Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’approfondimento

Asset management: i sei pilastri del patching strategico

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

Un asset management efficace richiede il superamento della mentalità “convenienza prima di tutto” per abbracciare approcci che privilegino sicurezza e verifica delle fonti, anche quando costano di più

Pubblicato il 20 gen 2026
Fabrizio Saviano

CISO ANPS Milano

Asset management patching

La gestione degli asset è un’opportunità per standardizzare approcci consistenti tra business unit, ma il CISO può solo raccomandare controlli e strategie: sono gli asset owner che decidono cosa implementare basandosi su impatto business e valore.

L’Asset Inventory è la primissima attività del CISO per conoscere ciò che deve essere protetto, seguito dalla manutenzione tramite il monitoraggio automatico e il patching gestito attraverso priorità, test, piani di ripristino e hashing per verifiche di integrità.

L’esempio più drammatico di asset non verificato è il “pezzotto” IPTV, cioè il mercato di decoder pirata della camorra che sfiora il miliardo di euro annuo, permettendo alle mafie di reinvestire denaro sporco in fabbriche estere. Per il cliente, l’ingenuità chiave non è tanto alimentare mafie o violare il copyright, ma mettersi in casa spontaneamente una scatola chiusa collegata al Wi-Fi con proprio IP. Cosa ti puoi aspettare da un dispositivo creato dalla criminalità organizzata?

Ecco, dunque, alcune metodologie rigorose di asset management che evitino l’introduzione di hardware e software non verificati, trasformando l’ingenuità in consapevolezza attraverso processi strutturati di acquisizione e gestione[1].

Asset management: dal parrucchiere al social network, come quantificare ciò che ha valore

Asset Management: responsabilità distribuite e standardizzazione

La gestione degli asset deve avvenire prima che il CISO interloquisca con gli asset owners per implementare la strategia di protezione. Il CISO raccomanda i controlli e la strategia per proteggere il processo di business e le relative componenti, fermandosi qui.

Sono gli asset owners che decidono cosa implementare, basandosi sull’impatto sul business e sul valore di ogni asset.

È una separazione di responsabilità che garantisce competenza tecnica dal CISO e ownership business dagli asset owner.

Le tre attività fondamentali dell’Asset Management

Ecco le tre principali attività che consentono di portare a termine un asset management efficace ed efficiente.

Asset Inventory: conoscere per proteggere

L’Asset Inventory è una delle primissime attività del CISO che entra nel proprio ruolo: devi conoscere ciò che deve essere protetto prima di poter suggerire o implementare misure di sicurezza efficaci.

È essenziale avere una chiara comprensione di ciò che stai cercando di proteggere: dati sensibili, applicazioni critiche, infrastrutture di rete e qualsiasi altro asset che, se compromesso, può avere impatto negativo sul business.

Manutenzione: monitoraggio automatico continuo

Manutenzione attraverso il monitoraggio automatico dell’attività all’interno della rete e dei sistemi.

Gli strumenti di monitoraggio automatico possono rilevare e interrogare gli asset raggiungibili via rete, ma possono anche rilevare attività sospette, intrusioni o qualsiasi altro comportamento anomalo che può indicare una violazione della sicurezza.

Patching: aggiornamenti strategici VS automatici

Assicurarsi che tutti i software e sistemi operativi siano aggiornati alle ultime versioni e che tutte le patch di sicurezza siano state applicate.

L’applicazione tempestiva di un aggiornamento può ridurre la vulnerabilità ai nuovi attacchi, ma impostare l’aggiornamento automatico è un’arma a doppio taglio: patch difettose possono provocare riavvii e disservizi.

I sei pilastri del patching strategico

Ecco, invece, i pilastri su cui costruire una strategia corretta di patching.

Priorità e pianificazione

Le patch critiche vanno applicate il prima possibile, ma è necessario definire cosa si intende per “prima possibile”. Serve un framework di prioritizzazione che consideri criticità del sistema, severità della vulnerabilità e impatto business potenziale.

Test preventivo

Prima di essere applicate, le patch vanno testate in ambiente di testing per osservare eventuali difetti o disservizi che possono provocare. L’incidente Crowdstrike del 2024 deve essere un monito per tutti: anche fornitori affidabili possono distribuire patch difettose.

Piano di ripristino

Se la patch si rivela difettosa o l’installazione non va a buon fine, è necessario prevedere il rollback attraverso backup o disinstallazione. A tal fine, sono molto utili i meccanismi di “virtual patching” che consentono di applicare – e solo successivamente consolidare – la patch.

Hashing e verifica delle fonti

Non tutte le patch sono scaricabili da Internet, ad esempio quelle dei dispositivi OT che tipicamente sono disconnessi dalla rete. In questi casi “air gapped”, è opportuno verificare che la patch arrivi da una fonte attendibile: non basta scaricarla dal sito del produttore, ma serve verificare con l’hashing che il file non sia stato manomesso.

Scoping e tailoring dei sistemi

Alcuni sistemi sono critici o desueti, pertanto vanno inizialmente esclusi dal patching. Per gli altri, l’approccio “one size fits all” (una taglia unica per tutti) è uno dei peggiori errori in ambito sicurezza.

Compatibilità e conformità

Non tutte le patch sono compatibili o conformi con policy o sistemi dell’organizzazione, quindi è necessario verificare anche questo aspetto prima dell’implementazione.

Hashing: l’impronta digitale dell’integrità

L’hashing è processo mediante il quale un messaggio di testo, calcolato attraverso una particolare funzione monodirezionale, restituisce un valore di lunghezza fissa noto come “hash”. L’hash si presenta come sequenza di numeri e lettere apparentemente casuali, che in realtà sono calcolate dalla funzione.

