Pubblica Amministrazione: obbligo di rilevazione e correzione vulnerabilità
Il Piano Triennale per l'informatica nella Pubblica Amministrazione, nella sua versione più aggiornata pubblicata dall'Agenzia per l'Italia Digitale (AgID), dedica un ampio capitolo alla sicurezza informatica.
Tra gli adempimenti richiesti alle Pubbliche Amministrazioni, è in particolare richiesta la rilevazione e la correzione delle vulnerabilità presenti sulla propria infrastruttura, aggiornata consultando la piattaforma infosec.
Infosec è, come da definizione della home page del sito, "un aggregatore di dati e informazioni relativi a tecniche d'attacco, vulnerabilità hardware e software, pubblicate originariamente dal MITRE e rilasciate con specifiche di dettaglio da parte del "National Vulnerability Database" (NVD)."
Lo scopo è quello di utilizzare questo archivio per rilevare il più rapidamente possibile le vulnerabilità presenti sulla propria infrastruttura, possibilmente con sistemi automatici, al fine di applicare le correzioni disponibili.
Questa pratica, denominata Vulnerability Assessment, è da sempre uno dei principali strumenti per la rilevazione di punti deboli nell'infrastruttura informatica.
Può essere eseguita singolarmente o a cadenza regolare tramite appositi software.
Qualys ad esempio è un software che si basa sul National Vulnerability Database.
Per maggiori informazioni sul Vulnerability Assessment effettuato da BLS, clicca qui.