Software gestione vulnerabilità e Spazi Finanziari

Buongiorno a tutti.

Una domanda in relazione a quanto scritto qui.

Noi vogliamo dotarci di un software per la gestione delle vulnerabilità.
Abbiamo anche ottenuto finanziamenti relativi agli “spazi finanziari” citati nel documento linkato, dove però si parla in a-ter di “investimenti… relativi a sviluppo software …”, per poi citare “interventi finalizzati all’attuazione delle restanti azioni contenute all’interno del Piano triennale” (capitolo 8).

La domanda è: il pagamento del canone di un software di gestione di vulnerabilità rientra negli investimenti coperti da questi finanziamenti?

A me, leggendolo, onestamente verrebbe da rispondere no…

Grazie

Dario

2 Mi Piace

Posso chiedere cosa si intende, esattamente, per “software di gestione di vulnerabilità”?

Saluti,
DV

Un software di gestione vulnerabilità credo si intenda un software in grado di verificare periodicamente i sistemi in utilizzo e rilevare se necessitano di patching.

D’altra parte il tema indicato da @DarioB è relativo al canone non tanto alla tipologia di software, mi pare di capire.

Andrea

Si, il problema posto è più di natura “contabile” e di bilancio, sulla possibilità di utilizzo dei fondi “concessi” attraverso appunto gli spazi finanziari posto che quel genere di software viene generalmente fornito a canone (quindi spese correnti)

Quindi, supponendo che la mia infrastruttura sia fatta da:

  1. un paio di hypervisor (VMware; HypherV; o anche RHEV o ProxMox) in esecuzione su hardware Intel (es.: DELL, HP, Fujitsu, SuperMicro, etc.);
  2. un paio di VM con sopra Windows Server 2012 e una infrastruttura Active-Directory (e quindi i servizi DNS, DHCP, etc.);
  3. un file server, anch’esso basato su architettura Win (su un’altra VM);
  4. una decina di client (Win7 o Win10), tutti a dominio, con sopra una relase di office (qualunque) + un client di posta (qualunque) + uno strumento di protezione dell’end-point (qualunque) + qualche software ad-hoc (es.: un “cad” per l’ufficio tecnico);
  5. una VM per l’installazione della console centralizzata di protezione degli end-point;
  6. una VM per WSUS che mi aiuta nel deploy degli aggiornamenti;
  7. una VM Linux (CentOS) che utilizzo per pubblicare “on-line”, su INTERNET, un servizio WEB di qualche tipo, implementato attraverso un noto CMS (tipo WordPress o Joomla corredati da qualche plugin, o magari anche qualcosa di più “pesante” tipo una verticalizzazione di LifeRay installato sopra JBOSS/WildFire)

il tutto:

  1. interconnesso attraverso una semplice LAN (una sola subnet ed un solo switch fisico), protetta da un “firewall” hardware (Cisco, Fortinet, Zyxel, Juniper, o anche PFSense);
  2. protetto da una adeguata infrastruttura di backup (il cui server e’ installato su una ulteriore VM ad-hoc ed il cui storage e’ demandato ad un classico “NAS” locale alla subnet)

lo strumento software di cui parliamo, ossia il “software di gestione di vulnerabilità”, è qualcosa che mi avvisa, in un lasso di tempo “ragionevole” (ore? giorni? settimane?) delle vulnerabilità note:

  • relative all’hardware fisico (patch di sicurezza rilasciate dal vendor dell’hardware [aggiornamento BIOS e altri firmware, firmware Controller, firmware NIC, etc.];
  • relative all’hypervisor (patch rilasciate dal vendor dell’hypervisor, ed alle quali ho diritto di avere accesso in quanto regolare detentore delle “subscription” legate al prodotto che utilizzo);
  • relative al Sistema Operativo (server, client; rilasciate da Microsoft o dal team di CentOS relativamente alla VM Linux);
  • relative alle componenti applicative in esecuzione sui client (Office Automation, CAD, Client di Posta, applicativi gestionali, etc.);
  • relative agli applicativi in esecuzione sulla VM Linux (security fix di WordPress/Joomla e dei plugin utilizzati; security fix di tutto lo stack Java da LifeRay in giù fino alla versione del JDK);
  • relative alle versioni del software/firmware in esecuzione sul firewall;
  • relative alle versioni del software/firmware in esecuzione sullo switch di rete;
  • relative alle versioni del software/firmware in esecuzione su NAS che ospita i backup.

Se è questo di cui parliamo… allora --dal mio personale punto di vista-- lo strumento di cui parliamo è certamente degno di (molta) attenzione (positiva).

Viceversa, se lo strumento di cui parliamo è qualcosa di diverso (ad esempio: è qualcosa che lavora a mo’ di “sonda”, girando su una VM e lanciando periodicamente dei network-scan sulla mia subnet evidenziando “porte aperte”, “servizi esposti” e “vulnerabilita’” identificate tramite pattern più o meno preconfigurati [Es.: versione di WordPress vulnerabile]), a quel punto il mio (personale) giudizio CAMBIA drasticamente. In questo caso suggerirei di valutare meglio le problematiche di sicurezza interne, riflettendo sul fatto che “la falsa sicurezza è peggiore della certezza dell’insicurezza” (frase non mia, ma che condivido al 100%).

In ogni caso (e chiudo), il tema è comunque importante perchè… indipendentemente dal tipo di software (“funziona bene” vs. “funziona male”; “fa cose utili” vs. “fa cose semiinutili”; “mi fa stare [falsamente] sicuro” vs. “contribuisce significativamente ad alzare il livello di sicurezza della mia infrastruttura”), quel software “costerà” e bisognerà pagarlo (a pensarci bene, l’unica cosa certa, finora, è che quel software “costa”).

Un saluto,
DV

1 Mi Piace

Io la leggevo da un punto di vista diverso. La mail di Dario esordiva cosi’:

e chiaramente una possibile soluzione (al problema contabile) è… NON dotarsi di tale software :slight_smile:

Bye,
DV

La domanda in realtà è:

  • desideriamo un software, il quale si paga a canone;
  • siamo rientrati negli “spazi finanziari” dove si parla di investimenti etc. (vedi sopra)
    => il software a canone rientra negli investimenti descritti dagli spazi finanziari?

Grazie

Se intendi che la spesa è un investimento e va sul Titolo Secondo non credo, i servizi e canoni vanno sulla spesa corrente.

Anche secondo me…
Il testo dice:

a-ter) spese per investimenti finalizzati all’attuazione del Piano triennale per l'informatica nella > pubblica amministrazione, di cui all’articolo 1, comma 513, della legge 28 dicembre 2015, n. 208, relativi allo sviluppo software e alla manutenzione evolutiva, ivi compresi la progettazione, la realizzazione, il collaudo, l’installazione e l’avviamento presso l’ente locale di software sviluppato ad hoc o di software pre-esistente e reingegnerizzato, la personalizzazione di software applicativo già in dotazione dell’ente locale o sviluppato per conto di altra unità organizzativa e riutilizzato, tenendo conto del seguente ordine prioritario:
 
1) [...]
 
2) interventi finalizzati all'attuazione delle restanti azioni contenute all'interno del Piano triennale per l’informatica nella pubblica amministrazione;

Il software mi permetterebbe di terminare la copertura delle Misure Minime, ma qui parla di investimenti, ed è per questo che chiedevo…

Grazie

Dario

avevo già evidenziato questo problema quasi un anno fa qui…

le spese in sicurezza informatica (così come quelle in servizi cloud) sono oggi considerate spesa corrente OPEX (quindi non investimenti CAPEX)

… e quindi sono da tagliare al 50%