Ad esempio, si può dare in pasto all’algoritmo MD5 la lettera “a” e ottenere come risultato una sequenza di 32 caratteri alfanumerici: 0cc175b9c0f1b6a831c399e269772661. Anche dando l’intera Divina Commedia (circa 500.000 caratteri), si otterrà un’altra sequenza, sempre di 32 caratteri alfanumerici.

Ma la proprietà chiave delle funzioni hash è che una modifica insignificante al messaggio produrrà un valore hash drasticamente diverso: cambiando una virgola alla Divina Commedia otterremo un hash totalmente diverso dal precedente. Per questo le funzioni hash sono utilizzate per verificare l’integrità dei file, la memorizzazione sicura delle password e la creazione di tabelle hash.

Il caso CCleaner 2017: quando anche le fonti ufficiali falliscono

Nel 2017, un malware era stato iniettato direttamente nel software CCleaner, noto software per la pulizia dei PC, scaricabile sul sito web ufficiale di Avast.

In questo caso, nemmeno l’hash sul sito ufficiale sarebbe stato attendibile.

Questo incidente dimostra che anche fonti apparentemente attendibili possono essere compromesse, richiedendo verifiche multiple e approcci difensivi a più livelli.

Il pezzotto IPTV: lezione di ingenuità criminale

L’IPTV illegale, chiamata “pezzotto”, è un sistema di distribuzione illegale di contenuti televisivi a pagamento: partite di calcio, film, serie TV ed eventi sportivi.

Si tratta di una rete di decoder pirata venduti o noleggiati ai consumatori, che consente l’accesso ai contenuti a pagamento senza doversi abbonare, ma pagando solo un abbonamento ai criminali.

Il pezzotto è diffuso particolarmente nei luoghi dove la camorra controlla il territorio. La camorra controlla le fabbriche che producono i decoder, gestisce i canali di vendita e riscuote i pagamenti tramite la propria rete di esattori: si tratta di un side-business redditizio che, secondo le stime, sfiora il miliardo di euro all’anno.

Questo mercato permette di impiegare personale, imporre fornitori, reinvestire denaro sporco in fabbriche situate all’estero e, quando viene scoperto, è punito in modo assai leggero. È un modello di business che trasforma il crimine tradizionale in economia digitale globalizzata.

L’ingenuità del cliente: la vera vulnerabilità

Per il cliente del pezzotto, il punto chiave è l’ingenuità. Non si tratta tanto di alimentare le mafie, violare il diritto d’autore e fare i furbi, quanto del fatto di essersi messi in casa spontaneamente una scatola chiusa e di averla anche collegata al Wi-Fi con la propria password, permettendole di collegarsi a Internet usando il proprio indirizzo IP pubblico a fare da capro espiatorio.

E cosa ti aspetti da un dispositivo che viene creato e distribuito dalla criminalità organizzata? È una domanda retorica che dovrebbe far riflettere su ogni acquisto tecnologico da fonti non verificate.

Hardware e software: l’importanza delle fonti attendibili

È fondamentale evitare l’acquisto da fonti non attendibili. L’utilizzo di software piratato o hardware contraffatto può introdurre rischi di sicurezza, come malware o backdoor. Le backdoor, presenti sia nell’hardware che nel software, offrono agli aggressori l’accesso non autorizzato ai tuoi sistemi.

È importante monitorare e identificare dispositivi “canaglia” o non autorizzati che possono tentare di connettersi alla rete: potrebbero essere presenti nell’infrastruttura software craccati, hardware obsoleto o non autorizzato.

Verso un asset management consapevole

L’asset management efficace richiede superamento della mentalità “convenienza prima di tutto” per abbracciare approcci che privilegino sicurezza e verifica delle fonti, anche quando costano di più. E il CISO deve educare l’organizzazione sui rischi dell’acquisto da fonti non verificate, trasformando l’ingenuità in consapevolezza attraverso formazione continua e processi strutturati.

La lezione del pezzotto è chiara: ogni dispositivo non verificato introdotto nella rete rappresenta potenziale vettore di attacco creato e controllato da organizzazioni criminali.

[1] Per approfondire le metodologie di asset management sicuro, i processi di verifica delle fonti e gli strumenti per implementare controlli rigorosi su hardware e software, il Manuale CISO Security Manager fornisce framework operativi per trasformare l’ingenuità in protezione strutturata contro minacce alla supply chain.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Fabrizio Saviano
CISO ANPS Milano
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Confronto fra DORA e NIS 2; Per il DORA la resilienza è essenzialmente disciplina e addestramento

  • una lettura militare

    Per il DORA la resilienza è essenzialmente disciplina e addestramento

    16 Gen 2026

    di Giuseppe Alverone

    Condividi
  • Videocamere di sorveglianza

  • I SUGGERIMENTI

    Videocamere di sorveglianza: un buco nero per la security?

    21 Ott 2025

    di Marco Schiaffino

    Condividi
  • cyber attacchi russi - Dal cyberspazio al territorio: come la Russia arruola volontari locali per sabotaggi in Europa (e ora in Italia)

  • guerra ibrida

    Dal cyberspazio al territorio: come la Russia arruola volontari per sabotaggi, anche in Italia

    28 Ott 2025

    di Luca Mella

    Condividi
  • Mic-E-Mouse

  • l'analisi tecnica

    Mic-E-Mouse, il mouse che ascolta: quando un sensore ottico diventa un microfono

    14 Ott 2025

    di Salvatore Lombardo

    Condividi
0
Lascia un commento, la tua opinione conta.x