni contenute all’interno del Piano triennale” (capitolo 8).
La domanda è: il pagamento del canone di un software di gestione di vulnerabilità rientra negli investimenti coperti da questi finanziamenti?
A me, leggendolo, onestamente verrebbe da rispondere no…
Un software di gestione vulnerabilità credo si intenda un software in grado di verificare periodicamente i sistemi in utilizzo e rilevare se necessitano di patching.
D’altra parte il tema indicato da @DarioB è relativo al canone non tanto alla tipologia di software, mi pare di capire.
Si, il problema posto è più di natura “contabile” e di bilancio, sulla possibilità di utilizzo dei fondi “concessi” attraverso appunto gli spazi finanziari posto che quel genere di software viene generalmente fornito a canone (quindi spese correnti)
Quindi, supponendo che la mia infrastruttura sia fatta da:
un paio di hypervisor (VMware; HypherV; o anche RHEV o ProxMox) in esecuzione su hardware Intel (es.: DELL, HP, Fujitsu, SuperMicro, etc.);
un paio di VM con sopra Windows Server 2012 e una infrastruttura Active-Directory (e quindi i servizi DNS, DHCP, etc.);
un file server, anch’esso basato su architettura Win (su un’altra VM);
una decina di client (Win7 o Win10), tutti a dominio, con sopra una relase di office (qualunque) + un client di posta (qualunque) + uno strumento di protezione dell’end-point (qualunque) + qualche software ad-hoc (es.: un “cad” per l’ufficio tecnico);
una VM per l’installazione della console centralizzata di protezione degli end-point;
una VM per WSUS che mi aiuta nel deploy degli aggiornamenti;
una VM Linux (CentOS) che utilizzo per pubblicare “on-line”, su INTERNET, un servizio WEB di qualche tipo, implementato attraverso un noto CMS (tipo WordPress o Joomla corredati da qualche plugin, o magari anche qualcosa di più “pesante” tipo una verticalizzazione di LifeRay installato sopra JBOSS/WildFire)
il tutto:
interconnesso attraverso una semplice LAN (una sola subnet ed un solo switch fisico), protetta da un “firewall” hardware (Cisco, Fortinet, Zyxel, Juniper, o anche PFSense);
protetto da una adeguata infrastruttura di backup (il cui server e’ installato su una ulteriore VM ad-hoc ed il cui storage e’ demandato ad un classico “NAS” locale alla subnet)
lo strumento software di cui parliamo, ossia il “software di gestione di vulnerabilità”, è qualcosa che mi avvisa, in un lasso di tempo “ragionevole” (ore? giorni? settimane?) delle vulnerabilità note:
relative all’hardware fisico (patch di sicurezza rilasciate dal vendor dell’hardware [aggiornamento BIOS e altri firmware, firmware Controller, firmware NIC, etc.];
relative all’hypervisor (patch rilasciate dal vendor dell’hypervisor, ed alle quali ho diritto di avere accesso in quanto regolare detentore delle “subscription” legate al prodotto che utilizzo);
relative al Sistema Operativo (server, client; rilasciate da Microsoft o dal team di CentOS relativamente alla VM Linux);
relative alle componenti applicative in esecuzione sui client (Office Automation, CAD, Client di Posta, applicativi gestionali, etc.);
relative agli applicativi in esecuzione sulla VM Linux (security fix di WordPress/Joomla e dei plugin utilizzati; security fix di tutto lo stack Java da LifeRay in giù fino alla versione del JDK);
relative alle versioni del software/firmware in esecuzione sul firewall;
relative alle versioni del software/firmware in esecuzione sullo switch di rete;
relative alle versioni del software/firmware in esecuzione su NAS che ospita i backup.
Se è questo di cui parliamo… allora --dal mio personale punto di vista-- lo strumento di cui parliamo è certamente degno di (molta) attenzione (positiva).
Viceversa, se lo strumento di cui parliamo è qualcosa di diverso (ad esempio: è qualcosa che lavora a mo’ di “sonda”, girando su una VM e lanciando periodicamente dei network-scan sulla mia subnet evidenziando “porte aperte”, “servizi esposti” e “vulnerabilita’” identificate tramite pattern più o meno preconfigurati [Es.: versione di WordPress vulnerabile]), a quel punto il mio (personale) giudizio CAMBIA drasticamente. In questo caso suggerirei di valutare meglio le problematiche di sicurezza interne, riflettendo sul fatto che “la falsa sicurezza è peggiore della certezza dell’insicurezza” (frase non mia, ma che condivido al 100%).
In ogni caso (e chiudo), il tema è comunque importante perchè… indipendentemente dal tipo di software (“funziona bene” vs. “funziona male”; “fa cose utili” vs. “fa cose semiinutili”; “mi fa stare [falsamente] sicuro” vs. “contribuisce significativamente ad alzare il livello di sicurezza della mia infrastruttura”), quel software “costerà” e bisognerà pagarlo (a pensarci bene, l’unica cosa certa, finora, è che quel software “costa”).
desideriamo un software, il quale si paga a canone;
siamo rientrati negli “spazi finanziari” dove si parla di investimenti etc. (vedi sopra)
=> il software a canone rientra negli investimenti descritti dagli spazi finanziari?
a-ter) spese per investimenti finalizzati all’attuazione del Piano triennale per l'informatica nella > pubblica amministrazione, di cui all’articolo 1, comma 513, della legge 28 dicembre 2015, n. 208, relativi allo sviluppo software e alla manutenzione evolutiva, ivi compresi la progettazione, la realizzazione, il collaudo, l’installazione e l’avviamento presso l’ente locale di software sviluppato ad hoc o di software pre-esistente e reingegnerizzato, la personalizzazione di software applicativo già in dotazione dell’ente locale o sviluppato per conto di altra unità organizzativa e riutilizzato, tenendo conto del seguente ordine prioritario:
1) [...]
2) interventi finalizzati all'attuazione delle restanti azioni contenute all'interno del Piano triennale per l’informatica nella pubblica amministrazione;
Il software mi permetterebbe di terminare la copertura delle Misure Minime, ma qui parla di investimenti, ed è per questo che chiedevo…
